微分段是一种允许应用程序在虚拟化网络环境后面的自己的安全区域中运行的技术。通过纯软件的安全方法，微分段消除了对基于硬件的防火墙的需求。由于它在工作负载和流程级别上设置和实施安全策略，微分段即使在网络迁移或重新配置的情况下也能使安全持久。

微分段是网络虚拟化的一个主要卖点，它通过在传统物理网络之上运行的逻辑虚拟网络来抽象网络服务。微分段对隔离的强调意味着在数据中心和云环境后面运行的物理网络中的任何重组都不会影响虚拟化工作负载，从而使它们能够在安全策略保持不变的情况下运行。即使工作负载在域之间移动，安全策略仍然存在。这种持久的安全性是微分段的主要特征和优势。

在传统网络中，安全与硬件相关，从防火墙到各个工作站。在操作上，安全性是在服务器和访问它们的客户端之间实现的。如果网络发生变化，则需要重新配置安全策略。否则，安全性可能会崩溃，网络也会受到威胁。此外，在网络中出现安全漏洞的情况下，由于同类安全区域，广泛破坏的可能性会被放大。上述缺点解释了为什么传统网络架构在数据中心环境和云平台中往往效果不佳。

如何使用微分段配置安全性？

通过微分段，可以根据应用程序及其工作负载、使用这些工作负载的位置以及这些工作负载需要访问的数据来配置安全性。安全策略可以这样设置，只要工作负载试图违反策略中规定的规则运行，它的网络访问就会被关闭。同样的功能可以向下扩展到进程级别，从而允许在网络安全中实现更精细的粒度。在操作上，微分段最适合在服务器到服务器和访问它们的应用程序之间流动的流量。这使其成为数据中心和云平台的理想选择。

确保您的组织在实施微分段时不依赖于任何特定供应商。您的方法应该适用于物理服务器、虚拟机和云提供商，而不管供应商是什么。通过确保平台独立性，当您的组织扩展其网络时，与其他供应商的集成变得更加容易。

微分段对于具有安全性和合规性意识的组织、通用开发和生产系统很有用。用例如下所述：

需要保护客户信息、员工信息、财务数据和知识产权等软资产。微分段提供了额外的安全层，可保护软资产免受恶意操作和渗漏。

将开发和测试环境分开并不一定能防止开发人员从生产数据库中获取客户信息等粗心行为。微分段通过限制开发和测试环境之间的连接性来进行严格的分离。

微分段还可以防止威胁在段之间移动并提供日志信息。这使其成为事件响应和查明安全问题的完美解决方案。

微分段还允许您跨多个数据中心和服务提供商实施统一的安全策略，从而保护跨越多个混合云部署的应用程序。

支付卡行业(PCI)合规性要求组织安全地处理信用卡信息，从而减少敏感持卡人信息的数据泄露。网络分段是实现它的方法，使PCI合规性成为一个很好的用例。

医疗保健组织应保护个人健康信息(PHI)以符合网络安全合规框架，关键安全控制是实现这一目标的一种方式。微分段、准确映射、敏感系统隔离和网络连接控制有助于实现与医疗保健相关的合规性目标。

微分段和网络分段之间的差异

随着数据中心不断从物理向虚拟、从企业向云发展，它们面临的安全挑战也在不断增加。近年来，从网络分段演变而来的微分段已成为应对安全挑战的替代解决方案。虽然网络分段和微分段可能具有提高网络安全性的相同目标，但它们之间存在显着差异，如下表所示：

微分段以隔离和保护工作负载的方式将数据中心和云环境划分为不同的区域。

通常，组织可以使用虚拟局域网(VLAN)、访问控制列表(ACL)和防火墙规则来实施安全策略。

虽然通过传统网络技术可以实现微分段，但大多数组织使用软件定义网络(SDN)来定义和管理跨多个工作负载的安全性。

它使用课程政策。它基于边界防御的概念，使用子网、VLAN、端口、协议来区分来自网络不同部分的流量。组织使用课程策略来防止威胁从外部网络向内部网络的南北移动。

它使用精细策略。IT管理员可以通过为更敏感的工作负载创建特定策略来加强安全性。通过利用精细策略，组织可以防止威胁在内部网络中横向移动（东西向）。

策略在VLAN和子网上实施。

策略在虚拟机(VM)和主机上实施。

集中管理不是强制性的。

管理是集中的。这最大限度地减少了在多个主机中管理安全性的开销。

网络虚拟化不是强制性的。组织仍然可以使用传统的网络技术来实现安全性。

通过SDN必须进行网络虚拟化。

凭借其针对工作负载和流程级别设置的细粒度安全功能，微分段使组织能够实现以下目标：

工作负载提供有限的攻击面，使其非常适合用于数据中心的各种部署模型。防止未经授权访问工作负载范围之外的任何内容。当应用程序被添加到环境中时，对策略进行必要的调整，从而使网络保持安全。

将隔离的工作负载作为安全区域，安全漏洞造成的损害是有限的。就其本质而言，在工作负载级别设置的安全策略限制了在入侵情况下来自攻击向量的潜在破坏性横向移动。如果有任何违反安全策略的行为，可以通过实时警报轻松捕获，从而使管理员可以相应地调整安全策略。

灵活、“恰到好处”的安全策略

通过在工作负载级别实施安全策略，无论数据中心位于何处，都可以在过于严格和过于开放的安全性之间取得平衡。由于工作负载现在是安全背后的主要驱动力，因此可以按照员工仍然能够在需要时不受限制地自由操作的方式构建它们。在需要更高安全性的地方，例如关键应用程序，可以相应地配置适用的工作负载。

微分段提供了一种方法，可以将受法规（例如HIPAA、GDPR和PCI）约束的数据段与基础架构的其余部分隔离开来。可以对这些隔离的部分进行严格控制，允许它们根据需要通过审计。因此，即使越来越多的组织越来越多地将数据存储的物理控制转移到云平台，也能确保合规性。