用微隔离实现零信任.docx

用微隔离实现零信任.docx

《用微隔离实现零信任.docx》由会员分享，可在线阅读，更多相关《用微隔离实现零信任.docx（5页珍藏版）》请在冰豆网上搜索。

用微隔离实现零信任

用"微隔离"实现零信任

微隔离是零信任架构的重要组成部分，NIST白皮书总结SDP技术是用于实现南北向安全的（用户跟服务器间的安全），微隔离技术是用于实现东西向安全的（服务器跟服务器间的安全）。

1、零信任与微隔离的关系

零信任是新一代网络安全架构，主张所有资产都必须先经过身份验证和授权，然后才能与另一资产通信。

NIST白皮书总结了零信任的几种实现方式。

其中，SDP技术是用于实现南北向安全的（用户跟服务器间的安全），微隔离技术是用于实现东西向安全的（服务器跟服务器间的安全）。

微隔离是零信任架构的重要组成部分。

NIST给出的基于微隔离技术实现的零信任架构如下图。

图中业务系统服务器上安装了agent，数据资源前面安装了网关。

两者都受到管理平台的统一管理。

从架构图上可以看到，微隔离技术就是把服务器之间做了隔离，一个服务器访问另一个服务器的资源之前，首先要认证身份。

业务系统先通过agent做身份认证。

认证通过后，网关才会放行业务系统去获取数据资源。

否则，会被网关拦截。

2、微隔离有什么好处

如果黑客已经攻进了一个服务器，那么他就可以利用这个服务器做跳板，进一步攻击网络中的其他服务器。

微隔离可以阻止这种来自内部的横向攻击。

微隔离通过服务器间的访问控制，阻断勒索病毒在内部网络中的蔓延，降低黑客的攻击面。

这正好符合了零信任的原则：

（1）假设已经被攻破

（2）持续验证，永不信任

（3）只授予必须的最小权限

下面举个例子。

看看“有”和“没有”微隔离的情况下，黑客的打击面分别是多大。

假设一个网络中有9个服务器，其中2个web服务是暴露在互联网上的。

（1）先看只有一个防火墙，服务器间完全没有隔离的情况。

（2）再看看加上一层内网的防护的情况。

一般来说，这层防护可能是防火墙或者ADC。

（ADC可以理解为带有部分安全功能的负载）

（3）最后来看一下微隔离的情况。

服务器之间做了访问控制。

例如web服务器只能访问他对应的应用服务器。

应用服务器只能访问他对应的数据库。