@Allure
2年前 提问
1个回答

什么是网络安全微隔离架构

X0_0X
2年前

微隔离架构技术本质上是一种网络安全隔离技术,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独立的安全段定义访问控制策略。微隔离提出以来主要聚焦在东西向流量的隔离上,一是有别于传统物理防火墙的隔离作用,二是更贴近云计算环境中的真实需求。微隔离将网络边界安全理念发挥到极致,将网络边界分割到尽可能的小,能很好的缓解传统边界安全理念下边界内过度信任带来的安全风险。

网络安全微隔离架构有以下这些方式:

  • 基于主机代理:这种微隔离类型依赖位于端点中的代理。所有数据流都是可见的并将其中继到中央管理器,这种方法可以减轻发现挑战性协议或加密流量的麻烦。主机代理技术通常被认为是一种高效的微隔离方法。“由于受感染的设备是主机,因此良好的主机策略甚至可以阻止问题进入网络,”软件开发和IT服务初创公司Mulytic Labs的CTO David Johnson说道。但是,它要求所有主机都安装软件,“对遗留操作系统和旧系统可能并不友好”。

  • 基于虚拟机监控程序:使用这种微隔离,所有流量都流经管理程序。Johnson解释说:“监视虚拟机管理程序流量的能力意味着人们可以使用现有的防火墙,并且可以根据日常运营实例的需要将策略转移至新的虚拟机管理程序。”这种方法的缺点是虚拟机管理程序分段通常不适用于云环境、容器或裸机。他建议说:“在能够派上用场的场景中,基于虚拟机监控程序的方法非常有效。”

  • 网络隔离:这种方法基本上是对现有安全架构的扩展,它基于访问控制列表(ACL)和其他经过时间检验的方法进行细分。约翰逊说:“到目前为止,这是最简单的方法,因为大多数网络专业人员都熟悉这种方法。”“但是,大型网络段可能无法实现微隔离,并且这种做法在大型数据中心中管理起来可能既复杂又昂贵。”