应用正在引领数据中心基础设施不断发展。当今的应用采用了虚拟化、容器化、微服务和工作负载移动性等多种技术，动态性极强，而且应用组件之间的通讯模式也在不断变化。

现在，76% 的数据中心流量为东 - 西向流量，与过去的流量模式截然不同。网络和安全运营团队难以实施安全的控制，对于多云数据中心，这一挑战甚至更加严重。

为了有效应对这一挑战，网络和安全运营团队需要更加深入地了解应用和整体工作负载保护策略，采用零信任安全方法保护数据中心的安全。

面向工作负载的零信任安全方法，可为企业化解以下几大风险：

• 如果恶意攻击者利用了应用程序的漏洞，就能通过横向移动来攻击各种关键系统。

• 恶意攻击者窃取并外泄敏感数据。

• 内部应用和外部云应用间迥然不同的防护方式成为网络安全人员的盲点。

• 54% 的 Web 应用程序漏洞容易被恶意攻击者利用，这意味着如果服务器应用程序未经过修复，就会暴露在已知漏洞中，恶意攻击者正是利用这些漏洞入侵你的系统。

企业的系统在功能上不断丰富，并根据具体的业务需求增加连接和依赖项。为了促进企业系统这种良性的增长，系统设计人员和开发人员有时会倾向于采用宽松、灵活的安全配置。由此产生的过度信任会被恶意攻击者利用，然后再通过横向移动顺利访问企业的敏感资源。解决这个问题的最佳答案是实现微分段。

实现这种微分段需要三种技术：

• 深入、广泛的网络洞察。以分布式网络传感器代替传统的中央监控系统（SPAN / TAP 或 NetFlow），从而使大规模深入可见性成为可能。

• 精确、实时的应用程序建模。大数据分析技术大大减少了人工记录应用程序的工作量，从而帮助用户及时了解流量模式及依赖关系。

• 应用控制策略到跨不同环境中多台设备的能力。一个统一的高级策略引擎，同时管理在多个多云环境中的访问控制设备，由此简化了应用程序的可见和分析步骤。

可见性、分析、策略，三者结合，由此降低了应用程序生态系统中存在的过度信任。

思科 Tetration 可以帮助企业实现工作负载零信任安全，该平台使用无监督的机器学习、行为分析和算法方法来监控恶意活动的迹象。一旦发现恶意行为，网络就会立即隔离相关服务器并阻止通信，以此来撤销信任关系。

它提供了一个现成的解决方案，用于准确识别数据中心中运行的应用及其依赖关系，以及不同应用层之间的底层策略。

该平台还可使用白名单策略和微分段来实施零信任模式，监控服务器上运行的进程的行为，并识别与软件相关的漏洞和风险。

借助此方法，思科 Tetration 平台可跨多云环境中运行的虚拟化和裸机工作负载提供多维安全方法。

优势：

• 使用基于行为的应用洞见，自动执行白名单策略。

• 使用应用分段最大限度地减少横向移动，实现安全的零信任模式。

• 通过进程行为偏差更快地识别异常。

• 通过快速识别常见漏洞和风险，减少数据中心内的受攻击面。

• 从异构环境中收集全面的遥测数据，在几分钟内即可提供切实可行的洞察。

• 支持长期保留数据，实现深度调查、分析和故障排除。

文章来源：思科联天下