德迅零域（微隔离）战国韩非子在其《说林上》曾说到：圣人见微以知萌，见端以知末，故见象箸而怖，知天下不足也[1]。圣人见到

战国韩非子在其《说林上》曾说到：圣人见微以知萌，见端以知末，故见象箸而怖，知天下不足也[1]。圣人见到细微的苗头，就能预知事物的发展，透过微小的现象，便可看到本质。知微见著，网络安全领域更是如此。如何通过微小流量而发现大的潜在安全风险？下面就是我们要介绍的微隔离技术。

什么是隔离技术？

微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点，根据动态策略分析对这些节点执行访问控制，在逻辑上将这些节点隔离开，限制用户横向移动，这就是微隔离。在微隔离的架构中，不再存在内、外网的概念，而是将数据中心网络隔离成了很多微小的计算单元，这里我们简称节点。每个节点要访问其他节点的资源，都需要经过微隔离客户端的认证，如果节点身份认证不通过，或不具备访问权限，会被客户端拦截。

节点可以是门户网站，可以是数据库、审计设备，甚至一个文件服务器，只要具备一定的数据处理能力的单元，都可以成为一个节点。他们不再因处于内网而被认为是“可信的”，所有节点都被逻辑隔离，节点之间的访问都是受控的。节点划分越细致，控制中心对整个数据中心网络的流量可视化就越清晰。

微隔离主要元素说明：

■ 微隔离客户端：通过代理或虚墙实现，主要包括流量信息收集和策略执行两个部分。向控制中心反馈当前网络中的业务流量信息，实时上报业务动态，接收控制中心下发的策略控制指令，执行安全策略动作，

■ 微隔离控制中心：主要包括管理引擎和策略管理两个控制块。管理引擎接收客户端发送的流量数据，并根据这些信息建立业务模型，交由策略管理模块分析当前网络形势，进行多维度策略运算，动态生成安全策略，并下发给客户端执行，通过流量自学习实现策略自适应。

微隔离系统运行流程：

（1）确定业务主体：我们首先要明确微隔离系统需要管理的对象是什么，如何划分节点。节点的划分原则主要有两个，一个是要符合数据中心的业务体系，一个是要尽可能降低策略计算的复杂度。例如按当前网络中的业务类型划分、按照业务或部门职权划分，按照重要性优先级划分等；

（2）客户端收集业务流量信息，上报管理中心，并实时监测业务流量走向；

（3）管理引擎绘制业务流量拓扑，根据流量数据判断网络结构变化，更新拓扑信息；

（4）业务节点发送访问申请，客户端接收到申请后上报管理中心；

（5）策略管理模块分析业务流走向，启动策略运算，下发安全策略至微隔离客户端；

（6）客户端策略执行，业务认证通过且具有访问权限，流量放行；认证不通过或认证权限不够，执行相应的阻断动作；输出策略匹配日志信息。

微隔离的应用与实际功能

零信任最核心的原则是最小权限（Least Privilege），而微隔离就是零信任解决方案的最佳实践之一。业界领路人的多年探索，后起之秀的努力开拓，让微隔离系统无论在性能还是易用性上，都得到了空前的发展。这当然也离不开云计算技术的推动，合理利用当下的大数据资源，是微隔离能够取得阶段性突破的前提。无论是对数据流信息的可视化构建，还是动态安全策略的计算，都需要我们打破传统静态拓扑的思维，从自适应的角度出发，绘出一个彼此隔离却又互相交织的网络蓝图。

我们不再针对传统网络结构中诸如IP地址、域、地区等简单概念创建安全策略，而是建立在权限的基础上，控制网络业务之间的互访，可以基于用户、基于业务类型或是基于分级，通过对业务流量拓扑的分析，用最快的速度给出最合理的、最适于当下的规则集。

要将基于微隔离的解决方案应用到实践中，需要对数据中心业务有足够的了解，对网络模型有个大概的预判，我们最终的实现目的，是要对网络环境有足够的管控力，当然，如今的微隔离技术亟待解决的难题还有很多，比如：

■ 业务运行环境越复杂，管控粒度越细，策略的计算难度就越高；在庞大的网络体系下如何最大程度提升性能，实现秒级运算，是当下一大挑战。

■ 需要做到全方位自适应动态策略生成，包容大范围网络迁移。

■ 基于可视化的业务网络中，如何确定微隔离部署的最佳位置，才能最大程度降低拓扑的绘制难度，又不易引起网络中断。

■ 在庞大业务群中如何定义业务的多重认证，做到在提高安全性的同时不提高认证延时。