在越來越關(guān)注攻防對抗實戰(zhàn)防護能力的今天，在零信任網(wǎng)絡(luò)被炒的越來越熱的今天，我們重新審視按照這些新理念構(gòu)建的縱深防御體系，結(jié)果發(fā)現(xiàn)依然問題重重：在堆砌了大量安全產(chǎn)品后依然發(fā)現(xiàn)在資產(chǎn)管理、漏洞安全運營到內(nèi)部隔離等基礎(chǔ)安全工作跟不上安全態(tài)勢的變化。

[[330278]]

就拿隔離來說，當攻擊者有機會拿到內(nèi)網(wǎng)一個跳板機，結(jié)果發(fā)現(xiàn)內(nèi)網(wǎng)網(wǎng)絡(luò)基本是暢通的;這兩年的攻防對抗演練活動中這個問題的暴露尤為明顯，原來奉行的內(nèi)網(wǎng)基本安全的策略在攻防對抗中被「打」的體無完膚;同時隨著內(nèi)部網(wǎng)絡(luò)的架構(gòu)從傳統(tǒng)的 IT 架構(gòu)向虛擬化、混合云和容器化升級變遷，結(jié)果發(fā)現(xiàn)內(nèi)部隔離不再是一件容易的事情。為了適應(yīng)攻防對抗防護的要求、為了滿足新的 IT 架構(gòu)的要求，我們不得不再重新分析和審視隔離的重要性。

一、什么是微隔離

網(wǎng)絡(luò)隔離并不是新的概念，而微隔離技術(shù)(Micro-Segmentation)是 VMware 在應(yīng)對虛擬化隔離技術(shù)時提出來的，但真正讓微隔離備受大家關(guān)注是從 2016 年起連續(xù) 3 年微隔離技術(shù)都進入 Gartner 年度安全技術(shù)榜單開始。在 2016 年的 Gartner 安全與風險管理峰會上，Gartner 副總裁、知名分析師 Neil MacDonald 提出了微隔離技術(shù)的概念。「安全解決方案應(yīng)當為企業(yè)提供流量的可見性和監(jiān)控。可視化工具可以讓安全運維與管理人員了解內(nèi)部網(wǎng)絡(luò)信息流動的情況，使得微隔離能夠更好地設(shè)置策略并協(xié)助糾偏?！?/p>

從微隔離概念和技術(shù)誕生以來，對其核心的能力要求是聚焦在東西向流量的隔離上(當然對南北向隔離也能發(fā)揮左右)，一是有別于防火墻的隔離作用，二是在云計算環(huán)境中的真實需求。

微隔離系統(tǒng)工作范圍：微隔離顧名思義是細粒度更小的網(wǎng)絡(luò)隔離技術(shù)，能夠應(yīng)對傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下對于東西向流量隔離的需求，重點用于阻止攻擊者進入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移(或者叫東西向移動)。

微隔離系統(tǒng)的組成：有別于傳統(tǒng)防火墻單點邊界上的隔離(控制平臺和隔離策略執(zhí)行單元都是耦合在一臺設(shè)備系統(tǒng)中)，微隔離系統(tǒng)的控制中心平臺和策略執(zhí)行單元是分離的，具備分布式和自適應(yīng)特點：

(1)策略控制中心：是微隔離系統(tǒng)的中心大腦，需要具備以下幾個重點能力：

• 能夠可視化展現(xiàn)內(nèi)部系統(tǒng)之間和業(yè)務(wù)應(yīng)用之間的訪問關(guān)系，讓平臺使用者能夠快速理清內(nèi)部訪問關(guān)系;
• 能夠按角色、業(yè)務(wù)功能等多維度標簽對需要隔離的工作負載進行快速分組;
• 能夠靈活的配置工作負載、業(yè)務(wù)應(yīng)用之間的隔離策略，策略能夠根據(jù)工作組和工作負載進行自適應(yīng)配置和遷移。

(2)策略執(zhí)行單元：執(zhí)行流量數(shù)據(jù)監(jiān)測和隔離策略的工作單元，可以是虛擬化設(shè)備也可以是主機 Agent。

二、為什么需要微隔離

不少人提出來有 VLAN 技術(shù)、VxLAN 技術(shù)、VPC 技術(shù)，為什么還需要微隔離?在回答這個問題之前，我們先來看看這幾個技術(shù)的定義和作用：

• VLAN：即虛擬局域網(wǎng)，是通過以太網(wǎng)協(xié)議將一個物理網(wǎng)絡(luò)空間邏輯劃分成幾個隔離的局域網(wǎng)，是我們目前做內(nèi)部不同局域網(wǎng)段的一種常用技術(shù);由于以太網(wǎng)協(xié)議的限制，VLAN 能劃分的虛擬局域網(wǎng)最多只有 4096 個。
• VxLAN：即虛擬擴展局域網(wǎng)，為了解決 VLAN 技術(shù)在大規(guī)模計算數(shù)據(jù)中心虛擬網(wǎng)絡(luò)不足的問題而出現(xiàn)的技術(shù)，最多可支持 1600 萬個虛擬網(wǎng)絡(luò)的同時存在可適應(yīng)大規(guī)模租戶的部署。
• VPC：Virtual Private Cloud，即虛擬私有云，最早由 AWS 于 2009 年發(fā)布的一種技術(shù)，為公有云租戶實現(xiàn)在公有云上創(chuàng)建相互隔離的虛擬網(wǎng)絡(luò)，其技術(shù)原理類似于 VxLAN。

從技術(shù)特點上看，VLAN 是一種粗粒度的網(wǎng)絡(luò)隔離技術(shù)，VxLAN 和 VPC 更接近于微隔離的技術(shù)要求但還不是微隔離最終的產(chǎn)品形態(tài)。

我們來看一個真實的生產(chǎn)環(huán)境中的工作負載之間的訪問關(guān)系：

從這張圖中我們看到少數(shù)的幾臺工作負載都會有如何復(fù)雜的業(yè)務(wù)訪問關(guān)系，那么當工作負載數(shù)量急劇上升時我們急需一套更加智能的隔離系統(tǒng)。以下是我們總結(jié)需要微隔離技術(shù)的幾大理由：

• 實現(xiàn)基于業(yè)務(wù)角色的快速分組能力，為隔離分區(qū)提供基于業(yè)務(wù)細粒度的視角(解決傳統(tǒng)基于 IP 視角存在較多管理上的問題);
• 在業(yè)務(wù)分組的基礎(chǔ)上自動化識別內(nèi)部業(yè)務(wù)的訪問關(guān)系，并能通過可視化方式進行展示;
• 實現(xiàn)基于業(yè)務(wù)組之間的隔離能力、端到端的工作負載隔離能力、異常外聯(lián)的隔離能力，支持物理服務(wù)器之間、虛擬機之間、容器之間的訪問隔離;通過隔離全面降低東西向的橫向穿透風險，支持隔離到應(yīng)用訪問端口，實現(xiàn)各業(yè)務(wù)單元的安全運行;
• 具備可視化的策略編輯能力和批量設(shè)置能力，支持大規(guī)模場景下的策略設(shè)置和管理;
• 具備策略自動化部署能力，能夠適應(yīng)私有云彈性可拓展的特性，在虛擬機遷移、克隆、拓展等場景下，安全策略能夠自動遷移;
• 在混合云環(huán)境下，支持跨平臺的流量識別及策略統(tǒng)一管理。

三、微隔離技術(shù)選型

目前市面上對于微隔離產(chǎn)品還沒有統(tǒng)一的產(chǎn)品檢測標準，屬于一種比較新的產(chǎn)品形態(tài)。

Gartner 給出了評估微隔離的幾個關(guān)鍵衡量指標，包括：

• 是基于代理的、基于虛擬化設(shè)備的還是基于容器的?
• 如果是基于代理的，對宿主的性能影響性如何?
• 如果是基于虛擬化設(shè)備的，它如何接入網(wǎng)絡(luò)中?
• 該解決方案支持公共云 IaaS 嗎?

Gartner 還給客戶提出了如下幾點建議：

• 欲建微隔離，先從獲得網(wǎng)絡(luò)可見性開始，可見才可隔離;
• 謹防過度隔離，從關(guān)鍵應(yīng)用開始;
• 鞭策 IaaS、防火墻、交換機廠商原生支持微隔離;

從技術(shù)層面看微隔離產(chǎn)品實現(xiàn)主要采用虛擬化設(shè)備和主機 Agent 兩種模式，這兩種方式的技術(shù)對比如下表：

總體來說兩種方案各有優(yōu)缺點：

• 如果環(huán)境中租戶數(shù)量較少且有跨云的情況，主機 Agent 方案可以作為第一選擇;
• 如果環(huán)境中有較多租戶分隔的需求且不存在跨云的情況采用 SDN 虛擬化設(shè)備的方式是較優(yōu)的選擇，主機 Agent 方案作為補充。

另外主機 Agent 方案還可以結(jié)合主機漏洞風險發(fā)現(xiàn)、主機入侵檢測能力相結(jié)合，形成更立體化的解決方案，順帶提一句，目前我們的工作負載安全解決方案已經(jīng)可以完全覆蓋這個場景的需求。

四、企業(yè)如何執(zhí)行微隔離實施工作

在成功部署微隔離中的最大攔路虎首推可見性問題。分隔粒度越細，IT 部門越需要了解數(shù)據(jù)流，需要理解系統(tǒng)、應(yīng)用和服務(wù)之間到底是怎樣相互溝通的。

同時需要建立微隔離可持續(xù)性。隨著公司不斷往微隔離中引入更多資產(chǎn)，負責團隊需考慮長遠發(fā)展，微隔離不是「設(shè)置了就可以丟開不管」的策略。這意味著，企業(yè)需設(shè)立長期機制以維持數(shù)據(jù)流的可見性，設(shè)置技術(shù)功能以靈活維護策略改變與實施要求;還意味著需清晰描述微隔離配置管理中各人都負責做些什么。

微隔離管理的角色和責任同樣很重要。微隔離規(guī)則的改變應(yīng)經(jīng)過審查，類似配置控制委員會這種運營和安全團隊可驗證變更適當性的地方。

五、檢驗微隔離的效果

檢驗微隔離是否真正發(fā)揮效果，最直接的方式就是在攻防對抗中進行檢驗。我們可以模擬以下幾個場景進行檢驗：

• 互聯(lián)網(wǎng)一臺主機被攻陷后，能夠觸達內(nèi)部多大范圍的主機和工作負載;
• 同一業(yè)務(wù)區(qū)域一臺主機被攻陷后，能否攻陷該業(yè)務(wù)區(qū)域的其他主機和工作負載(所有工作負載都存在可以利用的漏洞);
• 某一業(yè)務(wù)區(qū)域一臺主機被攻陷后，能否觸達跟該業(yè)務(wù)區(qū)域有訪問關(guān)系的其他業(yè)務(wù)區(qū)域的核心主機和工作負載;
• 內(nèi)部一臺主機被攻陷后，能夠觸達到域控主機以及能否攻陷域控主機(域控主機存在可以利用的漏洞);
• 內(nèi)部一個容器工作負載被攻陷后，能夠觸達內(nèi)部其他多少個容器工作負載;能否通過該容器滲透到宿主主機;
• 以上所有網(wǎng)絡(luò)訪問行為是否在微隔離系統(tǒng)中的策略智能管控平臺上監(jiān)測到，是否有明顯報警標記。

以上是我們可以總結(jié)的一些檢測場景，安全部門還可以根據(jù)自身業(yè)務(wù)的實際情況模擬更多的攻防對抗場景進行檢驗，才能做到「知己知彼，百戰(zhàn)不殆」。