二、微隔离的实现方式2020年 ， 《零信任实战白皮书》中提到了对于微隔离的四种技术路线 ， 包括云原生控制、基于第三方防火墙、基于代理模式、混合模式 。 这四种工作负载之间隔离的方式适用于不同的数据中心环境 ， 企业的网络安全管理者应根据自身的网络情况和投入预算“因网制宜” ， 选择最适合自身网络的实现方式 。 下面笔者会通过分析四种路线的实践方式和其各自的利弊供读者们进行参考：
●云原生控制云原生控制提供的是云原生安全的能力 ， 这种路线在虚拟化平台提供者（如Vmware等）中比较常见 。 这种方式通过将安全内嵌至虚拟化平台中 ， 可与云平台深度融合 ， 直接受云平台的调用 ， 能有效联动云的计算和网络资源 ， 实现原生的“四化” ， 即计算虚拟化、网络虚拟化、存储虚拟化和安全虚拟化 。

文章图片
云原生控制方式通常适用于云工作负载之间的隔离 ， 它最大的优点就是底层和云平台相融合 ， 不需要单独的外挂部署 ， 直接在云平台上操作就可以对云工作负载的访问进行控制 。 但相较于南北向丰富的安全防护能力 ， 云原生的安全能力强度还是略有欠缺 ， 不过目前国内对云原生安全能力的逐渐重视 ， 各大厂商也是抓紧了对云原生控制的深入探索 。 ●基于第三方防火墙此技术路线实现主要基于第三方防火墙供应商提供的虚拟化防火墙（分布式防火墙） 。 该种方式有两种部署模式：一种是虚拟化防火墙以独立虚拟机的形式部署在每个虚拟化的宿主机上 ， 通过虚拟化平台的防火墙接口 ， 把此台宿主机上虚拟机的流量重定向到虚拟化防火墙中 ， 通过配置安全策略实现对云工作负载的安全防护 。

文章图片
另一种模式则通过与云平台的NFV（网络虚拟化）功能的结合来对流量进行控制 ， 通常采用SDN引流的方式牵引云平台中的VSwitch（虚拟交换机）的流量到虚拟化防火墙中进行防护和控制 。

文章图片
与云原生控制最大的区别在于 ， 第三方防火墙方式可以提供丰富多变的安全集成能力 ， 可以将安全厂商的下一代防火墙功能（访问控制、入侵防御、恶意代码检测、WEB应用防护等）融入进虚拟化环境中 。 但缺点也很明显 ， 就是第三方防火墙厂商需要与虚拟化平台厂商进行适配兼容 ， 且无法适用于容器和微服务环境 。 ●基于代理模式基于代理模式的部署方式比较简单 ， 也是当前企业用户使用的最多的一种方式 。 只需要通过在每台虚拟主机中安装agent代理即可 ， 所有安装了agent代理的主机通过外部控制中心进行策略控制并协调代理通信 。 这种方式相当于在原有的物理承载网络之上构建了一个Overlay虚拟网络 。 虚拟主机之间的通信亦可通过代理进行隧道加密传输 ， 所有的访问动作都必须依赖于策略管控 ， 安全性得到大大的提升 。

文章图片
基于代理模式的实现方式主要在于主机的系统环境兼容 ， 对底层架构环境的依赖性不高 ， 降低了安全厂商对虚拟化平台的复杂适配兼容工作 ， 也解决了其他几种方式对容器环境防护能力的缺失 。 代理模式实现的推进难点在于其本身agent部署的工作量庞大和对主机资源占用问题 。 agent轻量化和部署便捷化成了代理模式主推厂商当前最棘手的问题 。 ●混合模式混合模式是将上述三种方式和传统安全防护进行灵活组合实现 。 安全架构师们会根据当前网络的架构和业务访问逻辑进行多方结合 ， 选择出一个最适用于当前网络的部署模式 。 这种模式灵活度较高 ， 同时兼顾东西向和南北向的防护 ， 所以也结合了多种方式部署的优点 ， 能够给业务安全性带来更全面更安全的保障 。 混合模式适用于大型复杂的数据中心 ， 同时与现有业务系统深度融合 ， 对业务和网络的改动比较大 ， 所以说对全局网络的综合协调和响应有着较高的要求 。

• 如何保障自己的隐私安全和数据安全？混合办公时代|联想全新thinkpadx1系列全面升级
• 网络安全|不用再等618，现在也是换机好时机，iQOO三周年庆
• 零售业|Aryaka为零售商提供托管网络和安全产品
• |别当笑话！“熊孩子”玩家长手机误点14份披萨，手机支付安全不容小觑！
• 网络安全|小米12S Ultra，已经悄悄完成了它的历史使命
• 相机|诺基亚宣布其新一代核心网产品组合以“高标准”通过GSMA安全认证
• 显示器|意大利国家网络安全局加入微软“政府安全计划”
• Line|Meta旗下WhatsApp发生4.87亿用户数据泄漏，数据安全敲响了警钟
• 诺基亚平板NokiaT20近日获得了12月安全补丁更新|更新包体积367mb，nokiat20获得12月更新
• 网络安全|一年融资三轮，一文读懂亿格云这家公司