考虑微分割以提高安全性
网络安全专家多年来一直敦促infosec专业人士对他们的网络进行细分,以更好地保护公司数据。微区隔(有时称为受保护的enclave)通过创建只有经过批准的服务或用户才能跨越的边界,利用虚拟化和访问控制来保护工作负载。软件定义网络(SDN)是另一个使能器。
Illumino首席商务官艾伦•科恩(Alan Cohen)也对其给予了支持,他在本周的博客中敦促CISOs转向微细分以提高安全性。
他警告说,使用带有交换机、路由器和防火墙的传统网络技术是无法实现微分割的,这些技术最终会产生数百万条基于IP地址的防火墙规则。他写道:“替代的、互补的方法可以使分割更接近应用程序,甚至更接近(物理或虚拟)服务器,这在减少内部威胁的爆发和横向攻击的蔓延方面可以发挥关键作用。”只有对工作负载/应用程序进行细分,才能降低攻击者从一个受损害的工作负载/应用程序转移到另一个工作负载/应用程序的风险。
不缺乏供应商提供的产品,使微细分更容易。VMware正在吹捧它的NSX网络虚拟化平台,称它可以提供细粒度的安全,并将其强制分布到数据中心的每个hypervisor。VMware产品营销总监Geoff Huang在去年春天的一篇专栏文章中指出,“微观细分为管理员描述工作量提供了更有用的方法。”管理员可以描述工作负载的固有特征,将这些信息与安全策略联系起来,而不是仅仅依赖IP地址。它可以回答以下问题:这是哪种类型的工作负载(web、app或数据库)?这个工作负载将用于什么(开发、准备或生产)?这种工作负载将处理哪些类型的数据(低敏感性、财务或个人身份信息)?更重要的是,微分割甚至允许管理员组合这些特征来定义继承的策略属性。例如,处理财务数据的工作负载具有一定的安全性,但是处理财务数据的生产工作负载具有更高的安全性。”
Nutanix的最新产品发布:软件定义网络,直接瞄准了其竞争对手VMware。供应商宣布对其…
国家港口,MD -在它的安全&在本周的风险管理峰会上,分析公司Gartner Inc.概述了……
思科系统公司表示,其应用中心基础设施(ACI)通过将网络、设备和服务抽象为层次结构的逻辑对象模型,实现了数据中心的微分割。在这个模型中,管理员指定所应用的服务(防火墙、负载平衡器等)、所应用的流量类型以及允许的流量。这些服务可以链接在一起,并作为具有简单输入和输出的单个对象呈现给应用程序开发人员。应用层对象和服务器对象的连接创建一个应用程序网络配置文件(ANP)。当这个ANP应用到网络时,设备被告知配置它们自己来支持它。层对象可以是数百个服务器的组,也可以只有一个;所有这些都在一个配置步骤中使用相同的策略进行处理。”
其结果是增强了数据中心内东西方通信的安全性。
Nuage Networks认为,随着工作负载转移到云,微区隔在多租户环境中对于加强安全策略至关重要。该公司表示,其虚拟服务平台可以作为交付机制。随着新的云应用的出现,自动化的安全策略供应和网络安全设备使得按需服务交付成为组织所需要的。所以,这不仅仅是更高程度的安全。这是一种更快、随需应变的云应用程序交付方式,其安全复杂性可能比传统数据中心要高一个数量级。”
这只是其中的几个提供者。
ZK research的行业分析师宙斯•科瓦拉(Zeus Kerrvala)在一次采访中表示,他接触过的许多组织都对微细分很感兴趣,但都犹豫了,因为建立微细分可能很复杂。建立生产、开发、物联网和其他区域很容易,但是获得更多的颗粒区域——基于网络设备类型的区域——变得更加困难。这就是为什么他说有一个可见的工具来识别网络上的所有设备是必要的。
布兰登•彼得森(Brandon Peterson)去年在为SANS研究所撰写的一篇论文中警告称,微细分首先要理解业务流程,以及如何将其转化为网络行为。“如果没有这样的理解,安全控制将会让用户感到沮丧,在阻止或检测攻击方面也将是无效的。”
无论CISO选择的是什么类型的细分,这都是一个需要考虑的策略。