寻找有效的微隔离技术?想想覆盖模型
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
Gartner最近更新了微分段评估因子文档(“如何使用评估因子来选择微隔离模型”。
微隔离的四种不同模型,但没有明确建议哪种更适合。了解这一点的答案意味着要考虑每个模型的局限性,并认识到动态混合云数据中心的未来前景。很明显一个解决方案模型高于其他解决方案,以前使用其他模型的供应商现在正在改变他们的技术使用应该不足为奇这个型号:覆盖。
但首先,解释下为什么其他模型不适合大多数企业客户。
本机云控制的不灵活性
本机模型使用随虚拟化平台,虚拟机管理程序或基础架构提供的工具。该模型本质上是有限且不灵活的。即使对于仅使用单个虚拟机管理程序提供商的企业,此模型也将它们绑定到一个服务中,因为当您切换提供商时,不能简单地移动微隔离策略。此外,虽然企业可能认为他们在一个IaaS服务器或虚拟机管理程序下工作,但提供商也可能在其他地方也有服务器。现实情况是,过去支持Native控件进行微分段的供应商已经意识到客户正在转型并且必须开发新的基于覆盖的产品。
更常见的是,企业知道他们正在与多个云提供商和服务合作,并且需要一种可以在这种异构环境中无缝工作的微细分策略。
第三方防火墙的不一致性
此模型基于第三方供应商提供的虚拟防火墙。使用此模型的企业通常会受到网络层设计限制,因此不得不改变其网络拓扑。由于专有应用程序,加密或同一VLAN上的不可见和不受控制的流量,可以防止它们获得可见性。
此方法的一个已知问题是由于依赖其他第三方基础架构而产生瓶颈。从本质上讲,此模型不是跨不同体系结构的一致解决方案,也不能用于控制容器层。
混合模型的复杂性
上述两种模型的组合,使用混合模型进行微隔离的企业试图仅限制两种模型的一些缺点。为了使它们比原生控件更具灵活性,它们通常使用第三方防火墙进行南北交通。在数据中心内部,您不必担心多云支持,本机控制可用于东西向流量。
然而,正如所讨论的,这两种解决方案,即使是串联的,也是最有限的。通过混合方法,您还将添加复杂而艰巨的设置和维护策略的额外问题。混合选择的可见性和控制在面向未来的IT生态系统中是不可持续的,其中工作负载和应用程序在多个环境中进行了旋转,自动化,自动扩展和迁移。企业需要一种运行良好的解决方案,而不是两种单独的并且限制在一起的解决方案。
了解覆盖模型 - 为未来的聚焦微隔离而构建的解决方案
覆盖不是从不好的模型中拼凑出来的混合解决方案,而是从头开始构建一个更强大且面向未来的解决方案。Gartner将覆盖模型描述为一种解决方案,其中对工作负载本身实施主机代理或软件。使用代理到代理通信而不是网络分区。
第三方防火墙的一个负面因素是它们天生就是不可扩展的。相比之下,代理商没有受限制的限制,使其可以根据您的需求进行扩展。
借助覆盖,您的企业可以在复杂而动态的环境中获得可见性,并且可以深入了解流程层,包括面向未来的架构,如容器技术。可以解决基础架构差异的解决方案,覆盖与任何运营或基础架构环境无关,这意味着企业可以支持从裸机和云到虚拟或微服务或接下来的任何技术。没有覆盖模型 - 您的企业无法确定是否支持未来的用例并保持与反对者的竞争力。
并非所有覆盖模型都是平等的
很明显,覆盖是强大的技术模型,也是一款面向未来的微分段解决方案。传统的访问列表式微分段以及实现更深层次的安全功能都是如此。
不幸的是,并非每个供应商都会提供覆盖的版本,满足其功能。利用覆盖解决方案的固有优势意味着您可以将代理放在正确的位置,设置以精细方式工作的通信策略。使用合适的供应商,您可以明智地选择代理的放置位置,使用上下文和流程级别的可见性一直到第7层。您的供应商还应该能够提供额外的功能,例如按帐户,用户或哈希执行,都在同一个代理商内。
请记住,保护基础架构不仅需要微分段,还需要部署其他解决方案,以降低风险并满足安全性和合规性要求。
对于任何具有前瞻性思维的企业而言,微隔离已经从一个令人兴奋的网络安全新流行词转变为一个重要的风险降低策略。如果它在2019年的待办事项列表中,请确保您做得正确,并且不要成为无代理模型限制的牺牲品。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
小白帽从病毒视角聊企业安全建设
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 背景 最近各类安全事件还是很流行的,以前只是批量抓鸡做DDOS现在伴随着虚拟货币的流行挖矿勒索逐步进入了大众的视野,仅以此文按照精力财力人力最小化的原则分析一些恶意行为与相对应的此类安全事件一些防范措施。 安全标准是个好东西奈何现在客户安全意识并没有特别高,所以在具体落实实践的过程中难度太大,况且按照ISO27XXXX标准、等级X保、GD*R、或者GB*X的条例来说人力物力财力都是一个不小的挑战,毕竟那都是要花钱的。在业务部门看来安全就是来找麻烦的,***标准落实了测评通过了***又出了安全事件又会被抓住一阵狂怼。 弱口令问题 首当其冲的还是先解决最严重的问题:弱口令。强弱密码的区分没有一个严格明确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或容易被破解工具破解的口令均可以定义为弱密码。 目前大多数worm类病毒都具备暴力破解模块针对的常见服务如下: SSHRDPMSSQLMysqlRedisSMBSMTPHTTP 此处定义弱口令非一些传统的类似与123456这类的弱口令主要举例如下: A类常见的弱口令...
- 下一篇
企业分支正遭遇安全风险期
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 对于业务发展需要逐步扩大的企业来说,分支机构就是从总部延伸出的众多触角,深入到各个区域内。不过这些分支机构在安全防御却往往被忽略掉,变身为网络犯罪分子趁机非法进入企业的重要跳板。 企业分支安全挑战 当前大型企业尤其是在其分支机构中,都在寻求采用SaaS应用(如Microsoft Office365)或类似的多云服务,同时期望化解由于员工增多所带来的成本提升。有调查报告显示,60%的公司已经采用了或多或少的SaaS应用程序,并且采用率还会进一步加速。预计到2023年全球SaaS市场将以超21%的复合年增长率(CAGR)继续增长。 然而鉴于传统分支机构所采用的MPLS连接存在诸多局限性,导致其安全性无法匹配当下的Saas应用,甚至无法满足对新应用程序、网络站点和其他最终用户的自动化配置。而且大多数传统广域网基础设施无法有效地处理基于云服务带来的额外网络压力,也无法解决衍生出的包括低带宽,用于诸如VoIP和视频会议等高性能应用程序,分支和分布式资源之间复杂隧道层的有限可见性和控制,以及糟糕的用户体验等问题。 默认SD-W...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS7安装Docker,走上虚拟化容器引擎之路