作為國(guó)內(nèi)微隔離市場(chǎng)的主要開拓者,薔薇靈動(dòng)經(jīng)常會(huì)被客戶問到這樣一個(gè)問,我們的系統(tǒng)上都裝了防火墻,為什么還需要微隔離呢?我們通過自動(dòng)化腳本配置主機(jī)防火墻策略不是也可以做到點(diǎn)到點(diǎn)白名單控制么?這種想法有一定的正確性,但是如果我們當(dāng)下處在云計(jì)算時(shí)代,一切又將不同。
云時(shí)代,用軟件定義的隔離
“微隔離”這個(gè)詞是一個(gè)比較商業(yè)化的市場(chǎng)用語,而這個(gè)技術(shù)事實(shí)上還有一個(gè)更加學(xué)術(shù)一點(diǎn)的名字——軟件定義的隔離(Software Defined Segementation)。事實(shí)上這個(gè)名字才更加本質(zhì)的說出了這個(gè)技術(shù)的內(nèi)涵。就像軟件定義的網(wǎng)絡(luò)(SDN)一樣,軟件定義的隔離的特點(diǎn)就是隔離點(diǎn)(enforcement point)與策略控制(policy)相分離,從而讓隔離更加靈活,更加智能,進(jìn)而有可能對(duì)由海量工作負(fù)載構(gòu)成的復(fù)雜而多變的虛擬化網(wǎng)絡(luò)進(jìn)行隔離管理。
微隔離-隔離點(diǎn)
在過去,我們主要通過防火墻來做隔離這個(gè)事情,在那個(gè)時(shí)候,策略的管理和隔離的動(dòng)作都是發(fā)生在防火墻設(shè)備上的。就算是主機(jī)防火墻也是如此,它的策略也是配置在主機(jī)上的。這些策略一般是在防火墻上線部署的時(shí)候配置上去的,然后在整個(gè)防火墻的生命周期內(nèi)基本不做調(diào)整。然而,進(jìn)入到云計(jì)算時(shí)代之后,如此多分散的獨(dú)立工作的控制點(diǎn)變得非常難以維護(hù)和過于的僵化。進(jìn)而導(dǎo)致了云的使用者只能在安全與業(yè)務(wù)之間做一個(gè)二選一的選擇。要安全,業(yè)務(wù)就無法快速交付,要業(yè)務(wù)就無法進(jìn)行有效的安全管理。這種局面呼喚了軟件定義隔離這種技術(shù)形態(tài)的出現(xiàn)。軟件定義隔離與傳統(tǒng)防火墻最本質(zhì)的區(qū)別在于它把策略從每一個(gè)分散的控制點(diǎn)上給拿出來了,放在一個(gè)統(tǒng)一集中的地方進(jìn)行設(shè)計(jì),管理和維護(hù),原則上,安全管理者不必要了解下面的控制點(diǎn)在哪里,也不必再對(duì)每一個(gè)控制點(diǎn)進(jìn)行策略配置和維護(hù),這些工作都將由策略管理中心來自動(dòng)完成。
而這種策略管理工作,不是基于預(yù)定義腳本的簡(jiǎn)單的自動(dòng)化過程,而是一個(gè)基于實(shí)時(shí)網(wǎng)絡(luò)環(huán)境監(jiān)聽的,基于高層次安全策略的一種實(shí)時(shí)策略計(jì)算與策略更新過程。對(duì)每一個(gè)接入系統(tǒng)的控制點(diǎn),根據(jù)實(shí)時(shí)發(fā)生的特殊事件,同時(shí)參考其他控制點(diǎn)的變化情況,做出獨(dú)特的,恰當(dāng)?shù)牟呗杂?jì)算,這個(gè)過程就是軟件定義隔離的核心管理過程。
主機(jī)防火墻與微隔離的關(guān)系
講清楚了微隔離技術(shù)的定義,再來回答用戶關(guān)于“主機(jī)防火墻”與微隔離的關(guān)系的問題就比較簡(jiǎn)單了。簡(jiǎn)單地說,主機(jī)防火墻相當(dāng)于SDN網(wǎng)絡(luò)中的白牌交換機(jī),而策略計(jì)算中心相當(dāng)于SDN控制器。
在微隔離的安全體系中,具體的訪問控制是通過主機(jī)防火墻來做的,但是策略不在主機(jī)防火墻上,而是配置在策略計(jì)算中心。這個(gè)計(jì)算中心從全局收集信息,然后根據(jù)預(yù)先定義好的高級(jí)安全策略去做具體的策略計(jì)算,然后生成主機(jī)防火墻能夠看得懂的五元組策略,并配置回去。
所以,主機(jī)防火墻自身無法完成微隔離功能,一個(gè)強(qiáng)大的策略計(jì)算中心才是微隔離體系的靈魂。事實(shí)上主機(jī)防火墻有著悠久的發(fā)展歷史,無論是iptable還是wfp都是久經(jīng)考驗(yàn)的好產(chǎn)品,他們?cè)诜€(wěn)定性,兼容性,性能上都非常出色。微隔離以這些老戰(zhàn)士為數(shù)據(jù)面的控制點(diǎn)事實(shí)上也是一種非常穩(wěn)妥的選擇,而微隔離的核心技術(shù)應(yīng)該放在策略計(jì)算能力上。
微隔離技術(shù)的硬核在哪里
如果說主機(jī)防火墻不是微隔離技術(shù)的核心的話,那么微隔離技術(shù)的硬核究竟在哪里呢?我們說圍繞著安全策略的生命周期,微隔離技術(shù)主要就是三個(gè)地方展現(xiàn)技術(shù)含量。
首先是業(yè)務(wù)分析
要做隔離就需要具體的安全策略,所謂“安全策略”就是允許或者拒絕哪些流量的具體規(guī)則。分析業(yè)務(wù)就要把東西向的具體的通信關(guān)系給找出來,最好是以可視化的方式呈現(xiàn)出來,這樣安全團(tuán)隊(duì)才能夠在此基礎(chǔ)上設(shè)計(jì)出正確的東西向安全策略。如果沒有這個(gè)能力,你有再多的防火墻也注定只能是擺設(shè)。
微隔離-業(yè)務(wù)拓?fù)?/p>
其次是策略建設(shè),了解了業(yè)務(wù)的構(gòu)成,下一步就是設(shè)計(jì)策略了。在這個(gè)階段,一個(gè)合格的微隔離管理平臺(tái),應(yīng)該做到兩件事情,一個(gè)是自學(xué)習(xí)交互式創(chuàng)建,一個(gè)是去ip化的策略表達(dá)。
一般來說,微隔離平臺(tái)通過業(yè)務(wù)學(xué)習(xí),已經(jīng)了解到全部必要的信息,這個(gè)時(shí)候可以通過交互式的方式來創(chuàng)建策略,比如你選定一組虛擬機(jī),告訴平臺(tái)說,現(xiàn)在看到的所有虛擬機(jī)間的通信都是可信的,請(qǐng)為我創(chuàng)建策略,那么微隔離平臺(tái)應(yīng)該可以自動(dòng)的來創(chuàng)建策略。
而創(chuàng)建出來的策略最好是去ip化的,因?yàn)閕p在云系統(tǒng)中是一個(gè)非常不穩(wěn)定的參數(shù),經(jīng)常發(fā)生變化,最好可以由更高級(jí)更穩(wěn)定的參數(shù)來描述,比如我們的comb平臺(tái)用的是虛擬機(jī)的角色標(biāo)簽來描述安全策略。另外,我們的策略還能做到策略與策略作用對(duì)象脫耦,通過調(diào)整策略作用范圍,來動(dòng)態(tài)的改變虛機(jī)上的安全策略部署。
策略自適應(yīng)運(yùn)維
云是個(gè)快速變化的系統(tǒng),安全策略也必須能跟上云變化的腳步,我們看到現(xiàn)在各種云安全規(guī)范中,都會(huì)有一條自適應(yīng)要求(比如等級(jí)保護(hù)2.0的云安全擴(kuò)展部分)——“訪問控制策略能夠隨著虛擬機(jī)的遷移而遷移”。其實(shí)我們一直很想跟有關(guān)部門提個(gè)建議,這個(gè)要求中缺少“自動(dòng)”二字。導(dǎo)致很多產(chǎn)品通過手工遷移的方式,也能滿足要求。但是我們知道,這個(gè)要求的本意就是自動(dòng)遷移。因?yàn)樘摂M機(jī)遷移是云的常規(guī)操作,如果這個(gè)過程中需要安全部門的手工參與,勢(shì)必大大下降云的彈性,增加業(yè)務(wù)遷移時(shí)間,并且?guī)硎止げ僮魉豢杀苊獾腻e(cuò)誤從而出現(xiàn)不必要的風(fēng)險(xiǎn)。
微隔離-策略
事實(shí)上,除了遷移以外,克隆,擴(kuò)展,資源升級(jí)等操作也都會(huì)導(dǎo)致網(wǎng)絡(luò)地址的變化從而需要安全策略做相應(yīng)的調(diào)整,這些時(shí)候最好也都能實(shí)現(xiàn)安全策略的自適應(yīng)調(diào)整。一個(gè)好的微隔離管理平臺(tái),應(yīng)該能夠做到這一點(diǎn),否則就是一種管殺不管埋的產(chǎn)品設(shè)計(jì),你幫助安全部門設(shè)計(jì)了幾萬條策略,然后你做不到自適應(yīng)運(yùn)維(注意是自適應(yīng),不是自動(dòng)化),那么以后安全部門的伙計(jì)們就可以不用下班了。我們的微隔離管理平臺(tái)叫做QCC——英文單詞Queen Computing Center的縮寫,它最核心的工作就是持續(xù)不斷的做策略計(jì)算和策略更新。
終上所述,大家可以看到,微隔離的核心在于一個(gè)高度智能化的全生命周期黑科技的策略管理中心,主機(jī)防火墻不過是執(zhí)行策略的控制點(diǎn)而已。如果大家要評(píng)估一款微隔離產(chǎn)品,請(qǐng)圍繞策略管理中心來下功夫,而不是防火墻。
