微隔离:后防火墙时代的最佳实践
星期五, 一月 17, 2020
安全隔离 (Segmentation) 通过将数据中心和园区网络或云划分为较小的隔离段来限制攻击在组织内部横向移动的能力,被广泛认为是网络安全的最佳实践之一。
早在 2017 年,Gartner 就将微隔离 (Micro Segmentation) 评为 11 个最值得关注的安全技术之一,但是两年多以后,隔离技术在企业信息安全体系中的应用却并不如预期的火爆。
尽管近年来重大数据泄漏事件连绵不断,但目前很少有企业通过安全分段/隔离 (Segmentation) 来防止违规行为的扩散。根据 Illumio 的调查报告,受访的 300 名 IT 专业人员中,目前只有 19% 的人已经实施安全隔离相关解决方案。
根据 Forrester Research 的《Forrester Wave™:零信任扩展生态系统平台提供商》(2019年第四季度)报告,通过基于边界的安全防御体系和传统防火墙防止漏洞的日子已经一去不复返。跨数据中心和多云环境移动的动态工作负载的复杂性日益增加。大量新漏洞和黑客攻击风险以及勒索软件和恶意软件爆发等针对性威胁,暴露了传统安全模型的不足。
Forrester Wave™:零信任扩展生态系统平台市场雷达图 2019四季度
Forrester 的报告强调,零信任的策略重点是通过微隔离来防止攻击者的横向移动。从结构上讲,零信任要求跨环境细分,以隔离威胁并限制破坏的影响。
虽然 Akamai、CISCO、Palo Alto Networks 等厂商围绕零信任框架和概念提供了丰富的产品和平台方案,但是阻碍零信任(以及微隔离)方案实施的主要障碍并非技术和框架成熟度。
调查显示,虽然约有 25% 的企业安全部门正在积极计划隔离项目,但超过一半的人根本没有采取隔离措施或计划在接下来的六个月内提供类似保护。
报告指出,尽管组织意识到发生安全事件的可能性很高,但他们并未利用隔离技术,因为实施起来太困难且成本很高,尤其是在企业已经部署防火墙的情况下,阻止了隔离技术的广泛采用。
报告也给出了一些积极的数据:目前有 45% 的受访者正在进行一项隔离项目或计划在未来六个月内开始至少一个隔离项目。
在计划隔离项目的人员中,调查发现,尽管防火墙实施速度慢,适应性差,工作复杂且不适合 “零信任” 框架,但仍有 81% 的受访者将利用防火墙实施隔离项目。
大多数公司仍然顽固地选择防火墙来防护边界安全性,但是大多数公司都提到用防火墙实现和管理隔离项目的成本很高。68% 的受访者为确保防火墙的初始资本支出预算而苦苦挣扎,另有 66% 的受访者认为确保持续的运营支出预算具有挑战性。
防火墙的大小和复杂性也会给组织带来问题。受访者平均部署和调整防火墙以进行隔离的时间为一到三个月。
此外,超过三分之二的受访者承认,防火墙部署前难以测试规则,从而更容易意外地错误配置规则并破坏应用程序。不管这些事故有多少,依然有 57% 的人将变更所引发的潜在风险视为不停止使用防火墙的主要原因。
隔离 (Segmentation) 实际上是零信任等安全框架的基础。根据 Forrester Research 的 “零信任” 报告:
保卫企业边界不再是一种有效的策略。零信任方案通过 microcore,微隔离和深度可视化定位和隔离威胁,给企业安全人员提供一个识别威胁、减缓威胁的系统性方法。
基于主机的安全隔离是成本效益和可靠性更好的隔离方法,并且在保护数据中心和云生态系统免受横向攻击数据泄露的影响方面更加有效。由于基于主机的安全隔离是基于软件的,并且与网络无关,因此它具有以下几个重要优点:
优点
至少比防火墙高 200% 的成本效益。
部署速度比防火墙快四到六倍。
与防火墙相比,规则最多减少 90%。
易于在部署之前进行测试,并且可以在数小时内进行更新。
降低应用程序和服务中断的风险。
相关阅读