《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 云內(nèi)微隔離幫助企業(yè)安全上云

云內(nèi)微隔離幫助企業(yè)安全上云

2021-11-05
來(lái)源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室
關(guān)鍵詞: 企業(yè)安全

  摘要:網(wǎng)絡(luò)病毒如同新冠病毒一樣在環(huán)境中擴(kuò)散,云內(nèi)安全防護(hù)越來(lái)越引人關(guān)注。運(yùn)用零信任的云內(nèi)微隔離技術(shù),,可以有效地使企業(yè)上云更加放心,、安全,。

  云內(nèi)微隔離簡(jiǎn)介:

  在介紹微隔離技術(shù)之前,,有必要先了解零信任架構(gòu),零信任是為了滿(mǎn)足愈發(fā)復(fù)雜的企業(yè)構(gòu)成,,從而催生出的一種專(zhuān)注于資源保護(hù)的網(wǎng)絡(luò)安全范例,,前提是永遠(yuǎn)不要隱式授予信任而必須持續(xù)評(píng)估信任。目前主流的零信任架構(gòu)有:使用增強(qiáng)的身份治理的零信任架構(gòu),,使用微分段的零信任架構(gòu),,使用網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和軟件定義邊界的零信任架構(gòu)。而微隔離技術(shù),,則是基于微分段的零信任架構(gòu)實(shí)現(xiàn)的重要技術(shù),。

  微分段的零信任架構(gòu)是基于將單個(gè)或一組資源放在由網(wǎng)關(guān)安全組件保護(hù)的其自己的網(wǎng)段上來(lái)選擇實(shí)施零信任架構(gòu)。通過(guò)這種方法,,企業(yè)可以放置NGFW或網(wǎng)關(guān)設(shè)備以充當(dāng)PEP(策略執(zhí)行點(diǎn)),,從而保護(hù)每個(gè)資源或資源組。對(duì)于微分段的描述是基于物理設(shè)備的,,而云內(nèi)微隔離技術(shù)則是在云環(huán)境下,,對(duì)資源更靈活,,更細(xì)粒度地構(gòu)建微分段架構(gòu),。

  云內(nèi)微隔離,最早由Gartner在其軟件定義的數(shù)據(jù)中心相關(guān)技術(shù)體系中提出,。從廣義上講,,云內(nèi)微隔離就是一種更細(xì)粒度的網(wǎng)絡(luò)隔離技術(shù),使用策略驅(qū)動(dòng)地防火墻技術(shù)(通常是基于軟件的)或者網(wǎng)絡(luò)加密技術(shù)來(lái)隔離數(shù)據(jù)中心,,公共云IaaS和容器,,在邏輯上講數(shù)據(jù)中心劃分為不同的安全段,每個(gè)段包含混合場(chǎng)景中的不同工作負(fù)載,、應(yīng)用和進(jìn)程,,可以為每個(gè)段定義安全控制和所提供的服務(wù)。

  企業(yè)上云現(xiàn)狀(需求):

  在如今云計(jì)算的飛速發(fā)展地時(shí)代,,為了降低企業(yè)成本,,同時(shí)對(duì)外開(kāi)放多種接口,使得企業(yè)運(yùn)營(yíng)中的銷(xiāo)售,、供應(yīng),、管理等環(huán)節(jié)都可以與外面的平臺(tái)對(duì)接,許多企業(yè)都選擇了上云,。

  在企業(yè)上云之后,,企業(yè)便可以通過(guò)網(wǎng)絡(luò)便捷地按需使用資源(包括計(jì)算資源、存儲(chǔ)資源,、應(yīng)用軟件,、服務(wù)及網(wǎng)絡(luò)等),,且高度擴(kuò)展、靈活易管理的業(yè)務(wù)模式,,具有大規(guī)模,、虛擬化、高可靠及彈性配置等屬性,。

  尤其受新冠疫情的影響,,許多企業(yè)選擇了上云,共享其服務(wù)及能力,,有效降低企業(yè)信息化構(gòu)建成本和生產(chǎn)運(yùn)營(yíng)成本,,改善企業(yè)工作效率,提升企業(yè)管理水平,,另一方面也方便了企業(yè)員工在家遠(yuǎn)程辦公,。

  企業(yè)上云分為基礎(chǔ)系統(tǒng)上云、管理上云,、業(yè)務(wù)上云,,而很重要的也是很常見(jiàn)的則是企業(yè)的數(shù)據(jù)中心上云,那么對(duì)于如今的云上數(shù)據(jù)中心而言,,主要有南北向流量和東西向流量,,我們通常使用防火墻進(jìn)行南北向流量的安全防護(hù),但此時(shí)一旦黑客突破了防火墻進(jìn)入了內(nèi)網(wǎng),,在內(nèi)網(wǎng)中缺少有效的安全防護(hù)措施來(lái)限制東西向流量,。隨著東西向流量占比逐漸增大,為了限制黑客在進(jìn)入內(nèi)網(wǎng)后地東西向訪問(wèn),,便可使用云內(nèi)微隔離技術(shù)進(jìn)行防護(hù),。

  微隔離如何解決云安全:

  想要實(shí)現(xiàn)云內(nèi)微隔離,首先需要進(jìn)行分區(qū)分隔,,而微隔離技術(shù)達(dá)到的效果是和分隔細(xì)粒度成正比的,。但分割的細(xì)粒度越細(xì),IT部門(mén)就越需要了解數(shù)據(jù)流,,了解系統(tǒng),、應(yīng)用和服務(wù)之間到底是怎樣的互訪關(guān)系。

  云內(nèi)微隔離系統(tǒng)有別于傳統(tǒng)防火墻單點(diǎn)邊界上的隔離,,它通常是由一個(gè)控制中心,,和多個(gè)分布式虛擬化防火墻組成的,具有分布式和自適應(yīng)的特點(diǎn),??刂浦行氖俏⒏綦x系統(tǒng)的中心平臺(tái),它需要能夠通過(guò)3D拓?fù)涞匦问娇梢暬卣宫F(xiàn)系統(tǒng)內(nèi)部業(yè)務(wù)之間地互訪關(guān)系,方便運(yùn)維人員理清內(nèi)部訪問(wèn)關(guān)系,,同時(shí)能夠靈活地配置分布式虛擬化防火墻,,對(duì)每一個(gè)微分段都能夠進(jìn)行自適應(yīng)地配置和遷移。

  當(dāng)每一個(gè)微分段前都部署了分布式虛擬化防火墻之后,,流量不論是流入還是流出該分段,,都需要先經(jīng)過(guò)防火墻,保證了該分段地安全,。

  使用微隔離所達(dá)到的結(jié)果:

  在運(yùn)用云內(nèi)微隔離技術(shù)后,,不僅可以防止數(shù)據(jù)泄露,還可以在企業(yè)云內(nèi)一臺(tái)主機(jī)被攻陷后,,最大程度上地縮減黑客能夠到的主機(jī)范圍和工作負(fù)載,。同時(shí),在云內(nèi)一臺(tái)主機(jī)被攻陷后,,可以限制黑客與其他業(yè)務(wù)區(qū)域的訪問(wèn),,或是控制其他的主機(jī)。這么做也方便了攻擊事件發(fā)生后的攻擊溯源,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。