推荐微隔离解决VLAN/VPC无法的东西向隔离问题
当下,基于VLAN/VPC的内部隔离方式基本上已经不再适用于解决虚拟数据中心/私有云(包括含有私有云的混合云)环境下的东西向隔离问题。只有微隔离才能解决这个问题。
内部为什么需要隔离
要想明白微隔离的意义,我们首先要知道内部为什么需要隔离,主要包括以下几个方面:
从安全建设角度
一直以来,企业广泛的采用纵深防御技术(defens in depth)和最小权限逻辑(least privilege)来进行企业网络安全管理。而隔离是实现这两个理念的基本方式。
从攻击防御角度
从近年来的安全事件我们可以看到,攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。这些攻击都有一些显著特点,一旦边界的防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点,复杂的安全策略、巨大的资金和技术都用于了边界防护,而同样的安全级别并不存在于内部。
Kill Chain模型
从安全闭环角度
有了行为分析、有了蜜罐、有了态势感知,却没有了最基本的访问控制。数据中心内部往往几百台虚拟机域内全通;安全策略“只敢增、不敢减”;内部大量的检测设备,但防护却没有……
基于VLAN/VPC内网隔离的“七宗罪”
现在的网络环境,之所以说VLAN/VPC无法解决东西向隔离问题,还因为基于VLAN/VPC的内网隔离,有许多缺点,主要包括:
过于静态
静态的VLAN/VPC划分限定了虚拟机的位置,与云数据中心的动态特性相悖
攻击面过大
虚拟机数量大幅增加,过大的VLAN/VPC划分会给攻击者提供较大的攻击范围,一旦组内一台主机被控制,攻击者就可以随意的横向移动
成本过高
细分安全域,然后部署数百甚至数千个防火墙以做到内部访问控制,在财务和操作上是不可行
影响业务交付
在新增业务或改变现有业务时,安全人员必须手动修改安全策略,从而符合这个静态又重量级的网络拓扑,大幅增加业务延迟,也容易造成配置错误
安全策略管理复杂
防火墙的配置错误、策略更改均是网络中断的常见原因。尤其是防火墙的策略配置,无法预先测试、错误配置很难排查,防火墙策略往往存在“只敢增,不敢减”的问题
增加网络延迟
这种设计增加了网络复杂性,降低了网络性能。
无法适用于混合云模式
当用户有多个云数据中心时,割裂的安全,增加管理的复杂度。
综上所述,在虚拟数据中心环境下,基于VLAN/VPC的内部隔离只适用于粗粒度的大安全域间隔离,对于解决东西向隔离问题,基本已经凉凉。
微隔离才是云中心内部隔离的最佳实践
基于上述原因,我们认为,微隔离才是云中心内部隔离的最佳实践。
微隔离(MicroSegmentation)最早由Gartner在其软件定义的数据中心(SDDC)的相关技术体系中提出,用于提供主机(容器)间安全访问控制(区别于过去的安全域间的安全访问控制),并对东西向流量进行可视化管理。
微隔离技术基本上以软件定义为主,可以很好的适应云中心的动态特性。而且从定义上就能看出,其主要解决的就是如何将错综复杂的云内流量看清楚,管理好。
微隔离并不是理念上的革新,它从管理理念上坚持了纵深防御、最小权限这些被广泛认可的原则,所不同的地方在于微隔离使得这些理念能够在完全不同的虚拟化数据中心和复杂的内部通信模型下继续被有效贯彻。
在Gartner2017年的报告中认为微隔离将在未来2-5年内成为主流技术。就国内而言,蔷薇灵动可能是最早、也是唯一一家只专注于自适应微隔离的安全厂商。
微隔离拓扑图
蔷薇灵动蜂巢自适应微隔离安全平台基于完全自主开发的一套自适应安全架构,将安全能力与工作负载(workload)紧密结合起来,而不是在工作负载之外做安全,做到了与底层架构无关,使得产品在混合云统一安全管理,业务与安全同步交付,容器间安全等问题上具备了完美的解决能力。能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。