来源:绿盟科技
全文共3926字,阅读大约需8分钟。
一. 产业发展趋势
传统网络中出于安全考虑,需要进行一定程度地隔离,例如通过网闸进行物理隔离、通过交换设备进行VLAN二层隔离、路由设备进行三层VRF隔离,以及基于防火墙的更灵活的安全隔离。
【资料图】
随着云计算、虚拟化技术的发展,越来越多的企业将数据与业务迁移到云计算环境。包含有敏感数据和业务的云计算工作负载,在云环境下网络边界变得模糊,传统防护手段包括防火墙、WAF、IPS等端点安全和网络安全手段主要面向南北向流量的防护,在云环境下对东西向流量的防护受到掣肘。
此外,随着APT和勒索病毒的肆虐,内部网络缺乏有效抵御横向移动的手段,东西向安全也得到了前所未有的关注。
微服务时代的到来让云计算数据中心网络变得更加复杂,租户网络内部、服务网格中的东西向访问流量大大增加。传统的防火墙原本是用来做大网段隔离的(Macro Segmentation),云环境下利用防火墙做细粒度访问控制,从部署难度到部署成本上都极具挑战。这个时候,微隔离的可细粒度到容器级的轻量化架构,可以随需构建随需部署的访问控制能力就变得弥足珍贵。
微隔离在2015年首次被Gartner正式提出,并赋予第一个名称:软件定义的隔离(软件定义的分段,Software-Defined Segmentation)。随后,Gartner就把软件定义的隔离更名为我们现在所熟知的微隔离(微分段,Micro-segmentation)。从软件定义的隔离到微隔离,再到基于当前以零信任技术为代表的基于身份的隔离,事实上代表了最近十年来网络安全的发展历史及技术的发展方向。
二. 云化趋势下的微隔离特点
云化趋势下微隔离技术的主要特点包括:
细粒度控制:微隔离技术可以将网络细分为许多小型网络区域,每个区域都有自己的安全策略和访问控制规则。这种方法可以实现对网络中每个设备、应用程序或服务的细粒度控制和保护。
动态管理:通过使用网络虚拟化和软件定义网络(Software-Defined Networking,SDN)技术,可以根据需要动态地调整网络配置和安全策略。这种方法可以使网络隔离更加灵活和智能。
安全性:微隔离技术可以提高网络的安全性,通过对网络中任意区域间的访问进行细粒度控制,可以防止网络攻击和数据泄露等安全风险。
可视化:微隔离技术可以为网络管理员提供更清晰的视图,以便更好地了解网络的状态和流量。通过网络流量分析,管理员可以更好地了解网络中哪些区域需要更多的安全保护。
灵活性:微隔离技术可以根据需要进行定制化配置,使得网络可以根据不同的业务需求和应用程序进行优化和定制。这种方法可以提高网络的灵活性和可扩展性。
应用感知:微隔离当前主要是面向网络层,基于网络地址与端口进行隔离,随着云应用的发展和多样化,微隔离的对象将从网络层逐渐上移到应用层,微隔离将具备感知端点应用的能力,并根据应用类型应用相应的隔离策略。
三. 微隔离能力分类与介绍
微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为若干微小区域(称为微分段),在区域的边界侧存在若干网络层节点,根据动态策略分析对这些节点执行访问控制,从逻辑上可实现微小区域之间的隔离,因而这些节点被称为策略强制点(Policy Enforcement Points,PEPs)。这些PEP节点可将云计算网络中大量的微小区域隔离开,从而限制恶意攻击者的横向移动,减少业务系统被攻破的可能性。
NIST的微隔离架构标准如图1所示,包括微隔离客户端和微隔离控制中心。
图- 1NIST微隔离架构
微隔离客户端:主要包括流量信息收集和策略执行两个部分。向控制中心反馈当前网络中的业务流量信息,实时上报业务动态,接收控制中心下发的策略控制指令,执行安全策略动作。
微隔离控制中心:主要包括管理引擎和策略管理两个控制块。管理引擎接收客户端发送的流量数据,并根据这些信息建立业务模型,交由策略管理模块分析当前网络形势,进行多维度策略运算,动态生成安全策略,并下发给客户端执行,通过流量自学习实现策略自适应。
与传统网络不同在于,微隔离架构不再存在内、外网的概念,而是将数据中心网络隔离成了很多微分段。节点如要访问微分段内其他节点的资源,都需要经过微隔离客户端的认证,如果节点身份认证不通过,或不具备访问权限,会被客户端拦截。
实现网络微隔离的典型技术手段有如下几种:
(一)基于虚拟化的微隔离(Hypervisor-BasedMicro-segmentation)
图- 2基于虚拟化的微隔离
基于虚拟机构建的云计算环境中,虚拟机的资源由虚拟机监控器(Virtual Machine Monitor, VMM)统一进行管理。其中 VMM/Hypervisor是高权限的软件层,它能够控制所有的硬件资源并能捕获 VMs中的中断和异常, 因此利用该技术能够构建一个安全可靠的隔离执行环境。通过虚机的Hypervisor接收安全策略,进行东西向流量的防护。基于Hypervisor的微隔离技术需要使用虚拟化网络,以实现不同虚机之间的网络隔离。该方案优势在于有较高的过滤性能,相对于基于容器的微隔离技术来说,具有更强的隔离性和安全性;劣势为不能控制非虚拟化部署的主机,增加系统的复杂度和资源消耗。
(二)基于网络的微隔离(Network-BasedMicro-segmentation)
图- 3基于网络的微隔离
各服务器或VM之间,通过VxLAN封装后进行东西向流量的传递,在VTEP或部署在网络上的安全设备如虚拟防火墙等进行安全检测。这种方案的优势在可借助三方安全产品的丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、AV等功能。但劣势也很明显,需要与虚拟化平台做对接,费用高,且有性能损耗。
(三)基于主机代理的微隔离(Host-Agent-BasedMicro-segmentation)
图- 4基于代理的微隔离
将agent部署到每台主机(一般为虚拟机)中,Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种方式就是用微隔离实现零信任的模式之一。优势在于与底层架构无关,支持多云和容器;主机迁移时安全策略也能跟随着迁移;支持自动化编排。缺点在于必须在每个服务器上安装agent客户端,不排除存在因占用主机系统资源而影响到现有业务的情况。
四. 微隔离能力的预测
在应用服务上云过程中,采用云原生架构及微服务化是很多应用厂商的选择,这让应用服务具有了更好的功能解耦、更灵活的资源调度和更敏捷的开发运营流程。通过使用微服务和容器化技术,可以更好地实现微分段技术,并且可以更好地应对快速变化的业务需求和应用程序。如服务网格治理中,一些开源项目已经将微服务身份认证与访问控制结合,实现了基于身份的微服务隔离,也可认为是微隔离技术的一个发展趋势。
微隔离诞生于云环境,可预测后续也能应用于传统主机侧,可避免攻击者在内部网络侦查、横向移动等行为,以预防勒索软件、挖矿、APT等威胁。
基于身份的微隔离技术,可支持服务粒度的策略制定,自动适应服务实例的变化,有效执行隔离策略。该技术在云原生快速发展的背景下,已经成为云原生平台中不可缺少的安全能力,是保护云原生服务的重要基础设施。
随着人工智能技术的发展,微隔离技术将更多地应用于智能化安全管理。通过使用机器学习和深度学习算法,可以更好地识别和应对网络安全威胁,并且可以更好地进行网络流量分析和优化。
五. 总结
从软件定义的隔离,到微分段,再到基于身份的隔离,微隔离先后经历了三次更名,事实上代表了最近十年网络安全发展的历史,代表了技术进步的方向。网络安全先后面临了云化、数字化和APT带来的几轮冲击,零信任理念越发深入人心,而微隔离技术正成为整个零信任安全体系的基石。
微隔离诞生于云计算场景,承担了云内部网络的东西向流量隔离和访问控制。未来,微隔离技术将更多地应用于云原生环境、自动化管理、智能化安全管理等方面,以应对不断增长的网络安全威胁和业务需求。
标签:
