網絡安全和基礎設施安全局 (CISA) 最近發布了一系列指導文件中的第一份，旨在幫助聯邦機構實施微分段，作為其零信任架構 (ZTA) 戰略的一部分，以遵守2022 年白宮的授權。

該文件《零信任中的微分段，第一部分：介紹和規劃》指出，微分段“減少了攻擊面，限制了橫向移動，并增強了監控較小、孤立的資源組的可見性”。

考慮到在2025年Verizon DBIR報告中審查的所有數據泄露事件中，44%都存在橫向移動和勒索軟件，這是一個值得企業關注的重要轉變。然而，盡管微隔離至關重要，但由于其復雜性，許多企業往往認為它遙不可及。可以說，這種看法是由美國國家安全局（NSA）和美國計算機信息安全局（CISA）延續下來的，這種觀點值得挑戰。

2023年，美國國家安全局 (NSA) 將完全微隔離標記為高級功能，僅適用于擁有成熟架構和高技能團隊的組織。2021年，CISA 發布了零信任安全模型，在其成熟度圖中將微隔離歸類為“最佳”。

這些備受推崇的指導文件給各種規模的組織留下了這樣的印象：微隔離是一項艱巨而先進的工作——只保留給最成熟的組織——盡管它被廣泛認為是阻止橫向移動和遏制勒索軟件等威脅的最佳方式。

CISA 的最新指南明確呼吁各組織超越歷史上手動的映射依賴關系、為不同環境建立訪問策略以及解決策略執行中的差距的過程，以追求更加自動化和創新的方法。

雖然最新指南是為聯邦機構編寫的，但其適用范圍遠不止公共部門。與微隔離相關的最常見挑戰——遺留系統、龐大的環境、橫向移動風險——在商業行業中也同樣存在。

許多企業，尤其是醫療保健、金融服務和關鍵基礎設施領域的企業，正在使用 CISA 的零信任成熟度模型和微分段策略作為事實上的標準來指導他們自己的安全計劃。

如果建議組織將微分段作為邁向網絡安全和零信任架構的最后一步，那么這當然會是最后完成的事情。CISA 的指導反映了對現代威脅的認識，表明組織在進行傳統的“爬、走、跑”動作時，不能對橫向移動置之不理。

這一新指南為任何希望從靜態控制轉向動態身份感知訪問的組織提供了實用的分階段藍圖。

微分段改進了網絡和應用程序分段等傳統方法，這些方法能夠有效地隔離網絡內的組件，并限制成功攻擊造成的損害。微分段將這種方法提升到更精細的級別，并將其擴展到高度分布式的環境，包括在邊緣運行的容器。

通過將組件轉換為小的、不同的實體，它允許組織對網絡上的每個資產應用定制的安全策略和訪問控制（例如最小權限策略）。

這種方法假設網絡上任何地方的任何流量都是可疑的，并需要持續的授權和身份驗證，以防止未經授權的數據和服務訪問。重點是用戶、應用程序或其他組件（機器身份越來越重要）的身份，而不是其在網絡邊界內的位置。

誠然，實施過程歷來非常復雜——因此，CISA 發布了“第一部分”，重點介紹了分階段實施微隔離的方法，未來還將發布更具技術性的指南。CISA 的指南為組織提供了權限和途徑，使其能夠立即優先實施微隔離。

正如零信任并非單一解決方案所能帶來的單一結果一樣，訪問策略也并非一刀切。例如，理想情況下，每個請求都應實時評估，并通過多因素身份驗證 (MFA) 和/或即時 (JIT) 憑證強制執行，這不僅限制了誰可以訪問資源，還限制了訪問時間。

然而，許多遺留應用程序和服務并不支持實時訪問控制，因此 ZTA 必須足夠靈活，以便在必要時采用混合方法，例如在可行的情況下強制執行 JIT，并在其他靜態階段應用最小特權。

CISA 的新指南為實施微隔離提供了一個實用的框架，同時明確指出，微隔離并非僅適用于最成熟的零信任環境的“高級”功能。它是組織所有目標的基礎。

好消息是，這并非一個痛苦的過程。通過分階段的方法和合適的工具，組織現在就可以踏上一條清晰的道路，邁向全面、有效的零信任環境。