SmartX 趨勢分享

smartX 趨勢分享由 SmartX 團隊內部分享的權威機構市場報告、全球重要媒體文章精選整理而成。內容涉及現代資料中心相關產業趨勢以及金融、醫療、製造等行業全球使用者需求與實踐前沿洞察。在“零信任實踐”系列的第一篇文章中，我們介紹了兩種實現零信任的技術路線：ZTNA 和基於身份的分段（Identity-Based Segmentation，也稱“微分段”）。本期，  我們將分享 Gartner 關於微分段的技術解析，透過分析三種實現方案，為企業提供詳實的微分段實踐建議。

一、什麼是基於身份的分段

基於身份的分段是指將應用程式工作負載的身份應用於安全策略（policy）的執行。它使用基於策略和工作負載身份的防火牆（通常基於軟體），或有區別地加密網路通訊來隔離資料中心、公有云 IaaS 和容器中的工作負載、應用和程式。工作負載隔離的範圍涵蓋了私有云和多個公有云 IaaS 提供商。基於身份的分段按照邏輯關係對網路中的工作負載進行劃分，並對單個工作負載或一組工作負載應用安全策略。策略可以基於非常精細的設定（不僅僅是 IP 或埠），如標記（tags）、作業系統型別或應用特性。

基於這一技術，使用者可為每個工作負載量身定製分散式服務和精細策略。  這種策略建立方式可以保護東西向或應用內的通訊，限制惡意軟體的橫向移動，減小攻擊面並縮短停留時間。實施後，使用者可以更清楚地瞭解資料中心流量並加強控制。

服務編排、虛擬化、容器化和軟體定義網路等技術的成熟已經為開發運營和應用敏捷性鋪平了道路。可以看到，軟體定義的資料中心在服務的交付速度上大幅提升，因此任何為資料中心設計的新安全措施都應順應這些發展趨勢。基於此，我們認為能夠強化並擴充套件資料中心安全性的基於身份的分段技術應具有以下特點：

• 自動化——解決方案應支援自動識別、建立和模擬策略。部署應可人工進行控制和驗證。策略的更新或新增應根據現有流程進行驗證，以防止出現任何不合規的情況。同時，自動化對於無中斷擴容也具有重要意義。
• 契合環境——規則應基於工作負載的屬性和關係，而不是 IP 地址。該技術應將工作負載與多維標籤或標記相關聯，以實現策略部署的自動化。它應能夠收集環境後設資料，如程式 ID、程式對映和程式所有者。還應能夠處理 CMDB、負載均衡器、防火牆、公有云標記和編排平臺等各類第三方來源的資料。一些解決方案還會建立基於身份的標記，以進一步強化基於身份的分段中的“預設拒絕”原則。
• 智慧化——該技術應具有流量感知能力。它需要利用 AI/ML 演算法不間斷地發現新的、正在遷移和不斷變化的工作負載以及這些工作負載之間的通訊模式。它應該能夠推薦工作流分組和適當的策略，並以視覺化的方式展現通訊流程。
• 精細化——該解決方案應能提供單個工作負載級別（裸機、虛擬機器和容器）的安全保障。許多無代理解決方案都為物聯網、資料採集與監視系統（SCADA）和無伺服器工作負載提供支援，因此應考慮將這類解決方案應用於更多使用場景。
• 靈活性——安全策略應能在混合環境中實現集中管理。策略應與工作負載相繫結，並且能夠伴隨工作負載進行跨資料中心和雲端的移動、變更或遷移。該工具的覆蓋範圍還應足夠廣，能夠涵蓋異構資料中心。可以說，靈活性是基於身份的分段技術的一個核心原則。
• 整合化——該工具應支援與企業網路防火牆（包括第三方防火牆管理工具）等第三方安全產品進行整合。該工具應具有利用其他安全產品的 API 檢索或推送資料以提升整體效力的能力。

理論上講，精細的分段也可以透過部署更多的防火牆來實現。但這種方案成本高昂並會產生大量執行開銷，因此無法大規模運用。目前市場上有多種不同的基於身份分段的解決方案，他們的區別在於部署模式。由於許多方法都可以實現基於身份的分段，企業安全和風險管理主管應選擇與其資料中心環境相關度最高的解決方案。下面我們將針對一些常見的部署方式展開討論。