网络安全问题在企业中愈演愈烈：基础设施复杂、更大的流量、更多的应用以及数据存储等，这些无休止的威胁使企业面临的风险不断增加。

CIO以及IT架构师正在反思传统的安全方案，并采用新的技术来增加当前虚拟数据中心的粒度和响应能力。微分段是一种新兴的安全技术，它将数据中心划分为逻辑单元并采用高级安全策略进行管理。如果传统的安全界限被打破，这将有助于隔离访问并限制恶意活动的横向移动。

微分段承诺为企业提供一系列优势，但IT专业人士应该理解微分段的一些预设置条件以及潜在的陷阱。

微分段定义

在基本网络用语中，“分段”是指将以太网划分为子网络（也就是子网），以管理并控制网络流量，而不是将所有数据包发送给所有节点。网络分段提供了基础工具，提升了网络性能，并在传统静态网络中引入了安全性。

微分段基于这一基本理念，抽象出新的虚拟化及控制层。使用微分段，数据中心被划分为逻辑单元，这些逻辑单元往往是工作负载或应用。这样IT能够针对每个逻辑单元制定独特的安全策略与规则。一旦周边被渗透，微分段能够显著减少恶意行为的攻击面，并限制攻击的横向（东西）移动。由于策略与逻辑分段相关，工作负载迁移同样会迁移安全策略。这消除了单调乏味、易于出错、往往会带来安全漏洞的手工配置过程。

6connect是一家软件与服务公司，提供网络资源配置与自动化服务。公司的COO及联合创始人Pete Sclafani说：“微分段是对特定应用安全功能的应用及强化。在过去一直是集中式堆栈，这样即使策略配置合理，也存在打开安全问题大门的灰色地带。”

微分段并不是新概念，其应用则是由具备抽象硬件能力的软件定义网络（SDN）以及软件定义数据中心（SDDC）技术引爆。在软件定义技术出现之前，采用微分段需要依赖传统的物理防火墙以及VLAN。手工配置时需要针对东西流量控制配置内部防火墙——并随着时间的变化对配置进行维护——这简直太过复杂、代价太大了。作为对比，SDN以及SDDC支持安全配置，能够灵活地改变参数、增强所有虚拟机的安全性。

微分段的优势

传统防火墙能够实现常见的南北向防护，但微分段明显地限制了企业内工作负载之间不必要的东西向通信。这种零信任方式显著改变了网络攻击模式：攻击者进行边界渗透并监视网络活动等待时机到来，注入恶意软件并控制核心系统——最终剽窃有价值的数据或者破坏业务活动。

基于软件规则的活动让微分段对所有工作负载实现了快速、灵活以及细粒度的安全控制。IT管理员不再需要在单个硬件设备上手动配置防火墙以及路由器规则，同时避免因出错和疏忽而可能引发的新的脆弱性或破坏性能的风险。

“集中架构中安全策略变更即使没有直接影响到服务，但也面临着服务中断的重大风险，”Sclafani说，“很多记录表明有人更新了防火墙规则，但给下游应用造成了意想不到结果，而这些应用本不该受到任何影响的。”。

更好的安全以及细粒度控制带来为更简单的网络设计。例如，当同一个子网中的两台或多台主机无法直接彼此通信时会发生“网络发夹”现象——主机必须先将流量发送到子网外部，然后流量再返回到子网内的目标服务器。虽然网络可以采取常见的安全措施，但在本质上造成了流量“急转弯”。“网络发夹”提升了流量等级，但并不一定对环境是有益的（除了允许隔离的终端通信之外）。微分段允许系统之间直接进行东西向通信并避免了“网络发夹”，简化了网络并提升了网络性能。

此外，针对每个工作负载建立的微分段安全策略与工作负载而非网络硬件关联。这意味着应用于工作负载（通常安装在虚拟机上）的任何微分段规则将与工作负载为伴。例如，工作负载在会被迁移以平衡计算负载或者进行系统维护时，并不需要重新配置或者创建新的安全规则。这同样可以帮助企业更好地消减风险，满足安全审计以及合规要求。

一家体育用品零售商的IT主管说：“微分段既高效又安全。使用基于软件的方式与hypervisor直接进行交互意味着我们能够“模板化”我们的安全方式——我们在最初创建系统时就能够将安全作为其中的基本组成部分。这已经成为惯例。”

最后，在应用微分段的过程中还需要对一些事项加以关注，请看第二部分《微分段的应用及注意事项》