日韩有码无码精品,亚洲精品一区二区三区四区五区六区 ,免费中日高清无码专区

旅游生活報新聞正文

推薦微隔離解決VLAN/VPC無法的東西向隔離問題

2021-03-29 14:50 來源：旅游生活報閱讀次數(shù)：5130

當下，基于VLAN/VPC的內(nèi)部隔離方式基本上已經(jīng)不再適用于解決虛擬數(shù)據(jù)中心/私有云（包括含有私有云的混合云）環(huán)境下的東西向隔離問題。只有微隔離才能解決這個問題。

內(nèi)部為什么需要隔離

要想明白微隔離的意義，我們首先要知道內(nèi)部為什么需要隔離，主要包括以下幾個方面：

從安全建設角度

一直以來，企業(yè)廣泛的采用縱深防御技術（defens in depth）和最小權限邏輯（least privilege）來進行企業(yè)網(wǎng)絡安全管理。而隔離是實現(xiàn)這兩個理念的基本方式。

從攻擊防御角度

從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉變?yōu)橐蕴囟ǖ恼位蚪?jīng)濟目的為主的高級可持續(xù)攻擊。這些攻擊都有一些顯著特點，一旦邊界的防線被攻破或繞過，攻擊者就可以在數(shù)據(jù)中心內(nèi)部橫向移動，而中心內(nèi)部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統(tǒng)安全的一個主要弱點，復雜的安全策略、巨大的資金和技術都用于了邊界防護，而同樣的安全級別并不存在于內(nèi)部。

Kill Chain模型

從安全閉環(huán)角度

有了行為分析、有了蜜罐、有了態(tài)勢感知，卻沒有了最基本的訪問控制。數(shù)據(jù)中心內(nèi)部往往幾百臺虛擬機域內(nèi)全通；安全策略“只敢增、不敢減”；內(nèi)部大量的檢測設備，但防護卻沒有……

基于VLAN/VPC內(nèi)網(wǎng)隔離的“七宗罪”

現(xiàn)在的網(wǎng)絡環(huán)境，之所以說VLAN/VPC無法解決東西向隔離問題，還因為基于VLAN/VPC的內(nèi)網(wǎng)隔離，有許多缺點，主要包括：

過于靜態(tài)

靜態(tài)的VLAN/VPC劃分限定了虛擬機的位置，與云數(shù)據(jù)中心的動態(tài)特性相悖

攻擊面過大

虛擬機數(shù)量大幅增加，過大的VLAN/VPC劃分會給攻擊者提供較大的攻擊范圍，一旦組內(nèi)一臺主機被控制，攻擊者就可以隨意的橫向移動

成本過高

細分安全域，然后部署數(shù)百甚至數(shù)千個防火墻以做到內(nèi)部訪問控制，在財務和操作上是不可行

影響業(yè)務交付

在新增業(yè)務或改變現(xiàn)有業(yè)務時，安全人員必須手動修改安全策略，從而符合這個靜態(tài)又重量級的網(wǎng)絡拓撲，大幅增加業(yè)務延遲，也容易造成配置錯誤

安全策略管理復雜

防火墻的配置錯誤、策略更改均是網(wǎng)絡中斷的常見原因。尤其是防火墻的策略配置，無法預先測試、錯誤配置很難排查，防火墻策略往往存在“只敢增，不敢減”的問題

增加網(wǎng)絡延遲

這種設計增加了網(wǎng)絡復雜性，降低了網(wǎng)絡性能。

無法適用于混合云模式

當用戶有多個云數(shù)據(jù)中心時，割裂的安全，增加管理的復雜度。

綜上所述，在虛擬數(shù)據(jù)中心環(huán)境下，基于VLAN/VPC的內(nèi)部隔離只適用于粗粒度的大安全域間隔離，對于解決東西向隔離問題，基本已經(jīng)涼涼。

微隔離才是云中心內(nèi)部隔離的最佳實踐

基于上述原因，我們認為，微隔離才是云中心內(nèi)部隔離的最佳實踐。

微隔離（MicroSegmentation）最早由Gartner在其軟件定義的數(shù)據(jù)中心（SDDC）的相關技術體系中提出，用于提供主機（容器）間安全訪問控制（區(qū)別于過去的安全域間的安全訪問控制）,并對東西向流量進行可視化管理。

微隔離技術基本上以軟件定義為主，可以很好的適應云中心的動態(tài)特性。而且從定義上就能看出，其主要解決的就是如何將錯綜復雜的云內(nèi)流量看清楚，管理好。

微隔離并不是理念上的革新，它從管理理念上堅持了縱深防御、最小權限這些被廣泛認可的原則，所不同的地方在于微隔離使得這些理念能夠在完全不同的虛擬化數(shù)據(jù)中心和復雜的內(nèi)部通信模型下繼續(xù)被有效貫徹。

在Gartner2017年的報告中認為微隔離將在未來2-5年內(nèi)成為主流技術。就國內(nèi)而言,薔薇靈動可能是最早、也是唯一一家只專注于自適應微隔離的安全廠商。

微隔離拓撲圖

薔薇靈動蜂巢自適應微隔離安全平臺基于完全自主開發(fā)的一套自適應安全架構，將安全能力與工作負載（workload）緊密結合起來，而不是在工作負載之外做安全，做到了與底層架構無關，使得產(chǎn)品在混合云統(tǒng)一安全管理，業(yè)務與安全同步交付，容器間安全等問題上具備了完美的解決能力。能夠幫助用戶快速便捷地實現(xiàn)環(huán)境隔離、域間隔離以及端到端隔離。

責任編輯：李編