考虑微细分以提高安全性
多年来,网络安全专家一直敦促infosec专业人员细分他们的网络,以更好地保护企业数据。微分区(有时称为受保护的飞地)通过创建只有经过批准的服务或用户才能跨越的边界来保护工作负载。软件定义网络(SDN)是另一个促成因素。
Illumino首席商务官艾伦科恩也表示支持。在本周的博客中,他敦促CISOs转向微细分以提高安全性。
他警告说,带有交换机、路由器和防火墙的传统网络技术无法实现微细分,这些技术最终将产生数百万个基于IP地址的防火墙规则。他写道,“替代和互补的方法可以使分段更接近应用程序,甚至更接近(物理或虚拟)服务器,这可以在减少内部威胁的爆发和横向攻击的传播方面发挥关键作用。”只有通过细分工作负载/应用程序,才能降低攻击者从一个损坏的工作负载/应用程序转移到另一个的风险。
供应商提供的产品并不短缺,这使得微细分更加容易。VMware正在宣传其NSX网络虚拟化平台,称其可以提供细粒度的安全性,并将其分发给数据中心的每个虚拟机管理程序。去年春天,VMware产品营销总监Geoff Huang在一篇专栏文章中指出,“微细分为管理员描述工作负载提供了一种更有用的方法。”管理员可以描述工作负载的固有特征,并将这些信息与安全策略相关联,而不是仅依赖于IP地址。它可以回答以下问题:这是什么类型的工作负载(web、app或数据库)?该工作负载将用于什么(开发、准备或生产)?这一工作量将处理哪些类型的数据(低敏感度、财务或个人身份信息)?更重要的是,微细分甚至允许管理员组合这些功能来定义继承的策略属性。比如处理财务数据的工作量有一定的安全性,但是处理财务数据的生产工作量安全性更高。"
Nutanix的最新产品:软件定义网络直接面向其竞争对手VMware。供应商宣布其…
马里兰州国家港口——在本周的风险管理峰会上,分析公司Gartner Inc .在其安全报告中概述了…
思科系统表示,其应用中心基础设施(ACI)通过将网络、设备和服务抽象为分层逻辑对象模型,实现了数据中心的微细分。在这个模型中,管理员指定应用的服务(防火墙、负载平衡器等)。),应用的流量类型和允许的流量。这些服务可以链接在一起,并作为具有简单输入和输出的单一对象呈现给应用程序开发人员。应用层对象和服务器对象的连接创建了一个应用网络配置文件(ANP)。当这种ANP应用于网络时,设备会被告知进行自我配置以支持它。层对象可以是一组数百台服务器,也可以只有一台;所有这些都在一个配置步骤中用相同的策略处理。"
因此,增强了数据中心东西方通信的安全性。
Nuage Networks认为,随着工作负载向云迁移,多租户环境中的微细分对于加强安全策略至关重要。该公司表示,其虚拟服务平台可以作为交付机制。随着新的云应用程序的出现,自动化的安全策略提供和网络安全设备使按需服务交付成为组织的必需品。因此,这不仅仅是更高程度的安全。这是一种更快的按需云应用交付方法,其安全复杂性可能比传统数据中心高一个数量级。"
这些只是其中的几个供应商。
ZK研究公司的行业分析师宙斯克里瓦拉(Zeus Kerrvala)在接受采访时表示,他接触的许多组织都对微细分感兴趣,但他们都犹豫不决,因为建立微细分可能会很复杂。建立生产、开发、物联网等领域容易,但基于网络设备类型获取更细粒度的领域——变得更加困难。这就是为什么他说有必要有一个可见的工具来识别网络上的所有设备。
布兰登彼得森(Brandon Peterson)在去年为SANS Institute撰写的一篇论文中警告称,微细分应该首先了解业务流程,以及如何将其转化为网络行为。“如果没有这样的理解,安全控制将使用户感到沮丧,并且在防止或检测攻击方面将是无效的。”
无论CISO选择哪种细分,这都是需要考虑的策略。