configuring-microsegmentation-for-zero-trust

为零信任配置微隔离

---

domain: cybersecurity subdomain: zero-trust-architecture author: mahipal tags: [zero-trust, microsegmentation, network-access, lateral-movement, network-security] difficulty: advanced estimated_time: 4-6 hours prerequisites:

• 理解零信任原则（NIST SP 800-207）
• 了解网络分段概念
• 熟悉防火墙和 SDN 技术
• 具备 VMware NSX、Illumio、Guardicore 或 Cisco ACI 使用经验

---

概述

微隔离（Microsegmentation）将网络划分为细粒度安全区域，在应用层对工作负载之间执行最小权限访问，而非依赖传统的基于 VLAN 的分段方式。在零信任架构中，微隔离消除了同一网段内工作负载之间的隐式信任，即使攻击者获得初始访问权限后也能阻止横向移动。

本技能涵盖使用工作负载身份设计微隔离策略、实施基于主机和基于网络的执行，以及使用 Illumio Core 和 VMware NSX 等工具验证分段有效性。

架构

微隔离模型

1. 基于网络（VMware NSX、Cisco ACI）：在 hypervisor 或网络结构层面执行的分布式防火墙规则
2. 基于主机（Illumio、Guardicore）：使用 iptables/WFP 规则在操作系统层面基于 Agent 执行
3. 基于容器（Calico、Cilium）：在 Kubernetes 的 Pod/容器层面执行网络策略
4. 基于应用（Zscaler Workload Segmentation）：基于软件身份而非 IP 地址的身份分段

执行点

传统分段                         微隔离
┌─────────────────┐            ┌──────────────────────┐
│  VLAN 10        │            │  工作负载 A ←策略→   │
│  ┌───┐ ┌───┐   │            │  工作负载 B ←策略→   │
│  │ A │ │ B │   │            │  工作负载 C ←策略→   │
│  └───┘ └───┘   │            │  工作负载 D ←策略→   │
│  （互信）        │            │  （每对之间零信任）    │
└─────────────────┘            └──────────────────────┘

关键概念

应用依赖映射

在创建分段策略之前，使用流量遥测发现工作负载之间的实际通信流。Illumio、Guardicore 和 AppDynamics 等工具提供应用依赖映射，显示哪些工作负载在哪些端口上进行通信以及通信频率。

策略建模

在执行前以监控/可见性模式起草策略。这允许验证建议的规则不会中断合法流量，同时识别不必要或有风险的通信路径。

基于标签的策略

现代微隔离使用标签（角色、应用、环境、位置）而非基于 IP 的规则。基于标签的策略在不同环境之间可移植，并在迁移期间 IP 变更时仍然有效。

环形隔离（Ring-Fencing）

对关键应用（PCI 持卡人数据环境、SWIFT 金融系统、医疗 PHI）使用严格的允许列表策略进行隔离，拒绝所有未明确允许的流量。

流程

阶段 1：发现与映射

1. 部署可见性 Agent

   • 在所有工作负载（服务器、虚拟机、容器）上安装轻量级 Agent
   • 配置 Agent 向管理控制台报告实时流量遥测
   • 允许 2-4 周的流量收集以构建全面的流量图

2. 构建应用依赖映射

   • 在管理控制台中审查自动发现的通信流
   • 识别应用层次：Web 服务器、应用服务器、数据库、中间件
   • 映射合法通信路径并标记意外连接
   • 为合规范围记录数据流（PCI、HIPAA）

3. 分配标签

   • 创建标签分类体系：角色（Web、App、DB）、应用（ERP、CRM）、环境（生产、开发、预发布）、位置（dc1、aws-east）
   • 通过管理控制台或 API 为所有工作负载应用标签
   • 根据 CMDB 和应用负责人输入验证标签准确性

阶段 2：策略设计

4. 定义分段区域

   • 环境隔离：生产环境无法与开发环境通信
   • 层次隔离：数据库层只接受来自应用层的连接
   • 应用环形隔离：PCI 应用与非 PCI 工作负载隔离
   • 管理访问：跳板服务器是唯一的管理路径

5. 创建允许列表策略

   • 为每个应用定义所需通信的明确允许规则
   • 尽可能使用基于标签的规则而非基于 IP 的规则
   • 在支持的情况下包含进程级别限制（例如，只允许 httpd 使用 443 端口）
   • 对所有未列出的通信设置默认拒绝

6. 在测试模式下建模策略

   • 在可见性/测试模式下启用策略（不执行）
   • 监控可能被阻断的合法流量
   • 根据 1-2 周的测试结果优化策略
   • 执行前获取应用负责人的确认

阶段 3：执行

7. 增量执行

   • 从最隔离、风险最低的应用开始
   • 将策略从测试模式切换到执行模式
   • 在最初 24-48 小时内监控应用问题
   • 验证后继续处理下一个应用

8. 验证分段

   • 运行渗透测试，尝试在段之间横向移动
   • 验证被阻断的流量在管理控制台中生成告警
   • 测试紧急覆盖程序（Break-glass）
   • 记录每个应用区域的执行状态

阶段 4：运营维护

9. 持续策略管理
   • 与 CI/CD 集成：从部署管道自动标记新工作负载
   • 每周审查策略违规并调查异常
   • 应用变更或新服务部署时更新策略
   • 每季度进行分段有效性审查

验证检查清单

• Agent 已部署在所有范围内的工作负载上
• 应用依赖映射已由应用负责人审查并批准
• 标签已分配并根据 CMDB 验证
• 策略已在测试模式下建模，2 周以上无误报
• 策略已在监控下增量执行
• 所有分段区域已激活默认拒绝
• 横向移动测试确认阻断了未授权流量
• 策略违规告警已配置
• Break-glass 程序已记录并测试
• 受监管环境已获合规审计师确认

参考资料

• NIST SP 800-207：零信任架构
• CISA 零信任成熟度模型 v2.0 — 网络支柱
• Illumio Core 管理指南
• VMware NSX 分布式防火墙配置指南
• Forrester 零信任扩展（ZTX）框架