微隔离是什么?
发布网友
发布时间:2024-03-16 03:31
共1个回答
热心网友
时间:2024-07-25 14:31
微隔离(Identity-Based Segmentation),亦称为微分段、软件定义分段、基于身份的分段、零信任分段、逻辑分段等;
定义:基于工作负载身份,通过访问控制策略或加密规则,对位于本地或云端数据中心的工作负载(物理机/虚拟机/容器等)、应用、程序进行细粒度隔离和精细化访控,从而实现缩减暴露面、阻止攻击横向侧移的安全目的。
微隔离是面向新型基础设施的基础安全能力,一方面新型基础设施架构和持续恶化的威胁环境催生了微隔离需求的爆发,微隔离是云工作负载保护、容器安全等的基础能力;另一方面从安全能力叠加演进的视角来看,微隔离提供了最为基础的“架构安全”和“被动防御” 安全能力。此外,微隔离被认为是零信任架构中的核心结构性要求,用于对数据中心东西向流量进行管理。
目前市面上微隔离有三种主流的技术路线:一种是云平台原生组件,其可以与云平台管理结合紧密,可实现统一管理,但仅适用于自身云平台与其他平台的兼容性较差,对于混合架构不合适;一种是虚拟化防火墙路线,可提供完整的防火墙安全功能,但是其安全虚机的资源占用较高、性能压力集中,延迟较大、受虚拟化架构兼容性制约;最后一种为基于主机代理(利用主机防火墙)的模式,其基础架构无关,可支持各类云架构。可实现虚机、容器统一纳管且角色化访控,精细度高、灵活性强,分布式策略执行,性能压力较小。虽然需要在工作负载安装客户端但是因为其在混合环境下具有明显的优势,目前已经成为微隔离的最主流技术。
国内专业网安行业加速器机构斯元商业咨询正式发布了2022第1版「网络安全科技供应链报告:厂商成分分析及国产化替代指南」,报告分析了当前在国内有业务开展、已为国内甲方企事业单位采购使用的全球及中国港澳台地区的主流网络安全科技供应链厂商,并基于这些厂商所涉及的产品技术分类,提供相应的国产化替代厂商指南。
报告显示,在“基于身份的隔离”产品(即“微隔离”)技术分类栏,已在国内开展业务的国际厂商包括Illumio、Akamai、Microsoft、Cisco、Palo Alto、ColorTokens、Zscaler,而蔷薇灵动则成为在该领域唯一的国产化替代选项。
