青藤云安全：2022微隔离技术与安全用例研究报告（47页）.pdf

1、2022微隔离技术与安全用例研究报告2022 微隔离技术与安全用例研究报告目 录概 述.1第一章 传统数据中心安全防护的无效性.21.1 数据泄露事件持续发生.21.2 数据中心的攻击流程.41.3 数据中心外围的安全措施. 7第二章认识微隔离. 112.1 限制数据中心内的横向移动.112.1.1 数据中心内部东西流量的增长. 122.1.2 可见性和上下文. 122.1.3 隔离. 142.1.4 自动化. 152.2 微隔离的基本要素.162.2.1 持续性. 162.2.2 普遍性. 172.2.3 扩展性. 172.3 用微隔离实现最小权限和单元级信任.182.4 什么不是微隔离.1

2、9第三章 安全工作流自动化.203.1 为软件定义的数据中心创建安全策略. 213.1.1 基于网络的策略.213.1.2 基于基础设施的策略.223.1.3 基于应用程序的策略.223.2 适应变化.233.3 威胁响应.252022 微隔离技术与安全用例研究报告第四章微隔离部署过程及安全用例. 274.1 实现微隔离.294.1.1 确定网络流量. 304.1.2 识别模式和关系. 314.1.3 创建并应用策略模型. 314.2 微隔离安全用例.324.2.1 数据中心内部的网络安全. 334.2.2 在任何地方都能创建 DMZ.334.2.3 安全的用户环境. 34第五章微隔离在业务和

3、功能方面的利益.365.1 将数据中心安全漏洞的风险和影响降至最低.365.2 IT 服务交付自动化，加快上市时间.375.3 简化网络流量.375.4 启用高级安全服务插入、链接和流量转向.385.5 利用现有基础设施.385.6 减少资本支出.405.7 降低营业费用.415.8 安全地实现业务敏捷性.422022 微隔离技术与安全用例研究报告1概 述保护数据中心安全的传统方法聚焦于强大的外围防御，以把威胁隔绝在网络外部 ，就像中世纪的城堡防御一样。城墙由城垛和堡垒加固，出入受吊桥控制。对于攻击者来说，突破边界、进入城堡是胜利的关键。一旦进入城堡，其内部几乎没有防御工事，攻击者可以随意燃烧

4、和掠夺！但是，这个模型对于处理现在不断演变的新威胁是无效的，包括高级持久性威胁（APT）和协同攻击。我们需要的是一种更现代、更复杂的数据中心安全方法：假设威胁无处不在，然后采取相应行动。微隔离不仅采用了这种方法，还提供了网络虚拟化的操作灵活性。如今的网络威胁是协同攻击，一般包括数月的侦察、漏洞攻击和“休眠”恶意软件代理，这些代理可以在被远程控制激活以前持续休眠。尽管数据中心网络边缘的保护类型不断增加，比如防火墙、入侵防御系统和基于网络的恶意软件检测，但攻击仍能成功渗透到外围，漏洞依然不断产生。现在面临的主要问题是：一旦攻击越过数据中心外围，数据中心几乎没有横向控制来阻止它在网络内部的传播。解决

5、这一问题的最佳方法是采用更严格的细粒度安全模型，这个模型不仅能够将安全与单个工作负载联系起来，还能自动生成安全策略。Forrester Research 称之为“零信任”模型，微隔离就是这种模型的落地实践。2022 微隔离技术与安全用例研究报告2通过微隔离，细粒度的网络控制可以实现单元级的信任，灵活的安全策略可以一直应用到网络接口。第一章 传统数据中心安全防护的无效性数据中心已成为 21 世纪的虚拟银行金库。存储在数据中心系统中敏感的公司、财务和个人信息对网络罪犯来说可能价值数亿美元。尽管在过去几十年中，对这些系统的依赖性急剧增长，但为这些系统提供高级安全防护基础架构却相对没有改变，依旧重点关

6、注外围安全，很少甚至压根不关注数据中心内部的安全防护。那么，数据中心漏洞是如何发生的？为什么缺乏数据中心内部防御的传统安全方法是无效的？1.1 数据泄露事件持续发生尽管越来越严格的数据保护法、对安全技术的大量投资以及不断壮大且能力不断增强的安全团队证明了企业对安全的高度重视，但数据中心漏洞仍旧以惊人的速度出现，而且每个新漏洞都比旧的更严重。Anthem、苹果、索尼、塔吉特等公司最近遭受的网络攻击与以往有所不同，这些攻击有一个共同点：一旦突破外围，就能够在数据中心内的服务器之间横向运动，收集、过滤和利用敏感数据，基本上没有2022 微隔离技术与安全用例研究报告3安全控制来阻止它。这些案例突出了现