微隔离,作为网络安全行业的热门技术,早已为业界所熟知。但你可能不知道,国际研究机构Gartner已经两次修改了Microsegmentation的名称和定义。为什么Gartner这样做?微隔离的最新定义是什么意思?第一提名:软件定义隔离在网络应用的早期,逻辑上是网络上主机之间自由通信的一条线。这样的网络没有内部结构,看起来高效,但是有两个大问题。首先是不安全感。好人坏人都在一起,正常流量和恶意代码混为一谈。第二个问题是拥堵。各种流量汇聚在一起,使得网络效率非常低下,无法有效管理和维护。就在这时,之前网络安全领域的明星产品——防火墙登场了。防火墙将网络划分为不同的网段(segment),从而将特定的流量限制在特定的网段,这使得网络比过去更加安全和高效。防火墙正是靠着这一杀手级应用,一度占据了全球网络安全市场的半壁江山。随着云计算时代的到来,对防火墙的应用提出了巨大的挑战。云计算网络是建立在物理网络之上的虚拟化网络。真正负责业务处理的网络就是这个虚拟化的网络,底层的物理网络运行在封装的无意义的数据包上。云中的虚拟化网络不仅是虚拟的,而且非常动态。这是它与传统网络最大的区别。这个网络可以根据需要随意搭建,具有前所未有的灵活性。防火墙作为硬件产品,被云计算阻隔在真实业务网络之外,其变种——虚拟防火墙,由于继承了防火墙复杂繁琐的架构,难以适应灵活多变的软件定义网络。正是在这样的背景下,微分段最早由Gartner于2015年正式提出,并被赋予了第一个名字:软件定义隔离(software-definedsegmentation)。除了微隔离,还有SDP(软件定义边界)。此时此刻,微隔离的价值正如其名。它是软件定义的,可以在云计算环境中按需部署,从而为云计算网络带来更灵活的安全性和可管理性。二级定义:微分段(micro-segmentation)但没过多久,Gartner将软件定义分段更名为Microsegmentation,也就是我们现在所说的微分段(micro-segmentation)。更名,其实也反映了Gartner对微隔离定位的微妙调整。微服务时代的到来,让原本就极其复杂的数据中心网络变得更加复杂,大量东西向的访问纵横交错。这也是APT和勒索软件泛滥之时,人们更加关注“东西安全”。防火墙本来是用来隔离大网段(MacroSegmentation)的,结构很重。一般来说,它只能用来看看大门和里面的几大片区域。使用防火墙进行细粒度访问控制在部署难度和部署成本上是不可接受的。这时候,微隔离这种极其轻量级的技术架构,从细粒度到容器级别,可按需构建和部署的访问控制能力就变得无价。现阶段,微隔离的软件定义能力不再是核心价值,而是其细粒度的管控能力。于是,微隔离就成了这个在业界真正广为人知的技术的名称,一直沿用至今。强威智能也正是在这个时候开始了微隔离的技术研究。再次更名:基于身份的隔离随着应用的发展,Gartner在2020年再次调整了微分段的名称和定义,此次调整的背景与零信任密切相关。网络安全历来分为两种流派,控制派和攻防派。攻防学派的目标是识别威胁,但威胁变化很快,在安全人员了解这个新变种之前就可以做很多坏事,研究一个恶意代码特征所需的时间和资源是无限的高于创建恶意代码。防守队员之间的这种不对称,实际上已经让防守队员处于非常被动的境地。在此背景下,控制派开始受到业界更广泛的关注。控制派的观念是,不管“坏人”是什么,他们只研究好人应该做什么?只要系统没有充分意识到“好人”和好行为,都会被杀死。那么问题来了,控制派应该如何表达“好人”的概念呢?在网络安全领域,我们一直用的是五元组,即源和目的的IP地址和端口,以及传输协议。但IP地址本质上只是一个通信参数,不能描述业务属性和身份信息。以前网络相对静态的时候,我们还是可以用IP来近似身份(而这也正是很多网络攻击所利用的点),但是随着网络越来越灵活,远程互联,公有云,物联网和其他基础设施,IP地址已经完全失去了身份的意义。我们必须将网络安全的核心动作隔离和分段建立在一个新的参数上,即身份(ID)。因此,微隔离的新名称是ID-BASEDSEGMENTATION,可以称为Identity-basedisolation(基于身份的网络分段)。所谓基于身份的隔离,顾名思义就是以前的网络隔离是面向IP的,现在的网络隔离是面向ID的。看似是一个字母的区别,但背后的技术内涵却有着根本的不同。我们可以根据IP地址进行隔离。其实有一个默认的假设,就是我们要进行访问控制的资源在网络位置上必须有确定性。但是今天,随着云计算的广泛应用,尤其是远程办公和BYOD的盛行,地址不再是唯一确定的。在此背景下,IP逐渐变得只有通信价值,基本没有安全价值。此时,网络安全面临着前所未有的颠覆性危机。这时候,微隔离又站了出来。我们发现,微分段技术是在云计算时代兴起的,从诞生之日起就一直在软件定义网络(SDN)环境中工作。微隔离一直认为网络地址是一个不稳定的参数,所以微隔离技术(真正的微隔离技术)都是面向ID而不是IP的。这个原本是为了应对SDN而设计的技术特性,在零信任时代突然绽放出意想不到的光彩。安全人员发现,微分段可以有效解决当前基于IP的网络安全技术所面临的问题,从而成为大家耳熟能详的零信任三大核心技术基石之一。也就是说,在今天,无论是软件定义还是细粒度的控制能力,都不再是微分段对网络安全的主要贡献。为身份定义网络并进行访问控制是微隔离的最大贡献。的价值。这就是这次重命名发生的原因。Gartner的意思很明确。不管小不小,以ID为本才是王道!从软件定义隔离,到微隔离,再到基于身份的隔离,微隔离经历了三次更名,实际上代表了近十年来网络安全发展的历史,代表了技术进步的方向。网络安全面临虚拟化、APT、数字时代的多轮冲击,微隔离技术发挥了积极作用。最有趣的是,微隔离本身并没有改变。从这项技术诞生之日到今天,其核心能力和技术架构一直如此,但人们也越来越多地发现这项技术能够给我们带来的价值。超出预期。三个更名实际上代表了业界对微隔离技术的三个深入认识,也展示了微隔离技术应用范围的三个拓展。今天的微隔离技术正在成为整个零信任安全体系的基石。https://www.lab.cn/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/
