微隔離:后防火墻時(shí)代的最佳實(shí)踐
責(zé)編:gltian |2020-01-18 14:07:13安全隔離 (Segmentation) 通過(guò)將數(shù)據(jù)中心和園區(qū)網(wǎng)絡(luò)或云劃分為較小的隔離段來(lái)限制攻擊在組織內(nèi)部橫向移動(dòng)的能力,被廣泛認(rèn)為是網(wǎng)絡(luò)安全的最佳實(shí)踐之一。
早在 2017 年,Gartner 就將微隔離 (Micro Segmentation) 評(píng)為 11 個(gè)最值得關(guān)注的安全技術(shù)之一,但是兩年多以后,隔離技術(shù)在企業(yè)信息安全體系中的應(yīng)用卻并不如預(yù)期的火爆。
盡管近年來(lái)重大數(shù)據(jù)泄漏事件連綿不斷,但目前很少有企業(yè)通過(guò)安全分段/隔離 (Segmentation) 來(lái)防止違規(guī)行為的擴(kuò)散。根據(jù) Illumio 的調(diào)查報(bào)告,受訪的 300 名 IT 專業(yè)人員中,目前只有 19% 的人已經(jīng)實(shí)施安全隔離相關(guān)解決方案。
安全隔離的現(xiàn)狀:防火墻是道坎
根據(jù) Forrester Research 的《Forrester Wave?:零信任擴(kuò)展生態(tài)系統(tǒng)平臺(tái)提供商》(2019年第四季度)報(bào)告,通過(guò)基于邊界的安全防御體系和傳統(tǒng)防火墻防止漏洞的日子已經(jīng)一去不復(fù)返。跨數(shù)據(jù)中心和多云環(huán)境移動(dòng)的動(dòng)態(tài)工作負(fù)載的復(fù)雜性日益增加。大量新漏洞和黑客攻擊風(fēng)險(xiǎn)以及勒索軟件和惡意軟件爆發(fā)等針對(duì)性威脅,暴露了傳統(tǒng)安全模型的不足。
Forrester Wave?:零信任擴(kuò)展生態(tài)系統(tǒng)平臺(tái)市場(chǎng)雷達(dá)圖 2019四季度
Forrester 的報(bào)告強(qiáng)調(diào),零信任的策略重點(diǎn)是通過(guò)微隔離來(lái)防止攻擊者的橫向移動(dòng)。從結(jié)構(gòu)上講,零信任要求跨環(huán)境細(xì)分,以隔離威脅并限制破壞的影響。
雖然 Akamai、CISCO、Palo Alto Networks 等廠商圍繞零信任框架和概念提供了豐富的產(chǎn)品和平臺(tái)方案,但是阻礙零信任(以及微隔離)方案實(shí)施的主要障礙并非技術(shù)和框架成熟度。
調(diào)查顯示,雖然約有 25% 的企業(yè)安全部門(mén)正在積極計(jì)劃隔離項(xiàng)目,但超過(guò)一半的人根本沒(méi)有采取隔離措施或計(jì)劃在接下來(lái)的六個(gè)月內(nèi)提供類似保護(hù)。
報(bào)告指出,盡管組織意識(shí)到發(fā)生安全事件的可能性很高,但他們并未利用隔離技術(shù),因?yàn)閷?shí)施起來(lái)太困難且成本很高,尤其是在企業(yè)已經(jīng)部署防火墻的情況下,阻止了隔離技術(shù)的廣泛采用。
報(bào)告也給出了一些積極的數(shù)據(jù):目前有 45% 的受訪者正在進(jìn)行一項(xiàng)隔離項(xiàng)目或計(jì)劃在未來(lái)六個(gè)月內(nèi)開(kāi)始至少一個(gè)隔離項(xiàng)目。
在計(jì)劃隔離項(xiàng)目的人員中,調(diào)查發(fā)現(xiàn),盡管防火墻實(shí)施速度慢,適應(yīng)性差,工作復(fù)雜且不適合 “零信任” 框架,但仍有 81% 的受訪者將利用防火墻實(shí)施隔離項(xiàng)目。
防火墻的缺點(diǎn)
大多數(shù)公司仍然頑固地選擇防火墻來(lái)防護(hù)邊界安全性,但是大多數(shù)公司都提到用防火墻實(shí)現(xiàn)和管理隔離項(xiàng)目的成本很高。68% 的受訪者為確保防火墻的初始資本支出預(yù)算而苦苦掙扎,另有 66% 的受訪者認(rèn)為確保持續(xù)的運(yùn)營(yíng)支出預(yù)算具有挑戰(zhàn)性。
防火墻的大小和復(fù)雜性也會(huì)給組織帶來(lái)問(wèn)題。受訪者平均部署和調(diào)整防火墻以進(jìn)行隔離的時(shí)間為一到三個(gè)月。
此外,超過(guò)三分之二的受訪者承認(rèn),防火墻部署前難以測(cè)試規(guī)則,從而更容易意外地錯(cuò)誤配置規(guī)則并破壞應(yīng)用程序。不管這些事故有多少,依然有 57% 的人將變更所引發(fā)的潛在風(fēng)險(xiǎn)視為不停止使用防火墻的主要原因。
隔離 (Segmentation) 實(shí)際上是零信任等安全框架的基礎(chǔ)。根據(jù) Forrester Research 的 “零信任” 報(bào)告:
保衛(wèi)企業(yè)邊界不再是一種有效的策略。零信任方案通過(guò) microcore,微隔離和深度可視化定位和隔離威脅,給企業(yè)安全人員提供一個(gè)識(shí)別威脅、減緩?fù){的系統(tǒng)性方法。
基于主機(jī)的安全隔離有更好的成本效益和可靠性
基于主機(jī)的安全隔離是成本效益和可靠性更好的隔離方法,并且在保護(hù)數(shù)據(jù)中心和云生態(tài)系統(tǒng)免受橫向攻擊數(shù)據(jù)泄露的影響方面更加有效。由于基于主機(jī)的安全隔離是基于軟件的,并且與網(wǎng)絡(luò)無(wú)關(guān),因此它具有以下幾個(gè)重要優(yōu)點(diǎn):
優(yōu)點(diǎn)
至少比防火墻高 200% 的成本效益。
部署速度比防火墻快四到六倍。
與防火墻相比,規(guī)則最多減少 90%。
易于在部署之前進(jìn)行測(cè)試,并且可以在數(shù)小時(shí)內(nèi)進(jìn)行更新。
降低應(yīng)用程序和服務(wù)中斷的風(fēng)險(xiǎn)。
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!
- 美國(guó)網(wǎng)絡(luò)司令部繼續(xù)投資開(kāi)發(fā)網(wǎng)攻發(fā)起平臺(tái)JCAP
- 關(guān)稅大棒下的地緣政治博弈:APT組織瞄準(zhǔn)中非命運(yùn)共同體
- 權(quán)威認(rèn)證!Fortinet再奪Gartner SASE平臺(tái)魔力象限領(lǐng)導(dǎo)者
- 供應(yīng)商失職致嚴(yán)重網(wǎng)絡(luò)攻擊,客戶起訴索賠27億元
- 《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)風(fēng)險(xiǎn)分類分級(jí)指南2025年》筑起網(wǎng)絡(luò)安全防線