Mikrosegmentace je metoda pro vytváření granulárních zabezpečených zón v datových centrech a nasazení cloudu až po jednotlivé pracovní zátěže pomocí virtualizační technologie k monitorování a ochraně bočního provozu. Tradiční bezpečnostní řešení, jako jsou brány firewall, VPN a řízení přístupu k síti (NAC), se zaměřují především na ochranu obvodu sítě, známého také jako severojižní provoz. Mikrosegmentace na druhé straně monitoruje a zajišťuje provoz na východ-západ nebo do stran. To zahrnuje připojení server-to-server, aplikace-server a web-server v síti.
Rostoucí přijetí softwarově definovaných sítí a virtualizace sítí vytvořily potřebu podrobnějších vnitřních bezpečnostních opatření. Mikrosegmentace je jádrem zabezpečení Zero Trust.
Mikrosegmentace vs. segmentace sítě
Organizace s hardwarovým prostředím používají pro segmentaci sítě brány firewall, VPN a VLAN. Tato metoda chrání obvod, ale nezabezpečuje vnitřní provoz. Spoléhá se na hrubé zásady, které nabízejí omezenou kontrolu provozu. Pokud by útočník mohl získat přístup, měl by důvěru v volný pohyb po celé síti. Mikrosegmentace má za cíl blokovat tato neoprávněná připojení.
Granulované zásady zabezpečení jsou každému segmentu přiřazeny pomocí mikrosegmentace, která přesouvá parametry zabezpečení od sítí a IP adres a zaměřuje je na identitu uživatele a aplikace. Tyto zásady zabraňují neoprávněným uživatelům a aplikacím v bočním pohybu po síti. Zásady lze definovat podle skutečných konstrukcí, jako jsou skupiny uživatelů, přístupové skupiny a síťové skupiny. Pokud je zjištěno porušení zásad, nástroje pro mikrosegmentaci pošlou upozornění a v některých případech zablokují neschválenou aktivitu. Pro dosažení stejné boční ochrany provozu, jakou může mikrosegmentace poskytnout, by bylo zapotřebí pro každý segment tisíce hrubých zásad.
Zabezpečení důvěryhodnosti jádra až nuly
Mikrosegmentace je klíčem k implementaci rámce nulové důvěryhodnosti. Tento model se opírá o koncept „nedůvěřovat ničemu a vše ověřovat“. Jeho cílem je ověřit každé jednotlivé připojení uvnitř sítě, aby se zabránilo útočníkům v přechodu z jednoho napadeného pracovního zatížení do druhého. Segmentací pracovních zátěží a uplatněním jemnozrnných zásad zabezpečení až na jednotlivé počítače a aplikace se sníží celková plocha útoku v síti.