云化趨勢下的微隔離能力解析

一. 生態產業發展趨勢Landscape

傳統網絡中為了安全的考慮，需要進行一定程度地隔離，例如通過網閘進行物理隔離、通過交換設備進行VLAN二層隔離、路由設備進行三層VRF隔離，以及基于防火墻的更靈活的安全隔離。

隨著云計算、虛擬化技術的發展，越來越多的企業將數據與業務遷移到云計算環境。包含有敏感數據和業務的云計算工作負載，在云環境下網絡邊界變得模糊，傳統防護手段包括防火墻、WAF、IPS等端點安全和網絡安全手段主要面向南北向流量的防護，在云環境下對東西向流量的防護受到掣肘。

此外，隨著APT和勒索病毒的肆虐，內部網絡缺乏有效抵御橫向移動的手段，東西向安全也得到了前所未有的關注。

微服務時代的到來讓云計算數據中心網絡變得更加復雜，租戶網絡內部、服務網格中的東西向訪問流量大大增加。傳統的防火墻原本是用來做大網段隔離的(Macro Segmentation)，云環境下利用防火墻做細粒度訪問控制，從部署難度到部署成本上都極具挑戰。這個時候，微隔離的可細粒度到容器級的輕量化架構，可以隨需構建隨需部署的訪問控制能力就變得彌足珍貴。

微隔離在2015年首次被Gartner正式提出，并賦予第一個名稱：軟件定義的隔離（軟件定義的分段，Software-Defined Segmentation）。隨后，Gartner就把軟件定義的隔離更名為我們現在所熟知的微隔離(微分段，Micro-segmentation)。從軟件定義的隔離到微隔離，再到基于當前以零信任技術為代表的基于身份的隔離，事實上代表了最近十年來網絡安全的發展歷史及技術的發展方向。

二. 云化趨勢下的微隔離特點

云化趨勢下微隔離技術的主要特點包括：

細粒度控制：微隔離技術可以將網絡細分為許多小型網絡區域，每個區域都有自己的安全策略和訪問控制規則。這種方法可以實現對網絡中每個設備、應用程序或服務的細粒度控制和保護。

動態管理：通過使用網絡虛擬化和軟件定義網絡（Software-Defined Networking，SDN）技術，可以根據需要動態地調整網絡配置和安全策略。這種方法可以使網絡隔離更加靈活和智能。

安全性：微隔離技術可以提高網絡的安全性，通過對網絡中任意區域間的訪問進行細粒度控制，可以防止網絡攻擊和數據泄露等安全風險。

可視化：微隔離技術可以為網絡管理員提供更清晰的視圖，以便更好地了解網絡的狀態和流量。通過網絡流量分析，管理員可以更好地了解網絡中哪些區域需要更多的安全保護。

靈活性：微隔離技術可以根據需要進行定制化配置，使得網絡可以根據不同的業務需求和應用程序進行優化和定制。這種方法可以提高網絡的靈活性和可擴展性。

應用感知：微隔離當前主要是面向網絡層，基于網絡地址與端口進行隔離，隨著云應用的發展和多樣化，微隔離的對象將從網絡層逐漸上移到應用層，微隔離將具備感知端點應用的能力，并根據應用類型應用相應的隔離策略。

三. 微隔離能力分類與介紹

微隔離的實現方式是將數據中心內部所有的業務按照特定的原則劃分為若干微小區域（稱為微分段），在區域的邊界側存在若干網絡層節點，根據動態策略分析對這些節點執行訪問控制，從邏輯上可實現微小區域之間的隔離，因而這些節點被稱為策略強制點（Policy Enforcement Points，PEPs)。這些PEP節點可將云計算網絡中大量的微小區域隔離開，從而限制惡意攻擊者的橫向移動，減少業務系統被攻破的可能性。

NIST的微隔離架構標準如圖1所示，包括微隔離客戶端和微隔離控制中心。

圖- 1 NIST微隔離架構

微隔離客戶端：主要包括流量信息收集和策略執行兩個部分。向控制中心反饋當前網絡中的業務流量信息，實時上報業務動態，接收控制中心下發的策略控制指令，執行安全策略動作。

微隔離控制中心：主要包括管理引擎和策略管理兩個控制塊。管理引擎接收客戶端發送的流量數據，并根據這些信息建立業務模型，交由策略管理模塊分析當前網絡形勢，進行多維度策略運算，動態生成安全策略，并下發給客戶端執行，通過流量自學習實現策略自適應。

與傳統網絡不同在于，微隔離架構不再存在內、外網的概念，而是將數據中心網絡隔離成了很多微分段。節點如要訪問微分段內其他節點的資源，都需要經過微隔離客戶端的認證，如果節點身份認證不通過，或不具備訪問權限，會被客戶端攔截。

實現網絡微隔離的典型技術手段有如下幾種：

(一) 基于虛擬化的微隔離（Hypervisor-Based Micro-segmentation）

圖- 2 基于虛擬化的微隔離

基于虛擬機構建的云計算環境中，虛擬機的資源由虛擬機監控器(Virtual Machine Monitor, VMM）統一進行管理．其中 VMM/Hypervisor是高權限的軟件層，它能夠控制所有的硬件資源并能捕獲 VMs中的中斷和異常， 因此利用該技術能夠構建一個安全可靠的隔離執行環境。通過虛機的Hypervisor接收安全策略，進行東西向流量的防護。基于Hypervisor的微隔離技術需要使用虛擬化網絡，以實現不同虛機之間的網絡隔離。該方案優勢在于有較高的過濾性能，相對于基于容器的微隔離技術來說，具有更強的隔離性和安全性；劣勢為不能控制非虛擬化部署的主機，增加系統的復雜度和資源消耗。

(二) 基于網絡的微隔離（Network-Based Micro-segmentation）

圖- 3 基于網絡的微隔離

各服務器或VM之間，通過VxLAN封裝后進行東西向流量的傳遞，在VTEP或部署在網絡上的安全設備如虛擬防火墻等進行安全檢測。這種方案的優勢在可借助三方安全產品的豐富的安全能力，如：入侵檢測、防病毒等功能，能集成IPS、AV等功能。但劣勢也很明顯，需要與虛擬化平臺做對接，費用高，且有性能損耗。

(三) 基于主機代理的微隔離（Host-Agent-Based Micro-segmentation）

圖- 4 基于代理的微隔離

將agent部署到每臺主機（一般為虛擬機）中，Agent調用主機自身的防火墻或內核自定義防火墻來做服務器間的訪問控制。這種方式就是用微隔離實現零信任的模式之一。優勢在于與底層架構無關，支持多云和容器；主機遷移時安全策略也能跟隨著遷移；支持自動化編排。缺點在于必須在每個服務器上安裝agent客戶端，不排除存在因占用主機系統資源而影響到現有業務的情況。

四. 微隔離能力的預測

在應用服務上云過程中，采用云原生架構及微服務化是很多應用廠商的選擇，這讓應用服務具有了更好的功能解耦、更靈活的資源調度和更敏捷的開發運營流程。通過使用微服務和容器化技術，可以更好地實現微分段技術，并且可以更好地應對快速變化的業務需求和應用程序。如服務網格治理中，一些開源項目已經將微服務身份認證與訪問控制結合，實現了基于身份的微服務隔離，也可認為是微隔離技術的一個發展趨勢。

微隔離誕生于云環境，可預測后續也能應用于傳統主機側，可避免攻擊者在內部網絡偵查、橫向移動等行為，以預防勒索軟件、挖礦、APT等威脅。

基于身份的微隔離技術，可支持服務粒度的策略制定，自動適應服務實例的變化，有效執行隔離策略。該技術在云原生快速發展的背景下，已經成為云原生平臺中不可缺少的安全能力，是保護云原生服務的重要基礎設施。

隨著人工智能技術的發展，微隔離技術將更多地應用于智能化安全管理。通過使用機器學習和深度學習算法，可以更好地識別和應對網絡安全威脅，并且可以更好地進行網絡流量分析和優化。

五. 總結

從軟件定義的隔離，到微分段，再到基于身份的隔離，微隔離先后經歷了三次更名，事實上代表了最近十年網絡安全發展的歷史，代表了技術進步的方向。網絡安全先后面臨了云化、數字化和APT帶來的幾輪沖擊，零信任理念越發深入人心，而微隔離技術已正成為整個零信任安全體系的基石。

微隔離誕生于云計算場景，承擔了云內部網絡的東西向流量隔離和訪問控制。未來，微隔離技術將更多地應用于云原生環境、自動化管理、智能化安全管理等方面，以應對不斷增長的網絡安全威脅和業務需求。

內容編輯：系統架構部 彭曉軍

 責任編輯：創新研究院 陳佛忠

本公眾號原創文章僅代表作者觀點，不代表綠盟科技立場。所有原創內容版權均屬綠盟科技研究通訊。未經授權，嚴禁任何媒體以及微信公眾號復制、轉載、摘編或以其他方式使用，轉載須注明來自綠盟科技研究通訊并附上本文鏈接。