(德迅零域)微隔离安全平台是什么,有什么作用?

最新推荐文章于 2025-05-27 15:08:57 发布
原创 最新推荐文章于 2025-05-27 15:08:57 发布 · 1.2k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #服务器 #运维

微隔离技术在云计算环境中兴起,通过细粒度的网络隔离和可视化管理,解决了现代企业网络复杂性的安全挑战。文章详细阐述了微隔离的核心能力、优势以及在减少威胁、提升效率等方面的应用,强调了德迅零域微隔离安全平台的价值。

网络隔离并不是新的概念,而微隔离技术(Micro-Segmentation)是VMware在应对虚拟化隔离技术时提出来的,但真正让微隔离备受大家关注是从2016年起连续3年微隔离技术都进入Gartner年度安全技术榜单开始。在2016年的Gartner安全与风险管理峰会上, Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术的概念。“安全解决方案应当为企业提供流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。”

从微隔离概念和技术诞生以来,对其核心的能力要求是聚焦在东西向流量的隔离上(当然对南北向隔离也能发挥左右),一是有别于防火墙的隔离作用,二是在云计算环境中的真实需求。

为什么需要微隔离?

在云计算、虚拟技术的广泛应用之下,现代企业内部网络庞大且复杂,想要实施东西向控制会遇到许多挑战,只有解决好这些痛点问题,才能使它成为解决安全问题的一把利刃。

不少人提出来有VLAN技术、VxLAN技术、VPC技术,为什么还需要微隔离?在回答这个问题之前,我们先来看看这几个技术的定义和作用:

VLAN:即虚拟局域网,是通过以太网协议将一个物理网络空间逻辑划分成几个隔离的局域网,是我们目前做内部不同局域网段的一种常用技术;由于以太网协议的限制,VLAN能划分的虚拟局域网最多只有4096个。

VxLAN:即虚拟扩展局域网,为了解决VLAN技术在大规模计算数据中心虚拟网络不足的问题而出现的技术,最多可支持1600万个虚拟网络的同时存在可适应大规模租户的部署。

VPC:Virtual Private Cloud,即虚拟私有云,最早由AWS于2009年发布的一种技术,为公有云租户实现在公有云上创建相互隔离的虚拟网络,其技术原理类似于VxLAN。

从技术特点上看,VLAN是一种粗粒度的网络隔离技术,VxLAN和VPC更接近于微隔离的技术要求但还不是微隔离最终的产品形态。那么当工作负载数量急剧上升时我们急需一套更加智能的隔离系统。而德迅零域·微隔离安全平台可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。产品在真实威胁中,可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。以下是总结需要微隔离技术的几大理由:

一、流量看得清——业务拓扑图可视化展示访问关系

自动学习业务访问关系,并以多种拓扑图清晰展示,结合资产信息,为策略制定提供基础。

•拓扑图上交互式设置,自动生成策略,提高效率。
•发现主机上无用的端口,减少风险暴露面。
•丰富的查询方式和图例,直观评估策略配置情况。

二、策略好管理——多种策略形式实现自动化运维

依据不同管理场景,配置不同粒度的控制策略,并随业务或环境变化自适应调整策略,实现自动化运维。

•提供业务组、标签、端口、IP等不同粒度的策略管理。
•用标签定义策略,形式精简,降低运维成本。
•策略表达明白易读,避免基于IP的安全策略。

三、策略易验证——监控异常访问并自动验证策略

在不真实拦截流量的情况下,持续监控学习业务访问关系,自动验证策略准确性和覆盖度。

•自动验证策略正确性,减少人力成本。
•重保场景中,发现恶意横向渗透行为。
•发现异常访问,第一时间发出告警。

四、管控多选择——根据管理要求选择不同控制强度

访问控制模式决定控制策略如何放行/阻断网络连接,配合不同的管理要求,支持不同强度的控制模式。

•主机控制模式:为每个业务端口配置策略,严密防护。
•服务控制模式:管控20%的关键端口,降低80%的风险。

五、威胁可隔离——失陷主机快速隔离防止威胁扩散

在发生真实攻击场景下,提供应急响应手段,迅速隔离失陷主机网络,防止威胁进一步扩散。

•出站、入站、双向网络流量,可选择不同隔离方式。
•开放特定端口并指定访问IP,给上机排查问题提供条件。
•威胁清除后远程解除隔离,恢复正常通信。

六、保护更全面——非受控设备和DMZ区主机访问控制

对未部署Agent的网络设备和业务敏感主机实现保护,并可对DMZ区主机的外网访问进行控制。

•对已部署和未部署Agent主机之间的访问,进行安全控制。
•严格限制出入外网的流量,收缩DMZ区主机暴露面。

除此之外,微隔离产品的核心价值在于:

一、减少数据中心内部威胁

•阻止攻击者在内网的横向移动,极大减少攻击面和业务风险
•防止攻击者利用跳板窃取有价值的数据
•防止病毒在内部网络中传播
•可在网络层关闭高危端口的能力

二、缩短业务交付时间

•基于软件定义的隔离能力,让安全同样的敏捷、可控
•可在短时间为企业业务应用提供安全服务
•为各业务部门提供独立的安全服务,可进行策略的部署和业务的查看
•有效缩短企业安全所需要的可靠的应用和服务的交付时间

三、简化网络流量

•显著减少东西通信时所需的跳变,大幅提升业务应用性能
•消除无效过滤点(东西向流量被迫通过物理防火墙),避免造成阻塞和不必要的延迟
•工作负载部署与网络拓扑解耦,允许数据中心中所有工作负载进行策略部署和迁移

四、减少运维成本

•大幅减少安全运维中手动操作和安全性任务所需的时间
•独特的身份识别技术,为新入网的工作负载进行自适应策略配置
•高度的自动化和可编排能力消除了手工配置错误的风险

总之,微隔离安全平台以其高技术含量和精细化管理能力,成为了网络安全领域的新宠。它不仅能够有效应对各种网络安全威胁,还能够提高企业的安全防护水平和运营效率。随着技术的不断进步和应用场景的不断扩展,微隔离安全平台将在未来发挥更加重要的作用,为企业构筑起更加坚固的网络安全防线。

隔离、漏扫、端点防护平台——网络安全新三样
蔷薇灵动
07-31 2607
“防火墙、入侵防御、病毒查杀(防毒墙,主机杀毒软件)”,这个网络安全老三样被大家所熟知,正如“老三样已经过时了”的观点为大家所熟知一样。那么问题来了,“老三样”为什么过时了?不用老三样,又应该用什么呢? 退居二线的“老三样” 首先,我们还是要给这三位老同志发个终生成就奖。如果你仔细分析就会发现,防火墙管了网络层,入侵防御管了应用层,防毒墙管了数据或者说内容,这三位在网关的位置一站,还真就把那个时代绝大多数的网络安全问题给解决了。投资又少、部署又简单、效果又明显,如果实在没钱,只买这三样,基本就可以认为是
什么是青藤·隔离安全平台
m0_63828240的博客
07-05 995
在全球范围内,根据公开报告的事件统计,2021年勒索软件造成的损失预计超过200亿美元。
山石网科携手VMware发布基于NSX平台隔离可视化方案
weixin_34248487的博客
11-15 448
网络空间安全领导厂商山石网科携手全球云基础架构和移动商务解决方案的领导厂商VMware,发布支持VMware NSX?网络虚拟化平台的全新山石云·格隔离可视化方案。山石网科是国内一家专注于支持VMware NSX平台的网络安全厂商,其解决方案可帮助客户保护软件定义数据中心,抵御快速演变的网络攻击。 企业正面临多种内外部威胁,且情况不断加剧。尽管数...
VMware替代关键技术:以隔离技术创新,保障云内环境安全
qq_43622568的博客
09-13 819
随着各行业深入数字化建设,用户对云内环境安全的要求愈发严格,在VMware替代实施过程中,众多用户也希望通过虚拟化替代来提升数据中心安全性。深信服在安全已有多年技术积累,本文将针对云内环境如何基于隔离技术构建有效的安全防护,介绍隔离技术的技术发展、深信服在隔离技术方面的创新,为广大虚拟化用户及正在进行VMware替代的用户提供参考。隔离是网络安全的一项重要技术,已经广为人知。
隔离有哪些作用
dexunyun的博客
03-22 1222
通过将应用程序隔离安全的沙箱环境中运行的技术,以及自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理等功能,可快速隔离失陷主机网络,阻断横向渗透行为,保护应用程序和数据免受恶意软件或攻击的影响,让信任理念真正落地。3. 网络隔离:使用网络隔离技术,将应用程序所在的网络隔离在独立的网络中,避免应用程序受到网络攻击和威胁。2. 应用程序隔离:使用应用程序隔离技术,将不同的应用程序隔离在独立的进程或线程中,避免不同应用程序之间的交互,从而保证应用程序的安全性。
等保测评是什么?为什么要做等保测评?
XRY_XIAO的博客
09-09 2128
等保测评是什么?为什么要做等保测评?
安全每日一讲】API是什么?解密API背后的奥秘
a38417的博客
05-15 1018
同样,API的存在可以提升应用程序之间数据交互的效率,不管是基础数据传输,还是更高级的自动化管理和分析,通过API可以最大化延伸应用程序数据的价值。API全称Application Programming Interface,即应用程序编程接口,是一些预先定义的函数,或指软件系统不同组成部分衔接的约定,用于传输数据和指令,使应用程序之间可以集成和共享数据资源。淘宝、京东等电商平台提供了API,允许第三方开发者通过API访问电商平台的数据和功能,从而实现电商平台的扩展和应用。
如何预防服务器IP被劫持,危害有什么?
dexunjiaqiang的博客
01-23 1268
服务器IP被劫持是一种严重的网络安全问题,攻击者通过篡改服务器的IP地址,将网络流量重定向到恶意服务器或网站,导致用户无法正常访问目标服务器,并可能面临数据泄露、恶意软件感染等安全风险。
服务器是什么?
dexun2881281453的博客
07-07 2245
服务器是计算机的一种,它比普通计算机运行快、负或事高,价格。服务器网络中为其客户机(如PC机、智能手机、ATM等经端甚至是火车系统等大型设备)提供计算或者应用服务。服务器具有高速的CPU运算能力长时间的可靠运行、强大的1/O外部数据吞吐能力以及更好的扩展性。根据服务器所提供的服务,一般来说服务器都具备承担响应服务请求,承担服务、保障服务的能力。服务器作为电子设备,其内部的结构+分的复杂,但与普通的计算机内部结构相差不大,如;cpu、硬盘、内存,系统、系统总线等。比如我想要搭建一个网站,或是开发一款APP、小
数据库后门是什么?我们要如何预防它的危害
dexunjiaqiang的博客
12-09 992
数据库后门是黑客在数据库中安装的一种特殊程序或代码,可以绕过正常的认证和授权机制,从而获取数据库的敏感信息或者控制整个数据库。黑客可以通过各种方式安装后门,比如利用漏洞、钓鱼、社会工程学等。
隔离:好还是不好?
weixin_34301132的博客
08-01 534
更细粒度的控制是个好东西,但说的总比做的容易 RedSeal首席技术官 麦克·罗伊 虚拟数据中心事务繁杂。在安全上,我们听过各种版本的“隔离”。这个术语源于VMware,但被其他多个领借用,有些为其做了引申。 大家都知道隔离是什么。每个企业都会将网络至少分隔为外网和内网。大多数公司都想要某种程度上的内部隔离,但太多的光说不练——除非审计迫在眉睫...
信息安全-终端安全(非常详细),从基础到精通,收藏这篇就够了!
Python_0011的博客
05-27 998
前期已发布IT建设之路(专业技术篇)之“企业IT管理”、“IT技术架构”,目前正在发布的章节是“信息安全”,后续还会有“应用架构”、“数据架构”。终端安全与网络安全是信息安全的一体两面,即使网络安全做得再好,也会因为终端安全做得不好功亏一篑。接下来两篇将介绍终端安全,首先本文介绍如何对终端进行信息安全管理,下篇介绍如何确保终端操作系统和数据安全
云原生安全技术基于实现
m0_73803866的博客
10-29 333
在云原生环境中,尤其是云原生网络安全的建设和规划中,以信任的架构和思路,实现云原生网 络的隔离和访问控制是必要的。隔离(Micro-Segmentation)最早是 VMware 为应对虚拟化隔离技术出来的。
什么是隔离技术?
a38417的博客
03-09 2662
隔离可以在数据中心深处部署灵活的安全策略。指数据中心内部服务器彼此相互访问所造成的内部流量,在云计算数据中心中,处于相同网络(子网)内用户业务虚拟机(容器)之间的流量,以及相同虚拟路由器不同网络(子网)内用户业务虚拟机(容器)间的流量,据统计,当代数据中心 75%以上的流量为东西向流量。指通过网关进出数据中心的流量,在云计算数据中心,处于用户业务虚拟机(容器)跟外部网络之间的流量,一般来说防火墙等安全设备部署在数据中心的出口处,来做南北向流量的安全防护。隔离的四种技术路线隔离的四种技术路线。
为什么说“隔离技术“ 那么重要,给您答案
dexunjiaqiang的博客
04-06 928
领先的隔离产品,能够做在十万点级别的数据中心内做到容器间流量的识别与访问控制,甚至能做到基于进程的访问控制,这个细粒度正是信任所要求的。可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。在云计算、虚拟技术的广泛应用之下,现代企业内部网络庞大且复杂,想要实施东西向控制会遇到许多挑战,只有解决好这些痛点问题,才能使它成为解决安全问题的一把利刃。——聚合、统计网络连接,进行可视化呈现,根据业务流量生成网络策略,并分析策略的覆盖。
主机安全≠内网无忧——有主机安全为何还要隔离
蔷薇灵动
04-18 703
主机安全隔离,前者聚焦服务器资产(物理机、容器等)的系统层防护,后者专注网络层的东西向流量治理。二者一个面向主机,一个面向网络,本身就不是替代关系,任一维度的能力再完备,亦无法弥补另一维度的防御缺口。
隔离)详述
m0_66268916的博客
09-01 1124
隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个小的网络节点,根据动态策略分析对这些节点执行访问控制,在逻辑上将这些节点隔离开,限制用户横向移动,这就是隔离。每个节点要访问其他节点的资源,都需要经过隔离客户端的认证,如果节点身份认证不通过,或不具备访问权限,会被客户端拦截。(1)在云计算领,由于虚拟机之间的通信存在安全风险,信任隔离技术可以用于实现虚拟机之间的隔离,保护不同虚拟机之间的资源安全,防止恶意用户通过虚拟机越权访问其他虚拟机中的数据。与传统方案的优势是什么?
云原生网络的隔离实现技术
securitypaper的博客
10-29 1323
在云原生环境中,尤其是云原生网络安全的建设和规划中,以信任的架构和思路,实现云原生网 络的隔离和访问控制是必要的。隔离(Micro-Segmentation)最早是 VMware 为应对虚拟化隔离技术出来的。
sql注入语句如何判断有没有漏洞
最新发布
08-13
检测网站或应用程序是否存在 SQL 注入漏洞是 Web 安全测试的重要环节之一。以下是几种常见且有效的检测方法: ### 3.1 使用 SQL 注入测试语句 可以通过在输入字段中插入特定的 SQL 注入测试语句来检测是否存在漏洞。例如: - `' OR 1=1 --` - `1' OR '1'='1` - `' UNION SELECT null, username, password FROM users --` 如果应用程序未对这些输入进行正确过滤或转义,可能会导致数据库返回异常信息或执行非预期的查询,从而表明存在 SQL 注入漏洞 [^1]。 ### 3.2 利用错误信息判断 许多 SQL 注入漏洞可以通过观察数据库返回的错误信息来识别。例如,当输入非法字符时,应用程序如果返回类似以下的错误信息: ``` You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1 ``` 这可能表明输入未被正确处理,存在潜在的 SQL 注入风险 [^2]。 ### 3.3 使用自动化工具检测 可以使用自动化工具对网站进行全面扫描,以发现 SQL 注入漏洞。例如: - **SQLMap**:一个开源的渗透测试工具,专门用于自动检测和利用 SQL 注入漏洞。 - **Burp Suite**:通过拦截请求并修改参数,可以手动或使用插件(如 Intruder)进行 SQL 注入测试。 - **漏洞扫描服务**:提供全面的 Web 漏洞扫描功能,能够识别 SQL 注入等常见漏洞 [^1]。 ### 3.4 检查响应差异 通过构造不同的 SQL 注入语句并观察响应差异,可以判断是否存在盲注(Blind SQL Injection)漏洞。例如: - `' AND 1=1 --`:如果页面正常显示,而 `' AND 1=2 --` 导致页面无返回或出错,则可能存在盲注漏洞 [^2]。 ### 3.5 源代码审计 在开发阶段,应进行源代码审计,检查是否对用户输入进行了适当的过滤、转义或使用了参数化查询(Prepared Statements)。例如,在 PHP 中应使用 PDO 或 mysqli 的预处理语句,而不是直接拼接 SQL 字符串 [^3]。 ### 3.6 使用 Web 应用防火墙(WAF) 部署 Web 应用防火墙(如 SCDN 中的 WAF)可以在一定程度上帮助检测和拦截 SQL 注入攻击。WAF 可以基于规则匹配 SQL 关键字、特殊符号、运算符、操作符、注释符等组合特征,从而识别潜在的 SQL 注入行为 。 ### 示例代码:PHP 中使用 PDO 防止 SQL 注入 ```php <?php $pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username'); $stmt->execute(['username' => $_GET['username']]); $user = $stmt->fetch(); ?> ``` 该示例使用了参数化查询,可以有效防止 SQL 注入攻击 [^3]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值