安全資訊

網(wǎng)絡(luò )隔離并不是新的概念，而微隔離技術(shù)（Micro-Segmentation）是VMware在應對虛擬化隔離技術(shù)時(shí)提出來(lái)的，但真正讓微隔離備受大家關(guān)注是從2016年起連續3年微隔離技術(shù)都進(jìn)入年度安全技術(shù)榜單開(kāi)始。在2016年的安全與風(fēng)險管理峰會(huì )上提出了微隔離技術(shù)的概念?！鞍踩鉀Q方案應當為企業(yè)提供流量的可見(jiàn)性和監控?？梢暬ぞ呖梢宰尠踩\維與管理人員了解內部網(wǎng)絡(luò )信息流動(dòng)的情況，使得微隔離能夠更好地設置策略并協(xié)助糾偏?！?/span>

從微隔離概念和技術(shù)誕生以來(lái)，對其核心的能力要求是聚焦在東西向流量的隔離上（當然對南北向隔離也能發(fā)揮左右）：

一是有別于防火墻的隔離作用，二是在云計算環(huán)境中的真實(shí)需求。

l  微隔離系統工作范圍：

微隔離顧名思義是細粒度更小的網(wǎng)絡(luò )隔離技術(shù)，能夠應對傳統環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下對于東西向流量隔離的需求，重點(diǎn)用于阻止攻擊者進(jìn)入企業(yè)數據中心網(wǎng)絡(luò )內部后的橫向平移（或者叫東西向移動(dòng)）。

l  微隔離系統的組成：

有別于傳統防火墻單點(diǎn)邊界上的隔離（控制平臺和隔離策略執行單元都是耦合在一臺設備系統中），微隔離系統的控制中心 

平臺和策略執行單元是分離的，具備分布式和自適應特點(diǎn)：

（1）策略控制中心：是微隔離系統的中心大腦，需要具備以下幾個(gè)重點(diǎn)能力：

• 能夠可視化展現內部系統之間和業(yè)務(wù)應用之間的訪(fǎng)問(wèn)關(guān)系，讓平臺使用者能夠快速理清內部訪(fǎng)問(wèn)關(guān)系；

• 能夠按角色、業(yè)務(wù)功能等多維度標簽對需要隔離的工作負載進(jìn)行快速分組；

• 能夠靈活的配置工作負載、業(yè)務(wù)應用之間的隔離策略，策略能夠根據工作組和工作負載進(jìn)行自適應配置和遷移。

（2）策略執行單元：執行流量數據監測和隔離策略的工作單元，可以是虛擬化設備也可以是主機Agent。

不少人提出來(lái)有VLAN技術(shù)、VxLAN技術(shù)、VPC技術(shù)，為什么還需要微隔離？在回答這個(gè)問(wèn)題之前，我們先來(lái)看看這幾個(gè)技術(shù)的定義和作用：

VLAN：即虛擬局域網(wǎng)，是通過(guò)以太網(wǎng)協(xié)議將一個(gè)物理網(wǎng)絡(luò )空間邏輯劃分成幾個(gè)隔離的局域網(wǎng)，是我們目前做內部不同局域網(wǎng)段的一種常用技術(shù)；由于以太網(wǎng)協(xié)議的限制，VLAN能劃分的虛擬局域網(wǎng)最多只有4096個(gè)。

VxLAN：即虛擬擴展局域網(wǎng)，為了解決VLAN技術(shù)在大規模計算數據中心虛擬網(wǎng)絡(luò )不足的問(wèn)題而出現的技術(shù)，最多可支持1600萬(wàn)個(gè)虛擬網(wǎng)絡(luò )的同時(shí)存在可適應大規模租戶(hù)的部署。

VPC：Virtual Private Cloud，即虛擬私有云，最早由AWS于2009年發(fā)布的一種技術(shù)，為公有云租戶(hù)實(shí)現在公有云上創(chuàng )建相互隔離的虛擬網(wǎng)絡(luò )，其技術(shù)原理類(lèi)似于VxLAN。

從技術(shù)特點(diǎn)上看，VLAN是一種粗粒度的網(wǎng)絡(luò )隔離技術(shù)，VxLAN和VPC更接近于微隔離的技術(shù)要求但還不是微隔離最終的產(chǎn)品形態(tài)。

我們來(lái)看一個(gè)真實(shí)的生產(chǎn)環(huán)境中的工作負載之間的訪(fǎng)問(wèn)關(guān)系：

我們看到少數的幾臺工作負載都會(huì )有如何復雜的業(yè)務(wù)訪(fǎng)問(wèn)關(guān)系，那么當工作負載數量急劇上升時(shí)我們急需一套更加智能的隔離系統。

以下是我們總結需要微隔離技術(shù)的幾大理由：

• 實(shí)現基于業(yè)務(wù)角色的快速分組能力，為隔離分區提供基于業(yè)務(wù)細粒度的視角（解決傳統基于IP視角存在較多管理上的問(wèn)題）；

• 在業(yè)務(wù)分組的基礎上自動(dòng)化識別內部業(yè)務(wù)的訪(fǎng)問(wèn)關(guān)系，并能通過(guò)可視化方式進(jìn)行展示；

• 實(shí)現基于業(yè)務(wù)組之間的隔離能力、端到端的工作負載隔離能力、異常外聯(lián)的隔離能力，支持物理服務(wù)器之間、虛擬機之間、容器之間的訪(fǎng)問(wèn)隔離；通過(guò)隔離全面降低東西向的橫向穿透風(fēng)險，支持隔離到應用訪(fǎng)問(wèn)端口，實(shí)現各業(yè)務(wù)單元的安全運行；

• 具備可視化的策略編輯能力和批量設置能力，支持大規模場(chǎng)景下的策略設置和管理；

• 具備策略自動(dòng)化部署能力，能夠適應私有云彈性可拓展的特性，在虛擬機遷移、克隆、拓展等場(chǎng)景下，安全策略能夠自動(dòng)遷移；

• 在混合云環(huán)境下，支持跨平臺的流量識別及策略統一管理。 

目前市面上對于微隔離產(chǎn)品還沒(méi)有統一的產(chǎn)品檢測標準，屬于一種比較新的產(chǎn)品形態(tài)。我們給出了評估微隔離的幾個(gè)關(guān)鍵衡量指標，包括：

1）是基于代理的、基于虛擬化設備的還是基于容器的？

2）如果是基于代理的，對宿主的性能影響性如何？

3）如果是基于虛擬化設備的，它如何接入網(wǎng)絡(luò )中？

4）該解決方案支持公共云IaaS嗎？

我們還給客戶(hù)提出了如下幾點(diǎn)建議：

1）欲建微隔離，先從獲得網(wǎng)絡(luò )可見(jiàn)性開(kāi)始，可見(jiàn)才可隔離；

2）謹防過(guò)度隔離，從關(guān)鍵應用開(kāi)始；

3）鞭策IaaS、防火墻、交換機廠(chǎng)商原生支持微隔離；

從技術(shù)層面看微隔離產(chǎn)品實(shí)現主要采用虛擬化設備和主機Agent兩種模式，這兩種方式的技術(shù)對比如下表：

總體來(lái)說(shuō)兩種方案各有優(yōu)缺點(diǎn)：

• 如果環(huán)境中租戶(hù)數量較少且有跨云的情況，主機Agent方案可以作為第一選擇；

• 如果環(huán)境中有較多租戶(hù)分隔的需求且不存在跨云的情況采用SDN虛擬化設備的方式是較優(yōu)的選擇，主機Agent方案作為補充。

另外主機Agent方案還可以結合主機漏洞風(fēng)險發(fā)現、主機入侵檢測能力相結合，形成更立體化的解決方案。順帶提一句，目前我們的工作負載安全解決方案已經(jīng)可以完全覆蓋這個(gè)場(chǎng)景的需求。

在成功部署微隔離中的最大攔路虎首推可見(jiàn)性問(wèn)題。分隔粒度越細，IT 部門(mén)越需要了解數據流，需要理解系統、應用和服務(wù)之間到底是怎樣相互溝通的。

同時(shí)需要建立微隔離可持續性。隨著(zhù)公司不斷往微隔離中引入更多資產(chǎn)，負責團隊需考慮長(cháng)遠發(fā)展，微隔離不是“設置了就可以丟開(kāi)不管”的策略。這意味著(zhù)，企業(yè)需設立長(cháng)期機制以維持數據流的可見(jiàn)性，設置技術(shù)功能以靈活維護策略改變與實(shí)施要求；還意味著(zhù)需清晰描述微隔離配置管理中各人都負責做些什么。

微隔離管理的角色和責任同樣很重要。微隔離規則的改變應經(jīng)過(guò)審查，類(lèi)似配置控制委員會(huì )這種運營(yíng)和安全團隊可驗證變更適當性的地方。

檢驗微隔離是否真正發(fā)揮效果，最直接的方式就是在攻防對抗中進(jìn)行檢驗。

我們可以模擬以下幾個(gè)場(chǎng)景進(jìn)行檢驗：

（1）互聯(lián)網(wǎng)一臺主機被攻陷后，能夠觸達內部多大范圍的主機和工作負載；

（2）同一業(yè)務(wù)區域一臺主機被攻陷后，能否攻陷該業(yè)務(wù)區域的其他主機和工作負載（所有工作負載都存在可以利用的漏洞）；

（3）某一業(yè)務(wù)區域一臺主機被攻陷后，能否觸達跟該業(yè)務(wù)區域有訪(fǎng)問(wèn)關(guān)系的其他業(yè)務(wù)區域的核心主機和工作負載；

（4）內部一臺主機被攻陷后，能夠觸達到域控主機以及能否攻陷域控主機（域控主機存在可以利用的漏洞）；

（5）內部一個(gè)容器工作負載被攻陷后，能夠觸達內部其他多少個(gè)容器工作負載；能否通過(guò)該容器滲透到宿主主機；

（6）以上所有網(wǎng)絡(luò )訪(fǎng)問(wèn)行為是否在微隔離系統中的策略智能管控平臺上監測到，是否有明顯報警標記。

 以上是我們可以總結的一些檢測場(chǎng)景，安全部門(mén)還可以根據自身業(yè)務(wù)的實(shí)際情況模擬更多的攻防對抗場(chǎng)景進(jìn)行檢驗，才能做到“知己知彼，百戰不殆”。