摘要：網絡病毒如同新冠病毒一樣在云環境中擴散，云內安全防護越來越引人關注。運用零信任的云內微隔離技術，可以有效地使企業上云更加放心、安全。

　　云內微隔離簡介：

　　在介紹微隔離技術之前，有必要先了解零信任架構，零信任是為了滿足愈發復雜的企業構成，從而催生出的一種專注于資源保護的網絡安全范例，前提是永遠不要隱式授予信任而必須持續評估信任。目前主流的零信任架構有：使用增強的身份治理的零信任架構，使用微分段的零信任架構，使用網絡基礎架構和軟件定義邊界的零信任架構。而微隔離技術，則是基于微分段的零信任架構實現的重要技術。

　　微分段的零信任架構是基于將單個或一組資源放在由網關安全組件保護的其自己的網段上來選擇實施零信任架構。通過這種方法，企業可以放置NGFW或網關設備以充當PEP（策略執行點），從而保護每個資源或資源組。對于微分段的描述是基于物理設備的，而云內微隔離技術則是在云環境下，對資源更靈活，更細粒度地構建微分段架構。

　　云內微隔離，最早由Gartner在其軟件定義的數據中心相關技術體系中提出。從廣義上講，云內微隔離就是一種更細粒度的網絡隔離技術，使用策略驅動地防火墻技術（通常是基于軟件的）或者網絡加密技術來隔離數據中心，公共云IaaS和容器，在邏輯上講數據中心劃分為不同的安全段，每個段包含混合場景中的不同工作負載、應用和進程，可以為每個段定義安全控制和所提供的服務。

　　企業上云現狀（需求）：

　　在如今云計算的飛速發展地時代，為了降低企業成本，同時對外開放多種接口，使得企業運營中的銷售、供應、管理等環節都可以與外面的平臺對接，許多企業都選擇了上云。

　　在企業上云之后，企業便可以通過網絡便捷地按需使用資源（包括計算資源、存儲資源、應用軟件、服務及網絡等），且高度擴展、靈活易管理的業務模式，具有大規模、虛擬化、高可靠及彈性配置等屬性。

　　尤其受新冠疫情的影響，許多企業選擇了上云，共享其服務及能力，有效降低企業信息化構建成本和生產運營成本，改善企業工作效率，提升企業管理水平，另一方面也方便了企業員工在家遠程辦公。

　　企業上云分為基礎系統上云、管理上云、業務上云，而很重要的也是很常見的則是企業的數據中心上云，那么對于如今的云上數據中心而言，主要有南北向流量和東西向流量，我們通常使用防火墻進行南北向流量的安全防護，但此時一旦黑客突破了防火墻進入了內網，在內網中缺少有效的安全防護措施來限制東西向流量。隨著東西向流量占比逐漸增大，為了限制黑客在進入內網后地東西向訪問，便可使用云內微隔離技術進行防護。

　　微隔離如何解決云安全：

　　想要實現云內微隔離，首先需要進行分區分隔，而微隔離技術達到的效果是和分隔細粒度成正比的。但分割的細粒度越細，IT部門就越需要了解數據流，了解系統、應用和服務之間到底是怎樣的互訪關系。

　　云內微隔離系統有別于傳統防火墻單點邊界上的隔離，它通常是由一個控制中心，和多個分布式虛擬化防火墻組成的，具有分布式和自適應的特點。控制中心是微隔離系統的中心平臺，它需要能夠通過3D拓撲地形式可視化地展現系統內部業務之間地互訪關系，方便運維人員理清內部訪問關系，同時能夠靈活地配置分布式虛擬化防火墻，對每一個微分段都能夠進行自適應地配置和遷移。

　　當每一個微分段前都部署了分布式虛擬化防火墻之后，流量不論是流入還是流出該分段，都需要先經過防火墻，保證了該分段地安全。

　　使用微隔離所達到的結果：

　　在運用云內微隔離技術后，不僅可以防止數據泄露，還可以在企業云內一臺主機被攻陷后，最大程度上地縮減黑客能夠到的主機范圍和工作負載。同時，在云內一臺主機被攻陷后，可以限制黑客與其他業務區域的訪問，或是控制其他的主機。這么做也方便了攻擊事件發生后的攻擊溯源。