AI+零信任：更精准、快速以及规模化的微隔离

点击蓝字关注我们

（本文为国外技术文章翻译，加上译者个人观点；英文原文点击“阅读原文”获取）

Gartner预测，在2023年，多达99%的云安全事故将源于配置错误。在多云环境下，正确进行微隔离的配置可决定云上零信任安全解决方案的成败。Zscaler的《2023年零信任转型状态报告》更指出，仅依赖防火墙和VPN等传统网络安全基础设施，是无法实现安全云转型的。

微隔离的定义

（图片来源：Palo Alto Networks）

Gartner 将微隔离定义为 :

"在同一扩展数据集合内的任何两个工作负载之间的接入层插入安全策略的能力。微隔离技术能够定义细粒度的网络区域，直至单个资产和应用。"

微隔离将网络环境细分成更小的块，实施细粒度的安全策略，以最大限度地减少发生破坏时的影响范围。微隔离旨在隔离企业网络中的不同部分，减少和限制攻击者在横向移动时的攻击向量。

微隔离被业界认定为零信任的主要组成部分之一，并且在NIST的零信任框架中被定义。同时根据众多企业CISO的观点，微隔离的配置是大规模、复杂的多云和混合云基础设施配置过程中的一项艰巨的任务，他们认为AI和机器学习的赋能有可能显著改善微隔离的部署和使用。

微隔离是零信任的核心

有效的零信任架构假设网络中已经存在敌对攻击者，从而对所有交互进行身份验证、加密、监控和记录
（图片来源：Gartner）

微隔离的复杂性随着混合多云的复杂性而增加。许多首席安全官将微隔离的构建放在零信任建设的后续阶段。Illumio首席技术官兼联合创始人PJ Kirner主持的研讨会中，Forrester的高级蓝队成员David Holmes也明确指出："如果微隔离的配置未完成，零信任体系则无法真正建立。"

Holmes 表示：“我最近和某人交谈……他们说，‘全球 2000 强的上市公司将永远拥有自己独立的机房和物理网络环境。’我当时想，‘是有这个可能，但是在某些时候，这些公司仍然将需要对其网络环境进行微隔离配置。否则，就永远建设不成零信任的环境。”

成功部署微隔离的CIO和CISO们建议他们的同行，要以零信任的方式设计网络安全架构，集中精力保护经常受到攻击的身份以及应用程序和数据，而不是网络外围的环境。 Gartner 预测，到 2026 年，将会有 60% 的致力于零信任架构的企业使用不止一种微隔离部署形式，而 2023 年这一比例还不到 5%。

每个领先的微隔离供应商都在积极进行研发、DevOps 和执行战略收购，以进一步增强其AI和ML能力。这些微隔离供应商提供广泛的产品，涵盖基于网络、基于虚拟机管理程序和基于主机代理的解决方案清单。

人工智能和机器学习如何加强微隔离的应用

微隔离带来更高的准确性、速度和规模，是人工智能、机器学习以及基于大语言模型的生成式 AI 应用程序的理想应用场景。微隔离通常安排在零信任框架建设的后期，因为其建设一般需要花比预期更长的时间。而人工智能和机器学习可以将实施过程中最需要人工操作的部分自动化，从而提高零信任计划的成功几率。同时可以利用人工智能算法了解如何优化实施，通过对每种资源执行权限最小的访问并确保每种身份的安全，进一步加强实施效果。

据Forrester发现，大多数微隔离项目均以失败告终，其主要原因在于内网安全难以确保。但是，专用网络的扁平化结构使控制恶意软件、勒索软件和网络攻击的横向移动变得更为困难。微隔离技术可以确保设施的全面安全，但这也意味着庞大且复杂的配置工作。幸运的是，现今的人工智能、机器学习以及基于私有大语言模型的生成式AI应用程序似乎具备解决这一问题的潜力。

初创公司纷纷进军微隔离

创业公司在微隔离所带来的诸多挑战中发现了商机。许多创业公司都采取了各种方法来解决企业微隔离的难题，比如 2023 年备受瞩目的二十家零信任创业公司之一的 AirGap Networks。它们的无代理微隔离方案有效减小了网络中每个连接端点的攻击面，通过对企业每个端点的分段，同时将解决方案无缝集成到运行中的网络，无需停机或硬件升级。

AirGap Networks 还推出了采用 ThreatGPT 的零信任防火墙 (ZTFW)，该防火墙利用图形数据库和 GPT-3 模型，辅助 SecOps 团队获取最新威胁情报。GPT-3 模型通过分析自然语言来识别潜在的安全威胁，而图形数据库则能结合具体情境进行分析，评估端点间的流量是否存在风险。

人工智能和机器学习的主要作用领域

人工智能和机器学习在微隔离方面可提供更高的准确性、更快的速度和更大的规模，主要体现在以下领域：

自动化策略管理

微隔离中最棘手的问题之一是需要管理员手动定义和管理访问策略。人工智能和机器学习的算法可以自动建模应用程序依赖性、通信流和安全策略，从而让 IT 和 SecOps 团队在策略管理上节省时间。人工智能在微隔离中还有一个理想用途：模拟拟议政策的变化，并在实施前识别潜在的冲突。

更具洞察力的实时分析

实施微隔离的另一个挑战是如何将众多的实时遥测数据源转化为能深入反映网络环境的统一实时报告。人工智能和机器学习的实时分析方法提供了对不同工作负载间通信和流程的全面视图，而基于机器学习的高级行为分析可有效识别流量异常和威胁，从而增强安全性和简化管理。

更加自主的资产收集和分类

人工智能可自动识别资产、建立通信链路、侦测违规行为并下发分段策略，无需人工干预。这一自主功能减轻了执行微隔离的时间和精力压力，并能在资产变化时实时反映变化，降低人为错误的风险。

可扩展的异常检测

人工智能算法可分析大量网络流量数据，以识别异常模式，实现实时流量分析。通过AI进行异常检测，微隔离能够扩展到广泛的混合环境，而不会带来大量时间开销和延迟，确保在更广泛环境下的安全有效性。

简化混合云环境的集成

人工智能可以克服策略执行的微妙差异，协调微隔离在本地、公共云和混合环境中的集成，确保一致的安全状态，消除潜在的漏洞，降低操作复杂性。

自动化事件响应

人工智能可自动响应安全事件，缩短响应时间。微隔离解决方案可利用训练有素的机器学习模型实时检测网络流量和工作流程中的异常和恶意行为模式。这些模型可在正常流量模式和已知攻击特征的大型数据集上进行训练，以侦测新出现的威胁。当模型侦测到潜在事件时，可启动预定义的脚本进行自动响应操作，例如隔离受影响的工作负载、限制横向移动和向安全团队发出警报。

增强协作和工作流程自动化

人工智能简化了团队协作并实现了工作流程自动化，从而减少了规划、分析和实施所需的时间。从这个角度来说，人工智能优化了整个微隔离生命周期，可以更快地实现价值并保持持续的敏捷性，从而提高安全团队的生产力。

零信任架构的关键

微隔离对于零信任架构至关重要，但将其落地却很困难。当前，人工智能和机器学习在几个关键领域已经显示出了简化配置和加强微隔离功能的潜力，包括自动化策略管理、提供实时见解、实现自主发现资产和其他自动化执行。

当微隔离项目出现延期，人工智能和机器学习可以帮助排障，帮助组织如何更快地获得他们想要的结果。同时，人工智能和机器学习的准确性、速度和规模可帮助组织克服实施挑战并改善微隔离。允许企业有效地管理和保护自己的资产，以及跟上快速变化的业务需求。

游民点评

企业上云是一种趋势，这也就催促这从业者把眼光从传统的网络和安全设备转向云上的架构。云安全对于任何企业来说都是至关重要的。而云计算环境越来越复杂，出于网络层面的错误配置就越多，比如相关的云主机的密钥泄露在当今还是层出不穷。

零信任和微隔离是保护云计算环境免受攻击的两种关键技术，如果完全落地成功，从当下的眼光来看，完全可以将整个网络环境分离成一个个孤岛，从而最大限度的降低某一个工作负载失陷后的影响，甚至传统意义上的横向移动在这个环境下都是另外一个概念。当然这种解决方案也存在落地成本极高的问题。

// 编译者/作者CyberRipples

信息安全爱好者与从业者，先后担任过数据安全、安全合规等岗位，现在是一名活跃的渗透测试工程师，偶尔参与众测。

个人热衷于探索网络安全、合规标准、渗透技术以及商业战略领域。持有众多认证，目标是不停歇的学习新的知识和技能。