微隔离，做到真正零信任

当前，在零信任安全渐渐被大家熟知的情况下，很多用户在网络安全方面有了更深的认知。在网络安全领域，许多企业用户认为零信任对于降低网络安全风险至关重要，有助于在复杂的网络环境中保护自身企业资源免受未经授权的访问和潜在的网络攻击。

当前随着网络发展，在云计算、虚拟技术的广泛应用之下，现代企业内部网络庞大且复杂，想要实施东西向控制会遇到许多挑战，为了解决好这些痛点问题，我们需要构建一个安全平台，让零信任理念真正落地。

而德迅零域・微隔离安全平台就是这样一把利刃，支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境，异构环境对用户完全透明。由三部分组成：

1、Agent

实时采集业务网络连接和资产信息，接收服务端指令，管控主机防火墙。

2、计算引擎

聚合、统计网络连接，进行可视化呈现，根据业务流量生成网络策略，并分析策略的覆盖。

3、控制台

控制台可清晰展示网络连接和策略配置情况，用户通过控制台集中管理网络策略并进行隔离操作。

微隔离服务的安全原理和实现方式：

1. 虚拟化技术：使用虚拟化技术将应用程序隔离在一个独立的虚拟环境中运行，防止恶意软件或攻击从一个应用程序传播到其他应用程序。虚拟化技术可以使用容器、虚拟机等不同的技术实现。

2. 应用程序隔离：使用应用程序隔离技术，将不同的应用程序隔离在独立的进程或线程中，避免不同应用程序之间的交互，从而保证应用程序的安全性。

3. 网络隔离：使用网络隔离技术，将应用程序所在的网络隔离在独立的网络中，避免应用程序受到网络攻击和威胁。这样，即使一个应用程序受到网络攻击，攻击者也无法访问其他应用程序所在的网络。

4. 访问控制：使用访问控制技术，限制应用程序对系统资源的访问权限，避免应用程序对系统资源的滥用和损坏。

5. 安全监测：使用安全监测技术，对隔离的应用程序进行实时监测和检测，及时发现和处理安全漏洞和威胁。

微隔离安全平台具有的功能：

流量看得清 —— 业务拓扑图可视化展示访问关系，自动学习业务访问关系，并以多种拓扑图清晰展示，结合资产信息，为策略制定提供基础。

1、拓扑图上交互式设置，自动生成策略，提高效率。

2、发现主机上无用的端口，减少风险暴露面。

3、丰富的查询方式和图例，直观评估策略配置情况。

策略好管理 —— 多种策略形式实现自动化运维，依据不同管理场景，配置不同粒度的控制策略，并随业务或环境变化自适应调整策略，实现自动化运维。

1、提供业务组、标签、端口、IP 等不同粒度的策略管理。

2、用标签定义策略，形式精简，降低运维成本。

3、策略表达明白易读，避免基于 IP 的安全策略。

策略易验证 —— 监控异常访问并自动验证策略，在不真实拦截流量的情况下，持续监控学习业务访问关系，自动验证策略准确性和覆盖度。

1、自动验证策略正确性，减少人力成本。

2、重保场景中，发现恶意横向渗透行为。

3、发现异常访问，第一时间发出告警。

管控多选择 —— 根据管理要求选择不同控制强度，访问控制模式决定控制策略如何放行 / 阻断网络连接，配合不同的管理要求，支持不同强度的控制模式。

1、主机控制模式：为每个业务端口配置策略，严密防护。

2、服务控制模式：管控 20% 的关键端口，降低 80% 的风险。

威胁可隔离 —— 失陷主机快速隔离防止威胁扩散，在发生真实攻击场景下，提供应急响应手段，迅速隔离失陷主机网络，防止威胁进一步扩散。

1、出站、入站、双向网络流量，可选择不同隔离方式。

2、开放特定端口并指定访问 IP，给上机排查问题提供条件。

3、威胁清除后远程解除隔离，恢复正常通信。

保护更全面 —— 非受控设备和 DMZ 区主机访问控制，对未部署 Agent 的网络设备和业务敏感主机实现保护，并可对 DMZ 区主机的外网访问进行控制。

1、对已部署和未部署 Agent 主机之间的访问，进行安全控制。

2、严格限制出入外网的流量，收缩 DMZ 区主机暴露面。

德迅零域（微隔离）优点：

轻 Agent 安全稳定，CPU 占用率 < 1%，内存占用 < 40M，稳定性高达 99.9999%

统一安全管理，Agent 集成微隔离、主机安全、容器安全等多种能力，并且 Agent 和 Server 统一进行安全管理

跨平台支持，支持 CentOS、RedHat 等主流操作系统及 VMware、OpenStack 等多种 IT 环境

总的来说，零信任理念通过打破信任和网络位置的默认绑定关系，持续评估信任并进行动态访问控制，以最小化潜在的安全风险。这种安全模式有助于在复杂的网络环境中保护企业资源免受未经授权的访问和潜在的网络攻击。

德迅零域（微隔离）服务，可部署在混合数据中心架构中，实现跨平台的统一安全管理。通过将应用程序隔离在安全的沙箱环境中运行的技术，以及自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理等功能，可快速隔离失陷主机网络，阻断横向渗透行为，保护应用程序和数据免受恶意软件或攻击的影响，让零信任理念真正落地。从而保护应用程序和数据的安全。