德迅零域——零信任的核心是微隔离

零信任是企业数字化安全转型的必由之路，Zscaler《2023年零信任转型状态报告》指出，企业仅凭借防火墙和VPN等传统网络安全基础设施不可能实现安全的云转型。

但企业的零信任之旅正面临艰巨的挑战，根据Garnter的报告，虽然90%迁移到云的企业正在采用零信任，但只有22%的企业有信心利用零信任的诸多优势并实现业务转型；Gartner预测，到2023年至少99%的云安全故障原因都是用户错误导致，在多云配置中能否正确进行微隔离将决定零信任计划的成败。

一.微隔离

微隔离是使用访问控制来隔离系统中的各种组件和服务。它允许您分层安全措施，例如防火墙或授权措施，以提高安全性。它还使您可以限制对资产的访问，从而减少了攻击者利用横向漏洞的机会。

零信任架构利用微隔离来确保甚至网络内的用户或应用程序也受到适当限制。它可以确保即使攻击者确实进入了网络，也可以严格限制他们可能造成的破坏。微细分和云原生开发通常是并行的。但是，微隔离本身并不能满足您所有的云安全需求。区分微隔离作为一种安全措施和云安全 作为一个整体。

二.微隔离概念科普：

微隔离最早由Gartne在其软件定义的数据中心相关技术体系中提出。对数据中心而言，主要有南北向流量和东西向流量：南北向流量是指通过网关进出数据中心的流量；东西向流量是指数据中心内部服务器彼此相互访问的内部流量。传统防护模式通常采用防火墙作为南北向流量的安全防护手段，一旦攻击者突破防护边界，缺少有效的安全控制手段用来阻止东西向流量之间的随意访问。随着东西向流量占比越来越大，微隔离技术应运而生，其作为一种网络安全技术，重点用于阻止攻击者在进入企业数据中心网络内部后的东西向移动访问。从广义上讲，微隔离就是一种更细粒度的网络隔离技术，使用策略驱动的防火墙技术（通常是基于软件的）或者网络加密技术来隔离。

三.零信任防御架构的八大支柱

三大基本原则为构建零信任架构 (ZTA) 奠定了基础。此外，零信任安全的八大支柱构成了一个防御架构，旨在满足当今复杂网络的需求。这些支柱分别代表了对零信任环境进行分类和实现的关键关注领域。

身份安全——身份是唯一描述用户或实体的属性或属集性。通常被称为用户安全，其中心是使用身份验证和访问控制策略来识别和验证试图连接到网络的用户。身份安全依赖于动态和上下文数据分析，以确保正确的用户在正确的时间被允许访问。基于角色的访问控制 (RBAC)和基于属性的访问控制 (ABAC) 将应用于该策略以授权用户。

端点安全——与身份安全类似，端点（或设备）安全对尝试连接到企业网络的设备（包括用户控制和自主设备，例如物联网设备）执行“记录系统”验证。其侧重于在每个步骤中监视和维护设备运行状况。组织应该对所有代理设备(包括移动电话、笔记本电脑、服务器和物联网设备)进行清点和保护，以防止未经授权的设备访问网络。

应用程序安全——应用程序和工作负载安全包括本地和基于云的服务和系统。保护和管理应用层是成功采用零信任状态的关键。安全性封装了每个工作负载和计算容器，以防止跨网络收集数据和未经授权的访问。

数据安全——侧重于保护和强制访问数据。为了做到这一点，数据被分类，然后与除需要访问的用户之外的所有人隔离。这个过程包括基于任务关键度对数据进行分类，确定数据应该存储在哪里，并相应地开发数据管理策略，作为健壮的零信任方法的一部分。

可见性和分析——对与访问控制、分段、加密和其他零信任组件相关的所有安全流程和通信的可见性提供了对用户和系统行为的重要洞察。在此级别监控网络可改进威胁检测和分析，同时能够做出明智的安全决策并适应不断变化的安全环境。

自动化——通过自动化在整个企业中一致地应用策略的手动安全流程来提高可扩展性、减少人为错误并提高效率和性能。

基础设施安全——确保工作负载中的系统和服务免受未经授权的访问和潜在漏洞的影响。

网络安全——柱侧重于隔离敏感资源，防止未经授权的访问。这涉及实施微分段技术、定义网络访问以及加密端到端流量以控制网络流量。

四.德迅零域（微隔离）

德迅零域·微隔离安全平台可部署在混合数据中心架构中，实现跨平台的统一安全管理，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理。产品在真实威胁中，可快速隔离失陷主机网络，阻断横向渗透行为，让零信任理念真正落地。

五.德迅零域 产品概述

一.德迅零域·微隔离安全平台可部署在混合数据中心架构中，实现跨平台的统一安全管理，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理。产品在真实威胁中，可快速隔离失陷主机网络，阻断横向渗透行为，让零信任理念真正落地。

二.德迅零域由Agent、计算引擎和控制台组成，支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境，异构环境对用户完全透明

1.Agent：实时采集业务网络连接和资产信息，接收服务端指令，管控主机防火墙。

2.计算引擎：聚合、统计网络连接，进行可视化呈现，根据业务流量生成网络策略，并分析策略的覆盖。

3.控制台：控制台可清晰展示网络连接和策略配置情况，用户通过控制台集中管理网络策略并进行隔离操作。

六.德迅零域产品功能

1.数据库审计
流量看得清——业务拓扑图可视化展示访问关系
自动学习业务访问关系，并以多种拓扑图清晰展示，结合资产信息，为策略制定提供基础。
拓扑图上交互式设置，自动生成策略，提高效率。
发现主机上无用的端口，减少风险暴露面。
丰富的查询方式和图例，直观评估策略配置情况

2.策略好管理
策略好管理——多种策略形式实现自动化运维
依据不同管理场景，配置不同粒度的控制策略，并随业务或环境变化自适应调整策略，实现自动化运维。
提供业务组、标签、端口、IP等不同粒度的策略管理。
用标签定义策略，形式精简，降低运维成本。
策略表达明白易读，避免基于IP的安全策略。

3.策略易验证
策略易验证——监控异常访问并自动验证策略
在不真实拦截流量的情况下，持续监控学习业务访问关系，自动验证策略准确性和覆盖度。
自动验证策略正确性，减少人力成本。
重保场景中，发现恶意横向渗透行为。
发现异常访问，第一时间发出告警。

4.管控多选择
管控多选择——根据管理要求选择不同控制强度
访问控制模式决定控制策略如何放行/阻断网络连接，配合不同的管理要求，支持不同强度的控制模式。
主机控制模式：为每个业务端口配置策略，严密防护。
服务控制模式：管控20%的关键端口，降低80%的风险。

5.威胁可隔离
威胁可隔离——失陷主机快速隔离防止威胁扩散
在发生真实攻击场景下，提供应急响应手段，迅速隔离失陷主机网络，防止威胁进一步扩散。
出站、入站、双向网络流量，可选择不同隔离方式。
开放特定端口并指定访问IP，给上机排查问题提供条件。
威胁清除后远程解除隔离，恢复正常通信。

6.保护更全面
保护更全面——非受控设备和DMZ区主机访问控制
对未部署Agent的网络设备和业务敏感主机实现保护，并可对DMZ区主机的外网访问进行控制。
对已部署和未部署Agent主机之间的访问，进行安全控制。
严格限制出入外网的流量，收缩DMZ区主机暴露面。

六.德迅零域·微隔产品亮点

1.轻Agent安全稳定：CPU占用率<1%，内存占用<40M，稳定性高达99.9999%

2.统一安全管理：Agent集成微隔离、主机安全、容器安全等多种能力，并且Agent和Server统一进行安全管理

3.跨平台支持：支持CentOS、RedHat等主流操作系统及VMware、OpenStack等多种IT环境

当前越来越趋于常态化、实用化，国家、政府、省部、各企事业单位总部等自上到下、从被动到主动地展开相应的工作，一定程度上也预示着大型攻防演练活动的重要性与日俱增。此外，随着云计算方式的范围扩大，传统防御解决方案将被优化甚至颠覆。在这样的安全环境和挑战下，微隔离作为新一代的网络隔离控制技术，不仅是未来云端安全管理必不可少的一环，也是适应攻防对抗防护的基本手段。因为从长远来看，微隔离的实行能帮助企业大幅降低不可避免的安全入侵风险，在增加安全控制的同时，还保留了发挥现代工作流和混合基础设施优势所必需的灵活性，最终帮助安全团队以细粒度维持 IT 资产的保密性、完整性和可用性。