microsegmentation是什么?

Microsegmentation通过在更细粒度的基础上(如按应用程序或设备)执行策略，将网络分割提升到下一个层次。微分割可以结合基于端点角色和访问策略的基于角色的访问控制。物联网设备只能与它的应用服务器进行通信，甚至不能与其他物联网设备进行通信。会计部门的数据录入人员将不能执行其他会计职能或访问非会计系统。

在这些示例中，端点可以是应用服务器、具有计算资源的用户或执行某些操作的数字自动机。在装载码头更新库存数据库的RFID阅读器就是这样一种设备。聊天机器人是一种数字实体，它可以访问客户订单数据库以满足客户的查询。这两个示例端点都不应该能够访问设计用于使用的系统以外的系统。

网络分割的好处

网络分割的主要好处是它限制了网络安全攻击的损害。在监控方面，当未授权的端点试图访问系统时，安全系统可以提供警报，识别试图横向传播的不良行为者．

网络分割的主要好处是它限制了网络安全攻击的损害。

细分还可以减少法规遵从的范围，如支付卡行业数据安全标准。审计只需要涉及网络中处理和存储支付卡信息的部分。当然，这样的审计应该验证适当的细分实践。

网络细分最佳实践

那么，网络团队在细分他们的网络时可以遵循哪些策略呢?

创建安全策略和标识资源

为了实现网络分割，网络团队应该首先为他们需要保护的每种类型的数据和资产创建安全策略。这些策略应该标识每个资源、访问资源的用户和系统，以及应该提供的访问类型。

使用allowlists

接下来，团队应该实施allowlist访问控制。这样做可以显著提高网络的安全性。团队需要为每个应用程序确定应用程序数据流，以使其工作。虽然这个过程可能需要大量的工作，但与……相比，它是非常值得的网络安全活动的成本．