常见的比喻,“先有鸡还是先有蛋?”是一个关于起源和矛盾关系的问题。关于微分割和微周长的安全和风险对话也面临类似的困境。在零信任对话中,这两个概念作为推进成熟度的关键组件被高度强调。然而,安全和风险专家混淆了这两个术语的用法,关于谁先出现的问题比比皆是。

所以,当你进入零信任区时,和我一起踏上奇妙的信息之旅吧。

起源与误传

在网络安全领域,术语微分割已经与零信任的信息安全模型联系在一起。其目的是通过进一步将敏感系统和数据隔离到一系列受保护的部分来减少违规影响。当Forrester在2009年首次推出“零信任”时,它主要专注于提高网络安全。这份报告不再有嚼劲的中心:信息安全的零信任模型使用术语微周长来强调需要用更细粒度的限制访问来分割网络,以接受去周长化的概念。

这两个术语经常互换使用,用来描述客户所寻求的结果:希望通过零信任来保护企业资源。此外,供应商通过营销技术加剧了这种困惑,这些技术试图解决这些概念,但却未能清楚地解释它们是做什么的以及如何做的。

三个要点值得深思和记住

这两个术语都有相关性,而且都适用于零信任。虽然微边界可以说是在零信任信息安全模型开始时首先出现的,但微分割很快就取代了它,并成为零信任的代名词。2021年,我的同事大卫·霍姆斯定义microsegmentation描述如何通过体现零信任的三个原则(默认拒绝、最小特权和全面监控)的方法来实现微边界。重要的是,安全和风险专业人员也要了解:

  • 非计量化并不意味着“杀死防火墙”。这个术语通常用于描述现代网络和安全专业人员需要如何处理云使用、虚拟化、软件定义网络、自带设备以及非托管移动/远程设备的扩散所带来的影响。单纯依赖“城堡”式的传统网络边界已经过时了,安全控制必须更紧密地围绕“皇冠上的宝石”。但正如大卫·霍姆斯在他的研究“网络防火墙仍然是尚未实现100%数字化转型(大多数都没有实现)的组织的关键控制手段。”
  • 微分割是达到目的的手段。为了进一步将网络划分为受保护的段,使用基于软件或硬件的解决方案,如企业防火墙(或身份访问管理、网络访问控制、零信任网络访问或其他专门解决方案的组合),根据资源的敏感性和风险影响创建微段,同时提供第7层检查。通过微分割,安全和风险专业人员可以在更靠近资产的地方部署安全控制。
  • 微细周长就是结果。每个微周界都依赖于利用微分割技术来执行流量分割和检查的技术。通过微边界,安全和风险专业人员能够专注于粒度安全控制,以减轻和保护攻击。安全控制使微边界能够保护敏感的企业资源,还增加了对这些资源如何利用的可见性。

没有什么好害怕的:你不在阴阳魔界

当你想到微分割和微周长时,你可能会觉得你在“阴阳魔界”的一集里。别害怕,这不是两万英尺高空的噩梦,没有生物会扯下你飞机的机翼。

请记住,这两个术语都是相关的,您对它们的理解很重要。通过回顾我们的研究来消除关于如何实现这些概念的困惑,包括Forrester新浪潮™:微细分,2022年第一季度零信任微分割的最佳实践,并熟悉如何最好地应用微分割来实现微周长。

当然,如果你需要更多的见解或指导,安排一次咨询或指导会议与我的同事David Holmes或我一起确保您的组织走在正确的道路上,使您的零信任之旅成熟起来。