微分段：在您的虚拟化环境中构建安全区域

微分段是一种允许应用程序在虚拟化网络环境后面的自己的安全区域中运行的技术。通过纯软件的安全方法，微分段消除了对基于硬件的防火墙的需求。由于它在工作负载和流程级别上设置和实施安全策略，微分段即使在网络迁移或重新配置的情况下也能使安全持久。

什么是微分段？

微分段是网络虚拟化的一个主要卖点，它通过在传统物理网络之上运行的逻辑虚拟网络来抽象网络服务。微分段对隔离的强调意味着在数据中心和云环境后面运行的物理网络中的任何重组都不会影响虚拟化工作负载，从而使它们能够在安全策略保持不变的情况下运行。即使工作负载在域之间移动，安全策略仍然存在。这种持久的安全性是微分段的主要特征和优势。

在传统网络中，安全与硬件相关，从防火墙到各个工作站。在操作上，安全性是在服务器和访问它们的客户端之间实现的。如果网络发生变化，则需要重新配置安全策略。否则，安全性可能会崩溃，网络也会受到威胁。此外，在网络中出现安全漏洞的情况下，由于同类安全区域，广泛破坏的可能性会被放大。上述缺点解释了为什么传统网络架构在数据中心环境和云平台中往往效果不佳。

如何使用微分段配置安全性？

通过微分段，可以根据应用程序及其工作负载、使用这些工作负载的位置以及这些工作负载需要访问的数据来配置安全性。安全策略可以这样设置，只要工作负载试图违反策略中规定的规则运行，它的网络访问就会被关闭。同样的功能可以向下扩展到进程级别，从而允许在网络安全中实现更精细的粒度。在操作上，微分段最适合在服务器到服务器和访问它们的应用程序之间流动的流量。这使其成为数据中心和云平台的理想选择。

确保您的组织在实施微分段时不依赖于任何特定供应商。您的方法应该适用于物理服务器、虚拟机和云提供商，而不管供应商是什么。通过确保平台独立性，当您的组织扩展其网络时，与其他供应商的集成变得更加容易。

微分段的用例

微分段对于具有安全性和合规性意识的组织、通用开发和生产系统很有用。用例如下所述：

软资产安全

需要保护客户信息、员工信息、财务数据和知识产权等软资产。微分段提供了额外的安全层，可保护软资产免受恶意操作和渗漏。

开发和生产系统

将开发和测试环境分开并不一定能防止开发人员从生产数据库中获取客户信息等粗心行为。微分段通过限制开发和测试环境之间的连接性来进行严格的分离。

事件响应

微分段还可以防止威胁在段之间移动并提供日志信息。这使其成为事件响应和查明安全问题的完美解决方案。

混合云管理

微分段还允许您跨多个数据中心和服务提供商实施统一的安全策略，从而保护跨越多个混合云部署的应用程序。

PCI合规性

支付卡行业 (PCI) 合规性要求组织安全地处理信用卡信息，从而减少敏感持卡人信息的数据泄露。网络分段是实现它的方法，使 PCI 合规性成为一个很好的用例。

医疗机构

医疗保健组织应保护个人健康信息 (PHI) 以符合网络安全合规框架，关键安全控制是实现这一目标的一种方式。微分段、准确映射、敏感系统隔离和网络连接控制有助于实现与医疗保健相关的合规性目标。

微分段和网络分段之间的差异

随着数据中心不断从物理向虚拟、从企业向云发展，它们面临的安全挑战也在不断增加。近年来，从网络分段演变而来的微分段已成为应对安全挑战的替代解决方案。虽然网络分段和微分段可能具有提高网络安全性的相同目标，但它们之间存在显着差异，如下表所示：

微分段的好处

凭借其针对工作负载和流程级别设置的细粒度安全功能，微分段使组织能够实现以下目标：

最大入侵检测

工作负载提供有限的攻击面，使其非常适合用于数据中心的各种部署模型。防止未经授权访问工作负载范围之外的任何内容。当应用程序被添加到环境中时，对策略进行必要的调整，从而使网络保持安全。

改进的损坏控制

将隔离的工作负载作为安全区域，安全漏洞造成的损害是有限的。就其本质而言，在工作负载级别设置的安全策略限制了在入侵情况下来自攻击向量的潜在破坏性横向移动。如果有任何违反安全策略的行为，可以通过实时警报轻松捕获，从而使管理员可以相应地调整安全策略。

灵活、“恰到好处”的安全策略

通过在工作负载级别实施安全策略，无论数据中心位于何处，都可以在过于严格和过于开放的安全性之间取得平衡。由于工作负载现在是安全背后的主要驱动力，因此可以按照员工仍然能够在需要时不受限制地自由操作的方式构建它们。在需要更高安全性的地方，例如关键应用程序，可以相应地配置适用的工作负载。

加强监管合规

微分段提供了一种方法，可以将受法规（例如 HIPAA、GDPR 和 PCI）约束的数据段与基础架构的其余部分隔离开来。可以对这些隔离的部分进行严格控制，允许它们根据需要通过审计。因此，即使越来越多的组织越来越多地将数据存储的物理控制转移到云平台，也能确保合规性。