微分割的好處

引言： 分割對企業來說可謂生死攸關。在數據中心內部實施微分割的好處是可以減少惡意黑客通信和遷移所造成的攻擊面。通過封鎖所有未授權的通信，很多探測活動就可以受到限制，從而使得惡意黑客在數據中心的橫向擴展更加困難。

如果我們能夠從過去幾年的關于安全損害的報告中學到點東西的話，那就是攻擊者或惡意黑客在數據中心的大量活動（不僅訪問關鍵資產，而且能夠幾乎自由地在數據中心活動卻不被發現）給企業造成重大危害。任何企業都何以通過如下方法來應對這種挑戰：更好地對其內部網絡和數據中心的運維進行分割。這是到目前為止多數IT和安全團隊尚未采取的關鍵策略。即使在今天，很多企業的大量的網絡安全花費和關注仍集中在外圍。事實上，分割對企業來說可謂生死攸關。

那么，為什么企業還沒有著手解決這個問題？為什么不像黑客一樣思考并采取行動呢？

事實上，基于傳統網絡技術（交換機、路由器、防火墻等）的微分割雖然仍有價值，卻給數據中心的運維增加了復雜性和風險。甚至有些大型企業擁有上百萬條基于IP地址的防火墻規則，這使得其安全策略極其復雜而脆弱。

難道我們不能從黑客那兒學到點兒什么嗎？惡意黑客并非突然間一下子就獵取企業的數據中心，而是只需要找一個漏洞，并由此“開疆拓土”。這意味著，大分割的有效性是很有限的。還有別的方法將分割更貼近應用程序，甚至更貼近物理的或虛擬的服務器，這種方法對于減少內部人員威脅和橫向攻擊的擴散都扮演著重要角色。……