微隔离产生的背景

首先来看下南北向流量以及东西向流量的含义

南北向流量       

指通过网关进出数据中心的流量,在云计算数据中心,处于用户业务虚拟机(容器)跟外部网络之间的流量,一般来说防火墙等安全设备部署在数据中心的出口处,来做南北向流量的安全防护。

东西向流量        指数据中心内部服务器彼此相互访问所造成的内部流量,在云计算数据中心中,处于相同网络(子网)内用户业务虚拟机(容器)之间的流量,以及相同虚拟路由器不同网络(子网)内用户业务虚拟机(容器)间的流量,据统计,当代数据中心 75%以上的流量为东西向流量。

东西向的常见风险

  1. 病毒传播
  2. 数据泄露(内部员工恶意或者无意)

微隔离产生的背景       随着内部网络的架构从传统的IT架构向虚拟化、混合云和容器化升级变迁,结果发现一旦边界的防线被攻破或者绕过,攻击者就可以在数据中心内部横向移动,内部隔离不再是一件容易的事情。为了适应攻防对抗防护的要求、为了满足新的IT架构的要求,我们不得不再重新分析和审视隔离的重要性。

微隔离的定义

  微隔离技术(Micro-Segmentation)是VMware在应对虚拟化隔离技术时提出来的,但真正让微隔离备受大家关注是从2016年起连续3年微隔离技术都进入Gartner年度安全技术榜单开始。在2016年的Gartner安全与风险管理峰会上,Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术的概念。微隔离又称软件定义隔离、微分段。微隔离是一种网络安全技术,它使安全架构师能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独特的段定义安全控制和所提供的服务。微隔离可以在数据中心深处部署灵活的安全策略。

微隔离的能力

  • 东西向业务流量细粒度可视

  • 缩减内部攻击面

  • 基于业务的策略创建

  • 灵活划分隔离域

  • 安全策略集中可视化管理

微隔离的四种技术路线微隔离的四种技术路线

云原生控制

        这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。

优势    

  1. 与云平台整合的更加完善
  2. 属于同一供应商
  3. 支持自动化编排

劣势

  1. 只支持自身虚拟化平台、不支持混合云
  2. 更适合于隔离,而不是访问控制
  3. 东西向的管理能力有限

第三方防火墙

       主要是基于第三方防火墙供应商提供的虚拟化防火墙

优势

  1. 丰富的安全能力,集成IPS、av等功能
  2. 与防火墙配置逻辑一致
  3. 普遍支持自动化编排

劣势

  1. 需要与虚拟化平台做对接
  2. 费用高
  3. 性能损耗

基于主机代理模式

      这种模式就是采用代理或者软件,将代理或者软件部署到每台主机(虚拟机)中

优势

  1. 与底层架构无关,支持混合云
  2. 主机迁移时安全策略也能跟随着迁移
  3. 支持自动化编排

劣势

  1. 需要安装客户端
  2. 功能主要以访问控制为主

混合模型

       一般都是通过其它模式组合使用,例如本地与第三方组合

优势

  1. 可以基于现有的内容进行升级改造
  2. 在不同的位置使用不同模式的优势

劣势

  1. 通常无法统一管理,需要多种管理工具
  2. 云厂商往往对第三方产品的支持度不够高


微隔离在等保2.0中的体现

微隔离安全平台可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。产品在真实威胁中,可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。

德迅零域由Agent、计算引擎和控制台组成,支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境,异构环境对用户完全透明。

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐