《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 云內(nèi)微隔離幫助企業(yè)安全上云

云內(nèi)微隔離幫助企業(yè)安全上云

2021-11-05
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室
關(guān)鍵詞: 企業(yè)安全

  摘要:網(wǎng)絡(luò)病毒如同新冠病毒一樣在環(huán)境中擴散,云內(nèi)安全防護越來越引人關(guān)注,。運用零信任的云內(nèi)微隔離技術(shù),,可以有效地使企業(yè)上云更加放心、安全,。

  云內(nèi)微隔離簡介:

  在介紹微隔離技術(shù)之前,,有必要先了解零信任架構(gòu),零信任是為了滿足愈發(fā)復(fù)雜的企業(yè)構(gòu)成,,從而催生出的一種專注于資源保護的網(wǎng)絡(luò)安全范例,,前提是永遠不要隱式授予信任而必須持續(xù)評估信任。目前主流的零信任架構(gòu)有:使用增強的身份治理的零信任架構(gòu),使用微分段的零信任架構(gòu),,使用網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和軟件定義邊界的零信任架構(gòu),。而微隔離技術(shù),則是基于微分段的零信任架構(gòu)實現(xiàn)的重要技術(shù),。

  微分段的零信任架構(gòu)是基于將單個或一組資源放在由網(wǎng)關(guān)安全組件保護的其自己的網(wǎng)段上來選擇實施零信任架構(gòu),。通過這種方法,企業(yè)可以放置NGFW或網(wǎng)關(guān)設(shè)備以充當PEP(策略執(zhí)行點),,從而保護每個資源或資源組,。對于微分段的描述是基于物理設(shè)備的,而云內(nèi)微隔離技術(shù)則是在云環(huán)境下,,對資源更靈活,,更細粒度地構(gòu)建微分段架構(gòu)。

  云內(nèi)微隔離,,最早由Gartner在其軟件定義的數(shù)據(jù)中心相關(guān)技術(shù)體系中提出,。從廣義上講,云內(nèi)微隔離就是一種更細粒度的網(wǎng)絡(luò)隔離技術(shù),,使用策略驅(qū)動地防火墻技術(shù)(通常是基于軟件的)或者網(wǎng)絡(luò)加密技術(shù)來隔離數(shù)據(jù)中心,,公共云IaaS和容器,在邏輯上講數(shù)據(jù)中心劃分為不同的安全段,,每個段包含混合場景中的不同工作負載,、應(yīng)用和進程,可以為每個段定義安全控制和所提供的服務(wù),。

  企業(yè)上云現(xiàn)狀(需求):

  在如今云計算的飛速發(fā)展地時代,,為了降低企業(yè)成本,同時對外開放多種接口,,使得企業(yè)運營中的銷售,、供應(yīng)、管理等環(huán)節(jié)都可以與外面的平臺對接,,許多企業(yè)都選擇了上云,。

  在企業(yè)上云之后,企業(yè)便可以通過網(wǎng)絡(luò)便捷地按需使用資源(包括計算資源,、存儲資源,、應(yīng)用軟件、服務(wù)及網(wǎng)絡(luò)等),,且高度擴展,、靈活易管理的業(yè)務(wù)模式,具有大規(guī)模,、虛擬化,、高可靠及彈性配置等屬性,。

  尤其受新冠疫情的影響,許多企業(yè)選擇了上云,,共享其服務(wù)及能力,,有效降低企業(yè)信息化構(gòu)建成本和生產(chǎn)運營成本,改善企業(yè)工作效率,,提升企業(yè)管理水平,,另一方面也方便了企業(yè)員工在家遠程辦公。

  企業(yè)上云分為基礎(chǔ)系統(tǒng)上云,、管理上云,、業(yè)務(wù)上云,而很重要的也是很常見的則是企業(yè)的數(shù)據(jù)中心上云,,那么對于如今的云上數(shù)據(jù)中心而言,,主要有南北向流量和東西向流量,我們通常使用防火墻進行南北向流量的安全防護,,但此時一旦黑客突破了防火墻進入了內(nèi)網(wǎng),,在內(nèi)網(wǎng)中缺少有效的安全防護措施來限制東西向流量。隨著東西向流量占比逐漸增大,,為了限制黑客在進入內(nèi)網(wǎng)后地東西向訪問,,便可使用云內(nèi)微隔離技術(shù)進行防護。

  微隔離如何解決云安全:

  想要實現(xiàn)云內(nèi)微隔離,,首先需要進行分區(qū)分隔,,而微隔離技術(shù)達到的效果是和分隔細粒度成正比的。但分割的細粒度越細,,IT部門就越需要了解數(shù)據(jù)流,,了解系統(tǒng)、應(yīng)用和服務(wù)之間到底是怎樣的互訪關(guān)系,。

  云內(nèi)微隔離系統(tǒng)有別于傳統(tǒng)防火墻單點邊界上的隔離,,它通常是由一個控制中心,和多個分布式虛擬化防火墻組成的,,具有分布式和自適應(yīng)的特點,。控制中心是微隔離系統(tǒng)的中心平臺,,它需要能夠通過3D拓撲地形式可視化地展現(xiàn)系統(tǒng)內(nèi)部業(yè)務(wù)之間地互訪關(guān)系,,方便運維人員理清內(nèi)部訪問關(guān)系,同時能夠靈活地配置分布式虛擬化防火墻,,對每一個微分段都能夠進行自適應(yīng)地配置和遷移,。

  當每一個微分段前都部署了分布式虛擬化防火墻之后,流量不論是流入還是流出該分段,,都需要先經(jīng)過防火墻,,保證了該分段地安全。

  使用微隔離所達到的結(jié)果:

  在運用云內(nèi)微隔離技術(shù)后,,不僅可以防止數(shù)據(jù)泄露,,還可以在企業(yè)云內(nèi)一臺主機被攻陷后,最大程度上地縮減黑客能夠到的主機范圍和工作負載,。同時,,在云內(nèi)一臺主機被攻陷后,可以限制黑客與其他業(yè)務(wù)區(qū)域的訪問,,或是控制其他的主機,。這么做也方便了攻擊事件發(fā)生后的攻擊溯源。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。