smartX 趋势分享由 SmartX 团队内部分享的权威机构市场报告、全球重要媒体文章精选整理而成。内容涉及现代数据中心相关产业趋势以及金融、医疗、制造等行业全球用户需求与实践前沿洞察。在“零信任实践”系列的第一篇文章中，我们介绍了两种实现零信任的技术路线：ZTNA 和基于身份的分段（Identity-Based Segmentation，也称“微分段”）。本期，  我们将分享 Gartner 关于微分段的技术解析，通过分析三种实现方案，为企业提供详实的微分段实践建议。

一、什么是基于身份的分段

基于身份的分段是指将应用程序工作负载的身份应用于安全策略（policy）的执行。它使用基于策略和工作负载身份的防火墙（通常基于软件），或有区别地加密网络通信来隔离数据中心、公有云 IaaS 和容器中的工作负载、应用和进程。工作负载隔离的范围涵盖了私有云和多个公有云 IaaS 提供商。基于身份的分段按照逻辑关系对网络中的工作负载进行划分，并对单个工作负载或一组工作负载应用安全策略。策略可以基于非常精细的设置（不仅仅是 IP 或端口），如标记（tags）、操作系统类型或应用特性。

基于这一技术，用户可为每个工作负载量身定制分布式服务和精细策略。  这种策略创建方式可以保护东西向或应用内的通信，限制恶意软件的横向移动，减小攻击面并缩短停留时间。实施后，用户可以更清楚地了解数据中心流量并加强控制。

服务编排、虚拟化、容器化和软件定义网络等技术的成熟已经为开发运营和应用敏捷性铺平了道路。可以看到，软件定义的数据中心在服务的交付速度上大幅提升，因此任何为数据中心设计的新安全措施都应顺应这些发展趋势。基于此，我们认为能够强化并扩展数据中心安全性的基于身份的分段技术应具有以下特点：

• 自动化——解决方案应支持自动识别、创建和模拟策略。部署应可人工进行控制和验证。策略的更新或添加应根据现有流程进行验证，以防止出现任何不合规的情况。同时，自动化对于无中断扩容也具有重要意义。
• 契合环境——规则应基于工作负载的属性和关系，而不是 IP 地址。该技术应将工作负载与多维标签或标记相关联，以实现策略部署的自动化。它应能够收集环境元数据，如进程 ID、进程映射和进程所有者。还应能够处理 CMDB、负载均衡器、防火墙、公有云标记和编排平台等各类第三方来源的数据。一些解决方案还会创建基于身份的标记，以进一步强化基于身份的分段中的“默认拒绝”原则。
• 智能化——该技术应具有流量感知能力。它需要利用 AI/ML 算法不间断地发现新的、正在迁移和不断变化的工作负载以及这些工作负载之间的通信模式。它应该能够推荐工作流分组和适当的策略，并以可视化的方式展现通信流程。
• 精细化——该解决方案应能提供单个工作负载级别（裸机、虚拟机和容器）的安全保障。许多无代理解决方案都为物联网、资料采集与监视系统（SCADA）和无服务器工作负载提供支持，因此应考虑将这类解决方案应用于更多使用场景。
• 灵活性——安全策略应能在混合环境中实现集中管理。策略应与工作负载相绑定，并且能够伴随工作负载进行跨数据中心和云端的移动、变更或迁移。该工具的覆盖范围还应足够广，能够涵盖异构数据中心。可以说，灵活性是基于身份的分段技术的一个核心原则。
• 集成化——该工具应支持与企业网络防火墙（包括第三方防火墙管理工具）等第三方安全产品进行集成。该工具应具有利用其他安全产品的 API 检索或推送数据以提升整体效力的能力。
  

理论上讲，精细的分段也可以通过部署更多的防火墙来实现。但这种方案成本高昂并会产生大量运行开销，因此无法大规模运用。目前市场上有多种不同的基于身份分段的解决方案，他们的区别在于部署模式。由于许多方法都可以实现基于身份的分段，企业安全和风险管理主管应选择与其数据中心环境相关度最高的解决方案。下面我们将针对一些常见的部署方式展开讨论。