作為國內(nèi)微隔離市場的主要開拓者,薔薇靈動經(jīng)常會被客戶問到這樣一個問,我們的系統(tǒng)上都裝了防火墻,為什么還需要微隔離呢?我們通過自動化腳本配置主機(jī)防火墻策略不是也可以做到點(diǎn)到點(diǎn)白名單控制么?這種想法有一定的正確性,但是如果我們當(dāng)下處在云計算時代,一切又將不同。
云時代,用軟件定義的隔離
“微隔離”這個詞是一個比較商業(yè)化的市場用語,而這個技術(shù)事實(shí)上還有一個更加學(xué)術(shù)一點(diǎn)的名字——軟件定義的隔離(Software Defined Segementation)。事實(shí)上這個名字才更加本質(zhì)的說出了這個技術(shù)的內(nèi)涵。就像軟件定義的網(wǎng)絡(luò)(SDN)一樣,軟件定義的隔離的特點(diǎn)就是隔離點(diǎn)(enforcement point)與策略控制(policy)相分離,從而讓隔離更加靈活,更加智能,進(jìn)而有可能對由海量工作負(fù)載構(gòu)成的復(fù)雜而多變的虛擬化網(wǎng)絡(luò)進(jìn)行隔離管理。
微隔離-隔離點(diǎn)
在過去,我們主要通過防火墻來做隔離這個事情,在那個時候,策略的管理和隔離的動作都是發(fā)生在防火墻設(shè)備上的。就算是主機(jī)防火墻也是如此,它的策略也是配置在主機(jī)上的。這些策略一般是在防火墻上線部署的時候配置上去的,然后在整個防火墻的生命周期內(nèi)基本不做調(diào)整。然而,進(jìn)入到云計算時代之后,如此多分散的獨(dú)立工作的控制點(diǎn)變得非常難以維護(hù)和過于的僵化。進(jìn)而導(dǎo)致了云的使用者只能在安全與業(yè)務(wù)之間做一個二選一的選擇。要安全,業(yè)務(wù)就無法快速交付,要業(yè)務(wù)就無法進(jìn)行有效的安全管理。這種局面呼喚了軟件定義隔離這種技術(shù)形態(tài)的出現(xiàn)。軟件定義隔離與傳統(tǒng)防火墻最本質(zhì)的區(qū)別在于它把策略從每一個分散的控制點(diǎn)上給拿出來了,放在一個統(tǒng)一集中的地方進(jìn)行設(shè)計,管理和維護(hù),原則上,安全管理者不必要了解下面的控制點(diǎn)在哪里,也不必再對每一個控制點(diǎn)進(jìn)行策略配置和維護(hù),這些工作都將由策略管理中心來自動完成。
而這種策略管理工作,不是基于預(yù)定義腳本的簡單的自動化過程,而是一個基于實(shí)時網(wǎng)絡(luò)環(huán)境監(jiān)聽的,基于高層次安全策略的一種實(shí)時策略計算與策略更新過程。對每一個接入系統(tǒng)的控制點(diǎn),根據(jù)實(shí)時發(fā)生的特殊事件,同時參考其他控制點(diǎn)的變化情況,做出獨(dú)特的,恰當(dāng)?shù)牟呗杂嬎悖@個過程就是軟件定義隔離的核心管理過程。
主機(jī)防火墻與微隔離的關(guān)系
講清楚了微隔離技術(shù)的定義,再來回答用戶關(guān)于“主機(jī)防火墻”與微隔離的關(guān)系的問題就比較簡單了。簡單地說,主機(jī)防火墻相當(dāng)于SDN網(wǎng)絡(luò)中的白牌交換機(jī),而策略計算中心相當(dāng)于SDN控制器。
在微隔離的安全體系中,具體的訪問控制是通過主機(jī)防火墻來做的,但是策略不在主機(jī)防火墻上,而是配置在策略計算中心。這個計算中心從全局收集信息,然后根據(jù)預(yù)先定義好的高級安全策略去做具體的策略計算,然后生成主機(jī)防火墻能夠看得懂的五元組策略,并配置回去。
所以,主機(jī)防火墻自身無法完成微隔離功能,一個強(qiáng)大的策略計算中心才是微隔離體系的靈魂。事實(shí)上主機(jī)防火墻有著悠久的發(fā)展歷史,無論是iptable還是wfp都是久經(jīng)考驗(yàn)的好產(chǎn)品,他們在穩(wěn)定性,兼容性,性能上都非常出色。微隔離以這些老戰(zhàn)士為數(shù)據(jù)面的控制點(diǎn)事實(shí)上也是一種非常穩(wěn)妥的選擇,而微隔離的核心技術(shù)應(yīng)該放在策略計算能力上。
微隔離技術(shù)的硬核在哪里
如果說主機(jī)防火墻不是微隔離技術(shù)的核心的話,那么微隔離技術(shù)的硬核究竟在哪里呢?我們說圍繞著安全策略的生命周期,微隔離技術(shù)主要就是三個地方展現(xiàn)技術(shù)含量。
首先是業(yè)務(wù)分析
要做隔離就需要具體的安全策略,所謂“安全策略”就是允許或者拒絕哪些流量的具體規(guī)則。分析業(yè)務(wù)就要把東西向的具體的通信關(guān)系給找出來,最好是以可視化的方式呈現(xiàn)出來,這樣安全團(tuán)隊才能夠在此基礎(chǔ)上設(shè)計出正確的東西向安全策略。如果沒有這個能力,你有再多的防火墻也注定只能是擺設(shè)。
微隔離-業(yè)務(wù)拓?fù)?/p>
其次是策略建設(shè),了解了業(yè)務(wù)的構(gòu)成,下一步就是設(shè)計策略了。在這個階段,一個合格的微隔離管理平臺,應(yīng)該做到兩件事情,一個是自學(xué)習(xí)交互式創(chuàng)建,一個是去ip化的策略表達(dá)。
一般來說,微隔離平臺通過業(yè)務(wù)學(xué)習(xí),已經(jīng)了解到全部必要的信息,這個時候可以通過交互式的方式來創(chuàng)建策略,比如你選定一組虛擬機(jī),告訴平臺說,現(xiàn)在看到的所有虛擬機(jī)間的通信都是可信的,請為我創(chuàng)建策略,那么微隔離平臺應(yīng)該可以自動的來創(chuàng)建策略。
而創(chuàng)建出來的策略最好是去ip化的,因?yàn)閕p在云系統(tǒng)中是一個非常不穩(wěn)定的參數(shù),經(jīng)常發(fā)生變化,最好可以由更高級更穩(wěn)定的參數(shù)來描述,比如我們的comb平臺用的是虛擬機(jī)的角色標(biāo)簽來描述安全策略。另外,我們的策略還能做到策略與策略作用對象脫耦,通過調(diào)整策略作用范圍,來動態(tài)的改變虛機(jī)上的安全策略部署。
策略自適應(yīng)運(yùn)維
云是個快速變化的系統(tǒng),安全策略也必須能跟上云變化的腳步,我們看到現(xiàn)在各種云安全規(guī)范中,都會有一條自適應(yīng)要求(比如等級保護(hù)2.0的云安全擴(kuò)展部分)——“訪問控制策略能夠隨著虛擬機(jī)的遷移而遷移”。其實(shí)我們一直很想跟有關(guān)部門提個建議,這個要求中缺少“自動”二字。導(dǎo)致很多產(chǎn)品通過手工遷移的方式,也能滿足要求。但是我們知道,這個要求的本意就是自動遷移。因?yàn)樘摂M機(jī)遷移是云的常規(guī)操作,如果這個過程中需要安全部門的手工參與,勢必大大下降云的彈性,增加業(yè)務(wù)遷移時間,并且?guī)硎止げ僮魉豢杀苊獾腻e誤從而出現(xiàn)不必要的風(fēng)險。
微隔離-策略
事實(shí)上,除了遷移以外,克隆,擴(kuò)展,資源升級等操作也都會導(dǎo)致網(wǎng)絡(luò)地址的變化從而需要安全策略做相應(yīng)的調(diào)整,這些時候最好也都能實(shí)現(xiàn)安全策略的自適應(yīng)調(diào)整。一個好的微隔離管理平臺,應(yīng)該能夠做到這一點(diǎn),否則就是一種管殺不管埋的產(chǎn)品設(shè)計,你幫助安全部門設(shè)計了幾萬條策略,然后你做不到自適應(yīng)運(yùn)維(注意是自適應(yīng),不是自動化),那么以后安全部門的伙計們就可以不用下班了。我們的微隔離管理平臺叫做QCC——英文單詞Queen Computing Center的縮寫,它最核心的工作就是持續(xù)不斷的做策略計算和策略更新。
終上所述,大家可以看到,微隔離的核心在于一個高度智能化的全生命周期黑科技的策略管理中心,主機(jī)防火墻不過是執(zhí)行策略的控制點(diǎn)而已。如果大家要評估一款微隔離產(chǎn)品,請圍繞策略管理中心來下功夫,而不是防火墻。
