安全何须墨守成规，改变视角看微隔离最近

最近，有一位企业的管理员私下咨询笔者：“勒索病毒太猖狂了，我们公司的服务器也不幸中招了，好多数据都被锁了。有没有什么办法能够恢复数据？”其实挖矿勒索这类问题已在众多企业信息安全建设中备受关注。在遇到勒索病毒攻击时，企业的安全管理者总是会想着怎么清除病毒，数据如何恢复，病毒入侵的途径。以往，企业的信息安全管理者只需要将网络划分为不同等级的安全域，并在安全域之间通过边界访问控制和堆砌各种安全产品，便可实现对应用服务资源的安全保障。这种固守的防守思维就导致了绝大多数安全事件都是在事中或是事后才被发现，但往往这时候攻击者已经对业务的正常运行造成了破坏，窃取到了有价值的数据。更有攻击者通过0day等攻击绕过固守的南北向边界，渗透进内部并对网络内的其他资产进行横向攻击，最终进一步蛰伏以获取更有价值的信息。这样看来，创口贴式的修补和加固在面对层出不穷的新型攻击时不仅会制造大量的安全盲点也会不断扩大网络的攻击面。
早在一千多年前人们就给到了我们解决这个问题的启发。在我国南梁时期，造船工匠们发现船舶遭遇意外导致船舱破损进水时，水会直接漫遍全舱，船舶很快就会沉没。为了使船舶能够更加安全地行驶，工匠们在船体内部的舱壁处隔离出了多个互不相通的独立水密舱。这样一来，即使有一个或多个船舱漏水，也不会流进其他舱，其他未受损的独立舱室还能为船舶提供浮力，减缓沉船的速度。这就是水密舱隔离技术，这项技术一直沿用至今，并为大型船舶和军舰所用。

文章图片
水密舱隔离技术原理在网络安全防护实践中， “水密舱隔离技术”通过与零信任理念相结合，被用作于为东西向业务提供精细、一致且可扩展的安全防护，这就是微隔离。
一、微隔离概述微隔离最早在2015年由Gartner所提出，其诞生之初被命名为软件定义隔离，与其一同提出的还有SDP（软件定义边界）。微隔离是一种创建逻辑网段并完全控制网段内和网段间流量的方法。它提供了通过精细化的策略控制来管理数据中心或多云环境中的工作负载的能力，并限制横向威胁在数据中心的传播。
【安全何须墨守成规，改变视角看微隔离】传统网络模型中，大多以防火墙作为网络隔离的主要手段。防火墙的网络分段和ACL访问控制技术将网络按照安全等级划分为不同等级的安全域，不同等级的安全域之间的数据流走向受防火墙的安全策略控制，可以安全保障南北向的流量的安全合规流通。所以防火墙在网络安全基础建设中一直备受安全架构师们的青睐。

文章图片
随着信息技术的快速发展，云计算的出现改变了传统网络安全建设的格局。传统的网络安全硬件防火墙所采用的基于五元组或七元组的访问控制方式却无法适用于当前盛行的多云时代。多云时代的网络虚拟化、计算虚拟化和存储虚拟化让传统的IDC数据中心变得更加灵活，管理更加便捷。越来越多的业务不断上云带来便捷的同时也让信息化管理员们的安全管理工作变得更加棘手。多云模式下的工作负载处理的是用户访问业务的真实数据和流量，而承载着云工作负载的宿主机网络中流转的多是底层控制和通信数据。云环境中各工作负载之间的东西向业务数据交互早已摆脱传统硬件防火墙的管控，典型的三次树形网络结构开始向大二层结构转变。在这种网络安全结构快速转变的格局下，网络安全解决方案提供商们也是想出了通过虚拟化防火墙和分布式防火墙的方式来应对。这种将安全硬件虚拟化的方式也是难以应对复杂多变的云环境。幸运的是，软件定义的微隔离的出现使主机级别的颗粒度分段成为现实。基于软件定义的框架允许微隔离在混合多云的环境中灵活的对工作负载进行分段隔离，并通过统一的安全控制中心对不同的分段分发自适应的安全访问策略。无论是在本地化的数据中心内部还是云环境中，这种精细到主机级别颗粒度的安全策略定义方式都可以帮助用户的工作负载实现基于零信任理念的访控。首先，通过微隔离独特的分段方式，阻断所有无法通过设定策略验证的连接，确保只有合法授权用户才能访问。其次，通过软件定义的微隔离按需分配部署的能力，对新增或访问需求变动的用户动态分配相应的权限策略，确保应用访问的“最小权限划分” 。最后，通过部署的微隔离agent实现对身份的持续验证和可视化流量的采集，实现对数据中心网络的访问安全行为进行全方位掌控。值得一提的是，微隔离可以完美地融入企业ZTNA的框架建设中。由SDP（软件定义边界）完成对用户访问业务的接入控制安全， IAM（统一身份认证）对访问者身份做认证和访问权限管理， MSG（微隔离）降低非法访问在业务内横向传播带来的危害。通过两者的结合，能有效降低攻击面，并在应用处贴近化构筑零信任安全微边界，实现“端、网、云”三位面一体化的安全防护。