可能是由于国庆节就要到了缘由

微分隔：越细致越安全

本文探讨如何在SDN（软件定义络）的数据中心有效设计和实现微分隔

络分隔是减小数据中心络攻击面的最佳实践策略。就像轮船上的水密隔舱应能在船体受损时阻隔海水灌入一样

，络分隔也应将各类服务器和系统区隔在单独区域中以限制入侵者或歹意软件横向移动，控制潜伏的安全风险或破坏。

从2013年对塔吉特百货的攻击到最近的Equifax数据泄露，人们普遍认为这些重大数据泄露的背后缘由包括缺少有效的络分隔。但是，虽然络分隔可强化企业的安全形势，却也增加了复杂性和开消，尤其是对传统现场数据中心而言。

在这些基于硬件的环境中，创建内部区域通常意味着要安装额外的防火墙设备来管理各个域之间的流量，而这些的装备的购置、安装和保护是耗时耗财的。因此，传统数据中心的络分隔往往流于只创建少数几个域。

微分隔趋势

最近，向采用软件定义络(SDN)的虚拟数据中心的迁移，推动了内部络分隔的采用。SDN的灵活性让数据中心络得以进行高级细粒度区域划分，被分成成百上千个微络都可以。以往代价高昂且难以实现的安全层级如今也可以轻易到达了。所以，去年ESG分析师乔奥尔希克才可以充满自信地说，有68%的企业采取某种情势的软件微分隔技术遏制黑客在络上横向探索，更便捷地保护他们的运用和数据。

但尽管SDN大大便利了络分隔的实现，想要到达有效微分隔却也面临2个主要挑战：数据中心里到底在哪儿布置微区域间的边界呢？怎样设计和管理每一个区域的安全策略呢？

各种应用想要正常工作，数据中心里的络和运用流量就需要跨越多区域安全控制措施。所以多个区域控制措施中的策略必须允许这些流量通过，否则运用就没办法发挥功用了。而络分隔越细，微区域越多，这些安全控制策略也就要越复杂，不然就没法支持在业务应用的同时还阻隔掉非法流量。

开始微分隔过程

不过，只要方法用对，上述挑战都是可以解决的。出发点就在于发现数据中心里的所有运用流量。想要做到这一点，使用流量发现引擎是个不错的办法。这个引擎要能发现并分组相互间有逻辑联系的流量，比如共享IP地址的那些同享IP地址代表着这些流量可能支持的是同一个业务运用。

此类信息不单单局限在IP地址上，装备标签或相关应用名称这些额外的数据也可以添加进来。这样就能构建一张标记了数据中心里支持业务运用正确运行的流量、服务器和安全设备的完全视图了。

设立区域边界

有了这张视图就可以创建分隔计划，根据所支持的业务目的或应用来肯定哪些服务器和系统应该放到哪个络区域。支持同一业务意图或运用的服务器相互间的通讯会很频繁，常常会共享类似的数据流，应放入同一分隔区域以更好地互动。

计划好后就可以在数据中心络上挑选最适合放置安全过滤器的地方了，用虚拟防火墙或其他安全控制措施为各个区域筑牢安全边界。

在设置这些过滤设备或启用虚拟化微分隔技术创建各区域间边界时，一定要记得有些运用流量是需要跨越这些边界的。跨边界流量需设置显式的规则来允许它们，否则就会被封，致使依赖这些流量的运用无法正常工作。所以，一旦引入过滤措施，必须确立各种流量的处置办法。

设置边界规则

想要明确是不是需要添加或修改特定规则，明确这些规则应该怎么设置，就得去检查最初的发现进程中辨认出来的运用流量，弄清流量是不是已流经某现有安全控制了。如果给定应用流量当前未流经任何安全控制，而你又想要创建一个新的络区域，那就得知道新区域的边界设立起来后该未过滤的数据流会不会被封了。如果会被新边界阻隔，那就得新设置一条显式规则来允许该运用流量通过边界。

如果给定流量已经被安全控制措施过滤，那通常就没必要在开始分隔络时再添加甚么显式规则了。这一判断和设置进程可以不断重复，直到你将络分隔成可以提供所需隔离及安全层次为止。

全面管理

微分隔规划完成后，接下来的工作就是确保微分隔与络上的安全措施和谐相处了。应用流量需要无缝流经SDN、现场设备和云环境，必须保证你的策略和规则支持该无缝流转。

能够全面管理SDN环境中所有安全控制及现有传统现场防火墙的自动化解决方案，是达成运用流量无缝流转的最有效方式。自动化解决方案可以确保支撑络分隔策略的那些安全策略能够统一应用在整个络资产上，同时又能够集中监视管理，任何改动都能被跟踪到，方便审计。

想要实现有效微分隔，必须经过审慎的计划和细致的配置。但一旦正确实现，微分隔将带来更强的安全态势和更高的业务敏捷度。有时候，确实是越细致越好。

宝宝脾虚的表现1岁宝宝吃甚么好消化小孩子脸发黄怎么回事薏芽健脾凝胶亚宝药业

北京北城医院武维平

血管堵塞心肌缺血能吃通心络吗

深静脉血栓医治方法

男性阳痿怎样恢复

心悸吃甚么医治