5个微隔离实践的常见错误

• 这种方法太昂贵了；
• 配置太复杂，难以维护；
• 需要对现有基础设施进行批量变更；

• 仍然存在重大的安全性和合规性差距。

目前来看，限制访问只能通过强制执行IP地址、端口、VLAN、标签、协议和证书的某种组合来实现。事实证明，这些方法的任何组合几乎都是复杂的，并且在规模上也不可持续。为了锁定访问权限以保护关键资产，企业无意间造成了对设备的连接性和移动性、工作负荷和数据的障碍。员工需要访问工具才能执行，由此造成挫败感，并常常中断业务。IT部门的员工经常被告知，必须在以下事项中组合调整：

• 将IP地址重新分配给相关资源；
• 修改路由访问控制列表（ACL）；
• 预配专用访问点名称（APN）；
• 更新、创建和维护新的嵌套防火墙ACL；
• 组紧密耦合以扩展虚拟局域网（VLAN）；
• 分发、管理和吊销安全证书；

• 管理数百个（甚至数千个）IPsec隧道。

“胖手指”成为一个术语是有原因的。当涉及到有效的网络安全和微隔离时，人为错误可能是最大的问题。具有许多依赖项的复杂解决方案为无意的错误创造了太多的机会。IT团队经常超负荷工作，人手不足，特别是在网络安全方面。增加人手或专业知识并不是解决问题的办法。据估计，IT职位与合格的网络安全候选人的比例为3:1，这使得招聘新员工不仅非常困难，而且成本高昂。组织无法通过雇佣人员来解决这个问题，但这正是许多供应商对客户的期望。经验表明，任何依赖于人的微隔离策略以及对底层网络和安全基础设施的过多依赖都会导致灾难。要警惕任何需要大量顾问、专家或人员部署和维护的解决方案。这并非耸人听闻，最近安全行业热议的Twitter公司被入侵一案，越来越多的证据指向内部掌握特权的员工被攻击了。足见任何时候，人性弱点都是最大的隐患。

微隔离不仅涉及服务器、虚拟机或数据中心。成功的微隔离架构应涵盖网络中所有已连接的“事物”。如果没有，攻击向量将被暴露在外，这会带来网络风险。大多数CIO和CISO都希望有一个统一的微隔离架构，该架构可以涵盖所有潜在的环境、设备和不同的传输方式。比如支持诸如蜂窝通信、Wi-Fi、无线电和以太网之类的传输方式，这对于确保组织可以从任何地方进行微隔离非常重要。大多数环境下，极致的安全是不存在的或不切实际的。微隔离也不是无限地细分，粒度越小越好。各种成本考量必不可少，人力成本、设备成本、管理成本等等，一个都不能少。

• 了解所有数据流；
• 掌握规则中ACL的适当位置；
• 确保不会创建冗余规则或对象，这些规则或对象会意外造成停机或网络中的安全漏洞；
• 遵守通用对象命名约定规范；

• 知道如何应用ACL，具体取决于它是何状态设备（如有状态设备还是无状态设备）。

这种权衡模式经常在传统的隔离策略中重复出现。组织被迫在安全性和简单性之间进行交换，反之亦然。无论哪种方式，它都会给组织带来巨大的成本或重大风险。

软件定义网络（SDN）和网络虚拟化的兴起为微隔离铺平了道路。通过这种安全技术，可以将细粒度的策略分配给数据、中心或边缘部署中的隔离工作负载。微隔离通常被称为虚拟化安全性的“零信任模型”，这意味着在工作负载或应用程序中仅专门启用必要的操作和连接，而其他所有内容均被阻止。它通过应用非常精细的安全控制来限制东西向流量 ，从而收缩了网络攻击面。此外，无论是否涉及虚拟机（VM）、容器或功能，它都会创建一个软件定义的边界（SDP）。

显然，微隔离理念和技术的真正落地应用，还需要配备相应的角色、掌握真正的业务特性、坚持持续的运营。安全控制措施粒度越细，对IT部门的要求越高，不仅需要专门的管理角色，甚至专业的小团队，还需要了解数据流、系统、应用和服务之间的交互。同时微隔离可持续性，即长期的运营，至关重要。因为企业的网络、资产是动态发展的，新资产引入，新技术的引入，原有微隔离策略就需要调整变更。没有一劳永逸的微隔离。