與所有網路分段技術一樣,微分段的目標是透過定義內部網路邊界將組織的網路分成孤立的區塊。透過監控跨越這些邊界的流量,組織可以實現更高層級的內部網路流量可見性,並能夠對嘗試跨越網段的流量應用存取控制和安全策略。
軟體定義網路 (SDN) 可實現微分段。 SDN在軟體中實現網路路由功能,將網路資料平面和控制平面分開。
SDN 對於微分段很有用,因為使用軟體實現網路路由可以輕鬆整合存取控制清單和網路邊界定義。因此,SDN 提供了輕量級且適應性強的微分段實現,並且無需物理定義網路路由和邊界。
微分段的目標是在組織的資料中心內將工作負載彼此隔離。這使流量無法跨越工作負載邊界,而不經過內容檢查並套用存取控制原則。
通過實施微分段,組織可以消除不同工作負載之間的意外和不想要的數據流。 這可以對組織的網路流量和應用程式提供更高層級的控制,並降低資料外洩的風險。
宏分段是傳統網路分段的另一個術語,旨在檢查和保護南北方向進出資料中心的流量。透過宏觀分段方法,組織可以使用虛擬區域網路 (VLAN) 和防火牆將網路分成系統群組。這使組織能夠實現可見性並在這些不同的隔離網段之間實施存取控制策略。
微分段採用更精細的網路分段法。微分段會隔離每個個別工作負載,而不是分段系統群組。 這為資料中心內工作負載之間在東西方向橫向移動的組織網路流量提供了更高層級的可見度和更精細的控制。
微分段為組織提供許多好處,例如:
隨著網路安全威脅情勢的不斷發展和企業網路變得更加複雜,零信任安全策略對於最大限度地減少組織的網路風險和網路威脅暴露至關重要。零信任安全性要求對企業系統和資源的存取應僅限於員工或應用程式完成其工作所需的範圍。通過網路身份驗證後,應根據預先定義的存取控制策略評估員工的所有請求,並相應地允許或封鎖。同樣,應用程式的存取應基於業務邏輯並限制在最低限度的必要權限。
為了有效,零信任安全必須是可執行的。 這就是為什麼微分段是強大零信任安全性的重要組成部分的原因。 透過微分段,每個工作負載之間都會強制執行邊界,從而實現嚴格執行存取控制。 這會降低組織系統的可惡意利用性,以及攻擊者在成功攻擊時的存取權限。
隨著企業運算基礎架構越來越多地遷移到私有雲,企業需要基於雲端的微分段解決方案。Check Point 的 CloudGuard 基礎架構即服務 (基礎架構式服務) 外型提供雲端原生保護和安全實作。如需了解更多關於CloudGuard的信息,歡迎您聯絡我們。或者,您可以安排演示,了解微分段如何簡化和加強組織在雲端的網路安全。
反映意見