摘要：網(wǎng)絡(luò)病毒如同新冠病毒一樣在云環(huán)境中擴(kuò)散，云內(nèi)安全防護(hù)越來越引人關(guān)注。運(yùn)用零信任的云內(nèi)微隔離技術(shù)，可以有效地使企業(yè)上云更加放心、安全。

　　云內(nèi)微隔離簡介：

　　在介紹微隔離技術(shù)之前，有必要先了解零信任架構(gòu)，零信任是為了滿足愈發(fā)復(fù)雜的企業(yè)構(gòu)成，從而催生出的一種專注于資源保護(hù)的網(wǎng)絡(luò)安全范例，前提是永遠(yuǎn)不要隱式授予信任而必須持續(xù)評(píng)估信任。目前主流的零信任架構(gòu)有：使用增強(qiáng)的身份治理的零信任架構(gòu)，使用微分段的零信任架構(gòu)，使用網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和軟件定義邊界的零信任架構(gòu)。而微隔離技術(shù)，則是基于微分段的零信任架構(gòu)實(shí)現(xiàn)的重要技術(shù)。

　　微分段的零信任架構(gòu)是基于將單個(gè)或一組資源放在由網(wǎng)關(guān)安全組件保護(hù)的其自己的網(wǎng)段上來選擇實(shí)施零信任架構(gòu)。通過這種方法，企業(yè)可以放置NGFW或網(wǎng)關(guān)設(shè)備以充當(dāng)PEP（策略執(zhí)行點(diǎn)），從而保護(hù)每個(gè)資源或資源組。對(duì)于微分段的描述是基于物理設(shè)備的，而云內(nèi)微隔離技術(shù)則是在云環(huán)境下，對(duì)資源更靈活，更細(xì)粒度地構(gòu)建微分段架構(gòu)。

　　云內(nèi)微隔離，最早由Gartner在其軟件定義的數(shù)據(jù)中心相關(guān)技術(shù)體系中提出。從廣義上講，云內(nèi)微隔離就是一種更細(xì)粒度的網(wǎng)絡(luò)隔離技術(shù)，使用策略驅(qū)動(dòng)地防火墻技術(shù)（通常是基于軟件的）或者網(wǎng)絡(luò)加密技術(shù)來隔離數(shù)據(jù)中心，公共云IaaS和容器，在邏輯上講數(shù)據(jù)中心劃分為不同的安全段，每個(gè)段包含混合場景中的不同工作負(fù)載、應(yīng)用和進(jìn)程，可以為每個(gè)段定義安全控制和所提供的服務(wù)。

　　企業(yè)上云現(xiàn)狀（需求）：

　　在如今云計(jì)算的飛速發(fā)展地時(shí)代，為了降低企業(yè)成本，同時(shí)對(duì)外開放多種接口，使得企業(yè)運(yùn)營中的銷售、供應(yīng)、管理等環(huán)節(jié)都可以與外面的平臺(tái)對(duì)接，許多企業(yè)都選擇了上云。

　　在企業(yè)上云之后，企業(yè)便可以通過網(wǎng)絡(luò)便捷地按需使用資源（包括計(jì)算資源、存儲(chǔ)資源、應(yīng)用軟件、服務(wù)及網(wǎng)絡(luò)等），且高度擴(kuò)展、靈活易管理的業(yè)務(wù)模式，具有大規(guī)模、虛擬化、高可靠及彈性配置等屬性。

　　尤其受新冠疫情的影響，許多企業(yè)選擇了上云，共享其服務(wù)及能力，有效降低企業(yè)信息化構(gòu)建成本和生產(chǎn)運(yùn)營成本，改善企業(yè)工作效率，提升企業(yè)管理水平，另一方面也方便了企業(yè)員工在家遠(yuǎn)程辦公。

　　企業(yè)上云分為基礎(chǔ)系統(tǒng)上云、管理上云、業(yè)務(wù)上云，而很重要的也是很常見的則是企業(yè)的數(shù)據(jù)中心上云，那么對(duì)于如今的云上數(shù)據(jù)中心而言，主要有南北向流量和東西向流量，我們通常使用防火墻進(jìn)行南北向流量的安全防護(hù)，但此時(shí)一旦黑客突破了防火墻進(jìn)入了內(nèi)網(wǎng)，在內(nèi)網(wǎng)中缺少有效的安全防護(hù)措施來限制東西向流量。隨著東西向流量占比逐漸增大，為了限制黑客在進(jìn)入內(nèi)網(wǎng)后地東西向訪問，便可使用云內(nèi)微隔離技術(shù)進(jìn)行防護(hù)。

　　微隔離如何解決云安全：

　　想要實(shí)現(xiàn)云內(nèi)微隔離，首先需要進(jìn)行分區(qū)分隔，而微隔離技術(shù)達(dá)到的效果是和分隔細(xì)粒度成正比的。但分割的細(xì)粒度越細(xì)，IT部門就越需要了解數(shù)據(jù)流，了解系統(tǒng)、應(yīng)用和服務(wù)之間到底是怎樣的互訪關(guān)系。

　　云內(nèi)微隔離系統(tǒng)有別于傳統(tǒng)防火墻單點(diǎn)邊界上的隔離，它通常是由一個(gè)控制中心，和多個(gè)分布式虛擬化防火墻組成的，具有分布式和自適應(yīng)的特點(diǎn)?？刂浦行氖俏⒏綦x系統(tǒng)的中心平臺(tái)，它需要能夠通過3D拓?fù)涞匦问娇梢暬卣宫F(xiàn)系統(tǒng)內(nèi)部業(yè)務(wù)之間地互訪關(guān)系，方便運(yùn)維人員理清內(nèi)部訪問關(guān)系，同時(shí)能夠靈活地配置分布式虛擬化防火墻，對(duì)每一個(gè)微分段都能夠進(jìn)行自適應(yīng)地配置和遷移。

　　當(dāng)每一個(gè)微分段前都部署了分布式虛擬化防火墻之后，流量不論是流入還是流出該分段，都需要先經(jīng)過防火墻，保證了該分段地安全。

　　使用微隔離所達(dá)到的結(jié)果：

　　在運(yùn)用云內(nèi)微隔離技術(shù)后，不僅可以防止數(shù)據(jù)泄露，還可以在企業(yè)云內(nèi)一臺(tái)主機(jī)被攻陷后，最大程度上地縮減黑客能夠到的主機(jī)范圍和工作負(fù)載。同時(shí)，在云內(nèi)一臺(tái)主機(jī)被攻陷后，可以限制黑客與其他業(yè)務(wù)區(qū)域的訪問，或是控制其他的主機(jī)。這么做也方便了攻擊事件發(fā)生后的攻擊溯源。