從近(jin)幾(ji)年的(de)黑客攻擊形勢看，內網(wang)(wang)的(de)攻擊逐漸(jian)增多。然而(er)，當前不少(shao)組(zu)織單位的(de)安(an)(an)全防御思路依然僅靠層層邊界(jie)防御，卻忽略了內網(wang)(wang)的(de)安(an)(an)全防護。當攻擊者有機會拿到內網(wang)(wang)一個跳板(ban)機時，即可暢通無阻在內部網(wang)(wang)絡中橫向傳播威脅，對業務造成爆破式(shi)影(ying)響。

以WannaCry為例，其感染內網(wang)一個終端(duan)后(hou)，在5分鐘內即可將內網(wang)中相關(guan)聯(lian)的(de)(de)終端(duan)全部(bu)感染，當IT運維人員發現時，已經造成無法(fa)挽回的(de)(de)巨額損失。因(yin)此，為了(le)適(shi)應新的(de)(de)攻防形勢，行業(ye)開始重(zhong)新分析和審視內部(bu)網(wang)絡(luo)隔離的(de)(de)重(zhong)要(yao)性(xing)。

為什么需要微隔離

實現內部(bu)網絡(luo)隔(ge)離(li)的有(you)多種，傳統網絡(luo)隔(ge)離(li)方案(an)基(ji)本都是基(ji)于網絡(luo)層面進行工(gong)作：

• 部署物理硬件防火墻，并配置相應的策略，從網絡層進行訪問控制；
• 調用系統主機防火墻，需要單獨對主機進行策略配置，從而進行訪問控制；
• VLAN隔離技術根據特定的策略進行區域邏輯網段分離。

但隨著組織內部網絡架(jia)構的(de)演(yan)進，從傳(chuan)統(tong)的(de)IT架(jia)構向虛擬化(hua)、混合云(yun)升級變遷，虛擬化(hua)極大化(hua)擴充資產數量(liang)，傳(chuan)統(tong)隔(ge)離(li)方案在以(yi)靈活為核心(xin)的(de)新IT架(jia)構下落地變得困難重重，難以(yi)適應(ying)當下的(de)環境：

1. 無法做到細粒度的隔離措施：傳統網絡隔離最小粒度只能做到域的隔離，意味著只能針對南北向流量進行隔離，而同一域內的東西流量無法有效隔離，從而無法有效防范威脅橫向擴散，內部一旦被突破一點，感染成面，損失巨大；
2. 維護不夠靈活：面對眾多分散的虛機控制點，以及變化的網絡環境，傳統隔離策略無法做到實時更新與自適應防護，反而因為安全影響了業務的靈活性，最終因為策略復雜不能真正落地；
3. 訪問關系不可視：業務系統之間的訪問關系完全不可視，難以確定隔離的有效性，甚至外部供應商網絡與內部涉密生產系統交互頻繁卻不自知。

也(ye)正是因為傳統網(wang)絡隔離的(de)缺陷，VMware 率先提出(chu)了(le)適應虛擬化環境的(de)微隔離技術(shu)。隨后，Gartner在(zai)2016年安全與(yu)(yu)(yu)風險管(guan)理峰會上(shang)重點強調微隔離技術(shu)使得微隔離技術(shu)逐漸在(zai)行業廣受關注與(yu)(yu)(yu)認可(ke)(ke)(ke)。Gartner指(zhi)出(chu)，微隔離通(tong)過細粒度(du)的(de)策略控制，靈活地實現(xian)業務系統內外部主(zhu)機與(yu)(yu)(yu)主(zhu)機的(de)隔離，讓東西向流量(liang)可(ke)(ke)(ke)視(shi)可(ke)(ke)(ke)控，以防御黑客或病毒對內網(wang)的(de)持續性(xing)大面積的(de)滲(shen)透和破壞。

所謂(wei)微隔離(li)(li)即更(geng)細粒度(du)更(geng)靈活更(geng)可(ke)視的(de)隔離(li)(li)技(ji)術(shu)。微隔離(li)(li)從(cong)原有的(de)區域隔離(li)(li)細化(hua)(hua)到主機端口、應用(yong)等(deng)細粒度(du)的(de)訪問(wen)隔離(li)(li)，包括容器隔離(li)(li)。同時(shi)能夠集中部署隔離(li)(li)策(ce)略，有效減少防(fang)火墻規則數量，大(da)幅增加(jia)策(ce)略調整的(de)靈活度(du)。此外，通過增加(jia)可(ke)視化(hua)(hua)能力直觀呈(cheng)現所有主機訪問(wen)關系(xi)，從(cong)而(er)更(geng)容易檢驗隔離(li)(li)策(ce)略是(shi)否生效。

微隔離方案對比

當越來越多的用戶開始轉為更為靈活的微隔離方案時，選擇哪種技術路線成為了問題的關鍵。當前微隔離方案技術路線主要有三種：

可以看出，隨著基礎架構的頻繁升級變化，主機代理微隔離才更適應當前多變的用戶業務環境。

深信服EDR微隔離 可視可控的下一代主機隔離技術

深信服EDR微隔(ge)離(li)下一代(dai)主機(ji)隔(ge)離(li)技術(shu)，架構(gou)于(yu)主機(ji)防火墻之上，基(ji)于(yu)輕(qing)量(liang)有(you)代(dai)理的(de)模式，與(yu)虛擬主機(ji)完全解耦(ou)，全面提供主機(ji)應(ying)用角色之間的(de)流量(liang)訪問(wen)控制，通過統一靈活的(de)安全訪問(wen)策略配置，簡(jian)單高效地對應(ying)用服務(wu)之間訪問(wen)進行(xing)隔(ge)離(li)，實(shi)現(xian)東西向業(ye)務(wu)流可(ke)視可(ke)控，完全滿足(zu)Gartner的(de)要(yao)求(qiu)。

1. 端點安全、東西向流量立體可視：直觀精確的觀察到每個終端的異常行為，并定位排查問題，及時動態調整控制策略，實現端點安全域東西向流量的可視化。
   
2. 配置靈活，細粒度微隔離管控：基于安裝輕代理主機Agent軟件的訪問控制，完全與虛擬化底層平臺解耦，無論是虛擬機還是PC機，均可從業務系統、應用角色、終端設備、業務部分等不同的維度靈活進行細粒度的隔離訪問控制策略，實現高效運維。
   

更值得期待的是，深信服EDR將上線微隔離功能進階版本，支持訪問關系自動采集梳理、快速配置策略、策略測試發布等全新功能，更輕松實現微隔離的可視可控！