安全隔離 (Segmentation) 通過將數據中心和園區網絡或雲劃分爲較小的隔離段來限制攻擊在組織內部橫向移動的能力，被廣泛認爲是網絡安全的最佳實踐之一。

早在 2017 年，Gartner 就將微隔離 (Micro Segmentation) 評爲 11 個最值得關注的安全技術之一，但是兩年多以後，隔離技術在企業信息安全體系中的應用卻並不如預期的火爆。

儘管近年來重大數據泄漏事件連綿不斷，但目前很少有企業通過安全分段/隔離 (Segmentation) 來防止違規行爲的擴散。根據 Illumio 的調查報告，受訪的 300 名 IT 專業人員中，目前只有 19％ 的人已經實施安全隔離相關解決方案。

安全隔離的現狀：防火牆是道坎

根據 Forrester Research 的《Forrester Wave™：零信任擴展生態系統平臺提供商》（2019年第四季度）報告，通過基於邊界的安全防禦體系和傳統防火牆防止漏洞的日子已經一去不復返。跨數據中心和多雲環境移動的動態工作負載的複雜性日益增加。大量新漏洞和黑客攻擊風險以及勒索軟件和惡意軟件爆發等針對性威脅，暴露了傳統安全模型的不足。

Forrester Wave™：零信任擴展生態系統平臺市場雷達圖 2019四季度

Forrester 的報告強調，零信任的策略重點是通過微隔離來防止攻擊者的橫向移動。從結構上講，零信任要求跨環境細分，以隔離威脅並限制破壞的影響。

雖然 Akamai、CISCO、Palo Alto Networks 等廠商圍繞零信任框架和概念提供了豐富的產品和平臺方案，但是阻礙零信任（以及微隔離）方案實施的主要障礙並非技術和框架成熟度。

調查顯示，雖然約有 25％ 的企業安全部門正在積極計劃隔離項目，但超過一半的人根本沒有采取隔離措施或計劃在接下來的六個月內提供類似保護。

報告指出，儘管組織意識到發生安全事件的可能性很高，但他們並未利用隔離技術，因爲實施起來太困難且成本很高，尤其是在企業已經部署防火牆的情況下，阻止了隔離技術的廣泛採用。

報告也給出了一些積極的數據：目前有 45％ 的受訪者正在進行一項隔離項目或計劃在未來六個月內開始至少一個隔離項目。

在計劃隔離項目的人員中，調查發現，儘管防火牆實施速度慢，適應性差，工作複雜且不適合 “零信任” 框架，但仍有 81％ 的受訪者將利用防火牆實施隔離項目。

防火牆的缺點

大多數公司仍然頑固地選擇防火牆來防護邊界安全性，但是大多數公司都提到用防火牆實現和管理隔離項目的成本很高。68％ 的受訪者爲確保防火牆的初始資本支出預算而苦苦掙扎，另有 66％ 的受訪者認爲確保持續的運營支出預算具有挑戰性。

防火牆的大小和複雜性也會給組織帶來問題。受訪者平均部署和調整防火牆以進行隔離的時間爲一到三個月。

此外，超過三分之二的受訪者承認，防火牆部署前難以測試規則，從而更容易意外地錯誤配置規則並破壞應用程序。不管這些事故有多少，依然有 57％ 的人將變更所引發的潛在風險視爲不停止使用防火牆的主要原因。

隔離 (Segmentation) 實際上是零信任等安全框架的基礎。根據 Forrester Research 的 “零信任” 報告：

保衛企業邊界不再是一種有效的策略。零信任方案通過 microcore，微隔離和深度可視化定位和隔離威脅，給企業安全人員提供一個識別威脅、減緩威脅的系統性方法。

基於主機的安全隔離有更好的成本效益和可靠性

基於主機的安全隔離是成本效益和可靠性更好的隔離方法，並且在保護數據中心和雲生態系統免受橫向攻擊數據泄露的影響方面更加有效。由於基於主機的安全隔離是基於軟件的，並且與網絡無關，因此它具有以下幾個重要優點：

優點

至少比防火牆高 200％ 的成本效益。

部署速度比防火牆快四到六倍。

與防火牆相比，規則最多減少 90％。

易於在部署之前進行測試，並且可以在數小時內進行更新。

降低應用程序和服務中斷的風險。

相關閱讀

微隔離入門指南

相關文章