一直以来，究竟是“道高一尺魔高一丈”，还是“魔高一尺道高一丈”是有争论的，很多人从理想主义出发，会说“魔高一尺道高一丈”，寄希望于正义必将战胜邪恶。但很可惜，这不是实际情况，实际情况恰恰和这句话的原始版本一样，是“道高一尺，魔高一丈”，至少在网络安全领域完全如此。更有意思的是，就连这句话背后所揭露的形成机制都是一样的。

 道高一尺魔高丈，

 性乱情昏错认家。

 可恨法身无坐位，

 当时行动念头差。

防守者如何思考呢？我们不说那些高深莫测的理论，我们只提三个字——“攻击面”，你能把这三个字弄明白，就把握了战场上的主动权。

那么问题来了，要如何能够下降系统的攻击面呢？步骤也非常简单，就三件事，

1) 摸清资产

2) 下降资产可见性

3) 治理已知的漏洞

这样列个表出来显得专业多了是吧，其实就是从关于攻击面的定义推导出来的必然动作。因为攻击面就是资产上可以被利用的攻击目标，所以要下降攻击面，当然是先摸清楚资产信息，如果连自己有什么资产都不清楚，就更别提对这些资产进行保护了。然后要做的事情就是下降资产可见性，这个也很好理解，如果资产都不可见，显然也就无从进行攻击了，当然，资产的存在是为了进行业务处理，它必然要接入网络，必然要有一定的可见性，但我们可以尽量的下降它的可见性，也就是让尽量少的“人”能看见它，这样就使得尽量少的机会可以攻击到它。即使是必须要有可见性，也要把这个可见性再尽量的控制在必须开放的服务上，也就是说，你只可以访问你必须访问的那个服务，其他的服务（端口）你仍然没有可见性。这样一来，系统就要比过去安全的多。然而，我们还可以再进一步的下降攻击面。对于那些必须开放的服务，我们应该去治理这些服务上存在的已知漏洞，这样一来，虽然有网络上的可见性，但由于缺少可被利用的漏洞，也就无法利用这种可见性来进行攻击，我们就进一步的下降了这个系统的攻击面。

通过这么几步走下来，你的系统可谓固若金汤了，当然它仍然不是绝对安全的，但确实比过去要安全的多，你可以想像，一个黑客通过某种方式拿到一台主机后，举目四望，发现竟然根本看不到几台他能访问的机器，这得有多失望，然后就这几台机器，他也只能访问有限的几个服务，而这些服务上又没有可以被利用的漏洞，这得有多茫然。就算是他运气极好，恰恰他可以访问的资产上存在一个可以被利用的0day，恰恰这个0day就在他可以访问的服务上，而恰恰这个0day的攻击工具被他掌握了，然后他就又多拿下一台机器，再然后呢？他发现他还是只能看见有限的几台机器，有限的几个服务，然后他又得指望运气了。如此的步履维艰，意味着极高的攻击成本，而一旦攻击成本超过了攻击收益，这个黑客就会选择放弃！这就是通过攻击面管理来对抗网络攻击的理论。 

前面讲的理论很美好，那么如果一个管理者，想要实践这种以我为主的安全思路，他主要会面临什么挑战呢？我们说主要的挑战来自于来自于两个方面，一个是业务规模，一个是控制点。大家首先可以设想一下，在一个几百台服务器，几千台服务器，甚至上万台服务器的场景中，要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展，数据中心的规模却在飞速膨胀，让本来就困难的问题变得更加困难。另一个问题是控制点，无论如何，你如果要控制网络访问，你都需要一个具体的控制点。随着数据中心规模的膨胀，以及我们管理粒度的精细化，一定会导致控制点总量的急剧增加，而这势必对控制点的成本（购买成本，部署成本，运维成本）产生严格的要求，在这种情况下，过去那些很重的控制点（比如防火墙）就很不合适了。就是在这种背景下，微隔离技术诞生了！