微分段的應用及注意事項

面對企業中愈演愈烈的網絡安全問題，“微分段”作為一種新興的安全技術出現，它将資料中心劃分為邏輯單元并采用進階安全政策進行管理。我們在《解讀微分段》文章中介紹了什麼是微分段，以及它的優勢。

然而，任何事物都有兩面性。在實際應用中，it專業人士還需要注意微分段的一些預設定條件以及潛在的陷阱。本文将繼續介紹如何應用微分段，以及在應用過程中需要注意的問題，以幫助管理者避免錯誤的發生。

使用微分段

與正常虛拟化一樣，部署微分段的方法并不唯一。在大多數情況下，使用新技術包如軟體定義的網絡、虛拟防火牆等，将現有的遺留基礎設施及保護機制進行系統性地擴張。但采用微分段技術需要考慮幾個問題。

第一個問題就是可見性。潛在的采納者必須對進出資料中心的網絡流量以及通信模式有深入的了解。這往往需要分析工具能夠識别流量模式以及重要的互相關系——采用人工方式将正确的服務以及防火牆政策映射給單個工作負載幾乎是不可能實作的。例如，分析工具能夠發現具備通用特性的相關工作負載集合，比如位于同一個實體子網中的工作負載;并能夠識别共享服務比如組織的域名系統(dns)。分析工具還應該能夠識别不通應用之間的互相關系和潛在易受攻擊的網絡區域，以及網絡效率低下的原因(比如發夾)。

分析模型構成了新安全規則以及微分段政策的基礎，同時将可能會打破重要關系的錯誤以及疏忽降至最低。類似地，政策定義及編排系統對建立微分段所需要的政策并将其推送給基礎設施是至關重要的。6connect公司的sclafani指出，并非所有應用都适合采用微分段政策。仔細檢查并評估分析模型有助于在部署微分段之前暴露可能存在問題的工作負載或者網絡元素。

接下來，使用零信任方式，即完全鎖定通信來部署安全規則以及政策，并在整個微分段部署過程中遵循零信任原則。網絡間的通信基于之前的分析結果有選擇性地通過。這是確定應用連通性及安全性的最佳實踐。

定期重複該過程。分析流量并提取規則并非一蹴而就，但應該經常開展持續性檢查以確定工作負載及政策沒有發生出乎意料的改變，而且任何新的分析結果(可能是由于新應用或者流量模式的改變)可以被用于調整微分段規則。

上述所有注意事項都明确強調了要選擇适用于微分段的hypervisor及工具。一家體育用品零售商的it主管說：“我們實作了sdn層與需要被虛拟化的實體層之間的互動。你需要一款了解sdn以及實體層的工具。你還需要一款适用于雲團隊、存儲團隊、網絡團隊及營運的工具。”

vmware與palo alto networks就微分段戰略建立了和合作夥伴關系，将nsx與hypervisor平台(vsphere)以及管理工具比(vcenter)協作。同時，cisco通過其以應用程式為中心的基礎設施(application centricinfrastructure，aci)來支援微分段。另外市場上還存在一些第三方工具，如arkin的visibility platform能夠為微分段的規劃、分析、監控以及故障診斷提供幫助，ca spectrum工具能夠用于管理實體、虛拟、雲環境以及網絡虛拟化。

微分段注意事項

微分段是一個很強大的概念，将為新興的軟體定義的環境提供更好的安全性與靈活性，但微分段并不能解決所有的網絡問題。企業與it管理者在計劃采用該技術之前必須權衡微分段部署帶來的一些潛在的負面影響。

複雜性可能是最大的陷阱。“建立應用行為模型以及正确的防火牆規則可能變得很複雜，”arkin net公司的市場主管mahesh kumar說，“粒度過小會變得難于管理，粒度過大可能達不到目标。”此外有必要将所有工作負載——即使是空閑或已關閉的虛拟機考慮在内。否則空閑工作負載上線後可能被鎖定無法正常通信。問題複雜化肯定會導緻企業應用面臨潛在的連通性及可用性問題。

一緻性引發了另一個問題。由于微分段将安全政策及規則配置設定給工作負載，這些政策以及規則遵從一緻的準則是很重要的。在沒有指導方針或者最佳實踐情況下，政策在工作負載之間或不同位置發生轉換也是有可能的。一緻性問題可能導緻性能或可用性問題，給排除故障帶來了挑戰。

用于部署微分段而增加的管理與控制層可能會影響網絡及應用性能。kumar的觀點與6connect的sclafani類似，可能并非所有的應用都适合微分段——尤其是對低延遲和性能敏感的應用(比如實時交易工具)。

最後不要忽視微分段給組織帶來的影響，其往往跨越計算、網絡以及安全領域。不同的團隊可能要做出影響安全性的改變，這可能會導緻通信故障、沖突以及來自傳統團隊的反對。是以不同團隊之間進行互動并達成一緻的了解對于微分段的長期應用及成功至關重要。一家體育用品零售商的it主管說：“人們需要時間來了解微分段，你需要用非正常方式思考，樂于接受新觀點，還需要組織教育訓練。”

本文轉自d1net（轉載）