网络隔离并不是新的概念,而微隔离技术(Micro-Segmentation)是VMware在应对虚拟化隔离技术时提出来的,但真正让微隔离备受大家关注是从2016年起连续3年微隔离技术都进入Gartner年度安全技术榜单开始。在2016年的Gartner安全与风险管理峰会上, Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术的概念。“安全解决方案应当为企业提供流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。”
从微隔离概念和技术诞生以来,对其核心的能力要求是聚焦在东西向流量的隔离上(当然对南北向隔离也能发挥左右),一是有别于防火墙的隔离作用,二是在云计算环境中的真实需求。
为什么需要微隔离?
在云计算、虚拟技术的广泛应用之下,现代企业内部网络庞大且复杂,想要实施东西向控制会遇到许多挑战,只有解决好这些痛点问题,才能使它成为解决安全问题的一把利刃。
不少人提出来有VLAN技术、VxLAN技术、VPC技术,为什么还需要微隔离?在回答这个问题之前,我们先来看看这几个技术的定义和作用:
VLAN:即虚拟局域网,是通过以太网协议将一个物理网络空间逻辑划分成几个隔离的局域网,是我们目前做内部不同局域网段的一种常用技术;由于以太网协议的限制,VLAN能划分的虚拟局域网最多只有4096个。
VxLAN:即虚拟扩展局域网,为了解决VLAN技术在大规模计算数据中心虚拟网络不足的问题而出现的技术,最多可支持1600万个虚拟网络的同时存在可适应大规模租户的部署。
VPC:Virtual Private Cloud,即虚拟私有云,最早由AWS于2009年发布的一种技术,为公有云租户实现在公有云上创建相互隔离的虚拟网络,其技术原理类似于VxLAN。
从技术特点上看,VLAN是一种粗粒度的网络隔离技术,VxLAN和VPC更接近于微隔离的技术要求但还不是微隔离最终的产品形态。那么当工作负载数量急剧上升时我们急需一套更加智能的隔离系统。而德迅零域·微隔离安全平台可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。产品在真实威胁中,可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。以下是总结需要微隔离技术的几大理由:
一、流量看得清——业务拓扑图可视化展示访问关系
自动学习业务访问关系,并以多种拓扑图清晰展示,结合资产信息,为策略制定提供基础。
•拓扑图上交互式设置,自动生成策略,提高效率。
•发现主机上无用的端口,减少风险暴露面。
•丰富的查询方式和图例,直观评估策略配置情况。
二、策略好管理——多种策略形式实现自动化运维
依据不同管理场景,配置不同粒度的控制策略,并随业务或环境变化自适应调整策略,实现自动化运维。
•提供业务组、标签、端口、IP等不同粒度的策略管理。
•用标签定义策略,形式精简,降低运维成本。
•策略表达明白易读,避免基于IP的安全策略。
三、策略易验证——监控异常访问并自动验证策略
在不真实拦截流量的情况下,持续监控学习业务访问关系,自动验证策略准确性和覆盖度。
•自动验证策略正确性,减少人力成本。
•重保场景中,发现恶意横向渗透行为。
•发现异常访问,第一时间发出告警。
四、管控多选择——根据管理要求选择不同控制强度
访问控制模式决定控制策略如何放行/阻断网络连接,配合不同的管理要求,支持不同强度的控制模式。
•主机控制模式:为每个业务端口配置策略,严密防护。
•服务控制模式:管控20%的关键端口,降低80%的风险。
五、威胁可隔离——失陷主机快速隔离防止威胁扩散
在发生真实攻击场景下,提供应急响应手段,迅速隔离失陷主机网络,防止威胁进一步扩散。
•出站、入站、双向网络流量,可选择不同隔离方式。
•开放特定端口并指定访问IP,给上机排查问题提供条件。
•威胁清除后远程解除隔离,恢复正常通信。
六、保护更全面——非受控设备和DMZ区主机访问控制
对未部署Agent的网络设备和业务敏感主机实现保护,并可对DMZ区主机的外网访问进行控制。
•对已部署和未部署Agent主机之间的访问,进行安全控制。
•严格限制出入外网的流量,收缩DMZ区主机暴露面。
除此之外,微隔离产品的核心价值在于:
一、减少数据中心内部威胁
•阻止攻击者在内网的横向移动,极大减少攻击面和业务风险
•防止攻击者利用跳板窃取有价值的数据
•防止病毒在内部网络中传播
•可在网络层关闭高危端口的能力
二、缩短业务交付时间
•基于软件定义的隔离能力,让安全同样的敏捷、可控
•可在短时间为企业业务应用提供安全服务
•为各业务部门提供独立的安全服务,可进行策略的部署和业务的查看
•有效缩短企业安全所需要的可靠的应用和服务的交付时间
三、简化网络流量
•显著减少东西通信时所需的跳变,大幅提升业务应用性能
•消除无效过滤点(东西向流量被迫通过物理防火墙),避免造成阻塞和不必要的延迟
•工作负载部署与网络拓扑解耦,允许数据中心中所有工作负载进行策略部署和迁移
四、减少运维成本
•大幅减少安全运维中手动操作和安全性任务所需的时间
•独特的身份识别技术,为新入网的工作负载进行自适应策略配置
•高度的自动化和可编排能力消除了手工配置错误的风险
总之,微隔离安全平台以其高技术含量和精细化管理能力,成为了网络安全领域的新宠。它不仅能够有效应对各种网络安全威胁,还能够提高企业的安全防护水平和运营效率。随着技术的不断进步和应用场景的不断扩展,微隔离安全平台将在未来发挥更加重要的作用,为企业构筑起更加坚固的网络安全防线。
