前言:作为国内微分段市场的主要开拓者,我们经常被问到一个问题,即我们的系统安装了防火墙,为什么还需要微分段??我们通过自动化脚本来配置,主机防火墙策略不也可以点对点的白名单控制吗?首先,我们必须承认,这个观点本身还是有一定道理的,它基本上可以工作在一个比较小且静态的网络(少于20台服务器)的。但是,如果我们谈论的是定义为“云”或“软件定义的数据中心”的中端计算系统,那么我们有一些东西可以与您分享。1、Software-definedisolation“微分段”这个词是一个比较商业化的市场名词,而这项技术其实还有一个比较学术的名字——SoftwareDefinedSegementation。其实,名字更能表达这项技术的内涵。就像软件定义网络(SDN)一样,软件定义隔离的特点是将隔离点(执行点)与策略控制(policy)分离,使隔离更灵活、更智能,并且是可以控制由海量工作负载组成的工作负载。可以隔离和管理复杂多变的虚拟化网络。以前我们主要是用防火墙来做隔离。当时,策略管理和隔离动作都发生在防火墙设备上。即使主机防火墙是一样的,它的策略也是在主机上配置的。这些策略一般是在防火墙上线部署的时候配置的,之后在防火墙的整个生命周期内基本不会做任何调整。但是,进入云计算时代后,这么多分散独立的控制点变得非常难以维护,过于死板。这样一来,云用户只能在安全和业务之间做出选择。需要安全就无法快速交付业务,需要业务就无法进行有效的安全管理。这种情况需要出现软件定义隔离的技术形式。软件定义隔离与传统防火墙最本质的区别在于,它将策略从每一个分散的控制点中抽离出来,放在一个统一集中的地方进行设计、管理和维护。原则上,安全管理者不需要了解以下控制点在哪里,也不需要为每个控制点配置和维护策略,这些工作将由策略管理中心自动完成。而这种策略管理工作并不是基于预定义脚本的简单自动化过程,而是基于实时网络环境监控和高级别安全策略的实时策略计算和策略更新过程。对于连接到系统的每个控制点,根据实时发生的特殊事件并参考其他控制点的变化,进行唯一和适当的策略计算。该流程是软件定义隔离的核心管理流程。2、主机防火墙与微隔离的关系在明确了微隔离技术的定义之后,回答用户关于“主机防火墙”与微隔离的关系问题就比较简单了。简单来说,主机防火墙相当于SDN网络中的白盒交换机,策略计算中心相当于SDN控制器。在微隔离安全系统中,具体的访问控制是通过主机防火墙完成的,但策略不是配置在主机防火墙上,而是配置在策略计算中心。计算中心在全局范围内收集信息,根据预先定义的高??级别安全策略进行具体的策略计算,然后生成主机防火墙可以理解的五元组策略,并配置回来。因此,主机防火墙本身无法完成微隔离功能,而强大的策略计算中心才是微隔离系统的灵魂。事实上,主机防火墙有着悠久的发展历史。iptable和wfp都是久经考验的好产品。它们在稳定性、兼容性和性能方面都非常出色。将这些老将作为数据面的控制点,对于微隔离来说其实是一个非常稳妥的选择,而微隔离的核心技术应该放在战略计算能力上。3、微隔离技术的硬核在哪里?如果主机防火墙不是微隔离技术的核心,那么微隔离技术的硬核在哪里?我们说围绕安全策略的生命周期,微隔离技术主要是三个地方展示技术内容。首先,业务分析需要特定的安全策略进行隔离。所谓的“安全策略”是允许或拒绝流量的特定规则。微分段需要解决内网点对点的访问控制问题。一般来说,采用白名单策略。那么问题来了,这个策略应该怎么设计呢?内网充斥着大量复杂且专有的应用协议,除了业务开发人员外没有人知道它们使用的是什么端口和协议,所以无论是运维团队还是安全团队都缺乏必要的业务知识来设计安全政策。所以做策略管理首先要分析业务,找出东西方具体的通信关系,最后以可视化的方式呈现出来,让安全团队在此基础上设计出正确的东西向方向.安全策略。如果没有这个能力,再多的防火墙也注定只是摆设。然后是策略构建。了解业务构成后,下一步就是设计策略。但是我该怎么办?是不是点开每一行就可以看到源地址和目的地址以及端口,然后到主机上去写防火墙规则?如果你这样做,你会掉进一个无底洞的大坑里。你能想象在拥有数千台虚拟机且虚拟机之间存在十几种通信关系的私有云中使用这种方法来设计策略吗?现阶段,一个合格的微隔离管理平台应该做两件事,一是自主学习的交互创作,二是去IP策略表达。一般来说,微隔离平台已经通过业务学习了解了所有需要的信息。此时,您可以通过交互方式创建策略。比如你选择一组虚拟机,告诉平台你现在看到的所有虚拟机之间的通信都是可信的,请帮我创建一个策略,那么微隔离平台应该可以自动创建策略.创建的策略是绝对去ip的,因为ip在云系统中是一个非常不稳定的参数,经常变化,可以用更高级更稳定的参数来描述,比如我们梳理平台使用虚拟机角色标签来描述安全政策。此外,我们的策略还可以实现策略与策略动作对象的解耦,通过调整策略动作的范围动态改变虚拟机上的安全策略部署。当然这不是必须的,但是可以进一步减少策略总数,提高策略运维效率。我们认为这非常酷。***是策略自适应运维。云是一个快速变化的系统,安全策略也必须能够跟上云变化的步伐。我们看到在各种云安全规范(如等级保护2.0CloudSecurityExtensions)中有一个自适应的要求——“访问控制策略可以随着虚拟机的迁移而迁移”。其实我们一直想向有关部门提个建议。此请求中缺少“自动”一词。因此,很多产品也可以通过手动迁移的方式满足需求。但是我们知道这个需求的初衷是自动迁移。由于虚拟机迁移是上云的常规操作,如果这个过程需要安全部门的人工参与,会大大降低上云的弹性,增加业务迁移的时间,产生不必要的风险由于人工操作不可避免的错误。事实上,除了迁移之外,克隆、扩容、资源升级等操作也会导致网络地址发生变化,需要相应的安全策略调整。在这些时候,黑客还可以对安全策略进行自适应调整。一个好的微隔离管理平台应该可以做到这一点,否则就是一种杀鸡用牛不理埋的产品设计。你帮安全部门设计几万条策略,然后你做不了自适应运维(注意是Adaptive,不是自动化),那以后安全部门的家伙就不用上班了。我们的微隔离管理平台叫QCC——英文QueenComputingCenter的缩写。它的核心工作是不断进行策略计算和策略更新。上面说到,大家可以看到,微隔离的核心在于一个全生命周期黑科技的高智能策略管理中心,主机防火墙只是一个策略执行的控制点。如果要评估微分段产品,请关注策略管理中心而不是防火墙。你必须看看它是否真的能把你带到一个新的安全高峰,而不是把你推入一个新的安全火坑。毕竟,这是你能否拥有愉快的微隔离体验的决定性因素。
