微隔離從高配到標(biāo)配的轉(zhuǎn)變

時(shí)間：2022-03-22 10:30:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-22 10:30:01 來源：行業(yè)動(dòng)態(tài)

以等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布為分水嶺，可以把微隔離產(chǎn)品的發(fā)展化為兩個(gè)時(shí)期。

在等保2.0以前，微隔離技術(shù)屬于高配技術(shù)，他的核心驅(qū)動(dòng)是兩個(gè)，一個(gè)是零信任的安全管理邏輯，一個(gè)是大規(guī)模云計(jì)算系統(tǒng)的安全運(yùn)維需求。這時(shí)候主要部署微隔離技術(shù)的用戶包括：

1）大型行業(yè)用戶：

例如央企制造業(yè)，金融行業(yè)等，這些用戶一直以來都極為重視安全，他們的業(yè)務(wù)系統(tǒng)從來都是按照白名單方式來進(jìn)行網(wǎng)絡(luò)策略管理的，但是在云計(jì)算時(shí)代，過去的技術(shù)手段遇到了問題，使得他們開始考慮采納微隔離技術(shù)作為替換性技術(shù)來在云計(jì)算環(huán)境下繼續(xù)提供白名單的管理能力。

2）大型云計(jì)算用戶：

即使不做白名單，而只是在業(yè)務(wù)系統(tǒng)間進(jìn)行隔離，在大規(guī)模云計(jì)算環(huán)境下也變得非常困難，云基礎(chǔ)架構(gòu)提供的安全組，VPC等能力隨著體量的增長(zhǎng)和變化頻度的加快變得極為不可用，此時(shí)他們也考慮采用更專業(yè)的微隔離技術(shù)來在云計(jì)算環(huán)境，尤其是多云，混合云條件下完成其業(yè)務(wù)隔離，區(qū)域隔離需求。

3）高安全需求用戶：

隨著APT越來越引起重視，以及勒索病毒的泛濫，網(wǎng)絡(luò)安全管理者越來越重視內(nèi)部威脅的防御工作?，F(xiàn)有的安全技術(shù)主要是南北向技術(shù)，防御對(duì)象是外部攻擊，這些技術(shù)應(yīng)用于內(nèi)部的時(shí)候往往有各種不適應(yīng)，此時(shí)，用戶會(huì)考慮部署微隔離技術(shù)來發(fā)現(xiàn)內(nèi)部的威脅，并對(duì)網(wǎng)絡(luò)攻擊在內(nèi)部的橫向行走進(jìn)行防御。

而隨著等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布，微隔離技術(shù)將從過去的高配變成標(biāo)配。

關(guān)于等級(jí)保護(hù)2.0對(duì)內(nèi)部安全的要求及其帶來的挑戰(zhàn)，在我們?nèi)ツ甑囊黄恼轮凶隽松羁痰募夹g(shù)分析，大家可以參考這篇文章：

《東西向加白名單，等保2.0挖了個(gè)天坑》

值得再強(qiáng)調(diào)一下的地方是，對(duì)于內(nèi)部安全的重視不僅僅是在云環(huán)境，而是在全部計(jì)算環(huán)境，因?yàn)檫@些要求是出現(xiàn)在等級(jí)保護(hù)的通用安全要求部分。也就是說不管你是不是已經(jīng)進(jìn)行了云化或者虛擬化，你都必須要對(duì)你的數(shù)據(jù)中心進(jìn)行白名單化管理。當(dāng)然，在非云環(huán)境下，除了微隔離，還是有其他手段的，比如說，過去的銀行系統(tǒng)就通過部署大量的隔離防火墻來解決這個(gè)問題，不過這個(gè)開銷真不是普通用戶能承擔(dān)的了的。相較而言，更加輕量級(jí)的微隔離技術(shù)即使在傳統(tǒng)環(huán)境下也有著更好的可行性。

在等保2.0時(shí)代，以下用戶和場(chǎng)景應(yīng)該盡快考慮部署微隔離技術(shù)以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)流量的可視化管理與全面可控的策略設(shè)計(jì)。

1）各級(jí)電子政務(wù)云

2）企業(yè)私有云和數(shù)據(jù)中心

3）政府部委部署的數(shù)據(jù)中心，私有云和行業(yè)云

4）各種大數(shù)據(jù)計(jì)算平臺(tái)

5）政企用戶沒有部署過內(nèi)部安全措施的數(shù)據(jù)中心