什么是微细分市场呢？

微细分是一种分类方式。将网络划分为多个小型单元它通过控制用户和应用程序在资源之间的通信，从而限制了网络内的横向移动。

“Micro”这个词的含义是，所涉及的各个部分都比常规的网络宏观划分要小得多。管理者可以在层级、工作负载、应用程序或流程等多个层面来进行网络划分。这样的划分方式能够实现对用户访问的高度精细化控制。这种控制方式也是构建基于“最小权限”原则的零信任架构的基础。

在现代商业环境中，微细分策略具有极高的价值。它有助于缩小攻击面，从而保护网络资产免受攻击者入侵的威胁。合理的细分方式还能帮助企业遵守各种严格的行业法规，从而实现强大的数据保护。

微细分的定义

微细分是一种安全技术，它将网络划分为多个独立的、安全的区域。这样一来，每个工作负载都可以拥有自己的安全策略。这种处理方式能够实现对数据和应用程序安全的更精细控制，从而有效降低威胁在网络中的传播风险。

主要要点/关键信息

• 微细分技术将网络划分为多个小型、安全的区域。这种技术能够实现对通信的精确控制。大幅减少攻击面还有防止未经授权的横向移动。
• 主要的类型包括基于网络的解决方案（如VLAN、ACL）、基于管理程序的解决方案（用于虚拟机），以及基于主机代理的解决方案（使用SDN代理）。每种方案都提供了不同的方式来提升网络安全性。
• 微细分是零信任架构中的一个基础组成部分。它使得……成为可能。颗粒化的、以政策为导向的控制方式不再依赖于基于边界的安全防护机制，而是直接处理各个单独的工作负载。
• 主要的应用场景包括：确保开发环境的安全性、在迁移过程中提升云环境的安全性、保护敏感数据、阻止恶意软件的入侵，以及保障远程工作团队的网络安全。
• 成功的实施需要分阶段进行：首先，需要了解所处的环境；其次，需要制定详细的政策；然后，选择合适的工具；最后，需要持续监控整个过程。
• 微细分策略有助于组织实施“最小权限”原则。这一原则是零信任架构的核心组成部分，尤其是在复杂的云环境和混合环境中。

微细分的重要性

微细分技术通过缩小攻击面、限制漏洞的扩散，为内部网络提供了重要的安全保障。它有助于隔离各种工作负载，同时实现更精细的策略控制。这大大限制了攻击者在网络中的横向移动能力。

这种方法是实施零信任安全模型的基础。零信任安全模型的运作原则是“永远不要信任，始终要进行验证”。微细分技术则确保了这一点。即使其中一个部分受到攻击，网络的其他部分仍然可以保持安全。

主要的微细分类型有哪些？

在回答“什么是微观分割”这个问题时，我们需要了解各种分割方式。微观分割是一个广泛的类别，它包含了多种不同的分割方法。主要的分类方式包括：

网络微分段

这种方式严格遵循了标准的网络分割原则。它采用了这样的方式来进行处理。虚拟局域网（VLAN）技术为了对数据中心资源进行划分，访问控制列表（ACL）或IP注册表被用来控制VLAN的访问权限，从而限制只有授权用户才能访问这些资源。

网络微分段架构已经相当熟悉了。因此，大多数IT部门都可以相对容易地实施这一技术。不过，这种架构也存在一些缺点。维护ACL和IP地址结构需要花费大量时间，而且容易出现人为错误。此外，VLAN覆盖范围之间可能会出现空隙，从而为网络攻击者提供攻击机会。另外，VLAN段的大小相对较大，这使得实施细粒度的东西向控制变得困难。

虚拟机监控程序微分段技术

在这种分割方式中，所有网络数据都必须通过管理程序进行传输。该管理程序会创建一个虚拟化的网络环境，该环境会覆盖现有的网络基础设施。

这种技术适用于那些需要区分虚拟机的公司。对于许多依赖VMware基础设施的企业来说，这是一种理想的解决方案。不过，当需要处理有线、远程以及基于云的多种资源时，这种技术的效果就相对较差了。

主机代理微分段技术

主机代理的分割采用了不同的方法。在这种情况下，分割过程主要依赖于软件定义网络（SDN）代理来实现。这些代理程序在所有的终端设备上运行，它们能够为用户提供访问权限，同时还能监控网络流量。

SDN代理会创建安全的隧道来传输流量。它们为每个网络段和用户应用安全策略，并对所有访问请求进行身份验证。为了提升云端的安全性，网络团队可以在云端、裸机环境以及混合环境中安装这些代理。这种多样性使得SDN成为现代企业网络的理想解决方案。

灵活性是主机代理分区的显著优势。管理者可以通过集中式安全控制来为每个应用程序或进程设置相应的参数。此外，他们还可以实现策略的自动执行以及设备的自动发现，从而确保系统的全面安全性。

基于代理的分割方法存在一些缺点。需要大量的主机代理，这会使该方法变得复杂。随着更多设备上线，网络速度可能会受到限制。不过，对于现代环境来说，使用主机代理进行微分割仍然是一个很好的选择。这是一种有效的现代云安全策略。这种策略在结合远程工作、数据中心以及云资源的环境中表现非常出色。

微细分是如何运作的？

大多数微细分解决方案涉及软件定义网络控制器网络团队可以在中央数据中心中管理SDN控制器。不过，它们的运作是通过分布在各个终端上的代理来实现的。

SDN代理充当了访问控制的机制。工作负载管理者们负责决定哪些资产应该被纳入工作负载的定义中。组织可以按部门来定义工作负载，或者根据不同员工的角色来划分工作负载。将软件开发部门与生产环境分离就是一个很好的例子。

SDN控制器能够实现特定的功能/作用。网络安全策略这些策略适用于用户访问工作负载时的情况。它们会决定是否允许或拒绝用户的访问请求。这些策略被部署在网络中，能够有效防止未经授权的横向移动行为。

访问控制和代理设备与网络防火墙协同工作。防火墙会围绕每个工作负载或应用程序进行运行，从而将相关数据段进行加密处理。隧道协议还可以保护在主机与数据中心之间传输的数据。这样，就能形成一道有效的防入侵屏障。

网络上的所有数据都会通过软件定义的网络代理进行传输。这些数据经过这些代理后，会立即产生反馈信息。管理者可以了解网络流量以及用户的行为模式。IT团队能够实时检测到潜在的威胁。而技术人员则可以随时调整任何连接设备的安全策略。无需对硬件进行重新配置即可实现上述功能。所有功能都是通过软件工具来运行的。.

微细分可以在许多情况下被应用。级别：

• 应用程序。这些分段功能能够保护那些至关重要的应用程序或流程。同时，它们还能限制与其他应用程序之间的East-West通信。这种分段方式可以覆盖本地数据中心、云环境以及混合云环境。通过这种方式，可以保护应用程序的各个方面，以及与之相关的具有高价值的数据。
• 环境方面。网络团队可以为不同的企业部门以及不同的部署环境创建相应的区域。例如，管理者可以将软件开发操作与测试、生产环节分开处理。这种分区方式可以规范不同环境之间的通信方式。这样一来，跨环境的传输就变得困难多了。
• 应用层组织可以将网络进行划分，将相关的工具集中在一起，从而实现无缝的通信。遵循零信任模型，保护措施会限制那些连接距离较远的层级的访问权限。例如，企业可以对数据库、负载均衡以及处理层进行微分区处理。
• 用户。这些权限适用于特定用户群体，比如项目成员。在这种情况下，网络管理员可以通过 Microsoft Active Directory 来实施相应的控制机制。策略会为每位用户根据其角色分配相应的权限。无需对硬件进行任何修改即可实现这一功能。

微细分的好处

与传统的网络分段或边界防御方式相比，微细分技术具有许多优势。

缩小威胁的范围/减少威胁的严重程度

高度分割的网络确实如此。更不容易受到外部攻击者的攻击对核心资产进行分割后，攻击面会大大缩小。加密和安全控制措施能够保护网络入口处的各个点。VLAN之间没有任何空隙，而且网络并不依赖于外部防火墙或VPN来实现安全保护。

使用文本来标识网络段，也有助于减少攻击面。由文本标签所定义的网络段，相对不容易受到针对IP地址或允许端口的常见网络攻击的威胁。

2. 数据泄露的防范与处理

传统的网络分段方式主要依赖于第4层的控制机制。而微细分解决方案则能够将控制机制深入到第7层。在这一层级上，应用程序和流程与网络基础设施相连。在第7层进行分段处理，能够使得网络更加高效运行。对应用程序之间横向移动行为的精细控制.

那些能够进入数据中心的攻击者将无处可逃。他们无法在服务器或应用程序之间移动，因为数据被分割了，敏感数据无法被访问。安全团队可以立即识别出这些威胁，从而在攻击者造成破坏之前将其控制住。

3. 灵活的扩展能力和快速响应突发事件的能力

微细分有效地进行调整/调整得当随着企业的不断发展，管理者可以新增部门或用户。他们还可以根据角色来制定安全策略，从而确保用户能够访问必要的资源。随着网络的扩展，无需再添加额外的硬件设备。企业还可以根据需要随时调整云部署方式。这样一来，就能更容易地找到一种既能满足安全需求又能满足业务需求的配置方案。

4. 提升了监管合规性

对敏感数据进行微细分是一种可靠的方法。达到监管合规要求的路径在许多领域，PCI-DSS规范都规定了在信用处理领域中对数据处理的严格要求。而HIPAA则对存储患者数据的流程提出了严格的监管要求。在这两种情况下，微分段都是一个合理的风险管理手段，有助于确保符合相关法规的要求。

5. 网络学习

更多的信息意味着……更高的意识和知名度一支信息丰富的IT团队，能够高效地管理网络。网络与安全团队可以监控各个工作负载之间传输的数据。这些数据有助于发现网络中的瓶颈问题。安全专家还可以发现配置错误以及其他网络安全隐患，从而帮助安全团队解决这些问题。

微细分市场的挑战

微细分技术本身也面临着一系列挑战。虽然它为提升网络安全提供了有效的框架，但在实现和管理的过程中，仍然会遇到不少障碍。

实施过程中的复杂性

实施微细分策略需要深入了解现有的网络架构，同时还需要对数据流动以及各种工作负载之间的相互作用有清晰的理解。这种复杂性使得初始的部署过程变得相当困难，因为需要精确地定义各种策略并进行相应的配置，以避免对业务运营造成干扰。

确保政策既具有全面性，又不会过于严格，这是一个需要巧妙平衡的难题。随着网络的不断发展，往往还需要不断进行调整以适应当前的形势。

政策管理

随着网络的不断发展和变化，管理和更新与微细分相关的安全策略变得越来越困难。每个应用程序或工作负载可能都需要不同的安全策略，这导致需要定期审查和调整的规则数量不断增加。

这可能会让IT团队不堪重负，尤其是在那些应用程序经常发生变化的动态环境中。在这种情况下，需要持续关注安全问题，以确保安全策略能够有效防止未经授权的访问行为，同时又不阻碍正常的业务流量。

可扩展性问题

在庞大的、多样化的网络基础设施中实施微细分策略，可能会带来性能问题和管理上的挑战。随着细分单元数量的增加，维护这些细分单元的复杂性也会随之上升。