零信任之微分段（微隔离）

零信任之微分段（微隔离）

什么是微分段（微隔离）

感觉这几年微隔离炒的的挺热，对于网络安全，它究竟是什么？

微隔离有点像疫情时期的口罩。面对疫情，单靠每栋大厦门口的体温检测是不够的。很容易有无症状的感染者混入大厦。面对这种情况，最有效的手段是每个人都带上口罩，互相隔离。

应对人类历史上最狡猾、“横向移动”效率极高的新型冠状病毒最有效的方法是隔离，同样，“微隔离”（Micro Segmentation）也是网络安全领域，预防和应对未知威胁的最有效的办法之一。

就拿隔离来说，当攻击者有机会拿到内网一个跳板机，结果发现内网网络基本是畅通的；

微隔离的概念最早由Vmware在发布NSX产品正式提出，而真正让它备受关注是从2016年开始连续3年被评为全球十大安全项目之一，并在2018年的《Hype Cycle for Threat-Facing Technologies》（威胁应该对技术成熟度曲线）中首次超过下一代防火墙。在2016年的Gartner安全与风险管理峰会上， Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术的概念。“安全解决方案应当为企业提供流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况，使得微隔离能够更好地设置策略并协助纠偏。

微分段（Micro-Segmentation，又称微隔离）技术是VMware在应对虚拟化隔离技术时提出来的，但引起广泛关注是自2016年起连续3年进入Gartner年度安全技术榜单。顾名思义，微分段是粒度更细的网络分段技术。它是在VLAN、VxLAN、VPC等技术基础上发展起来的，其核心能力聚焦于东西向流量的隔离上（当然对南北向隔离也能发挥作用）。

图-采用和未采用微分段方法的潜水艇

如上图所示：左侧的潜水艇只有一个大的舱室（即没有采用分段）；而右侧的潜水艇被划分为多个舱室（即采用了分段）。如果两个潜水艇同时出现了2个漏洞（即图中红色小圆圈），导致漏水，哪一个更容易沉没？图中深蓝色部分，就是漏进的海水了。这正是微分段的基本作用。

传统的防火墙只能对纵向流量进行控制，而对于横向流量则无能为力，微隔离则很好的解决了这个问题，通过细粒度的网络隔离技术，可以跨物理网络自定义虚拟安全边界以及自定义基于角色的访问控制策略，防止攻击者入侵内部业务网络后的东西向移动。

从微隔离概念和技术诞生以来，对其核心的能力要求是聚焦在东西向流量的隔离上（当然对南北向隔离也能发挥左右），一是有别于防火墙的隔离作用，二是在云计算环境中的真实需求。

分段（Segment