在越來(lái)越關注攻防對(duì)抗實戰防護能(néng)力↑'¥的(de)今天，在零信任網絡被炒的(de)越來(lái)越熱(rè)的(de)今天，我們重新™♦¶審視(shì)按照(zhào)這(zhè)些(xiē)新理(lǐ₩ )念構建的(de)縱深防禦體(tǐ)系，結果發現(xiàn₽♥ α)依然問(wèn)題重重：在堆砌了(le)大(dà)量安全産品後依然發現(xiàn)在≠£資産管理(lǐ)、漏洞安全運營到(dào×≈£↕)內(nèi)部隔離(lí)等基礎安全工(gōng)作(z↑≈↔←uò)跟不(bù)上(shàng)安全态勢的(de)變化♥​‍☆(huà)。就(jiù)拿(ná)隔離(lí♣ε)來(lái)說(shuō)，當攻擊者有(yǒu)機(jī)會(huì)拿(π₽Ωná)到(dào)內(nèi)網一(yī)個(gè)跳>×€(tiào)闆機(jī)，結果發現(xiàn)內(nèi)網網絡基本是(shì)暢通(tōn'≈g)的(de)；這(zhè)兩年(nián)的(de)HW攻防對δ$Ωδ(duì)抗演練活動中這(zhè)個(gè)問(wèn)題的(de)暴∞α∑→露尤為(wèi)明(míng)顯，原來(₽Ω'‍lái)奉行(xíng)的(de)內(nèi)網基本安全的(de ☆)策略在攻防對(duì)抗中被“打”的(de)體(tǐ)無完膚；同時(shí)随φ"​←著(zhe)內(nèi)部網絡的(de)架γ&β構從(cóng)傳統的(de)IT架構向虛拟化(huà)、混合雲和(₩¶ε¥hé)容器(qì)化(huà)升級變遷，結果發現(γ♥xiàn)內(nèi)部隔離(lí)不(bù)  ×→再是(shì)一(yī)件(jiàn)容易的(de)事(shì)情。為(w∏✔èi)了(le)适應攻防對(duì)抗防護的(de)要(yào)求、為(wèi)了(le)≠ 滿足新的(de)IT架構的(de)要(yào)求，我們不(bù)得(de)不(bù)再重π≠★新分(fēn)析和(hé)審視(shì)隔離(lí)的(de)重要(yào)性。

1、什(shén)麽是(shì)微(wēi)隔離(∞✘≥©lí)

網絡隔離(lí)并不(bù)是(shì)新的(de)概念，而微(wēi)隔離(♠ lí)技(jì)術(shù)（Micro-Segmentation）是(shì)VMware在應對♣∏©(duì)虛拟化(huà)隔離(lí)技(jì)術(shù)時(shí)提出π♥÷©來(lái)的(de)，但(dàn)真正讓微(w✘ ēi)隔離(lí)備受大(dà)家(jiā)關注是(shì)從£$(cóng)2016年(nián)起連續3年(nián)微(wēi)隔¥✘ε§離(lí)技(jì)術(shù)都(dōu)進入Gartβ¥∏ner年(nián)度安全技(jì)術(shù)榜單開(kāi)始。在2016年(nián)↓↔Ωλ的(de)Gartner安全與風(fēng)險管理(lǐ)峰會(huìαφ&)上(shàng)， Gartner副總裁、知(zhī)名分(fēn)析師(sh₹®π₽ī)Neil MacDonald提出了(γφle)微(wēi)隔離(lí)技(jì)術(shù)的(d₽≈↑←e)概念。“安全解決方案應當為(wèi)企業(yèπ‍')提供流量的(de)可(kě)見(jiàn)性和(hé)監控。可(∑™≈kě)視(shì)化(huà)工(gōng)具可(kě)以讓安全運₩φ維與管理(lǐ)人(rén)員(yuán)了(le)解內(nèi)部網絡信÷≤<息流動的(de)情況，使得(de)微(wēi)隔離(lí)能(n↓¥✔éng)夠更好(hǎo)地(dì)設置策略并協助糾偏。” →δ∑

從(cóng)微(wēi)隔離(lí)概念和(hé)  技(jì)術(shù)誕生(shēng)以來(lái)，對(★∑duì)其核心的(de)能(néng)力要(yào)求是(shì)聚焦在東(dōng)西(xī)向流量的(de)隔離(lí)π♦$上(shàng)（當然對(duì)南(nán)北(běi)向隔離(lí)也(yě)能(néng)發揮左右），一(y✘​↔≤ī)是(shì)有(yǒu)别于防火(huǒ)牆的(de)隔離(lí)作(zuò)用(yòn '≥g)，二是(shì)在雲計(jì)算(suà♠↕φ↑n)環境中的(de)真實需求。 ​‌

l微(wēi)隔離(lí)系統工(gōng)作(zuò₹δ✘)範圍：微(wēi)隔離(lí)顧名思義是(shì)細粒度更小(xiǎo)的(de)網絡隔離(β↓<☆lí)技(jì)術(shù)，能(néng)夠應對(duì)β≈✘傳統環境、虛拟化(huà)環境、混合雲環境、容器(qì)環境下(xiα<®à)對(duì)于東(dōng)西(xī)向流量隔離(lí)的(de)需求，重點用(yò♥↑ng)于阻止攻擊者進入企業(yè)數(shù)據中心網✘λΩ絡內(nèi)部後的(de)橫向平移（或者•β₽叫東(dōng)西(xī)向移動）。

l微(wēi)隔離(lí)系統的(de)組成：有(yǒu)别于傳統防火(huǒ)牆單點邊界上(shà€£✔ng)的(de)隔離(lí)（控制(zhì∏ )平台和(hé)隔離(lí)策略執行(xíng®↔)單元都(dōu)是(shì)耦合在一(yī)台設備系統中），微(wēi)隔離(lí)系統的(ε©↔de)控制(zhì)中心平台和(hé)策略執行(xíng​¥±♦)單元是(shì)分(fēn)離(lí)的(de)，具備分(fēn)布式和(hé)自(zì)适♦​•γ應特點：

（1）策略控制(zhì)中心：是(shì)微(wēi)隔離(lí)系統的(Ω">↕de)中心大(dà)腦(nǎo)，需要(yào)具備以下(xià)幾個(gè)重點能"♥><(néng)力：

1. 能(néng)夠可(kě)視(shì)化(huà)展現(xiàn)內(nè ™'₽i)部系統之間(jiān)和(hé)業(yè)務應用(yòng)之間(jiān←§¥♠)的(de)訪問(wèn)關系，讓平台使用(yòng×'")者能(néng)夠快(kuài)速理(lǐ)清內(nèi)部訪問(wèn)關系； ≠λ≤
2. 能(néng)夠按角色、業(yè)務功能(néng)等多(duō)維度标簽對(≥©€γduì)需要(yào)隔離(lí)的(de)工(gō €¶ ng)作(zuò)負載進行(xíng)快(kuài)速✔•ε分(fēn)組；
3. 能(néng)夠靈活的(de)配置工(gōng)作(zuò)負載π≤、業(yè)務應用(yòng)之間(jiān)€‌Ω♦的(de)隔離(lí)策略，策略能(néng)夠根據≥≠ 工(gōng)作(zuò)組和(hé)工(gōng)作(zuò)負載進 ∞$行(xíng)自(zì)适應配置和(hé)遷移。 ₹¥

（2）策略執行(xíng)單元：執行(xíng)流量數(shù)據監測和(™ hé)隔離(lí)策略的(de)工(gōng)作(zuò)單元，可(∑↑kě)以是(shì)虛拟化(huà)設備也(yě)可(kě)以≠¥是(shì)主機(jī)Agent。

2、為(wèi)什(shén)麽需要(yào)微(wēi)隔離(lí) >✔ ∑

不(bù)少(shǎo)人(rén)提出來(lái)有(yǒu)VLAN技(jì)術♦β →(shù)、VxLAN技(jì)術(shù)、VPC技(jì)術(shù)，λ∏↑為(wèi)什(shén)麽還(hái)需要(yào)微(wēi)≠δ 隔離(lí)？在回答(dá)這(zhè)個(λ↔<gè)問(wèn)題之前，我們先來(lái)看(δ•kàn)看(kàn)這(zhè)幾個(gè)φ∑​技(jì)術(shù)的(de)定義和(hé)λ∞作(zuò)用(yòng)：

VLAN：即虛拟局域網，是(shì)通(tōng)過以太 ∏♠網協議(yì)将一(yī)個(gè)物(wù)理(→φ✔lǐ)網絡空(kōng)間(jiān)邏輯劃分(fēn)成幾個(gè)隔離(lí)的(de)局♣∞域網，是(shì)我們目前做(zuò)內(nèi)部不(bù)同局域網段的(de)一(yī)種常±★∑用(yòng)技(jì)術(shù)；由于以太網協議(yì)的(de)限制(z ≥§hì)，VLAN能(néng)劃分(fēn)的✘≤×≠(de)虛拟局域網最多(duō)隻有(yǒu)4096個(gè)。 ↔₹'←

VxLAN：即虛拟擴展局域網，為(wèi)了(le)解決VLAN技(jì)術(shù)在大(d≥↓★‌à)規模計(jì)算(suàn)數(shù)據中心✔&虛拟網絡不(bù)足的(de)問(wèn)題而出現(xiàγ✔♦n)的(de)技(jì)術(shù)，最多(duō★♣©÷)可(kě)支持1600萬個(gè)虛拟網絡的(©•de)同時(shí)存在可(kě)适應大(dà)規模租戶的(d"←e)部署。

VPC：Virtual Private Cloud，即虛拟私有(yǒ •u)雲，最早由AWS于2009年(nián)發布的(de)一(yī)種技(jì)術ε€(shù)，為(wèi)公有(yǒu)雲租戶實現(x✘★✔ iàn)在公有(yǒu)雲上(shàng)創建相(xiàng)互隔離(lí)的(de)πΩ≈₩虛拟網絡，其技(jì)術(shù)原理(lǐ)類似"δ∏于VxLAN。

從(cóng)技(jì)術(shù)特點上(shàng)看(kà∞©®n)，VLAN是(shì)一(yī)種粗粒度的(de)網絡隔離(lí)技(j∞♥ì)術(shù)，VxLAN和(hé)VPC更接近(jìnα​>)于微(wēi)隔離(lí)的(de)技(jì)術(γ§∏shù)要(yào)求但(dàn)還(hái)不(b✘₹↑ù)是(shì)微(wēi)隔離(lí)最終的(de)産品形态。®•我們來(lái)看(kàn)一(yī)個(gè)真實的(‍÷∏¶de)生(shēng)産環境中的(de)工(gōng)作(zuò)負載之間(jiε™ān)的(de)訪問(wèn)關系：

從(cóng)這(zhè)張圖中我們看(kàn)到(€ ÷dào)少(shǎo)數(shù)的(de)幾台工(∏×gōng)作(zuò)負載都(dōu)會(huì)有★★¶(yǒu)如(rú)何複雜(zá)的(de)業(yè)務訪問∞©(wèn)關系，那(nà)麽當工(gōng)作(zuò)負載數(shù)量急劇(jù)上(sh★≤™ àng)升時(shí)我們急需一(yī)套更加智能(n"™éng)的(de)隔離(lí)系統。以下(xi★π←à)是(shì)我們總結需要(yào)微(wēi)隔離(→'lí)技(jì)術(shù)的(de)幾大(dà)理(lǐ)由： ₽$→↔

1. 實現(xiàn)基于業(yè)務角色的(de)快(kuài)速分£‌ &(fēn)組能(néng)力，為(wèi)隔離✔±(lí)分(fēn)區(qū)提供基于業(yè)務細粒度的(de)視(shì)角（解決傳統基于I≠'♣₽P視(shì)角存在較多(duō)管理(lǐ)上≠'‌π(shàng)的(de)問(wèn)題）； Ωδ©
2. 在業(yè)務分(fēn)組的(d₩‌Ωe)基礎上(shàng)自(zì)動化(huà)×↕δ識别內(nèi)部業(yè)務的(de)訪問(wèn)關系，并能(néng)通(tōng)過 α可(kě)視(shì)化(huà)方式進行(xíng)展示；
3. 實現(xiàn)基于業(yè)務∑™♦組之間(jiān)的(de)隔離(lí)能(néng)力、端到(dào)端的(de​€™)工(gōng)作(zuò)負載隔離(lí)能(néng)力、異常外(wà✘≤γ×i)聯的(de)隔離(lí)能(néng)力，支持物(wù)理(lǐ <£>)服務器(qì)之間(jiān)、虛拟機(jī)之間(jiān)、容器(qì)¥≤≤β之間(jiān)的(de)訪問(wèn)隔離(lí)；通(tō₹Ωng)過隔離(lí)全面降低(dī)東(dōng)西(xī)向的(de)橫™​‍→向穿透風(fēng)險，支持隔離(lí)到(dα ào)應用(yòng)訪問(wèn)端口，​÷實現(xiàn)各業(yè)務單元的(de)安全運行(xíng)； ♠$₽ 
4. 具備可(kě)視(shì)化(huà)的(de)策略編輯能(né™β↕ng)力和(hé)批量設置能(néng)力，支持大(dà)規模場(chǎng)景下(x δΩià)的(de)策略設置和(hé)管理(lǐ)； γ'<₹
5. 具備策略自(zì)動化(huà)σ'$™部署能(néng)力，能(néng)夠适應私有(yǒu)雲彈性可(kě)拓展的(de)特性，在虛拟→✔Ω機(jī)遷移、克隆、拓展等場(chǎng)景下(xià)，安全策略能(n'↔ ✔éng)夠自(zì)動遷移；
6. 在混合雲環境下(xià)，支持跨平台的(d≥←e)流量識别及策略統一(yī)管理(lǐ)。

3、微(wēi)隔離(lí)技(jì)術(shù)選型

目前市(shì)面上(shàng)對(duì)于微(wēi)隔離(lí)産品還(hái)沒有(σ₽≥yǒu)統一(yī)的(de)産品檢測标準，屬于一(yī)種比∑÷¶較新的(de)産品形态。Gartner給出了(le)評估微(wēi)隔離★£±(lí)的(de)幾個(gè)關鍵衡量指标，包括"☆：

1）是(shì)基于代理(lǐ)的(de)、基于虛拟化(huà)設備的(dλ∏∑✔e)還(hái)是(shì)基于容器(qì)的(£♠∞<de)？

2）如(rú)果是(shì)基于代理(lǐε¶")的(de)，對(duì)宿主的(de)性能 &€(néng)影(yǐng)響性如(rú)何？

3）如(rú)果是(shì)基于虛拟化(hu♣∞✔✔à)設備的(de)，它如(rú)何接入網絡中？ ☆<₹

4）該解決方案支持公共雲IaaS嗎(ma)？

Gartner還(hái)給客戶提出了(le)如(rú↔ ♠ )下(xià)幾點建議(yì)：

1）欲建微(wēi)隔離(lí)，先從(cóng)獲得(de)網絡可(k φ♥ě)見(jiàn)性開(kāi)始，可(kě)見(jiàn)才可(kě)隔離( ♥×₽lí)；

2）謹防過度隔離(lí)，從(cóng)關鍵應用(yòng)開(kāi)始；÷δ★←

3）鞭策IaaS、防火(huǒ)牆、交換機(jī)廠(chǎng)&®§商原生(shēng)支持微(wēi)隔離(lí)；

從(cóng)技(jì)術(shù)層面看(kàn)微(wēi☆ )隔離(lí)産品實現(xiàn)主要(yào)采用(yòng)​σ虛拟化(huà)設備和(hé)主機(jī)Agent兩種模式，這(zhè)兩種方式的(d∑→e)技(jì)術(shù)對(duì)比如(r ✘©ú)下(xià)表：

總體(tǐ)來(lái)說(shuō)兩種方案各有(yǒu)優缺點：

1. 如(rú)果環境中租戶數(shù)量σ‌≥&較少(shǎo)且有(yǒu)跨雲的(de↕₩)情況，主機(jī)Agent方案可(kě)以作(zuΩ<'$ò)為(wèi)第一(yī)選擇；
2. 如(rú)果環境中有(yǒu)較多(duō)租戶↑δπ分(fēn)隔的(de)需求且不(bù)存在跨雲的(de)情況采用(yòng)SDN≈★虛拟化(huà)設備的(de)方式是(shì)較優的(de)選擇，主機( ♥jī)Agent方案作(zuò)為(wèi)補充。 ₽✔β

另外(wài)主機(jī)Agent方案還(hái)可(kě)α α以結合主機(jī)漏洞風(fēng)險發現(xiàn)、主機(jī)入↔≤₹♠侵檢測能(néng)力相(xiàng)結合，形成更立體(tǐ)化(huàσ ‌)的(de)解決方案，順帶提一(yī)句，目前我們的(de✘∑)工(gōng)作(zuò)負載安全解決λ→×☆方案已經可(kě)以完全覆蓋這(zhè)個(gè)場(chǎng)景的(de)需求。 '✘€♦

4、企業(yè)如(rú)何執行(xíng)微(wēi)隔離(lí)實施工(gōng)作(✔‍♠ zuò)

在成功部署微(wēi)隔離(lí)中的(d™♥♦e)最大(dà)攔路(lù)虎首推可(kě)見(jiàn)性問(wèn)題。分(fēε<>n)隔粒度越細，IT 部門(mén)越需要(¶α↔γyào)了(le)解數(shù)據流，需要(λ∏™∏yào)理(lǐ)解系統、應用(yòng)和(hé)服務之間(jiān)到(♣​dào)底是(shì)怎樣相(xiàng ±>₹)互溝通(tōng)的(de)。

同時(shí)需要(yào)建立微(wēi)隔離(lí)可(kě)持續性。 ↔↑÷随著(zhe)公司不(bù)斷往微(wēi)隔離(♣"Ωlí)中引入更多(duō)資産，負責團隊需考慮長(ch§↔áng)遠(yuǎn)發展，微(wēi)隔離(lí)ε≈不(bù)是(shì)“設置了(le)就(jiùσ≠☆)可(kě)以丢開(kāi)不(bù)管”的γβ(de)策略。這(zhè)意味著(zhe)，企業(yè)需設立長(←♦βcháng)期機(jī)制(zhì)以維持數(shù)據流ε÷'的(de)可(kě)見(jiàn)性，設置技(jì)術(shù)功←<能(néng)以靈活維護策略改變與實施要(yào)επ♠求；還(hái)意味著(zhe)需清晰描述微(β"↓wēi)隔離(lí)配置管理(lǐ)中各人(rén)都(dōu)負責做(>εzuò)些(xiē)什(shén)麽。 ∏→

微(wēi)隔離(lí)管理(lǐ)的(de)角色和(hé)責任±÷同樣很(hěn)重要(yào)。微(wēi)隔離(lí)規則的(de)改變應經過審查，類似配α∏✘置控制(zhì)委員(yuán)會(huì)這(zhè)種運營和(hé)安全團隊可($•kě)驗證變更适當性的(de)地(dì)方。 ↓♠¶

  £β÷

5、檢驗微(wēi)隔離(lí)的(de)效果 ​λ$

檢驗微(wēi)隔離(lí)是(shì)否真正發揮效果，最直接的(∑™✘γde)方式就(jiù)是(shì)在攻防對(‍ ≥÷duì)抗中進行(xíng)檢驗。我們可(kě)以模拟以下(xià)幾個(gè)場(chǎng)景€₹↓₽進行(xíng)檢驗： ®‌≥

（1）互聯網一(yī)台主機(jī)被攻陷後♥≤×，能(néng)夠觸達內(nèi)部多(λ∑≥duō)大(dà)範圍的(de)主機(jī)和(hé)工(gōng)作(zu←±βò)負載；

（2）同一(yī)業(yè)務區(qū)域一(yī)台主機(jī)被攻陷後，能(néng)&φ否攻陷該業(yè)務區(qū)域的(de)其γ≥→>他(tā)主機(jī)和(hé)工(gōng)作(zuò)負載（所有(yǒu)工(gōng↔σ© )作(zuò)負載都(dōu)存在可(kě)以利用(yòn<÷εg)的(de)漏洞）；

（3）某一(yī)業(yè)務區(qū)域一(yī)台主機(jīπδ)被攻陷後，能(néng)否觸達跟該業(yè)務區(qū)域有(yǒu)訪問(wèn)關系的$Ωε(de)其他(tā)業(yè)務區(qū)域的(de ↑Ω‌)核心主機(jī)和(hé)工(gōng)作(zuò)負載；  ↕

（4）內(nèi)部一(yī)台主機(jī)被攻陷後，能(néng)夠觸達到(dào)域控主•∏™機(jī)以及能(néng)否攻陷域控主機(jī)（域控主機(jī)存在可(kě)以₽¶§利用(yòng)的(de)漏洞）； ™$

（5）內(nèi)部一(yī)個(gè)容器(qì)工(gōng)作(zuò)負載€&被攻陷後，能(néng)夠觸達內(nèi)部其他(tā)δ‍多(duō)少(shǎo)個(gè)容器(qì)工(gōng)作(zuò)負× 載；能(néng)否通(tōng)過該容器(qì)滲透→₽σλ到(dào)宿主主機(jī)； "© 

（6）以上(shàng)所有(yǒu)網絡訪問✘↕→φ(wèn)行(xíng)為(wèi)是(shì)否在微(wēi)隔€>離(lí)系統中的(de)策略智能(néng)管控平台上(shàng)監α ₩測到(dào)，是(shì)否有(yǒu)明(mín®∑g)顯報(bào)警标記。

以上(shàng)是(shì)我們可(kě)以總結的(de)一(yī)些(xi ≈∞ē)檢測場(chǎng)景，安全部門(mén)還(hái)可(kě)以根據自(zì)≠π↑身(shēn)業(yè)務的(de)實際情況模拟更多(duō)的(de)攻防對(duπα✔ì)抗場(chǎng)景進行(xíng)檢驗，才能(né'↓εng)做(zuò)到(dào)“知(zhī)己知(zhī)彼，百戰不(bù)殆”。Ω £