Gartner最近更新了微分段评估因子文档(“如何使用评估因子来选择最佳微隔离模型”。
微隔离的四种不同模型,但没有明确建议哪种模式最佳。了解这一点的答案意味着要考虑每个模型的局限性,并认识到动态混合云数据中心的未来前景。很明显一个解决方案模型高于其他解决方案,以前使用其他模型的供应商现在正在改变他们的技术使用应该不足为奇这个型号:覆盖。
但首先,解释下为什么其他模型不适合大多数企业客户。
本机模型使用随虚拟化平台,虚拟机管理程序或基础架构提供的工具。该模型本质上是有限且不灵活的。即使对于仅使用单个虚拟机管理程序提供商的企业,此模型也将它们绑定到一个服务中,因为当您切换提供商时,不能简单地移动微隔离策略。此外,虽然企业可能认为他们在一个IaaS服务器或虚拟机管理程序下工作,但提供商也可能在其他地方也有服务器。现实情况是,过去支持Native控件进行微分段的供应商已经意识到客户正在转型并且必须开发新的基于覆盖的产品。
更常见的是,企业知道他们正在与多个云提供商和服务合作,并且需要一种可以在这种异构环境中无缝工作的微细分策略。
此模型基于第三方供应商提供的虚拟防火墙。使用此模型的企业通常会受到网络层设计限制,因此不得不改变其网络拓扑。由于专有应用程序,加密或同一VLAN上的不可见和不受控制的流量,可以防止它们获得可见性。
此方法的一个已知问题是由于依赖其他第三方基础架构而产生瓶颈。从本质上讲,此模型不是跨不同体系结构的一致解决方案,也不能用于控制容器层。
上述两种模型的组合,使用混合模型进行微隔离的企业试图仅限制两种模型的一些缺点。为了使它们比原生控件更具灵活性,它们通常使用第三方防火墙进行南北交通。在数据中心内部,您不必担心多云支持,本机控制可用于东西向流量。
然而,正如所讨论的,这两种解决方案,即使是串联的,也是最有限的。通过混合方法,您还将添加复杂而艰巨的设置和维护策略的额外问题。混合选择的可见性和控制在面向未来的IT生态系统中是不可持续的,其中工作负载和应用程序在多个环境中进行了旋转,自动化,自动扩展和迁移。企业需要一种运行良好的解决方案,而不是两种单独的并且限制在一起的解决方案。
覆盖不是从不完美的模型中拼凑出来的混合解决方案,而是从头开始构建一个更强大且面向未来的解决方案。Gartner将覆盖模型描述为一种解决方案,其中对工作负载本身实施主机代理或软件。使用代理到代理通信而不是网络分区。
第三方防火墙的一个负面因素是它们天生就是不可扩展的。相比之下,代理商没有受限制的限制,使其可以根据您的需求进行无限扩展。
借助覆盖,您的企业可以在复杂而动态的环境中获得最佳可见性,并且可以深入了解流程层,包括面向未来的架构,如容器技术。唯一可以解决基础架构差异的解决方案,覆盖与任何运营或基础架构环境无关,这意味着企业可以支持从裸机和云到虚拟或微服务或接下来的任何技术。没有覆盖模型 - 您的企业无法确定是否支持未来的用例并保持与反对者的竞争力。
很明显,覆盖是最强大的技术模型,也是唯一一款面向未来的微分段解决方案。传统的访问列表式微分段以及实现更深层次的安全功能都是如此。
不幸的是,并非每个供应商都会提供覆盖的最佳版本,满足其功能。利用覆盖解决方案的固有优势意味着您可以将代理放在正确的位置,设置以精细方式工作的通信策略。使用合适的供应商,您可以明智地选择代理的放置位置,使用上下文和流程级别的可见性一直到第7层。您的供应商还应该能够提供额外的功能,例如按帐户,用户或哈希执行,都在同一个代理商内。
请记住,保护基础架构不仅需要微分段,还需要部署其他解决方案,以降低风险并满足安全性和合规性要求。
对于任何具有前瞻性思维的企业而言,微隔离已经从一个令人兴奋的网络安全新流行词转变为一个重要的风险降低策略。如果它在2019年的待办事项列表中,请确保您做得正确,并且不要成为无代理模型限制的牺牲品。