Forescout为多厂商网络带来身份驱动的网络分段技术

网络分段是一项基础的安全控制技术，但在异构环境中实现网络分段一直是个持续的挑战。网络访问控制领域的早期开拓者Forescout Technologies正在通过其4D平台的新版本来解决分段挑战。新增功能为异构环境中的托管、非托管和无代理设备引入了基于身份和属性驱动的区域建模。

4D平台涵盖四个功能：发现、评估、控制和治理。新的分段功能位于控制功能内，并从平台现有的资产智能和风险数据中获取信息。

"在此之前，我们只有基本的分段管理功能，你可以查看你的网络并应用我们对设备的分类——比如'这台摄像机应该与这台桌面计算机通信吗？'"Forescout的首席技术官Justin Foster告诉Network World。"现在我们已经将其升级，我们可以使用任何属性，无论是你应用的标签（如站点、区域、功能）还是设备的重要性，我们已经将其转化为无限矩阵，你可以定义自己的矩阵，然后叠加风险级别。"

Forescout最初作为NAC供应商获得了认可和客户。这种访问控制能力仍然是4D平台的一部分，采用了扩展方法。

"控制不仅仅是NAC阻断端口或将某人移动到访客网络，它可能包括数百种不同的自动化操作，"Foster说。"你不只是做二进制的阻断/不阻断。你可能将其移动到隔离段，以便IT人员可以去评估该设备。"

新的分段功能扩展了该控制层。客户可以使用多达1,200个设备属性来定义区域构造：业务单元、设备功能、重要性或自定义标签。

"比如说，在医院内，你想要分段，以便医生和护士可以与Epic等后端系统通信以获取医疗健康记录，但你不希望这些与影像部门或访客网络有任何接触，"Foster说。"你基本上可以标记任何你想要的属性，并说任何具有此标签等于此值的东西都是此区域构造的一部分。"

该平台在这些区域矩阵上同时叠加通信流和风险级别，使用热力图可视化来识别有风险的东西向路径。策略在执行前会根据真实的通信模式进行建模。

区域建模方法与传统网络分段的不同

与仅使用IP范围或其他基本网络构造不同，Forescout使用区域建模方法来对设备进行分组。

区域建模使用设备身份而不是网络位置。随着设备在子网间移动，IP地址会发生变化，使得基于IP的策略变得不可靠。Forescout基于持久属性对设备进行配置文件分析，并在适用的情况下将其与用户身份关联起来。

"最重要的是为任何资产建立强大的身份标识，"Foster说。"给定的笔记本电脑可以更改IP，但能够基于其他属性对其进行配置文件分析，从而在设备内保持一致性。"

在医疗环境中，错误分类会带来直接风险。例如，如果某个实体看起来像Windows设备，但实际上是MRI设备。在这种情况下，它应该在网络的医疗影像段上，而不是与该医院的访客网络通信。

区域建模不依赖于任何特定的网络原语。它作为一个灵活的构造位于任何现有的交换基础设施之上。

"我认为这一切都始于身份识别和分类，"Foster说。"然后你可以应用分段策略，与网络供应商无关。"

多厂商环境下的统一策略应用

在异构基础设施中应用一致策略是一个核心技术挑战。

"如今大多数网络不只是一个供应商，"Foster说。"你最终会遇到通过收购或业务实践而拥有五、六、七个不同供应商的组织。"

Forescout作为现有交换基础设施上的覆盖层存在。它与各个交换机和路由器进行本地通信，或在供应商需要时与SDN控制层通信。例如，Arista通过其Cloud Vision控制器而不是直接在交换机上路由执行。

对于流量可见性，该平台通过数据包转发、物理SPAN端口以及与包括Gigamon和Keysight在内的供应商的网络数据包代理集成来收集数据。

当平台识别出未知或未分类的设备时，它可以在交换机级别将其移动到适当的VLAN，无需手动干预。"我们可以识别这些设备并采取适当的行动，"Foster说。"底层平台可以代表用户将这些设备移动到不同的VLAN。"

在无法在控制器和PLC上安装代理的OT环境中，该平台使用无代理方法：报头抓取、主动探测、远程执行脚本和安全连接代理。该平台整合了30多种无代理发现方法。"对于无代理设备或你无法远程访问的设备，比如OT，我们可以从报头抓取、主动探测中学到很多，我们去评估和查询该设备，获取其供应商、制造商、型号，"Foster说。

AI驱动的智能分段管理

像其他所有IT供应商一样，Forescout也有AI策略。Forescout的智能体AI仪表板Vistaro AI在此次公告前几周推出。来自4D平台的分段数据直接输入到Vistaro AI中，与资产、风险和威胁数据一起。由于所有四个平台功能共享单一数据层，AI可以实时关联分段状态与设备风险。

结果是仪表板可以主动标记分段问题。"它可能会说，'嘿，我们注意到一些新的段不应该相互通信。你应该去看看这个，'"Foster说。

根据Foster的说法，仍有更多工作要做，他指出当前版本是在4D平台中连接AI和分段的第一步。"在分段方面，我们可以在风险、AI和分段的融合方面做很多事情，这些还没有被探索，"Foster说。

Q&A

Q1：Forescout的4D平台是什么？它有哪些核心功能？

A：Forescout的4D平台是一个网络安全控制平台，涵盖四个核心功能：发现、评估、控制和治理。新的分段功能位于控制功能内，可以为异构环境中的托管、非托管和无代理设备提供基于身份和属性驱动的区域建模。

Q2：区域建模与传统网络分段有什么不同？

A：区域建模使用设备身份而不是网络位置进行分段。传统方法依赖IP范围等基本网络构造，但随着设备在子网间移动，IP地址会变化，使基于IP的策略变得不可靠。Forescout基于持久属性对设备进行配置文件分析，并与用户身份关联，确保分段策略的一致性。

Q3：Forescout如何在多厂商网络环境中实现统一管理？

A：Forescout作为现有交换基础设施上的覆盖层，与各个交换机和路由器进行本地通信，或在需要时与SDN控制层通信。它可以应用与网络供应商无关的分段策略，通过数据包转发、物理SPAN端口和网络数据包代理集成来收集流量数据，实现跨多厂商环境的统一策略应用。