微分段(Microsegmentation)是一種網路安全實務,透過將網路劃分為更小的區域(稱為微分段),以對應應用程式工作負載進行分段並逐一加以防護。這是零信任架構(Zero Trust)安全架構的核心要素之一。
微分段使用原則對橫向工作負載通訊進行精細控制,並限制微分段內資料和應用程式的存取和控制方式。此外,微分段亦可促進零信任安全架構中最小權限原則(PoLP , Principle of least privilege)的全面實施,涵蓋公用雲端、私人雲端、混合雲端、多雲端部署、本地端資料中心及容器環境等各類分散式服務。
微分段概述
微分段的主要目標是在缺乏傳統週邊安全防護機制的分散式網路環境中,實施更強化的安全管控措施,例如導入零信任架構原則。做為零信任架構的一部分,微分段能透過監控所有網路活動並實施精細的存取控制,僅允許明確授權的流量進入特定區段,進而有效保護資源。
系統管理員和資安架構管理工程師會運用網路微分段技術,來隔離網路中的特定區域及個別裝置;它使資安架構管理工程師以邏輯性地建立獨立的安全分段、定義相應的安全控管措施,並為每個分段提供專屬的安全服務。
微分段是透過網路虛擬化技術,而非部署多個實體防火牆,來限制工作負載之間的東西向流量(即橫向移動),並將各個元件隔離,進而在網路中建立獨立分段。此外,網路中的虛擬機 (VM , Virtual Machines) 可運用原則導向的應用程式層級安全控制機制進行防護。
透過微分段控制的元素
- 應用程式與工作負載(Applications and Workloads) 可指單一的軟體應用執行個體(例如某個資料庫),也可泛指執行某項功能的所有應用程式執行個體(例如所有 SQL 資料庫)
- 虛擬機器(Virtual machines) 單一虛擬機器或虛擬機器群組(例如,支援多層架構)
- 作業系統(Operating systems) 單一作業系統或多個作業系統(例如,對於需要多個作業系統的環境)
相較於針對強化週邊環境設計和開發的更成熟方法相比,微分段提供多項技術優勢。
- 增強安全控制和管理,防止攻擊者跨網路移動 由於微分段管理的是微分段內部服務之間的連線(即東西向網路流量),而不是流入和流出環境的流量(即南北向網路流量),因此可以更廣泛、更有效地實施強制執行安全控制的原則。透過這種方式,微分段可以顯著提高對網路活動的可視性,使得偵測異常與惡意行為的速度更快、效率更高,同時也更有助於實現零信任安全架構。
- 無縫式防護可消除漏洞 透過微分段技術,安全原則得以涵蓋所有環境 – 雲端、容器、本地端資料中心和混合雲端。此外,由於微分段是將原則綁定於工作負載本身,而非網路的特定區段,因此能有效封堵可能導致漏洞的安全覆蓋缺口。
- 快速部署、維護和調整原則 安全原則是套用在工作負載上,使其不依賴於硬體。透過微分段技術,更新安全原則也不會影響硬體運作(例如造成停機)。即便基礎設施有所更動,這些原則依然能持續發揮作用。
根據部署環境的類型,可以使用不同的微分段安全方法。主要有三種:
Hypervisor 微分段 基於 Hypervisor(虛擬機器管理程式) 的微分段會將所有網路流量導向虛擬化環境中的 hypervisor。透過這種方式,可以保留既有的防火牆設定,同時讓安全性原則在不同的 hypervisor 之間轉移。不過,需要注意的是,這種方法在某些部署環境中並不適用,例如雲端、裸機、容器或實體工作負載。
主機型微分段(Host-based microsegmentation) 代理程式部署於每個端點之中。這種方法透過一個中央管理器來提供對所有資料、處理程序、服務和網路通訊的全面可視性,進而協助識別潛在的漏洞。主機型微分段的缺點在於,每一台主機都必須安裝代理程式。
網路型微分段(Network-based microsegmentation) 網路型微分段會設定哪些人或裝置可以進入不同的網路微分段等參數。雖然這種方法操作簡單,但會導致需要管理多個分段,造成管理成本上升。
微分段的工作原理
實現微分段最常見的方式是使用新一代防火牆 (Next-Generation Firewall,NGFW)。微分段也可以做為軟體定義廣域網路 (SD-WAN) 的一部分實作,或透過網路架構、hypervisor 和代理程式來部署。
微分段利用原則來劃分資源,建立獨立的安全區域,以提供精細層級的資源隔離與保護。透過掌握電腦系統各層資訊的可視性,NGFW 可用於建立整個網路的存取原則。為了支援零信任安全架構,可以將微分段原則的預設設定為拒絕存取,而不是允許存取。
微分段的類型
以下是根據用於區隔子網路的資源,來實作微分段的六種常見方法。
應用程式微分段(Application microsegmentation) 應用程式微分段通常用來保護執行關鍵功能的高價值應用程式,這些應用程式通常在裸機伺服器、虛擬機器或容器環境中執行,藉由嚴格控管應用程式間的東西向通訊。這種實作方式使企業能在不重新設計網路架構的情況下,滿足例如 PCI DSS(支付卡產業資料安全標準)、SOX(沙賓法案)及 HIPAA(健康保險可攜性和責任法案)等法規對法規遵循的嚴格要求。
層級微分段(Tier-level microsegmentation) 在多層應用部署中(例如 Web 伺服器、應用程式伺服器與資料庫),會採用層級微分段來將各層分隔並相互隔離。舉例而言,允許應用程式與資料庫之間的通訊,但不允許 Web 伺服器與資料庫直接通訊。 層級微分段會限制僅有需要存取特定元件的使用者與資源才能存取,進而落實零信任架構中的最小權限原則。這種方式可有效降低攻擊面(Attack Surface),並透過隔離應用程式來防止未授權的橫向移動。
容器微分段(Container microsegmentation) 容器微分段通常應用於服務層級。由相同映像檔或服務建立的容器,無需套用不同的網路微分段原則。容器微分段會劃分容器間的通訊,並將流量限制於授權的連線,藉此保護敏感或對業務至關重要的資訊。
環境微分段(Environmental microsegmentation) 環境微分段用於隔離不同的部署環境,例如開發、測試與生產的環境,這些環境可能分布在多個資料中心、本地端和雲端。此種分段方式可防止環境之間的通訊,僅允許具備合理存取需求的授權使用者跨環境操作。
基於程序的微分段(Process-based microsegmentation) 可以在程序、服務、虛擬機器或裸機伺服器周圍建立強化的邊界。通訊可限制在明確指定的網路路徑、通訊協定或連接埠範圍內,並可將在同一台機器上執行的兩個程序個別隔離為兩個獨立的微分段。
使用者微分段(User microsegmentation) 遵循「絕不信任、永遠驗證」的零信任架構原則,使用者微分段會在授予資源存取權限前先驗證身分。這種方法使用 Microsoft Active Directory 等身分識別服務,將存取權限限制在應用程式或服務層級,而非網路層級。虛擬區域網路 (VLAN) 中的個別使用者會根據其身分服務所驗證的群組成員資格來獲得系統存取權限,因此無需對既有基礎架構進行更動。
微分段的好處
成功實施微分段可以帶來許多好處,包括:
- 能夠採用可隨所有應用程式與服務一同移動的應用程式感知原則
- 根據偵測到的威脅自動調整
- 更好地法規遵循
- 持續、可量化的風險評估
- 網路和資源的精細視圖
- 無縫式保護
- 惡意活動僅限於最初遭入侵的工作負載範圍內
- 減少攻擊面
- 減少錯誤和疏忽
- 更強的防禦能力,抵禦進階持續性威脅 (APT , Advanced Persistent Threat)
- 支援零信任(Zero Trust)資安模型
微分段使用案例
用於法規遵循的微分段
微分段非常適合需要遵守嚴格法規遵循要求的組織,例如 PCI DSS、HIPAA 與 SOX。許多組織一直在努力克服日益複雜和動態的環境安全挑戰。微分段可提升對企業基礎架構中流量的可視性與防護能力,能針對從虛擬機器、容器到雲端及本機環境中執行的各類服務。
用於混合雲端管理的微分段
微分段可在由多個資料中心與雲端服務供應商組成的混合環境中,統一套用安全原則。
用於事件回應的微分段
透過在微分段層級提供記錄資料,微分段使事件回應團隊能夠深入瞭解攻擊手法與遙測資料,有助於找出漏洞的精確位置。
用於保護敏感資訊的微分段
透過資源隔離,微分段協助組織防止未授權存取、資料外洩以及其他惡意行為,進而保護敏感資訊的安全。
用於保護動態環境中工作負載的微分段
微分段可強化對跨複雜企業邊界工作負載的監控和安全保護,涵蓋複雜企業中信任與不信任網路、本地端系統、公用與私人雲端,以及虛擬化環境。微分段也能保護動態資產,例如在虛擬化基礎架構上運作的虛擬執行個體,以及難以透過傳統固定網路執行點進行管理的容器。此外,微分段還可針對每個工作負載建立微分段,並直接套用精細的存取控制原則。
用於隔離開發與生產系統的微分段
微分段強制執行相關通訊協定,以劃分開發與生產系統。針對這兩個環境設定的精細存取控制,限制可能導致意外或惡意未經授權存取的連線。
用於零信任架構安全計畫的微分段
微分段在零信任架構安全計畫中扮演關鍵角色,其可支援零信任的三項核心功能包括:
精細化存取原則(Granular access policies)明確定義哪些人與哪些資源可存取特定微分段,進而落實最小權限存取原則。
具針對性的安全控制(Targeted security controls)能有效處理微分段中個別資源所面臨的風險與漏洞,這些資源涵蓋自託管在檔案伺服器至公用雲端的應用程式。
身分與存取管理(IAM , Identity and Access Management) 可更輕鬆且有效地用於執行角色型存取控制(RBAC , Role-based Access Control),以及落實「絕不信任、永遠驗證」的零信任架構原則。
微分段最佳實務
微分段最佳實務有助於確保落實正確的策略和實作計畫,以實施有效的措施。
選擇合適的微分段類型。 當考慮要實作微分段的環境以及需要保護的對象時,應選擇最符合需求的微分段類型。例如,若需遵守嚴格的法規遵循規範,可採用應用程式分段;若需區隔開發、測試和部署環境,則可選擇環境分段。
根據交換的資訊定義應用程式的邊界。 微分段應該用於依據完整架構圖評估而定義的應用程式邊界。如此可確保正確套用原則,並與資安目標保持一致。
識別、評估和定義存取等級。 善用零信任架構的優勢,需先識別所有系統與服務的使用者(即,人類使用者與數位使用者),接著判斷其執行職能所需的最低存取權限。應將此權限對應關係用於導引微分段,並據此實作原則,以強制執行與微分段相符的存取權限。
根據安全要求標記資產。 一旦識別完成,即須指派符合其防護需求的安全原則。
建立網路架構對應圖。 建立現有網路架構對應圖是實施微分段的關鍵第一步。準確的網路架構圖能確保正確識別、妥善設定,並有效執行安全原則。
觀察流量與通訊模式。 深入觀察東西向流量與通訊模式,有助於清楚瞭解流量走向與實際的通訊發生位置,進而指引微分段的設定方向,以彌補現有安全漏洞。
模擬並驗證應用程式。 使用模擬來識別和解決微分段實作原則中的缺口,並驗證應用程式。
採取分階段的方法。 成功的微分段推行通常採取分階段實施的策略。這些階段包括:
根據邏輯定義將資源分組(例如,應用程式、資料集、伺服器、使用者)。
定義相關的實作和驗證程序。
選擇一組較大範圍的資源,並先套用網路分段原則。
完成較大範圍的初步分段後,應進一步以更精細的微分段原則進行微調。
衡量已實作資源群組中程序的有效性,並在套用至下一組資源前進行改善。
微分段常見問答集
微分段如何提高安全性?
- 在工作負載層級有邏輯地劃分安全區段
- 為每個微分段啟用基於原則的安全控制
- 在最精細的層級隔離和保護工作負載
網路分段和微分段有什麼差別?
網路分段(Network Segmentation)和微分段(Microsegmentation)之間最顯著的差異是:
網路分段著重於管理進出網路的南北向流量,而微分段則著重於橫跨網路內部的東西向流量。
網路分段通常在實體網路上實作,而微分段則是在虛擬網路或覆疊網路中透過軟體定義網路 (SDNs , Specially Designated Nationals) 執行。
網路分段的策略控制被描述為粗略的,而微分段的策略控制則更為細微。
網路分段提供網路層級安全性,而微分段則具有工作負載層級安全性。
微分段是否能跨雲端供應商實作?
大多數微分段方法都可以在各雲端供應商(Cloud Providers)之間一致地實作,因其運作不依賴主機基礎架構。
微分段實作階段有哪些?
微分段實作分為六個階段:
尋找、識別並分組所有工作負載。
瞭解所需的存取控制。
建立工作負載間通訊需求的對應關係。
為工作負載群組建立安全原則。
執行模擬以測試並改善各群組的原則。
跨工作負載部署原則。
為什麼微分段很重要?
微分段之所以重要,是因為它能強化網路安全(Cybersecurity),提升對敏感資訊的保護,並透過資源隔離與防止橫向移動來降低資安事件造成的損害。
微分段的六種主要實作方式為何?
應用程式微分段
層級微分段
容器微分段
環境微分段
基於程序的微分段
使用者微分段
微分段可提高網路安全性
無論是獨立實作,或做為零信任架構安全計畫的一環,微分段皆能帶來顯著成效。因其大幅提升網路安全性,已在各行各業廣泛採用。它能有效保護分佈於企業網路內外多個位置的工作負載與資源。
