微隔離好還是不好？

本文講的是微隔離：好還是不好？，更細粒度的控制是個好東西，但說的總比做的容易

虛擬資料中心事務繁雜。在安全上，我們聽過各種版本的「微隔離」。這個術語源於vmware，但被其他多個領域借用，有些為其做了引申。

大家都知道隔離是什麼。每個企業都會將網路至少分隔為外網和內網。大多數公司都想要某種程度上的內部隔離，但太多的光說不練——除非審計迫在眉睫。很多網路對審計員關注的資產做了一定的隔離，比如患者記錄和信用卡資訊。確實有企業高出安全複雜性曲線，對業務有嚴格的區域劃分，並對跨區域訪問有一定程度的監管。但這些一般都是大型複雜企業，因而每個區域也往往很大。

簡單算一下就知道，要跟蹤n個區域，考慮的必然是n*(n-1)個關係。這是指數級上公升的數字。即便員工充裕的團隊也難以應付單一網路中的十幾個主要分割槽。聽起來似乎不多，但任意兩個網路隔離之間的開放訪問，很容易就會超過50萬對通訊。全面審計其中乙個隔離就已經是超人般的壯舉了。

但如今，牽引it戰車的戰馬又多了兩匹：虛擬資料中心和軟體定義網路。二者提供更多的隔離，更細的控制，大幅減少it團隊工作量(不同市場營銷團隊承諾的工作負載減少量不盡相同，就看你選擇相信哪家了)。聽起來真是太棒了，誰不想要超精細的控制呢？再沒人相信「僅邊界」模式就能搞定安全了。那麼，更多的控制必然更好，對嗎？但實際上，如果你僅僅將此技術甩到現有堆疊上而沒有擴充套件計畫，也是沒什麼卵用的。

如果你以難以搞定的複雜管理任務做為開端，簡單拆分成更小的任務，分發到更多的地方，那很快，你就會瘋狂**到生無可戀。

真的沒什麼希望了嗎？當然不！問題出在規模上。在快速發展的基礎設施裡，更多的隔離，會給已經疲於應付的人類團隊製造更多的麻煩。但這正好是計算機非常擅長處理的那類問題。關鍵就在於認清：你得從實現中將目標(允許在網路**現的東西)剝離出來，無論你的實現是遺留防火牆，還是管理虛擬工作負載策略的新鮮gui。

現實世界中，這不是個非此即彼的問題，而是二者兼具的問題。因為你不得不在更寬廣的網路中協調你的虛擬工作負載防護。全網必然不是軟體定義的，它會非常頑固地駐紮在你面前，繞不過，推不開。

也就是說，如果你能描述清楚你的網路職能，你就能贏得漂亮。把你的目標從具體實現中分割出來吧。比如說，在各業務單元區間關係中用通用術語將意圖記錄下來。然後，你就能用自動化軟體來檢查是否確實符合該網路被設定的原本職能了。計算機不會累，它們只是不太清楚你的公司或你的對手，因而寫不出適合你的具體規則。

相信軟體能搞清公司企業的運作方式，或者希望軟體能迷惑對手，是不現實的。既然軟體都不能通過圖靈測試，區區乙個演算法又怎能理解作為現代惡意軟體支柱的社會工程呢？

微隔離不是個壞東西。這就像是詢問水是不是個壞東西一樣。用對了，是生命之源；肆虐了，便是死亡使者。在這個問題上，學會游泳可不是找出最新萬能安全產品這麼簡單的事兒，而是要弄清你整體基礎設施協同運作機制，知曉它是否在滿足業務需求的同時又沒有暴露過多的攻擊介面。

微隔離好還是不好？

ajaxterm不好還是gateone好

隔離級別高好還是低好？

（轉）UUID做主鍵，好還是不好？這是個問題。

微隔離 好還是不好？

ajaxterm不好還是gateone好

隔離級別高好還是低好？

（轉）UUID做主鍵，好還是不好？這是個問題。

相關推薦

微隔離好還是不好？