更細(xì)粒度的控制是個(gè)好東西，但說的總比做的容易

創(chuàng)新互聯(lián)公司專注于金東企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,成都商城網(wǎng)站開發(fā)。金東網(wǎng)站建設(shè)公司,為金東等地區(qū)提供建站服務(wù)。全流程按需定制網(wǎng)站，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

RedSeal首席技術(shù)官 麥克·羅伊德

虛擬數(shù)據(jù)中心事務(wù)繁雜。在安全上，我們聽過各種版本的“微隔離”。這個(gè)術(shù)語源于VMware，但被其他多個(gè)領(lǐng)域借用，有些為其做了引申。

大家都知道隔離是什么。每個(gè)企業(yè)都會(huì)將網(wǎng)絡(luò)至少分隔為外網(wǎng)和內(nèi)網(wǎng)。大多數(shù)公司都想要某種程度上的內(nèi)部隔離，但太多的光說不練——除非審計(jì)迫在眉睫。很多網(wǎng)絡(luò)對審計(jì)員關(guān)注的資產(chǎn)做了一定的隔離，比如患者記錄和信用卡信息。確實(shí)有企業(yè)高出安全復(fù)雜性曲線，對業(yè)務(wù)有嚴(yán)格的區(qū)域劃分，并對跨區(qū)域訪問有一定程度的監(jiān)管。但這些一般都是大型復(fù)雜企業(yè)，因而每個(gè)區(qū)域也往往很大。

簡單算一下就知道，要跟蹤N個(gè)區(qū)域，考慮的必然是N*(N-1)個(gè)關(guān)系。這是指數(shù)級上升的數(shù)字。即便員工充裕的團(tuán)隊(duì)也難以應(yīng)付單一網(wǎng)絡(luò)中的十幾個(gè)主要分區(qū)。聽起來似乎不多，但任意兩個(gè)網(wǎng)絡(luò)隔離之間的開放訪問，很容易就會(huì)超過50萬對通信。全面審計(jì)其中一個(gè)隔離就已經(jīng)是超人般的壯舉了。

但如今，牽引IT戰(zhàn)車的戰(zhàn)馬又多了兩匹：虛擬數(shù)據(jù)中心和軟件定義網(wǎng)絡(luò)。二者提供更多的隔離，更細(xì)的控制，大幅減少IT團(tuán)隊(duì)工作量(不同市場營銷團(tuán)隊(duì)承諾的工作負(fù)載減少量不盡相同，就看你選擇相信哪家了)。聽起來真是太棒了，誰不想要超精細(xì)的控制呢?再?zèng)]人相信“僅邊界”模式就能搞定安全了。那么，更多的控制必然更好，對嗎?但實(shí)際上，如果你僅僅將此技術(shù)甩到現(xiàn)有堆棧上而沒有擴(kuò)展計(jì)劃，也是沒什么卵用的。

如果你以難以搞定的復(fù)雜管理任務(wù)做為開端，簡單拆分成更小的任務(wù)，分發(fā)到更多的地方，那很快，你就會(huì)瘋狂分裂到生無可戀。

真的沒什么希望了嗎?當(dāng)然不!問題出在規(guī)模上。在快速發(fā)展的基礎(chǔ)設(shè)施里，更多的隔離，會(huì)給已經(jīng)疲于應(yīng)付的人類團(tuán)隊(duì)制造更多的麻煩。但這正好是計(jì)算機(jī)非常擅長處理的那類問題。關(guān)鍵就在于認(rèn)清：你得從實(shí)現(xiàn)中將目標(biāo)(允許在網(wǎng)絡(luò)中出現(xiàn)的東西)剝離出來，無論你的實(shí)現(xiàn)是遺留防火墻，還是管理虛擬工作負(fù)載策略的新鮮GUI。

現(xiàn)實(shí)世界中，這不是個(gè)非此即彼的問題，而是二者兼具的問題。因?yàn)槟悴坏貌辉诟鼘拸V的網(wǎng)絡(luò)中協(xié)調(diào)你的虛擬工作負(fù)載防護(hù)。全網(wǎng)必然不是軟件定義的，它會(huì)非常頑固地駐扎在你面前，繞不過，推不開。

也就是說，如果你能描述清楚你的網(wǎng)絡(luò)職能，你就能贏得漂亮。把你的目標(biāo)從具體實(shí)現(xiàn)中分割出來吧。比如說，在各業(yè)務(wù)單元區(qū)間關(guān)系中用通用術(shù)語將意圖記錄下來。然后，你就能用自動(dòng)化軟件來檢查是否確實(shí)符合該網(wǎng)絡(luò)被設(shè)置的原本職能了。計(jì)算機(jī)不會(huì)累，它們只是不太清楚你的公司或你的對手，因而寫不出適合你的具體規(guī)則。

相信軟件能搞清公司企業(yè)的運(yùn)作方式，或者希望軟件能迷惑對手，是不現(xiàn)實(shí)的。既然軟件都不能通過圖靈測試，區(qū)區(qū)一個(gè)算法又怎能理解作為現(xiàn)代惡意軟件支柱的社會(huì)工程呢?

微隔離不是個(gè)壞東西。這就像是詢問水是不是個(gè)壞東西一樣。用對了，是生命之源;肆虐了，便是死亡使者。在這個(gè)問題上，學(xué)會(huì)游泳可不是找出最新萬能安全產(chǎn)品這么簡單的事兒，而是要弄清你整體基礎(chǔ)設(shè)施協(xié)同運(yùn)作機(jī)制，知曉它是否在滿足業(yè)務(wù)需求的同時(shí)又沒有暴露過多的攻擊界面。

網(wǎng)站題目：微隔離：好還是不好？
URL地址：http://uogjgqi.cn/article/cdsgooo.html