Mikrosegmentasyon veri merkezlerinde ve bulut dağıtımlarında, yanal trafiği izlemek ve korumak için sanallaştırma teknolojisini kullanarak bireysel iş yüklerine kadar parçalı güvenli bölgeler oluşturmak için bir yöntemdir. Güvenlik duvarları, VPN'ler ve ağ erişim kontrolü (NAC) gibi geleneksel güvenlik çözümleri, esas olarak kuzey-güney trafiği olarak da bilinen bir ağın çevresini korumaya odaklanır. Mikrosegmentasyon ise doğu-batı veya yanal trafiği izler ve emniyete alır. Bu, ağ içindeki sunucudan sunucuya, uygulamadan sunucuya ve webden sunucuya bağlantıları içerir.
Yazılım tanımlı ağların artan şekilde benimsenmesi ve ağ sanallaştırması, daha ayrıntılı dahili güvenlik önlemlerine olan ihtiyacı yarattı. Mikrosegmentasyon, Sıfır Güven güvenliğinin merkezinde yer alır.
Mikrosegmentasyon ve ağ segmentasyonu
Donanım tabanlı ortamlara sahip kuruluşlar, ağ bölümleme için güvenlik duvarları, VPN'ler ve VLAN'lar kullanır. Bu yöntem çevreyi korur, ancak dahili trafiği güvenli hale getirmez. Sınırlı trafik kontrolü sunan kaba politikalara dayanır. Bir saldırgan erişim elde ederse, ağ içinde serbestçe hareket edeceğine güvenilecektir. Mikrosegmentasyon, bu yetkisiz bağlantıları engellemeyi amaçlar.
Güvenlik parametrelerini ağlardan ve IP adreslerinden uzaklaştırmak ve bunları kullanıcı kimliği ve uygulamalara odaklamak için her segmente mikro segmentasyonla ayrıntılı güvenlik politikaları atanır. Bu politikalar, yetkisiz kullanıcıların ve uygulamaların bir ağda yanal olarak hareket etmesini engeller. Politikalar, kullanıcı grupları, erişim grupları ve ağ grupları gibi gerçek dünya yapılarına göre tanımlanabilir. Bir politika ihlali tespit edilirse, mikrosegmentasyon araçları bir uyarı gönderir ve bazı durumlarda onaylanmamış etkinliği engeller. Mikrosegmentasyonun sağlayabileceği aynı yanal trafik korumasını elde etmek için her segment için binlerce kaba politika gerekli olacaktır.
Sıfır güven güvenliğine kadar çekirdek
Mikrosegmentasyon, sıfır güven çerçevesini uygulamanın anahtarıdır. Bu model, "hiçbir şeye güvenme ve her şeyi doğrulama" konseptine dayanır. Saldırganların güvenliği ihlal edilmiş bir iş yükünden diğerine geçmesini önlemek için ağ içinde yapılan her bir bağlantının kimliğini doğrulamayı amaçlar. İş yüklerini bölümlere ayırarak ve tek tek makinelere ve uygulamalara kadar ayrıntılı güvenlik politikaları uygulayarak, bir ağın genel saldırı yüzeyi azaltılır.