阻止对服务器攻击的微分割

随着越来越多的公司将他们的数字资产和软件平台迁移在云计算和数据中心中，云计算和数据中心就成为那些居心叵测的人越来越感兴趣的目标。然而利益对于坏人来说，没有什么不一样的。与攫取互联网上的点点滴滴利益相比，数字盗贼更喜欢一站式服务。

还有一些其他的东西，让坏人更加感兴趣。数据中心流量正在增加东西流向（也就是数据从一个服务器传输到另一个服务器）。思科公司产品管理安全主任穆纳瓦尔·侯赛因写道：“思科全球云指数告诉我们，与数据中心园区网络不同，数据中心流量主要是东西方向（76%），其次是南北流量（17%），而7%是数据中心之间的流量。”

打开大门？

数据中心内部服务器之间的开放通道，直到现在一直是孤立的，这对于攻击者来说是一个千载难逢的机会。“现代攻击通常采用用户授权方法突破外围的防 御，而对于数据中心边界内的工作负载横向迁移，却很少或根本没有管制，以阻止它们的传播。”根据VMware数据中心微分割白皮书的描述，“许多近期公共违反例证了这一点，通过网络钓鱼等方式。导致恶意软件入侵，找到漏洞实施攻击、指挥和控制，并使数据中心流量的横向移动不受约束，直到攻击者找到他们要找 的数据。”

不用说，数据中心运营商正在寻找新的方式来加强安全性。侯赛因表示，这样的方法是“hair-pinning”，其中由数据中心外围安全设备路由出的内部流量进行检验，然后转发到数据中心内的原始目的地。

这听起来复杂且充满问题，网络专家同意这个观点，VMware和其他公司提出一个更好的解决方案是微分割。简而言之，微分割将数据中心的网络划分成 较小的保护区。“而不是一个单一的整个网络，通过强化外围，加强流量的防御，微数据中心可以在应用层之间和设备之间提供安全服务。”思科的报告认为，数据 中心的微型分割可以增强数据中心流量的安全性。其理论是，即使一台机器被攻破，其危害将会限制在一个较小的故障域。

微分割将数据中心的网络划分为较小的保护区

除了隔离和违反遏制以外，也有其他的好处。行业专家论证了一些微分割的实践优势：

·管理白名单：

拒绝所有通信，除非明确允许不是新的流量。微分割的方法是通过整合应用程序和网络服务进行管理。

·应用感知的安全性：

在微分割，安全策略组不是基于IP地址或域名子网的。“策略是在虚拟机或容器托管应用层执行，”专家表示，“工作负载和数据访问将以应用程序为中心的安全模型来保护。”

·集中配置：

微分割如果处理得当，可以巩固安全组成员管理。集中配置的安全策略，如防火墙规则，使他们能够从主机到主机遵循虚拟机，而新的实例自动继承适当的安 全组成员和安全策略。“如果一个特定的虚拟机被删除，与虚拟机以及相关的防火墙规则也被删除。”专家表示，“这反过来，可以确保防火墙规则库的不断更新， 并删除了闲置无用的规则。”这使得数据中心运营商通过消除漏洞和制定预防措施实施安全防范。

·访问控制：

顾名思义，微分割可以分隔应用程序。隔离单独的应用程序，或对数据仓库启用严格的访问控制，这将降低内部攻击概率。

·攻击恢复：

微分割与DCIM平台联合使用，如果发生数据泄露会减少消极影响。“微分割使数据中心是更为灵活，具有几乎立即查明问题的能力，并在问题包含在狭窄的故障域之内。”专家表示，“与此同时，多重的安全保障，可以减缓攻击的蔓延，使运营商能够锁定黑客，并保护卓越的数据。”

企业对于如何实现微分割有不同的理念。然而，VMware公司产品管理总监杰夫表示任何一种微分割必须具备以下属性：

·持久性：

尽管环境在不断变化，安全必须是一致的。这对于进入软件定义网络特别重要。“微分割为管理员提供了更多有用的方法来描述的工作量，”杰夫对于真正的微分割的三种需求指出，“管理员可以描述工作量的固有特性，并将此信息回馈给安全策略。”

·无处不在：

通常，由于成本的考虑，安全发放根据静态优先级列表进行的。杰夫指出，这是攻击者喜欢看的东西。幸运的是，微分割可以嵌入到安全的数据中心基础设施，这意味着安全功能可以应用于所有的工作负载，从而无需设置优先级。

·可扩展性：

黑客善于改变他们的攻击计划，如有需要，也就是说，为了工作，安全必须是灵活的，如果不是更多的话。“举个例子，检测恶意软件，防病毒系统，防病毒 系统配合网络镜像流量到IPS，依次扫描异常流量。”杰夫解释说。“微分割的可扩展性有这种动态能力。没有它，安全管理员必须预先配置一个不同的静态链的 服务，每一个对应于一个不同的可能的安全方案。”

由于软件定义的技术允许最终的网络灵活性，微分段的概念是唯一可能的。这二者相结合，为数据中心的东西流量提供集中控制，使用多层次的隔离，提高安全性，并且从长远来看，更加节省成本。这样很多人会问：“为什么不采用呢？”