网络安全和基础设施安全局 (CISA) 最近发布了一系列指导文件中的第一份,旨在帮助联邦机构实施微分段,作为其零信任架构 (ZTA) 战略的一部分,以遵守2022 年白宫的授权。
该文件《零信任中的微分段,第一部分:介绍和规划》指出,微分段“减少了攻击面,限制了横向移动,并增强了监控较小、孤立的资源组的可见性”。
考虑到在2025年Verizon DBIR报告中审查的所有数据泄露事件中,44%都存在横向移动和勒索软件,这是一个值得企业关注的重要转变。然而,尽管微隔离至关重要,但由于其复杂性,许多企业往往认为它遥不可及。可以说,这种看法是由美国国家安全局(NSA)和美国计算机信息安全局(CISA)延续下来的,这种观点值得挑战。
2023年,美国国家安全局 (NSA) 将完全微隔离标记为高级功能,仅适用于拥有成熟架构和高技能团队的组织。2021年,CISA 发布了零信任安全模型,在其成熟度图中将微隔离归类为“最佳”。
这些备受推崇的指导文件给各种规模的组织留下了这样的印象:微隔离是一项艰巨而先进的工作——只保留给最成熟的组织——尽管它被广泛认为是阻止横向移动和遏制勒索软件等威胁的最佳方式。
CISA 的最新指南明确呼吁各组织超越历史上手动的映射依赖关系、为不同环境建立访问策略以及解决策略执行中的差距的过程,以追求更加自动化和创新的方法。
虽然最新指南是为联邦机构编写的,但其适用范围远不止公共部门。与微隔离相关的最常见挑战——遗留系统、庞大的环境、横向移动风险——在商业行业中也同样存在。
许多企业,尤其是医疗保健、金融服务和关键基础设施领域的企业,正在使用 CISA 的零信任成熟度模型和微分段策略作为事实上的标准来指导他们自己的安全计划。
如果建议组织将微分段作为迈向网络安全和零信任架构的最后一步,那么这当然会是最后完成的事情。CISA 的指导反映了对现代威胁的认识,表明组织在进行传统的“爬、走、跑”动作时,不能对横向移动置之不理。
这一新指南为任何希望从静态控制转向动态身份感知访问的组织提供了实用的分阶段蓝图。
微分段改进了网络和应用程序分段等传统方法,这些方法能够有效地隔离网络内的组件,并限制成功攻击造成的损害。微分段将这种方法提升到更精细的级别,并将其扩展到高度分布式的环境,包括在边缘运行的容器。
通过将组件转换为小的、不同的实体,它允许组织对网络上的每个资产应用定制的安全策略和访问控制(例如最小权限策略)。
这种方法假设网络上任何地方的任何流量都是可疑的,并需要持续的授权和身份验证,以防止未经授权的数据和服务访问。重点是用户、应用程序或其他组件(机器身份越来越重要)的身份,而不是其在网络边界内的位置。
诚然,实施过程历来非常复杂——因此,CISA 发布了“第一部分”,重点介绍了分阶段实施微隔离的方法,未来还将发布更具技术性的指南。CISA 的指南为组织提供了权限和途径,使其能够立即优先实施微隔离。
正如零信任并非单一解决方案所能带来的单一结果一样,访问策略也并非一刀切。例如,理想情况下,每个请求都应实时评估,并通过多因素身份验证 (MFA) 和/或即时 (JIT) 凭证强制执行,这不仅限制了谁可以访问资源,还限制了访问时间。
然而,许多遗留应用程序和服务并不支持实时访问控制,因此 ZTA 必须足够灵活,以便在必要时采用混合方法,例如在可行的情况下强制执行 JIT,并在其他静态阶段应用最小特权。
CISA 的新指南为实施微隔离提供了一个实用的框架,同时明确指出,微隔离并非仅适用于最成熟的零信任环境的“高级”功能。它是组织所有目标的基础。
好消息是,这并非一个痛苦的过程。通过分阶段的方法和合适的工具,组织现在就可以踏上一条清晰的道路,迈向全面、有效的零信任环境。