1.微隔離是實現零信任的重要因素

隨著云計算、虛擬化技術的快速發展，數據中心內部網絡架構從傳統的IT架構向虛擬化、混合云和容器化升級變遷。傳統的云安全產品，往往將防護重點放在網絡邊界進行防護，無法根據業務進行精細化隔離控制。一旦邊界的防線被攻破或繞過，攻擊者就可以在云內部橫向移動、肆意破壞。

根據Forrester Research 的《Forrester Wave?：零信任擴展生態系統平臺提供商》^[1]報告，報告中提到隨著跨數據中心和多云環境移動的動態工作負載的復雜性日益增加，通過基于邊界的安全防御體系和傳統防火墻防止漏洞的日子已經一去不復返，其中強調了零信任的策略重點是通過 “微隔離” 來防止攻擊者的橫向移動。從結構上講，零信任要求跨環境細分，以隔離威脅并限制破壞的影響。

2.微隔離建設的必要性

1.從安全建設角度：一直以來，網絡安全建設采用縱深防御技術和最小權限邏輯來進行企業網絡安全管理，而微隔離是實現這兩個邏輯的基本方式。在云計算中，通過邊界部署防火墻來實現可信網絡與外部網絡的控制，內部通過域間防火墻也就是安全組方式來實現訪問控制。但從目前分析來看，一個區域內計算密度仍然較高，存在較大暴露面，所以需要在內部進一步建立縱深防線。

2.從攻擊防御角度：從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉變為以特定的政治或經濟目的為主的高級可持續攻擊。無論從著名的 Kill Chain 模型（洛克希德-馬丁公司提出的網絡攻擊殺傷鏈），還是近年來的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點，一旦邊界的防線被攻破或繞過，攻擊者就可以在數據中心內部橫向移動，而中心內部，特別是一個安全組內，基本沒有安全控制的手段可以阻止攻擊。

3.從安全閉環角度：網絡安全設備中有了行為分析、有了蜜罐、有了態勢感知，卻沒有了最基本的訪問控制。數據中心內部往往幾百臺虛擬機域內全通，安全策略“只敢增、不敢減”，沒有可靠的手段來梳理無效的策略。雖然內部有大量的檢測設備，但當攻擊發生時無法對攻擊行為進行有效的阻斷。

3.安天睿甲微隔離支持構筑有效解決方案

安天基于零信任安全理念推出安天睿甲零信任微隔離檢測系統，系統基于零信任的微隔離技術，采用主機探針模式，提供云內物理機、虛機、容器之間所有流量的可視化以及隔離管控能力。尤其是針對云中大量微服務、容器的彈性生命周期問題，由傳統的基于IP的網絡訪問策略，改進為基于業務標簽屬性的網絡訪問策略，利用集中的大數據實時網絡分析和計算能力，實現了工作負載網絡訪問策略的自動化構建，減輕了安全運維的工作量和工作難度，為用戶提供安全運營閉環。

1.自動化識別東西向網絡訪問關系，便捷輔助策略設計

系統可通過業務流量自學習，自動梳理網內業務流量訪問關系，將流量數據以圖形方式展示，方便用戶直觀地了解網絡流量狀況。還提供對網絡流量路徑的可視化，包括網絡訪問者IP/進程名、服務提供者IP/進程名、訪問端口、協議、訪問次數、訪問時間等，協助用戶更好地理解網絡流量和網絡行為，從而優化網絡性能和安全性。對采集到的流量數據進行深入分析，發現潛在的安全威脅，并將分析結果以可視化的方式呈現給用戶，幫助用戶更好地了解網絡流量的特征與行為的同時，還為策略制定提供了基礎。

圖1 微隔離業務網絡訪問關系拓撲圖

2.隨業務和環境變化策略自適應調整，實現自動化運維

基于自動學習業務流量形成拓撲，系統可以靈活的為安全人員智能化推薦契合業務的隔離策略。在業務彈性擴展時（虛擬機漂移、容器彈性伸縮等），能全面識別環境內工作負載、IP、端口、應用關系的變化，并根據基于業務的描述規則，自動計算生成新的微隔離策略，實現策略的自適應，同時策略采用標簽方式形成，避免了基于IP的安全策略，便捷安全人員查看。

圖2 微隔離安全策略管理圖

3.緊急隔離失陷云主機網絡訪問，防止威脅進一步擴散

系統可通過微隔離模塊與入侵檢測模塊、風險發現模塊聯動，當發現某主機內出現了高危漏洞、高危配置、惡意程序、異常攻擊行為等威脅事件后，支持一鍵強制隔離的應急處置，全面降低網內橫向滲透風險，以滿足在諸如：護網、應急響應、病毒爆發等場景下自動化響應處置的需要，做到風險暴露面快速收斂的同時還對攻擊威脅擴散進行有效限制。

4.安天睿甲零信任微隔離檢測系統客戶價值

安天睿甲零信任微隔離檢測系統可部署在混合數據中心架構中，滿足了物理機、虛擬機、云主機、容器等多種工作負載在混合異構場景下統一安全防護的需求，通過自主學習分析、可視化展示業務訪問關系，實現細粒度、自適應的安全策略管理。實戰化場景中，系統可快速隔離失陷主機網絡，阻斷橫向滲透行為，讓零信任理念真正落地。

參考資料：

[1] Forrester Research,Forrester Wave?：零信任擴展生態系統平臺提供商 https://www.forrester.com/bold