微隔離:好還是不好?
更細粒度的控制是個好東西,但說的總比做的容易
RedSeal首席技術(shù)官 麥克·羅伊德
虛擬數(shù)據(jù)中心事務(wù)繁雜。在安全上,我們聽過各種版本的“微隔離”。這個術(shù)語源于VMware,但被其他多個領(lǐng)域借用,有些為其做了引申。
大家都知道隔離是什么。每個企業(yè)都會將網(wǎng)絡(luò)至少分隔為外網(wǎng)和內(nèi)網(wǎng)。大多數(shù)公司都想要某種程度上的內(nèi)部隔離,但太多的光說不練——除非審計迫在眉睫。很多網(wǎng)絡(luò)對審計員關(guān)注的資產(chǎn)做了一定的隔離,比如患者記錄和信用卡信息。確實有企業(yè)高出安全復(fù)雜性曲線,對業(yè)務(wù)有嚴格的區(qū)域劃分,并對跨區(qū)域訪問有一定程度的監(jiān)管。但這些一般都是大型復(fù)雜企業(yè),因而每個區(qū)域也往往很大。
簡單算一下就知道,要跟蹤N個區(qū)域,考慮的必然是N*(N-1)個關(guān)系。這是指數(shù)級上升的數(shù)字。即便員工充裕的團隊也難以應(yīng)付單一網(wǎng)絡(luò)中的十幾個主要分區(qū)。聽起來似乎不多,但任意兩個網(wǎng)絡(luò)隔離之間的開放訪問,很容易就會超過50萬對通信。全面審計其中一個隔離就已經(jīng)是超人般的壯舉了。
但如今,牽引IT戰(zhàn)車的戰(zhàn)馬又多了兩匹:虛擬數(shù)據(jù)中心和軟件定義網(wǎng)絡(luò)。二者提供更多的隔離,更細的控制,大幅減少IT團隊工作量(不同市場營銷團隊承諾的工作負載減少量不盡相同,就看你選擇相信哪家了)。聽起來真是太棒了,誰不想要超精細的控制呢?再沒人相信“僅邊界”模式就能搞定安全了。那么,更多的控制必然更好,對嗎?但實際上,如果你僅僅將此技術(shù)甩到現(xiàn)有堆棧上而沒有擴展計劃,也是沒什么卵用的。
如果你以難以搞定的復(fù)雜管理任務(wù)做為開端,簡單拆分成更小的任務(wù),分發(fā)到更多的地方,那很快,你就會瘋狂分裂到生無可戀。
真的沒什么希望了嗎?當然不!問題出在規(guī)模上。在快速發(fā)展的基礎(chǔ)設(shè)施里,更多的隔離,會給已經(jīng)疲于應(yīng)付的人類團隊制造更多的麻煩。但這正好是計算機非常擅長處理的那類問題。關(guān)鍵就在于認清:你得從實現(xiàn)中將目標(允許在網(wǎng)絡(luò)中出現(xiàn)的東西)剝離出來,無論你的實現(xiàn)是遺留防火墻,還是管理虛擬工作負載策略的新鮮GUI。
現(xiàn)實世界中,這不是個非此即彼的問題,而是二者兼具的問題。因為你不得不在更寬廣的網(wǎng)絡(luò)中協(xié)調(diào)你的虛擬工作負載防護。全網(wǎng)必然不是軟件定義的,它會非常頑固地駐扎在你面前,繞不過,推不開。
也就是說,如果你能描述清楚你的網(wǎng)絡(luò)職能,你就能贏得漂亮。把你的目標從具體實現(xiàn)中分割出來吧。比如說,在各業(yè)務(wù)單元區(qū)間關(guān)系中用通用術(shù)語將意圖記錄下來。然后,你就能用自動化軟件來檢查是否確實符合該網(wǎng)絡(luò)被設(shè)置的原本職能了。計算機不會累,它們只是不太清楚你的公司或你的對手,因而寫不出適合你的具體規(guī)則。
相信軟件能搞清公司企業(yè)的運作方式,或者希望軟件能迷惑對手,是不現(xiàn)實的。既然軟件都不能通過圖靈測試,區(qū)區(qū)一個算法又怎能理解作為現(xiàn)代惡意軟件支柱的社會工程呢?
微隔離不是個壞東西。這就像是詢問水是不是個壞東西一樣。用對了,是生命之源;肆虐了,便是死亡使者。在這個問題上,學(xué)會游泳可不是找出最新萬能安全產(chǎn)品這么簡單的事兒,而是要弄清你整體基礎(chǔ)設(shè)施協(xié)同運作機制,知曉它是否在滿足業(yè)務(wù)需求的同時又沒有暴露過多的攻擊界面。
