就拿隔离来说,当攻击者有机会拿到内网一个跳板机,结果发现内网网络基本是畅通的;这两年的HW攻防对抗演练活动中这个问题的暴露尤为明显,原来奉行的内网基本安全的策略在攻防对抗中被“打”的体无完肤;同时随着内部网络的架构从传统的IT架构向虚拟化、混合云和容器化升级变迁,结果发现内部隔离不再是一件容易的事情。为了适应攻防对抗防护的要求、为了满足新的IT架构的要求,我们不得不再重新分析和审视隔离的重要性。
什么是微隔离?
作为实现“零信任”的三大技术路径之一,网络隔离并不是新的概念,而微隔离技术(Micro-Segmentation)是VMware在应对虚拟化隔离技术时提出来的,但真正让微隔离备受大家关注是从2016年起连续3年微隔离技术都进入Gartner年度安全技术榜单开始。在2016年的Gartner安全与风险管理峰会上,Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术的概念。“安全解决方案应当为企业提供流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。”
从微隔离概念和技术诞生以来,对其核心的能力要求是聚焦在东西向流量的隔离上(当然对南北向隔离也能发挥左右),一是有别于防火墙的隔离作用,二是在云计算环境中的真实需求。
微隔离系统工作范围:微隔离顾名思义是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移(或者叫东西向移动)。
微隔离系统的组成:有别于传统防火墙单点边界上的隔离(控制平台和隔离策略执行单元都是耦合在一台设备系统中),微隔离系统的控制中心平台和策略执行单元是分离的,具备分布式和自适应特点:
(1)策略控制中心:是微隔离系统的中心大脑,需要具备以下几个重点能力:
能够可视化展现内部系统之间和业务应用之间的访问关系,让平台使用者能够快速理清内部访问关系;
能够按角色、业务功能等多维度标签对需要隔离的工作负载进行快速分组;
能够灵活的配置工作负载、业务应用之间的隔离策略,策略能够根据工作组和工作负载进行自适应配置和迁移。
(2)策略执行单元:执行流量数据监测和隔离策略的工作单元,可以是虚拟化设备也可以是主机Agent。
为什么需要微隔离?
不少人提出来有VLAN技术、VxLAN技术、VPC技术,为什么还需要微隔离?在回答这个问题之前,我们先来看看这几个技术的定义和作用:
VLAN:即虚拟局域网,是通过以太网协议将一个物理网络空间逻辑划分成几个隔离的局域网,是我们目前做内部不同局域网段的一种常用技术;由于以太网协议的限制,VLAN能划分的虚拟局域网最多只有4096个。
VxLAN:即虚拟扩展局域网,为了解决VLAN技术在大规模计算数据中心虚拟网络不足的问题而出现的技术,最多可支持1600万个虚拟网络的同时存在可适应大规模租户的部署。
VPC:Virtual Private Cloud,即虚拟私有云,最早由AWS于2009年发布的一种技术,为公有云租户实现在公有云上创建相互隔离的虚拟网络,其技术原理类似于VxLAN。
从技术特点上看,VLAN是一种粗粒度的网络隔离技术,VxLAN和VPC更接近于微隔离的技术要求但还不是微隔离最终的产品形态。我们来看一个真实的生产环境中的工作负载之间的访问关系: