传统的数据中心安全防护方式侧重于在外围进行边界防护，将威胁拒之门外。但随着数据中心的扩大和升级，现代数据中心约20%的流量是内外网之间的数据交换，而更为庞大的80%流量流转于内网主机之间。

　　这就出现了一个重大问题，一旦攻击者绕过了边界防御，他们就能够在内网中横冲直撞。如何有效控制内网中的东西向流量成为一个重大问题。解决这一问题的最佳方式是采用更严格的细粒度安全模型，将安全与工作负载紧密联系起来，灵活配置安全策略，而微隔离是最佳落地方式之一。

　　微隔离限制了攻击者在成功入侵数据中心后横向移动和渗透敏感数据的能力。就像银行保险库遭到破坏后，保险箱依旧可保护客户的贵重物品。早在2017年，Gartner就将微隔离(MicroSegmentation)评为11个最需要我们来关注的安全技术之一。同时，它也是实现零信任，解决云计算内部安全问题的最佳方案之一。

　　基于微隔离的零信任防护比传统基于网络的防护更加细化，也更加有效，因为它能够最终靠减小入侵者的攻击面来提高数据中心的整体安全性。我们大家可以通过一组数据说明。假设一个企业共有10台服务器，其中有3个Web应用暴露在互联网环境中。随着隔离方式的不同，入侵者在攻击不同进程中所能接触的攻击面也不一样。具体数据如下表所示：

　　•情况一：在只有一层内外网防火墙的情况下，黑客只能攻击暴露在互联网的3个Web应用，这时，攻击面是30%；一旦攻进内网，则没有一点安全保护措施，他能随意攻击想要攻陷的服务器，攻击面扩大到100%；成功入侵一台服务器之后，服务器间没有彼此防护措施，以攻陷的一个为跳板，能随意访问、攻击其他服务器，攻击面也是100%。

　　•情况二：有些企业出于谨慎，还会在防火墙之内的数据中心边界上添加一套应用交付控制器（ADC），这样的一种情况下攻击面会在某些特定的程度上变窄。黑客在外网的时候同样只能攻击暴露在互联网的3个Web应用，攻击面是30%；进入内网后，还需要继续对ADC发起攻击，相当于可以攻陷4个Web应用，攻击面与没有ADC装置相比，缩小为40%；成功入侵一台服务器之后，服务器间依旧没有彼此防护措施，他同样能够以攻陷的服务器为跳板，任意访问、攻击其他服务器，攻击面也是100%。

　　•情况三：在内网防火墙和ADC都建立的前提下，对各个服务器实施微隔离，黑客的攻击面会进一步缩窄。与第二种情况相同，黑客在外网的时候同样只能攻击暴露在互联网的3个Web应用，攻击面是30%；进入内网后，还需要继续对ADC发起攻击，攻击面为40%。不同的是，在成功入侵一台服务器之后，服务器之间彼此相互隔离，被攻陷的一台会切断与其他服务器的所有访问关系，黑客无法以它为跳板，攻击内网的其他服务器，所以他能攻击的位置依旧是3个暴露在外网的Web端和一个ADC，攻击面是40%。

　　显而易见，微隔离在黑客成功攻陷一台服务器阶段能够将其迅速隔离，阻止入侵行为的进一步扩散，大幅度减少黑客攻击面。

　　微隔离至关重要，它可以轻松又有效提高企业的安全性、提升安全人员的工作效率并增加业务弹性。这让许多组织都在努力探索微隔离的落地方案，但实践表明，组织机构进行自研不仅费时费力，而且效果并不理想，更有效的方法是找一个专业的安全供应商。那如何对众多安全供应商做出合理的选择呢？具体来说，提供微隔离能力的安全厂商应包括五个关键属性：

　　•覆盖云和本地环境。企业应用程序的分布式特性意味着大多数组织无法针对每个部分提供不同的安全工具。可部署在混合数据中心架构中，支持主流操作系统和多种IT环境，实现跨平台的统一安全管理非常重要。

　　•风险评估能力。零信任的一个核心要素是理解业务访问可能带来的风险。当风险出现时，了解工作负载和其中包含的风险之间的关系就显得至关重要。微隔离需要能够将额外的安全功能集成到防御组合中来，通过安全功能之间的智能共享协同行动，根据溯源分析能力及时响应。

　　•策略创建和管理的自动化。随着数据中心工作负载持续不断的增加，业务环境一直在变化。微隔离产品应该根据应用程序的类型、作用、平台和其他因素自动生成策略。安全人能在实施该策略之前快速检查并测试策略的准确性，确保防护效果和对业务通信影响最小化。

　　•易于部署。实现跨平台的统一快速部署很重要，通过减少部署时间，能够在一定程度上帮助安全团队快速完成目标，并为扩展零信任策略，建立可参考的业务案例。

　　•支持旧版应用程序/系统。尽管现代应用程序成为市场主流，但现实情况是，在可预见的未来，大多数企业仍会继续支持各种架构。在总系统中对旧版网络设备和业务敏感主机实施保护，提供一致性的解决方案能轻松实现更全面的安全防护。

　　青藤，作为国内首个实现在服务器终端上部署轻量级Agent的安全厂商，其Agent的稳定性和安全性也已经在超过600万+台核心业务服务器上得到了最佳验证。在经过长期的实践打磨后，青藤正式推出了青藤零域·微隔离安全平台，用户只需一个轻量级Agent（已经部署青藤Agent的客户不需要重新安装），即可支持微隔离、主机安全、容器安全的综合能力。

　　青藤零域所具备的6大功能，可帮企业组织做好东西向网络控制，解决众多棘手的安全问题。

　　•流量看得清：自动学习当前的业务访问，以多种拓扑图展示主机之间、业务分组之间的访问关系。提供丰富的查询方式和可视化图例，让业务梳理变得容易。既能为网络策略的制定提供基础，还可用于发现主机上无用的端口，减少风险暴露面；或定位没有访问的空闲主机，回收未被利用的资源。

　　•策略好管理：覆盖多重维度的管理场景，可基于简明易读的标签，配置多种形式的策略；可按照业务分组进行粗粒度管控或细化到端口的精细化管控。业务或IT环境发生明显的变化时可自适应调整发布到主机的网络策略，实现自动化运维。

　　•策略易验证：自动验证策略的正确性，减少人力成本和犯错可能。根据自动学习建成的基线，一经发现异常访问，以邮件、短信、系统消息、可视化连线等方式第一时间发出告警。

　　•管控多选择：配合不同的管理要求，提供防控严密但实施要求比较高的主机控制模式，和只防护关键服务且使用门槛较低的服务控制模式。在主机控制模式下，可为每个业务端口配置策略，严密防护；在服务控制模式下，可管控20%的关键端口，降低80%的风险。

　　•威胁可隔离：主机被攻陷时，迅速隔离失陷主机的网络，防止威胁进一步扩散。同时能保持特定端口开放，并仅允许特定IP访问，以保留上机排查问题的途径，提供应急响应的手段。威胁清除后远程解除隔离，回到正常状态通信。

　　•保护更全面：对未部署Agent的网络设备和业务敏感主机，通过对安装了Agent的主机的访问行为来控制来实现保护，并可对DMZ区主机的外网访问进行控制。

　　青藤零域·微隔离安全平台可部署在混合数据中心架构中，实现跨平台的统一安全管理，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理。在真实威胁中，青藤零域可快速隔离失陷主机网络阻断横向渗透行为，让零信任理念真正落地。该产品方案，目前已经在诸多客户的真实业务环境得到了很好验证。

　　以某金融央企客户为例，该客户业务结构较为复杂，对接单位众多，客户希望提升关键IT基础设施防护和安全策略控制能力，对不同环境的服务器实现高效灵活的访问控制，同时又不危及业务的正常运行；并且在重保活动/攻防演练中监控异常访问，对异常访问进行相对有效处置。

　　在重保活动/攻防演练前，通过Agent自动采集所有网络连接，自动学习业务流量，并进行可视化展示，完成白名单基线的创建。

　　在重保活动/攻防演练中，持续监控访问行为，对白名单以外的异常访问产生告警；确认威胁后用网络隔离功能处理失陷主机。

　　轻量Agent自动学习梳理主机之间的业务访问关系，并可按需配置不同强度的控制措施。

　　实现跨环境的零信任安全，快速发现异常访问流量并阻断攻击者的潜在横向路径。

　　（免责声明：此文内容为本网站刊发或转载企业宣传资讯，仅代表作者本人观点，与本网无关。仅供读者参考，并请自己检查相关内容。）

　　国储收购价底部支撑、期货市场行情走高、国产大豆养殖面积减少，成为现货大豆价格居高不下的“”。