软件定义隔离的实现

认识到扁平 络的风险是第一步，转变成“假定***”的心态，从而开启降低风险的过程。而微隔离可以有效的帮助企业降低内部***面。
软件定义隔离的实现软件定义隔离的实现

微隔离让您看到更多扁平 络构建数据中心由于其架构简单、节省成本、便于拓展及维护，成为企业新宠。尤其是在业务快速变化、虚拟机数量庞大的互联 行业及大型企业。但实际上，***者也更喜欢扁平化 络，因为一旦扁平 络上的单个主机被控制， 络其余部分的安全性就会像纸牌屋一样。一旦企业被***，不速之客们（外部***者或内部恶意人员）就可以借助扁平 络在内部进行扫描、识别、窃取高价值资产等不受限制的 络访问。与之相反的是，在应用这些便捷的架构时，多数企业并没有完全认识到这些风险。

扁平 络的安全风险
在应用扁平 络的大多数企业中安全建设的重点仍然在 络的边界，但边界安全的能力也非常有限。根据Verizon2018年的数据泄漏 告，73%的***行为是由外部***者发起的，包括去年A站数据泄露、台积电勒索病毒的爆发等，这些事件及数据说明，尽管我们在边界建造了越来越坚固、越来越高的“墙”来保护我们的安全，但这些措施并不能非常有效地阻止那些顽固的、有充分能力和资源的***者。在安全行业，一直有一种新型的安全理念–“假定***”–这就是要求首先假定你的 络防御将受到***。类似于目前比较热的“零信任”概念。

对于扁平 络，***者往往首先***一个系统或设备作为“跳板”，然后在 络中横向移动，以获得最有价值的资产，而且往往会建立多个“联络点”，并隐藏起来，防止单点暴露后的“全军覆没”。在扁平 络中，默认策略是允许所有设备和应用彼此通信，所以很难确定主机间连接和数据流的合法性。就算一些严格的企业在业务上线时要求上 业务访问关系，但实际环境中一是无法获取内部实际的访问情况，二是没有有效的控制手段，对于异常行为依然无能为力。

当***者试图悄悄地穿越 络时，扁平 络也更容易隐藏。这段隐藏的时间被称为驻留时间，全球平均的驻留时间为101天。从近几年著名的 络***事件我们可以发现，***在这些***中驻留时间更长，甚至达到几年。

威胁也可能来自内部
扁平 络同样也是内部***者的游乐场。内部***者要做的第一件事就是收集更多的凭证，或者使用他们现有的高级权限，访问职责范围以外的系统。想想内部主机通用的用户名密码，以及无法察觉的主机间访问关系。 络上的互通，为他们的行为提供了便利。

如何降低扁平 络的风险
正如上面所提到的，安全建设应该从一种“假定***”的心态开始。即使是最好的边界防御，迟早也会被攻破。这种心态让你可以像***者一样思考，并提出相关问题。

如：一旦***者在我们的 络中站稳脚跟，他们将通过哪些方式找到高价值资产高价值资产有哪些路径有什么措施来防止***者在 络中自由移动以及隐藏p>

如果答案是“什么都没有”，或者“一些防火墙和vlan”（结果可能同样糟）。那么你可能需要马上采取行动来降低这种风险。

1.确定资产的重要程度。
首先你要先确定哪些是你的重要资产，这可能并不是安全部门可以决定的，而是需要多部门，不仅是业务部门，甚至涉及到法务及财务部门，共同来确定资产的重要程度。

2.确定最佳的保护方式。
保护重要资产有许多层面需要考虑，包括身份识别与访问管理（IAM）、漏洞管理和微隔离等。微隔离是为了确保业务主机只能被与其有业务关系的主机访问，且这些主机只能按照允许的特定业务流访问。

3.选择适用的解决方案。
挑选解决方案首先要分配好内部执行的团队，可能是安全部、业务部、 络部或者IT部，甚至是多部门的协作共同去挑选、讨论市场上可用的解决方案。对于隔离手段，我们强烈建议企业从不同的供应商那里寻找不同的隔离方案，但同时考虑与环境的适配性（降低部署运维成本），自动化能力（几千、上万台虚拟机靠手动是不可能的），性能损耗（投入成本、业务影响），支持未来技术发展（投资有效性，是否支持容器、混合云等），内部业务流量的可视化能力（实际业务流是否与规划一致）等方面，最后完整的测试很有必要。

扁平 络的普及程度正在增加，但与此同时，恶意***者的胃口也在增加，这是一个危险的组合。认识到扁平 络的风险是第一步。转变成“假定***”的心态，从而开启降低风险的过程。而微隔离可以有效的帮助企业降低内部***面–有助于确保扁平 络不会最终成为***者的天堂。

文章知识点与官方知识档案匹配，可进一步学习相关知识云原生入门技能树首页概览8930 人正在系统学习中 相关资源：TIPTOP硬盘 络隔离官方版_tiptop 络隔离控制,tiptop 络隔离…