《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 云內(nèi)微隔離幫助企業(yè)安全上云

云內(nèi)微隔離幫助企業(yè)安全上云

2021-11-05
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室
關(guān)鍵詞: 企業(yè)安全

  摘要:網(wǎng)絡(luò)病毒如同新冠病毒一樣在環(huán)境中擴散,云內(nèi)安全防護越來越引人關(guān)注。運用零信任的云內(nèi)微隔離技術(shù),可以有效地使企業(yè)上云更加放心、安全。

  云內(nèi)微隔離簡介:

  在介紹微隔離技術(shù)之前,有必要先了解零信任架構(gòu),零信任是為了滿足愈發(fā)復(fù)雜的企業(yè)構(gòu)成,從而催生出的一種專注于資源保護的網(wǎng)絡(luò)安全范例,前提是永遠不要隱式授予信任而必須持續(xù)評估信任。目前主流的零信任架構(gòu)有:使用增強的身份治理的零信任架構(gòu),使用微分段的零信任架構(gòu),使用網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和軟件定義邊界的零信任架構(gòu)。而微隔離技術(shù),則是基于微分段的零信任架構(gòu)實現(xiàn)的重要技術(shù)。

  微分段的零信任架構(gòu)是基于將單個或一組資源放在由網(wǎng)關(guān)安全組件保護的其自己的網(wǎng)段上來選擇實施零信任架構(gòu)。通過這種方法,企業(yè)可以放置NGFW或網(wǎng)關(guān)設(shè)備以充當(dāng)PEP(策略執(zhí)行點),從而保護每個資源或資源組。對于微分段的描述是基于物理設(shè)備的,而云內(nèi)微隔離技術(shù)則是在云環(huán)境下,對資源更靈活,更細粒度地構(gòu)建微分段架構(gòu)。

  云內(nèi)微隔離,最早由Gartner在其軟件定義的數(shù)據(jù)中心相關(guān)技術(shù)體系中提出。從廣義上講,云內(nèi)微隔離就是一種更細粒度的網(wǎng)絡(luò)隔離技術(shù),使用策略驅(qū)動地防火墻技術(shù)(通常是基于軟件的)或者網(wǎng)絡(luò)加密技術(shù)來隔離數(shù)據(jù)中心,公共云IaaS和容器,在邏輯上講數(shù)據(jù)中心劃分為不同的安全段,每個段包含混合場景中的不同工作負載、應(yīng)用和進程,可以為每個段定義安全控制和所提供的服務(wù)。

  企業(yè)上云現(xiàn)狀(需求):

  在如今云計算的飛速發(fā)展地時代,為了降低企業(yè)成本,同時對外開放多種接口,使得企業(yè)運營中的銷售、供應(yīng)、管理等環(huán)節(jié)都可以與外面的平臺對接,許多企業(yè)都選擇了上云。

  在企業(yè)上云之后,企業(yè)便可以通過網(wǎng)絡(luò)便捷地按需使用資源(包括計算資源、存儲資源、應(yīng)用軟件、服務(wù)及網(wǎng)絡(luò)等),且高度擴展、靈活易管理的業(yè)務(wù)模式,具有大規(guī)模、虛擬化、高可靠及彈性配置等屬性。

  尤其受新冠疫情的影響,許多企業(yè)選擇了上云,共享其服務(wù)及能力,有效降低企業(yè)信息化構(gòu)建成本和生產(chǎn)運營成本,改善企業(yè)工作效率,提升企業(yè)管理水平,另一方面也方便了企業(yè)員工在家遠程辦公。

  企業(yè)上云分為基礎(chǔ)系統(tǒng)上云、管理上云、業(yè)務(wù)上云,而很重要的也是很常見的則是企業(yè)的數(shù)據(jù)中心上云,那么對于如今的云上數(shù)據(jù)中心而言,主要有南北向流量和東西向流量,我們通常使用防火墻進行南北向流量的安全防護,但此時一旦黑客突破了防火墻進入了內(nèi)網(wǎng),在內(nèi)網(wǎng)中缺少有效的安全防護措施來限制東西向流量。隨著東西向流量占比逐漸增大,為了限制黑客在進入內(nèi)網(wǎng)后地東西向訪問,便可使用云內(nèi)微隔離技術(shù)進行防護。

  微隔離如何解決云安全:

  想要實現(xiàn)云內(nèi)微隔離,首先需要進行分區(qū)分隔,而微隔離技術(shù)達到的效果是和分隔細粒度成正比的。但分割的細粒度越細,IT部門就越需要了解數(shù)據(jù)流,了解系統(tǒng)、應(yīng)用和服務(wù)之間到底是怎樣的互訪關(guān)系。

  云內(nèi)微隔離系統(tǒng)有別于傳統(tǒng)防火墻單點邊界上的隔離,它通常是由一個控制中心,和多個分布式虛擬化防火墻組成的,具有分布式和自適應(yīng)的特點。控制中心是微隔離系統(tǒng)的中心平臺,它需要能夠通過3D拓撲地形式可視化地展現(xiàn)系統(tǒng)內(nèi)部業(yè)務(wù)之間地互訪關(guān)系,方便運維人員理清內(nèi)部訪問關(guān)系,同時能夠靈活地配置分布式虛擬化防火墻,對每一個微分段都能夠進行自適應(yīng)地配置和遷移。

  當(dāng)每一個微分段前都部署了分布式虛擬化防火墻之后,流量不論是流入還是流出該分段,都需要先經(jīng)過防火墻,保證了該分段地安全。

  使用微隔離所達到的結(jié)果:

  在運用云內(nèi)微隔離技術(shù)后,不僅可以防止數(shù)據(jù)泄露,還可以在企業(yè)云內(nèi)一臺主機被攻陷后,最大程度上地縮減黑客能夠到的主機范圍和工作負載。同時,在云內(nèi)一臺主機被攻陷后,可以限制黑客與其他業(yè)務(wù)區(qū)域的訪問,或是控制其他的主機。這么做也方便了攻擊事件發(fā)生后的攻擊溯源。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。