[[251022]]

前言

作為一個(gè)嚴(yán)謹(jǐn)?shù)?、有著職業(yè)操守的安全從業(yè)人員，首先我要摸著良心說：技術(shù)沒有好壞，評(píng)價(jià)一個(gè)技術(shù)，我們主要看它能否在某些場(chǎng)景下很好的解決特定問題。而基于我們多年來的運(yùn)維經(jīng)驗(yàn)及實(shí)際的客戶走訪，基于VLAN/VPC的內(nèi)部隔離方式基本上已經(jīng)不再適用于解決虛擬數(shù)據(jù)中心/私有云(包括含有私有云的混合云)環(huán)境下的東西向隔離問題。

在開始今天的討論之前，作為一名日常就是跟客戶聊安全(jiang chan pin)的產(chǎn)品人員，要先回答一下客戶爸爸總是考驗(yàn)(diao nan)我的問題“內(nèi)部為什么要做隔離?”

內(nèi)部為什么需要隔離

從安全建設(shè)角度：

一直以來，企業(yè)廣泛的采用縱深防御技術(shù)(defensin depth)和最小權(quán)限邏輯(least privilege)來進(jìn)行企業(yè)網(wǎng)絡(luò)安全管理。而隔離是實(shí)現(xiàn)這兩個(gè)理念的基本方式，例如傳統(tǒng)安全管理中，通過邊界部署防火墻來實(shí)現(xiàn)可信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離，內(nèi)部不同安全級(jí)別間劃分安全域，域間通過防火墻實(shí)現(xiàn)隔離，并通過設(shè)置安全策略按需賦予訪問權(quán)限。

從攻擊防御角度：

從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉(zhuǎn)變?yōu)橐蕴囟ǖ恼位蚪?jīng)濟(jì)目的為主的高級(jí)可持續(xù)攻擊。無論從著名的Lockheed Martin Cyber Kill Chain(洛克希德-馬丁公司提出的網(wǎng)絡(luò)攻擊殺傷鏈)，還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點(diǎn)，一旦邊界的防線被攻破或繞過，攻擊者就可以在數(shù)據(jù)中心內(nèi)部橫向移動(dòng)，而中心內(nèi)部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統(tǒng)安全的一個(gè)主要弱點(diǎn)，復(fù)雜的安全策略、巨大的資金和技術(shù)都用于了邊界防護(hù)，而同樣的安全級(jí)別并不存在于內(nèi)部。

從安全閉環(huán)角度：

有了行為分析、有了蜜罐、有了態(tài)勢(shì)感知，卻沒有了最基本的訪問控制。數(shù)據(jù)中心內(nèi)部往往幾百臺(tái)虛擬機(jī)域內(nèi)全通;安全策略“只敢增、不敢減”;內(nèi)部大量的檢測(cè)設(shè)備，但防護(hù)在哪里……

講到這，如果客戶爸爸還沒趕我出去，那就可以開始我的表演了：

場(chǎng)景一：

我：“客戶爸爸，聽說您的數(shù)據(jù)中心去年就完成虛擬化建設(shè)，投入使用了。業(yè)務(wù)生產(chǎn)效率提升了一大截呢!”

客戶爸爸：“嗯，我們選擇國外大廠的虛擬化技術(shù)去年完成的建設(shè)。虛擬化數(shù)據(jù)中心的確提升了運(yùn)營效率。”

我：“咱們現(xiàn)在有多少臺(tái)虛擬機(jī)了?”

客戶爸爸：“目前一共500多臺(tái)，有些業(yè)務(wù)還在遷移，增長(zhǎng)比較快，明年預(yù)計(jì)能達(dá)到1000臺(tái)。”

我：“這么多虛擬機(jī)，咱們內(nèi)部怎么管理啊”

客戶爸爸：“我們主要是通過劃分VLAN進(jìn)行管理的……”

場(chǎng)景二：

我：“客戶爸爸，聽說您的私有云去年就完成建設(shè)，開始使用了?，F(xiàn)在好多企業(yè)才剛剛起步。”

客戶爸爸：“嗯，我們?nèi)昵熬烷_始做技術(shù)調(diào)研了，去年完成的建設(shè)。云數(shù)據(jù)中心的確是未來的建設(shè)趨勢(shì)啊。”

我：“咱們現(xiàn)在有多少臺(tái)虛擬機(jī)了?”

客戶爸爸：“目前一共1000多臺(tái)，有些業(yè)務(wù)還在遷移，增長(zhǎng)比較快，明年預(yù)計(jì)能達(dá)到1500臺(tái)。”

我：“這么多啊，您這私有云在行業(yè)內(nèi)算得上是標(biāo)桿了。這么多虛擬機(jī)，咱們內(nèi)部怎么管理啊”

客戶爸爸：“我們主要通過云廠商提供的VPC進(jìn)行內(nèi)部管理……”

虛擬化數(shù)據(jù)中心根據(jù)底層架構(gòu)的不同，基于VLAN/VPC的內(nèi)部隔離是兩種比較常見的方式。很多企業(yè)先根據(jù)部門、業(yè)務(wù)系統(tǒng)將數(shù)據(jù)中心邏輯上劃分成不同安全域，并通過VLAN/VPC的方式進(jìn)行隔離，再將虛擬機(jī)部署在各VLAN/VPC中。由于VLAN/VPC均為二層隔離，如果各組之間需要通信，則需要通過三層設(shè)備(三層交換、防火墻)進(jìn)行。兩種方式主要都是延續(xù)了傳統(tǒng)數(shù)據(jù)中心安全管理的思維，分堆、分隔、訪問控制。

但實(shí)際上，客戶在運(yùn)維的過程中，基本都漸漸的“一切從簡(jiǎn)“——幾百臺(tái)虛擬機(jī)分為3、4個(gè)域，域間配置一些基于網(wǎng)段的訪問控制規(guī)則，域內(nèi)全通。

這個(gè)時(shí)候，為了不讓客戶爸爸掉到VLAN/VPC隔離的“大坑“中，專業(yè)(wei le xiang mu)的我一定要給客戶爸爸講講什么才是東西向隔離。

有因才有果，我們先分析下虛擬數(shù)據(jù)中心/私有云的特點(diǎn)：

虛擬數(shù)據(jù)中心/私有云的特點(diǎn)

1. 虛擬機(jī)數(shù)量較多，少則幾百臺(tái)，多則幾千上萬臺(tái)，且不斷增加。

2. 多分支機(jī)構(gòu)、多業(yè)務(wù)部門使用，安全級(jí)別復(fù)雜

3. 業(yè)務(wù)靈活多變。資源按需分配，變化隨時(shí)發(fā)生(業(yè)務(wù)上下線，擴(kuò)容，復(fù)制，漂移)。

根據(jù)以上特點(diǎn)，結(jié)合等保2.0中虛擬機(jī)之間訪問控制，內(nèi)部攻擊檢測(cè)、阻斷等要求，東西向的隔離應(yīng)該具備以下能力：

東西向隔離應(yīng)該具備的能力

1、識(shí)別內(nèi)部業(yè)務(wù)的訪問關(guān)系。東西向不易管理，很大程度上是因?yàn)閮?nèi)部流量不可見，從而導(dǎo)致安全策略設(shè)計(jì)、調(diào)整困難。能夠識(shí)別主機(jī)(包括容器)之間的流量，包括訪問的服務(wù)、端口、次數(shù)，甚至是進(jìn)程等。

2、能夠?qū)崿F(xiàn)端到端隔離。具備物理服務(wù)器之間、虛擬機(jī)之間、容器之間的訪問控制能力，控制粒度為端口級(jí)。

3、能夠下降內(nèi)部主機(jī)的攻擊面?？梢栽O(shè)置訪問來源、及其可以訪問的服務(wù)和端口;具備網(wǎng)絡(luò)層面關(guān)閉端口的能力。

4、策略可視化編輯及統(tǒng)一管理能力?？蓤D形化展示現(xiàn)有安全策略狀態(tài);可圖形化編輯安全策略;全網(wǎng)的安全策略可以通過統(tǒng)一界面進(jìn)行管理。

5、策略自動(dòng)化部署。能夠適應(yīng)私有云彈性可拓展的特性，在虛擬機(jī)遷移、克隆、拓展等場(chǎng)景下，安全策略能夠自動(dòng)變化。支持自動(dòng)化編排。

6、支持混合云架構(gòu)?；旌显骗h(huán)境下，支持跨平臺(tái)的流量識(shí)別及策略統(tǒng)一管理。

遺憾的是，基于VLAN/VPC的內(nèi)部隔離方式基本滿足不了東西向隔離的需求。

基于VLAN/VPC內(nèi)網(wǎng)隔離的“七宗罪”

1、過于靜態(tài)。靜態(tài)的VLAN/VPC劃分限定了虛擬機(jī)的位置，與云數(shù)據(jù)中心的動(dòng)態(tài)特性相悖。

2、攻擊面過大。虛擬機(jī)數(shù)量大幅增加，過大的VLAN/VPC劃分會(huì)給攻擊者提供較大的攻擊范圍，一旦組內(nèi)一臺(tái)主機(jī)被控制，攻擊者就可以隨意的橫向移動(dòng)。

3、成本過高。細(xì)分安全域，然后部署數(shù)百甚至數(shù)千個(gè)防火墻以做到內(nèi)部訪問控制，在財(cái)務(wù)和操作上是不可行的。

4、影響業(yè)務(wù)交付。在新增業(yè)務(wù)或改變現(xiàn)有業(yè)務(wù)時(shí)，安全人員必須手動(dòng)修改安全策略，從而符合這個(gè)靜態(tài)又重量級(jí)的網(wǎng)絡(luò)拓?fù)?，大幅增加業(yè)務(wù)延遲，也容易造成配置錯(cuò)誤。

5、安全策略管理復(fù)雜。防火墻的配置錯(cuò)誤、策略更改均是網(wǎng)絡(luò)中斷的常見原因。尤其是防火墻的策略配置，無法預(yù)先測(cè)試、錯(cuò)誤配置很難排查，防火墻策略往往存在“只敢增，不敢減”的問題。

6、增加網(wǎng)絡(luò)延遲。這種設(shè)計(jì)增加了網(wǎng)絡(luò)復(fù)雜性，降低了網(wǎng)絡(luò)性能。

7、無法適用于混合云模式。當(dāng)用戶有多個(gè)云數(shù)據(jù)中心時(shí)，割裂的安全，增加管理的復(fù)雜度。

總結(jié)起來就是基于VLAN/VPC的內(nèi)部隔離，不怎么合規(guī)、不怎么靈活、粒度相當(dāng)粗、運(yùn)維特別難。

綜上所述，不管是摸著哪位老師的良心，我都要說，在虛擬數(shù)據(jù)中心環(huán)境下，基于VLAN/VPC的內(nèi)部隔離只適用于粗粒度的大安全域間隔離，對(duì)于解決東西向隔離問題，基本已經(jīng)涼涼。

VLAN/VPC雖然涼，但客戶爸爸不要冷，針對(duì)虛擬數(shù)據(jù)中心內(nèi)部的隔離問題，國際上早有定論。

云中心內(nèi)部隔離的最佳實(shí)踐——微隔離

微隔離(MicroSegmentation)最早由Gartner在其軟件定義的數(shù)據(jù)中心(SDDC)的相關(guān)技術(shù)體系中提出，用于提供主機(jī)(容器)間安全訪問控制(區(qū)別于過去的安全域間的安全訪問控制),并對(duì)東西向流量進(jìn)行可視化管理。

微隔離技術(shù)基本上以軟件定義為主，可以很好的適應(yīng)云中心的動(dòng)態(tài)特性。而且從定義上就能看出，其主要解決的就是如何將錯(cuò)綜復(fù)雜的云內(nèi)流量看清楚，管理好。

微隔離并不是理念上的革新，它從管理理念上堅(jiān)持了縱深防御、最小權(quán)限這些被廣泛認(rèn)可的原則，所不同的地方在于微隔離使得這些理念能夠在完全不同的虛擬化數(shù)據(jù)中心和復(fù)雜的內(nèi)部通信模型下繼續(xù)被有效貫徹。

在Gartner2017年的報(bào)告中認(rèn)為微隔離將在未來2-5年內(nèi)成為主流技術(shù)。

后續(xù)預(yù)告

我：“這么多虛擬機(jī)，咱們內(nèi)部怎么管理啊”

客戶爸爸：“我們正在考慮通過SDN牽引的方案進(jìn)行管理……”