微隔离：下一代网络隔离控制技术

微隔离是在数据中心和云部署中创建安全区域的方式，可以把隔离工作流，并对其进行单独保护，目的是让网络安全更具粒度化。

微隔离 vs 虚拟本地网、防火墙和访问控制列表

网络微隔离并不是新事物。很多公司一直依赖防火墙、虚拟本地网和访问控制列表做网络隔离。通过微隔离，可以将网络策略应用到单独的工作流上，提升对抗攻击的能力。

“虚拟本地网可以做粗粒度的隔离，微隔离可以做更精细粒度的隔离。所以，在任何需要将流量进行粒度化分区的地方，都可以发现微隔离的存在，”ZK Research创立者兼分析师克拉·瓦拉（Zeus Kerravala）称。

软件定义网络和网络虚拟化的兴起为微隔离做好了铺垫。我们可以在软件里，在与下层硬件分离的层级中执行操作，这会让隔离更易于部署。

微隔离如何管理数据中心的数据流

传统防火墙、入侵防御系统和其它安全系统旨在检测和保护数据中心南北向接口的数据流，微隔离可以让企业更好地控制东西向接口不断增加的数据流，或是管控服务器之间，周边旁路安全工具之间的纵向连接数据流。一旦出现数据泄漏，微隔离可以限制网络中黑客可能染指的纵向数据流。

“许多公司把自己的高价值安全工具放在数据中心核心位置：防火墙，IPSes。因此，南北向的数据不得不通过这些防火墙。假如这些数据从东西向传输，就会绕开这些安全工具，”克拉瓦拉说。“你可以在每个交错连接的节点都搭建防火墙，但这无疑会增加成本，且降低敏捷性。”

网络或安全专家是否会推动微隔离部署？

微隔离势头正劲，但谁应该使用这一技术呢？在大企业，网络安全工程师或许会起到助推作用。在小型公司，负责安全和网络运营的团队或许会率先部署微隔离。

克拉瓦拉表示，他也不清楚是否该有专门负责该技术的团队。但安全和网络专家们对此技术表现出了兴趣。

他认为，在大多数案例中，微隔离操作起来像是一个网络临时设施（Overlay），它易于部署，且可以在网络顶层运行。他还见过负责网络运营的人用微隔离来保护物联网设备。

微隔离的优点与挑战

利用微隔离技术，IT专家们可以为不同种类的数据流定义做特别的安全设置，创建特殊的安全策略来限制各种工作流之间的网络和应用流。在不受信任的安全模式中，公司可以创建一种策略，比如，设定医疗设备只能与医疗设备交换数据。而一旦有设备或工作负载出现改变，安全策略和属性都会随之改变。

其目的是降低网络攻击界面：把隔离规则应用到工作负载或应用中，IT人员就可以减少黑客从一个工作负载区或应用进入另一个的风险。

微隔离的另一个好处是操作效率高。访问控制列表、路由规则和防火墙策略会变得累赘，而且还带来大量管理成本，这就增加了策略随环境改变做出调整的难度。

微隔离通常在软件中完成，这使其更容易定义精细粒度化的分区。而利用微隔离技术，IT人员可以集中部署网络隔离策略，并减少防火墙规则的数量。

在防火墙规则和访问控制列表已经发展稳定的现在，把微隔离部署到策略中并不容易，而且这样的策略还要适应目前复杂的，分布式企业环境的需要。

一开始，映射工作负载之间，应用之间和环境之间的连接需要的可视性是许多企业缺乏的。

隔离所面临的一个大挑战是了解需要隔离什么。克拉瓦拉称，他的研究表明50%的公司没有信心自己完全清楚其网络上有哪些IT设备。如果你都不知道自己的中有什么设备，那又怎么可能知道要创建什么隔离区？数据中心的数据流还缺乏可视性。

本文翻译自networkworld