微隔離(Identity-Based?Segmentation),亦稱為微分段、軟件定義分段、基於身份的分段、零信任分段、邏輯分段等;
定義:基於工作負載身份,通過訪問控制策略或加密規則,對位於本地或雲端數據中心的工作負載(物理機/虛擬機/容器等)、應用、程序進行細粒度隔離和精細化訪控,從而實現縮減暴露面、阻止攻擊橫向側移的安全目的。
微隔離是面向新型基礎設施的基礎安全能力,壹方面新型基礎設施架構和持續惡化的威脅環境催生了微隔離需求的爆發,微隔離是雲工作負載保護、容器安全等的基礎能力;另壹方面從安全能力疊加演進的視角來看,微隔離提供了最為基礎的“架構安全”和“被動防禦”?安全能力。此外,微隔離被認為是零信任架構中的核心結構性要求,用於對數據中心東西向流量進行管理。
目前市面上微隔離有三種主流的技術路線:壹種是雲平臺原生組件,其可以與雲平臺管理結合緊密,可實現統壹管理,但僅適用於自身雲平臺與其他平臺的兼容性較差,對於混合架構不合適;壹種是虛擬化防火墻路線,可提供完整的防火墻安全功能,但是其安全虛機的資源占用較高、性能壓力集中,延遲較大、受虛擬化架構兼容性制約;最後壹種為基於主機代理(利用主機防火墻)的模式,其基礎架構無關,可支持各類雲架構。可實現虛機、容器統壹納管且角色化訪控,精細度高、靈活性強,分布式策略執行,性能壓力較小。雖然需要在工作負載安裝客戶端但是因為其在混合環境下具有明顯的優勢,目前已經成為微隔離的最主流技術。
國內專業網安行業加速器機構斯元商業咨詢正式發布了2022第1版「網絡安全科技供應鏈報告:廠商成分分析及國產化替代指南」,報告分析了當前在國內有業務開展、已為國內甲方企事業單位采購使用的全球及中國港澳臺地區的主流網絡安全科技供應鏈廠商,並基於這些廠商所涉及的產品技術分類,提供相應的國產化替代廠商指南。?
報告顯示,在“基於身份的隔離”產品(即“微隔離”)技術分類欄,已在國內開展業務的國際廠商包括Illumio、Akamai、Microsoft、Cisco、Palo?Alto、ColorTokens、Zscaler,而薔薇靈動則成為在該領域唯壹的國產化替代選項。