微分割的好处

引言： 分割对企业来说可谓生死攸关。在数据中心内部实施微分割的好处是可以减少恶意黑客通信和迁移所造成的攻击面。通过封锁所有未授权的通信，很多探测活动就可以受到限制，从而使得恶意黑客在数据中心的横向扩展更加困难。

如果我们能够从过去几年的关于安全损害的报告中学到点东西的话，那就是攻击者或恶意黑客在数据中心的大量活动（不仅访问关键资产，而且能够几乎自由地在数据中心活动却不被发现）给企业造成重大危害。任何企业都何以通过如下方法来应对这种挑战：更好地对其内部网络和数据中心的运维进行分割。这是到目前为止多数IT和安全团队尚未采取的关键策略。即使在今天，很多企业的大量的网络安全花费和关注仍集中在外围。事实上，分割对企业来说可谓生死攸关。

那么，为什么企业还没有着手解决这个问题？为什么不像黑客一样思考并采取行动呢？

事实上，基于传统网络技术（交换机、路由器、防火墙等）的微分割虽然仍有价值，却给数据中心的运维增加了复杂性和风险。甚至有些大型企业拥有上百万条基于IP地址的防火墙规则，这使得其安全策略极其复杂而脆弱。

难道我们不能从黑客那儿学到点儿什么吗？恶意黑客并非突然间一下子就猎取企业的数据中心，而是只需要找一个漏洞，并由此“开疆拓土”。这意味着，大分割的有效性是很有限的。还有别的方法将分割更贴近应用程序，甚至更贴近物理的或虚拟的服务器，这种方法对于减少内部人员威胁和横向攻击的扩散都扮演着重要角色。如果一个负载或应用受到了损害，而其它应用并没有很好的分离，恶意黑客就可以快速地迁移。只有将分割细化到负载或应用程序级才能防止或减少这种攻击。

由于应用程序日益分布化，且具有动态性、异构性、混合性，这种问题就尤为严重。简言之，许多N层的现代应用不再是简单地在一台服务器上发挥功能。笔者曾见到一个应用程序跨几个数据中心，对于这样的一个应用程序，如何用一个防火墙来保护？

内部分割方法必须适应环境变化，并且增加了新的计算模态(例如，Linux容器等只需运行几秒钟就可以完成一个过程)的动态属性。这种内部分割方法必须在混合环境中实施， 从而使得IT可以充分利用无法真正控制的物理基础架构。

在数据中心内部实施微分割的好处是可以减少恶意黑客通信和迁移所造成的攻击面。通过封锁所有未授权的通信，很多探测活动就可以受到限制，从而使得恶意黑客在数据中心的横向扩展更加困难。