微隔离产生的背景
首先来看下南北向流量以及东西向流量的含义
南北向流量
指通过网关进出数据中心的流量,在云计算数据中心,处于用户业务虚拟机(容器)跟外部网络之间的流量,一般来说防火墙等安全设备部署在数据中心的出口处,来做南北向流量的安全防护。
东西向流量 指数据中心内部服务器彼此相互访问所造成的内部流量,在云计算数据中心中,处于相同网络(子网)内用户业务虚拟机(容器)之间的流量,以及相同虚拟路由器不同网络(子网)内用户业务虚拟机(容器)间的流量,据统计,当代数据中心 75%以上的流量为东西向流量。
东西向的常见风险
- 病毒传播
- 数据泄露(内部员工恶意或者无意)
微隔离产生的背景 随着内部网络的架构从传统的IT架构向虚拟化、混合云和容器化升级变迁,结果发现一旦边界的防线被攻破或者绕过,攻击者就可以在数据中心内部横向移动,内部隔离不再是一件容易的事情。为了适应攻防对抗防护的要求、为了满足新的IT架构的要求,我们不得不再重新分析和审视隔离的重要性。
微隔离的定义
微隔离技术(Micro-Segmentation)是VMware在应对虚拟化隔离技术时提出来的,但真正让微隔离备受大家关注是从2016年起连续3年微隔离技术都进入Gartner年度安全技术榜单开始。在2016年的Gartner安全与风险管理峰会上,Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术的概念。微隔离又称软件定义隔离、微分段。微隔离是一种网络安全技术,它使安全架构师能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独特的段定义安全控制和所提供的服务。微隔离可以在数据中心深处部署灵活的安全策略。
微隔离的能力
- 东西向业务流量细粒度可视
- 缩减内部攻击面
- 基于业务的策略创建
- 灵活划分隔离域
- 安全策略集中可视化管理
微隔离的四种技术路线微隔离的四种技术路线
云原生控制
这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。
优势
- 与云平台整合的更加完善
- 属于同一供应商
- 支持自动化编排
劣势
- 只支持自身虚拟化平台、不支持混合云
- 更适合于隔离,而不是访问控制
- 东西向的管理能力有限
第三方防火墙
主要是基于第三方防火墙供应商提供的虚拟化防火墙
优势
- 丰富的安全能力,集成IPS、av等功能
- 与防火墙配置逻辑一致
- 普遍支持自动化编排
劣势
- 需要与虚拟化平台做对接
- 费用高
- 性能损耗
基于主机代理模式
这种模式就是采用代理或者软件,将代理或者软件部署到每台主机(虚拟机)中
优势
- 与底层架构无关,支持混合云
- 主机迁移时安全策略也能跟随着迁移
- 支持自动化编排
劣势
- 需要安装客户端
- 功能主要以访问控制为主
混合模型
一般都是通过其它模式组合使用,例如本地与第三方组合
优势
- 可以基于现有的内容进行升级改造
- 在不同的位置使用不同模式的优势
劣势
- 通常无法统一管理,需要多种管理工具
- 云厂商往往对第三方产品的支持度不够高
微隔离在等保2.0中的体现
微隔离安全平台可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。产品在真实威胁中,可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。
德迅零域由Agent、计算引擎和控制台组成,支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境,异构环境对用户完全透明。
