青藤云安全：2022微隔離技術與安全用例研究報告（47頁）.pdf

1、2022微隔離技術與安全用例研究報告2022 微隔離技術與安全用例研究報告目 錄概 述.1第一章 傳統數據中心安全防護的無效性.21.1 數據泄露事件持續發生.21.2 數據中心的攻擊流程.41.3 數據中心外圍的安全措施. 7第二章認識微隔離. 112.1 限制數據中心內的橫向移動.112.1.1 數據中心內部東西流量的增長. 122.1.2 可見性和上下文. 122.1.3 隔離. 142.1.4 自動化. 152.2 微隔離的基本要素.162.2.1 持續性. 162.2.2 普遍性. 172.2.3 擴展性. 172.3 用微隔離實現最小權限和單元級信任.182.4 什么不是微隔離.1

2、9第三章 安全工作流自動化.203.1 為軟件定義的數據中心創建安全策略. 213.1.1 基于網絡的策略.213.1.2 基于基礎設施的策略.223.1.3 基于應用程序的策略.223.2 適應變化.233.3 威脅響應.252022 微隔離技術與安全用例研究報告第四章微隔離部署過程及安全用例. 274.1 實現微隔離.294.1.1 確定網絡流量. 304.1.2 識別模式和關系. 314.1.3 創建并應用策略模型. 314.2 微隔離安全用例.324.2.1 數據中心內部的網絡安全. 334.2.2 在任何地方都能創建 DMZ.334.2.3 安全的用戶環境. 34第五章微隔離在業務和

3、功能方面的利益.365.1 將數據中心安全漏洞的風險和影響降至最低.365.2 IT 服務交付自動化，加快上市時間.375.3 簡化網絡流量.375.4 啟用高級安全服務插入、鏈接和流量轉向.385.5 利用現有基礎設施.385.6 減少資本支出.405.7 降低營業費用.415.8 安全地實現業務敏捷性.422022 微隔離技術與安全用例研究報告1概 述保護數據中心安全的傳統方法聚焦于強大的外圍防御，以把威脅隔絕在網絡外部 ，就像中世紀的城堡防御一樣。城墻由城垛和堡壘加固，出入受吊橋控制。對于攻擊者來說，突破邊界、進入城堡是勝利的關鍵。一旦進入城堡，其內部幾乎沒有防御工事，攻擊者可以隨意燃燒

4、和掠奪！但是，這個模型對于處理現在不斷演變的新威脅是無效的，包括高級持久性威脅（APT）和協同攻擊。我們需要的是一種更現代、更復雜的數據中心安全方法：假設威脅無處不在，然后采取相應行動。微隔離不僅采用了這種方法，還提供了網絡虛擬化的操作靈活性。如今的網絡威脅是協同攻擊，一般包括數月的偵察、漏洞攻擊和“休眠”惡意軟件代理，這些代理可以在被遠程控制激活以前持續休眠。盡管數據中心網絡邊緣的保護類型不斷增加，比如防火墻、入侵防御系統和基于網絡的惡意軟件檢測，但攻擊仍能成功滲透到外圍，漏洞依然不斷產生?，F在面臨的主要問題是：一旦攻擊越過數據中心外圍，數據中心幾乎沒有橫向控制來阻止它在網絡內部的傳播。解決

5、這一問題的最佳方法是采用更嚴格的細粒度安全模型，這個模型不僅能夠將安全與單個工作負載聯系起來，還能自動生成安全策略。Forrester Research 稱之為“零信任”模型，微隔離就是這種模型的落地實踐。2022 微隔離技術與安全用例研究報告2通過微隔離，細粒度的網絡控制可以實現單元級的信任，靈活的安全策略可以一直應用到網絡接口。第一章 傳統數據中心安全防護的無效性數據中心已成為 21 世紀的虛擬銀行金庫。存儲在數據中心系統中敏感的公司、財務和個人信息對網絡罪犯來說可能價值數億美元。盡管在過去幾十年中，對這些系統的依賴性急劇增長，但為這些系統提供高級安全防護基礎架構卻相對沒有改變，依舊重點關

6、注外圍安全，很少甚至壓根不關注數據中心內部的安全防護。那么，數據中心漏洞是如何發生的？為什么缺乏數據中心內部防御的傳統安全方法是無效的？1.1 數據泄露事件持續發生盡管越來越嚴格的數據保護法、對安全技術的大量投資以及不斷壯大且能力不斷增強的安全團隊證明了企業對安全的高度重視，但數據中心漏洞仍舊以驚人的速度出現，而且每個新漏洞都比舊的更嚴重。Anthem、蘋果、索尼、塔吉特等公司最近遭受的網絡攻擊與以往有所不同，這些攻擊有一個共同點：一旦突破外圍，就能夠在數據中心內的服務器之間橫向運動，收集、過濾和利用敏感數據，基本上沒有2022 微隔離技術與安全用例研究報告3安全控制來阻止它。這些案例突出了現

7、代數據中心的一個主要弱點：過于關注數據中心外圍安全，卻忽視了數據中心內部的安全性。想要有效解決這一弱點，需要從數據中心外圍應用的安全技術和控制措施中挑選適用的部分，部署在數據中心內部，以便在外圍被破壞時阻止或隔離攻擊。根據公開報道，2021 年，數據泄露的平均成本達到 17 年來最高，成本從 386 萬美金上升到 424 萬美金。但實際發生的數據泄露的成本可能比這個數據要高得多。例如，2021 年，蘋果代工廠廣達被國際黑客組織 REvil 攻擊，黑客組織盜取了正處于計劃量產中的 MacBook Pro 圖紙在內的各類機密文件數據，并通過加密方式勒索贖金約 3.2 億元人民幣。此外，廣達或還將因

8、此面臨蘋果保密協議的高額罰金。同年，Omiai 母公司 NetMarketing 表示，其服務器遭到未經授權訪問。遭泄露的數據包括用戶身份證、駕照、保險卡和護照信息，部分流行的 Android 應用泄露了超過 1 億用戶的個人數據。Net Marketing 是東京證券交易所上市公司，目前其市值約為 7000 萬美元。由此可見，國內外數據安全的形勢不容樂觀。辦公 APP、手機 APP 等新的應用場景不斷出現，我們面臨的網絡環境更加復雜。怎樣在不影響業務應用的情況下，解決數據在存儲、使用與跨境流動環節中的安全，對數據安全構成新的挑戰。2022 微隔離技術與安全用例研究報告41.2 數據中心的攻擊

9、流程現在復雜的網絡攻擊利用了數據中心設計中存在的一個基本漏洞：數據中心內部幾乎沒有安全控制。洛克希德馬丁網絡殺傷鏈（見圖 1-1）展示了一個用于了解網絡犯罪分子破壞數據中心外圍過程的簡單框架。攻擊者一旦進入數據中心，就可以在整個數據中心內任意橫向移動，以擴展攻擊面并實現攻擊目標。圖 1-1：洛克希德馬丁網絡殺傷鏈2022 微隔離技術與安全用例研究報告5這個模型反映了一個嚴峻的問題：雖然投入大量的精力和資源用以保護數據中心外圍（對應于圖 1-1 中的前三個步驟），但入侵仍不可避免地頻繁發生。攻擊者一旦進入數據中心，就可以利用漏洞、安裝惡意軟件、建立命令與控制（C2）基礎設施，輕易就能在整個數據中

10、心的系統間橫向移動（見圖 1-2）。C2 通信對于成功的攻擊至關重要，為避免被發現，它必須是隱蔽的。C2 流量通常用“安全套接字層(SSL)”加密，并在合法的應用程序或協議中使用代理或隧道。圖 1-2：C2 可進一步在數據中心進行偵察接下來，攻擊者在其他設備和系統上安裝額外的 C2 基礎設施，覆蓋所有入侵痕跡，并在利用數據中心內部漏洞的多管齊下的攻擊中提升系統權限（見圖 1-3）。2022 微隔離技術與安全用例研究報告6圖 1-3：安裝額外 C2 基礎設施，以確保攻擊者在數據中心橫向移動時的持久性現代的高級攻擊一般是持久且有彈性的。如果發現了主動威脅，攻擊者可以快速“喚醒”數據中心另一個受感染

11、系統上休眠的惡意軟件毒株，然后繼續攻擊（見圖 1-4）。由于缺乏充分的隔離和安全控制，以及數據中心內東西流量的激增，事件響應團隊很難有效地隔離攻擊。因此，攻擊者可以對目標執行任意操作（請參見圖 1-5）。圖 1-4：如果發現攻擊，攻擊者將休眠毒株激活，并繼續攻擊2022 微隔離技術與安全用例研究報告7圖 1-5：攻擊者可以對數據中心目標執行任何需要的操作如果目標是竊取敏感信息，攻擊者會將數據打包成小的、加密的有效載荷，避免在從目標網絡滲漏時被檢測到。在耐心、彈性、多管齊下、隱秘的攻擊策略下，數據中心內的攻擊者可以相對不受阻礙地在系統之間移動，并在被檢測到之前持續竊取敏感數據長達數月甚至數年。1

12、.3 數據中心外圍的安全措施隔離是一項基本的信息安全原則，幾十年來一直應用于數據中心設計。在最基本的層面上，隔離應用在兩個或多個網絡之間，例如內部網絡（數據中心）和外部網絡（互聯網），防火墻部署在不同網絡之間的外圍邊界（見圖 1-6）。2022 微隔離技術與安全用例研究報告8圖 1-6：在處處需要安全的數據中心，基于外圍的安全防護是不夠的盡管目前數據中心確實存在隔離，但網絡分段太大，無法發揮作用，而且這些網絡隔離通常是為了限制互聯網與數據中心之間或客戶端工作站與數據中心之間的南北向流量。例如，可以使用額外防火墻將網絡劃分為多個信任級別，以創建 DMZ 或單獨的部門網絡（如財務、人力資源和研發）

13、。為了發揮更全面的效果，隔離（和防火墻）需要能夠降低到單個工作負載的級別。但一個典型的數據中心可能有成千上萬個工作負載，每個工作負載都有獨特的安全條件。目前，數據中心外圍已經部署了許多先進的安全解決方案，包括下一代防火墻、反惡意軟件、入侵防御系統(IPS)、分布式拒絕服務(DDoS)預防、統一威脅管理(UTM)、垃圾郵件過濾和許多其他技術。這些解決方案雖然加固了外圍防御，但它通常只能解決限定上下文和不同安全技術之間的特定威脅，數據中心安全的基本問題仍然存在：當攻擊2022 微隔離技術與安全用例研究報告9者越過外圍進入數據中心內部以后，就能不受控制地隨意移動。為了在任何位置都能成功阻止威脅的發生

14、，數據中心外圍和內部都需要部署這些解決方案，通過一個統一的平臺提供跨各個工作負載和不同技術的上下文和協調能力。過時的數據中心安全方法無法滿足在任何地方、任何時間從任何設備訪問數據中心應用程序和數據的現代業務需求，也不足以應對當今復雜的網絡攻擊。這些方法和挑戰包括：以外圍為中心的安全設施：外圍防御很強大，但數據中心內部的安全控制很薄弱，甚至根本不存在。在高級安全解決方案（如下一代防火墻、IP、DDoS 防護和其他技術）上分層可以加強外圍環境，但不足以解決數據中心內部的威脅。缺乏內部控制：攻擊者利用數據中心內部薄弱或不存在的安全控制在工作負載之間橫向移動，快速擴展攻擊面。無法擴展：部署成百上千的防

15、火墻來保護數據中心中的每個工作負載是不可行且不切實際的。映射到網絡拓撲的安全性：由數據中心服務器工作負載的物理位置確定的安全策略并不能滿足業務和合規性要求，而且它過于僵化和復雜。這種傳統的安全方法通常會導致應用程序部署中的重大延遲?；貍鞯牡托裕簭娖葨|西向流量通過防火墻會形成阻塞點，并回傳服務器流量，導致防火墻規則集和復雜性的蔓延。2022 微隔離技術與安全用例研究報告10大型安全區：在數據中心內部使用防火墻阻塞點，試圖將其隔離，從而創建粗粒度的安全區域，但威脅仍能在這些大型分段隔離區內相對不受阻礙地移動。雖然外圍安全是安全的重要因素，但它不應該是基礎，就像建筑物的墻構成了關鍵的結構邊界，但它

16、并不是基礎，而是由地基提供了建筑的平臺。為了有效地保護數據中心免受現代攻擊，需要對各個工作負載進行微隔離。2022 微隔離技術與安全用例研究報告11第二章認識微隔離微隔離使企業組織能夠有邏輯地將數據中心劃分為不同的安全段，一直劃分到各個工作負載級別，然后為每個唯一段定義安全控制并交付服務。這限制了攻擊者攻破外圍之后在數據中心內部橫向移動的能力，就像銀行保險庫被破壞之后，保險箱還能繼續保護客戶的貴重物品。2.1 限制數據中心內的橫向移動現代攻擊利用傳統以外圍為中心的網絡安全策略的固有弱點滲透到企業數據中心，在成功地避開了數據中心的周邊防御后，可以在數據中心內的工作負載間沒有阻礙地隨意橫向移動。數

17、據中心網絡的微隔離限制了未經授權的橫向移動。傳統的包過濾和先進的下一代防火墻通過安全控制在網絡上實現了物理或虛擬的“阻塞點”。當應用程序工作負載流量通過這些控制點時，根據在該控制點配置的防火墻規則，阻止或允許網絡數據包穿越防火墻。使用傳統防火墻進行微隔離有兩個關鍵的操作障礙：吞吐量容量和安全管理。吞吐量容量的限制是可以克服的，但代價很大?？梢再徺I足夠的物理或虛擬防火墻來提供實現微隔離所需的容量，但對大多數企業組織來說，購買有效微隔離所需的防火墻數量在財務上是不可行的。2022 微隔離技術與安全用例研究報告12由于工作負載的大量增加，以及當今數據中心的日益動態化，安全管理負擔呈指數級增長。如果每

18、次添加、移動或停用新主機時都需要手動添加、刪除或修改防火墻規則，那么更改速度會很快壓倒 IT 運營。正是這個障礙使得大多數安全團隊開始了最佳布局計劃，即在數據中心實現全面的微隔離或最小特權、單元級的信任策略。2.1.1 數據中心內部東西流量的增長過去十年中，應用程序越來越多地部署在多層服務器基礎設施上，服務器與服務器之間的東西向流量比客戶端與服務器或互聯網之間的南北向流量占比更大。事實上，數據中心內部的流量現在占所有網絡流量的 80%。這些多層應用程序基礎架構通常很少或壓根沒有安全控制來限制分層系統之間的通信，并越來越多地利用 10 Gbps 以太網連接來實現最佳吞吐量和性能。攻擊者通過修改攻

19、擊策略，來利用數據中心流量的這種范式轉變，以及以外圍為中心的防御策略很少或根本無法控制數據中心內部網絡通信的弱點。因此，安全團隊必須將其防御策略擴展到數據中心內部，而不是只關注外圍防御，因為占據網絡流量大部分的內部流量沒有受到保護。2.1.2 可見性和上下文數據中心內東西向流量的增長和服務器虛擬化的興起導致數據中心缺乏可視性和上下文。2022 微隔離技術與安全用例研究報告13在大多數情況下，數據中心內的東西向訪問不會通過防火墻，因此不會被檢查。無論出于何種目的，網絡安全團隊都看不到該流量。當使用回傳等技術迫使東西向流量通過防火墻時，會生成復雜且低效的通信路徑，這對整個數據中心的網絡性能會產生負

20、面影響。服務器虛擬化的創新遠遠超越了傳統數據中心的底層網絡和安全結構，這導致了數據中心可視性和上下文有限等問題的出現。虛擬服務器環境中，在配置了多個網卡(NICs)的單個物理主機上部署多個虛擬工作負載是很常見的。如果沒有虛擬交換機，就無法輕易識別進出各個虛擬機的流量。這可能會給試圖識別和解決問題的網絡團隊帶來重大問題，同時也為攻擊者提供沃土。因此，直觀展示出各個服務器之間的訪問關系對微隔離的實現至關重要。青藤零域微隔離安全平臺由主機探針 Agent、計算引擎和控制臺組成，支持公有云、私有云、混合云、物理機、虛擬機、容器等各種業務環境，異構環境對用戶完全透明。主機探針 Agent：實時采集業務網

21、絡連接和資產信息，接收服務端指令，管控主機防火墻。計算引擎：聚合、統計網絡連接，進行可視化呈現，智能拆解策略下發給主機，并分析策略的覆蓋情況?？刂婆_：控制臺可清晰展示網絡連接和策略配置情況，用戶通過控制臺集中管理網絡策略并進行隔離操作。2022 微隔離技術與安全用例研究報告14Agent 探針會自動采集主機的所有網絡連接，并進行可視化展示。用戶可以在多種視圖中查看不同主機之間、不同主機分組之間的訪問關系，比如連接狀態、被訪問者、進程、端口、協議、訪問者、連接次數、首次連接時間、最近連接時間等字段，并且提供必要的網絡信息和主機信息。以清晰直觀的形式幫助用戶梳理業務，為配置網絡策略做準備。圖 2-

22、1：青藤零域的訪問關系可視化2.1.3 隔離隔離是網絡安全中的一項重要原則，無論是為了合規性、控制，還是僅僅保持開發、測試和生產環境的分離。在物理設備上手動配置和維護的路由、訪問控制列表（ACL）或防火墻規則一般用于在數據中心網絡中建立和實施隔離。Forrester Research 概述了其信息安全和隔離的“零信任模型”，將外圍安全控制擴展到整個數據中心。它要求企業組織保護外部和內部2022 微隔離技術與安全用例研究報告15數據資源，并實施嚴格的訪問控制。零信任包含了“最低特權”原則，這是信息安全的基石，將訪問和權限限制在執行授權功能所需的最低限度。另外，“信任，但要核實”是 20 世紀 8

23、0 年代的事?！坝啦恍湃?，總要核實”才是網絡安全的新范例。2.1.4 自動化自動化配置允許在以編程方式創建工作負載時調配正確的防火墻策略，而且這些策略可以在數據中心的任何位置或數據中心之間移動時對工作負載實現自適應。如果刪除應用程序，其安全策略也會從系統中自動刪除。此功能消除防火墻規則蔓延的痛點，這個痛點可能會留下成千上萬條過時的防火墻規則，還會導致性能下降和安全問題。利用自動化，企業還可以將高級安全服務鏈接在一起，并根據不同的安全情況實施不同的服務，從而應用不同合作伙伴功能的組合。這使企業組織能夠集成其現有的安全技術，在數據中心內構建更全面、更相關的安全功能?，F有的安全技術與微隔離結合可以發

24、揮更好的作用，因為它們對數據中心內單個工作負載的主機流量具有更高的可見性和上下文，并且可以為單個主機工作負載定制安全操作，作為完整安全解決方案的一部分。例如，一個工作負載可能配置了標準防火墻策略，這些策略允許或限制其他類型工作負載的訪問。同一策略還可以定義，如果在正常漏洞掃描過程中在工作負載上檢測到漏洞，則將應用更嚴格的防火墻策略，將工作負載限制為僅允許用于修復漏洞的工具訪問。2022 微隔離技術與安全用例研究報告162.2 微隔離的基本要素實現三個微隔離的關鍵要素：持續性、普遍性和可擴展性。2.2.1 持續性安全管理員在為工作負載提供安全防護時，盡管環境發生了變化，安全防護仍要繼續。這一點至

25、關重要，因為數據中心拓撲結構在不斷變化：網絡重新編號、服務器池擴展、工作負載移動等等。與這些變化相對應的是，工作負載本身及其安全需求沒變。但在不斷變化的環境中，首次部署工作負載時配置的安全策略可能不再具有可執行性，特別是當策略的定義依賴于與 IP 地址、端口和協議等工作負載的松散關聯時。從一個數據中心移動到另一個數據中心，甚至移動到混合云（例如，實時遷移或災難恢復）的工作負載加劇了這種持久安全防護的困難性。微隔離為管理員提供了更有用的描述工作負載的方式。除了依賴于 IP 地址，管理員還可以描述工作負載的固有特征，并將這些信息與安全策略聯系起來。比如：這是什么類型的工作負載（例如，web、應用程

26、序或數據庫）？此工作負載將用途是什么（例如，開發、存儲或生產）？此工作負載將處理哪些類型的數據（例如，低敏感度、財務或個人身份信息）？管理員甚至可以使用微隔離來把這些特征結合起來，以定義策略屬性。例如，處理財務數據的工作負載要有一定級別的安全性，但處理財務數據的生產工作負載要具備更高級別的安全性。2022 微隔離技術與安全用例研究報告172.2.2 普遍性一方面，傳統的數據中心架構優先考慮重要工作負載的安全性，而往往忽略優先級較低的系統。另一方面，傳統的網絡安全部署和管理成本高昂，管理員被迫陷入必須定量供給安全防護的境地。攻擊者往往利用這一點，以防護級別較低的系統作為進入數據中心的滲透點。為了

27、提供足夠的防御級別，數據中心的每個系統都要具備高級別的安全防護。微隔離可以通過將安全功能嵌入數據中心基礎設施來達成這一目標。通過利用這種廣泛使用的計算基礎設施，管理員可以依靠安全功能的可用性來處理數據中心內部大量的工作負載。2.2.3 擴展性除了持久性和普遍性之外，安全管理員還要依賴微隔離來適應新的和不斷發展的情況。就像數據中心拓撲結構在不斷變化一樣，數據中心內部的威脅拓撲也在不斷變化：新的威脅或漏洞被暴露，舊的威脅或漏洞變得無關緊要，而用戶行為是不斷震驚安全管理員的不可避免的變量。面對新出現的安全場景，管理員可以利用微隔離將額外的安全功能集成到他們的防御組合中來擴展功能。例如，管理員可能從分

28、布在整個數據中心的狀態防火墻開始，然后添加用于深度數據包檢測 (DPI) 的下一代防火墻和入侵防御，或添加無代理反惡意軟件以提高服務器安全性。微隔離通過在安全功能之間共享情報來滿足這一需求。這使得安全基礎設施可以相互協作來對獨特情況做出個性化響應。2022 微隔離技術與安全用例研究報告18例如，基于惡意軟件檢測，防病毒系統與網絡協調，將流量鏡像到入侵防御系統（IPS），后者反過來掃描異常流量。微隔離的可擴展性實現了這種動態功能。如果沒有它，安全管理員將不得不預先配置不同的靜態服務鏈，每個服務鏈對應不同的可能出現的安全場景。這需要在初始部署過程中預先考慮到每一種可能的安全場景！2.3 用微隔離實

29、現最小權限和單元級信任假設威脅可能潛伏在數據中心的任何地方，這是一種謹慎的安全方法，需要建立最低權限和單元級信任模型。最低權限和單元級信任共同實現了一種積極的控制模型，該模型在非常細粒度的級別上實現了“從不信任，始終驗證”的安全策略，一直至單個工作負載。最低權限始于對數據中心的任何實體或對象，沒有默認信任級別，包括網段、服務器工作負載、應用程序和用戶。單位級信任要求企業建立信任邊界，以非常細粒度的級別有效劃分數據中心環境的不同部分，并讓安全控制盡可能靠近需要保護的資源。最小權限和單元級別的信任需要持續監控和檢查所有數據中心流量，以確定威脅和未經授權的活動。這包括南北向（客戶端-服務器和因特網）

30、和東西向（服務器-服務器）流量。微隔離通過在極細粒度的級別上建立多個信任邊界，并對數據中心中的單個工作負載應用適當的策略和控制，從而實現有效的最小權限和單元級信任安全策略。微隔離允許組織采用最小權限、單元級的信任策略，這有效限制了攻擊者在數據中心內橫向移動和滲透敏感數據的能力。2022 微隔離技術與安全用例研究報告192.4 什么不是微隔離微隔離的概念并不新鮮，但微隔離的落地實現卻是新的。與任何新的技術創新一樣，對于微隔離的功能和限制存在很多困惑。因此，是時候揭穿一些關于微觀隔離的神話了。微隔離并不能取代部署在數據中心外圍的硬件防火墻。硬件防火墻平臺的性能容量旨在控制進出成百上千個同步數據中心

31、工作負載會話的流量。微隔離使企業組織能夠以前所未有的創造性方式定義組。由于網絡管理程序無處不在的性質及其對數據中心中各個工作負載的獨特可見性和理解，智能網絡和安全策略分組應基于以下特征（見圖 2-2）：操作系統機器名稱服務多層監管要求唯一標簽2022 微隔離技術與安全用例研究報告20圖 2-2：由自定義標準定義的智能分組這種粒度級別可能需要在數據中心內部署數千個防火墻，物理的、虛擬的或兩者兼有，這對于大多數組織來說在財務或運營上都是不可行的。盡管微隔離支持在單個工作負載級別部署和集中管理、自動化和編排數十萬個單獨的防火墻，但微隔離既不是硬件定義的解決方案，也不是虛擬設備。防火墻規則管理和自動化

32、都是微隔離的重要能力，但它們本身并沒有定義微隔離。第三章 安全工作流自動化通過微隔離，允許安全工作流實現自動化，如資源調配、移動/添加/更改、威脅響應和安全策略管理，以提高數據中心的準確性和整體安全性。2022 微隔離技術與安全用例研究報告213.1 為軟件定義的數據中心創建安全策略通過根據工作負載的屬性進行智能分組，并應用適當的安全策略，可以實現有效的安全防護。一般情況下，可以以多種方式創建安全策略規則，如圖 3-1 所示。圖 3-1：基于網絡、基礎設施和基于應用程序的策略?；诰W絡的策略可用于靜態環境。在更動態的環境中，策略需要隨著應用程序的動態特性而發展3.1.1 基于網絡的策略基于網絡

33、的安全策略通過對第 2 層或第 3 層元素進行分組來實現，例如媒體訪問控制 (MAC) 或互聯網協議 (IP) 地址。安全團隊需要了解網絡基礎設施來部署基于網絡的策略。由于不使用基于動態屬性的分組，因此出現安全規則擴展的概率很高。如果只從2022 微隔離技術與安全用例研究報告22不同的供應商防火墻遷移現有的規則，那么這種分組方法會達到很好的安全效果。在動態環境中，例如自助服務 IT 供應和云自動化部署，用戶需要添加或刪除主機，應用程序拓撲快速變化，基于 MAC 地址的分組方法可能不合適，因為配置主機和添加 MAC 地址之間可能存在顯著延遲。在具有高工作負載移動性（例如，遷移虛擬機和高可用性）的

34、數據中心環境中，基于第 3 層 IP 的分組方法也可能不夠充分。3.1.2 基于基礎設施的策略數據中心基礎設施元素，如群集、分布式端口組等?；诨A設施安全策略的一個示例是將支付卡行業(PCI)持卡人數據環境(CDE)分組在單個虛擬 LAN(VLAN)中，并根據 VLAN 名稱應用適當的安全規則。有效的基于基礎設施的策略需要安全團隊和應用程序團隊之間的密切協調，以理解數據中心內的邏輯和物理邊界。如果數據中心內沒有物理或邏輯邊界，那么基于基礎設施的策略方法是不可行的。用戶還需要了解在此場景中可以部署應用程序的位置。例如，如果用戶需要靈活地將 PCI 工作負載部署到任何具有足夠計算資源的集群，則不

35、能將安全態勢綁定到特定集群。相反，安全策略應該隨應用程序一起移動。3.1.3 基于應用程序的策略基于應用程序的策略基于各種可定制的機制對數據中心元素進行分組，例如應用程序類型(例如，標記為“Web_Servers”的主機)、應用程2022 微隔離技術與安全用例研究報告23序環境(例如，所有標記為“Production_Zone”的資源)和應用程序安全姿態。這種方法的優點是，應用程序的安全態勢不與網絡構造或數據中心基礎設施綁定。安全策略可以與應用程序一起移動，而不考慮網絡或基礎設施的邊界，并且可以跨類似的應用程序類型和工作負載實例創建和重用策略模板。要實現基于應用程序的策略，安全團隊只需要知道它

36、正試圖基于這些策略進行保護的應用程序。安全策略遵循應用程序從策略創建到銷毀的全生命周期?；趹贸绦虻牟呗苑椒ㄖС肿灾?IT 模型。在不了解底層拓撲結構的情況下也能創建可重復使用的安全性規則和模板。由此可見，基于基礎設施和應用程序的策略提供了相對更好的微隔離安全模型。3.2 適應變化在當今世界的任何地方，變化都是不間斷的，數據中心也是如此。IT部門正在努力滿足日益苛刻和動態的業務需求。這種能力和服務交付的差距已經變得非常明顯，并且被當前的趨勢進一步加劇，例如服務器虛擬化和云計算。這些趨勢可以實現更高的業務敏捷性，并帶來更多相應的變化。網絡和安全團隊尤其感到壓力，因為他們被迫使用跟不上業務和

37、其他功能性 IT 領域需求的工具和解決方案。在過去，我們主要通過防火墻來實現隔離，在那個時候，策略的管理和隔離的動作都是發生在防火墻設備上的。主機防火墻也是如此，它2022 微隔離技術與安全用例研究報告24的策略也是配置在主機上的。這些策略一般在防火墻上線部署的時候配置上去，然后在整個防火墻的生命周期內基本不做調整。然而，進入到云計算時代之后，如此多分散的獨立工作的控制點變得非常難以維護和過于僵化，進而導致云的使用者只能在安全與業務之間二選一。要安全，業務就無法快速交付；要業務，就無法進行有效的安全管理。這種局面呼喚了軟件定義隔離這種技術形態的出現。軟件定義隔離與傳統防火墻最本質的區別在于它把

38、策略從每一個分散的控制點上給拿出來了，放在一個統一集中的地方進行設計、管理和維護。原則上，安全管理者不必要了解下面的控制點在哪里，也不必再對每一個控制點進行策略配置和維護，這些工作都將由策略管理中心來自動完成。青藤零域微隔離安全平臺可部署在混合數據中心架構中，用戶可以基于控制臺實現跨平臺的統一安全管理。產品覆蓋多個維度的管理場景，通過自主學習分析、可視化展示業務訪問關系，可基于簡明易讀的標簽，或精確的 IP 地址配置多種形式的策略；可按照業務分組進行粗粒度管控，或進行細化到端口的精細化管控。業務或 IT 環境發生變化時可自適應調整發布到主機的網絡策略，實現自動化運維。2022 微隔離技術與安全

39、用例研究報告25圖 3-2：青藤零域微隔離安全平臺的構成3.3 威脅響應針對數據中心的現代攻擊不僅復雜，而且還在迅速演變。這同樣需要快速、適應性強的響應。這種響應只有通過自動化的安全工作流才能有效地實現，因為如今的攻擊者擁有相應工具和資源來自動修改威脅或攻擊，以避開數據中心的靜態安全控制和反應性對策。微隔離提供了匹配這種功能的能力，并通過同樣復雜的、細粒度的安全控制和應用于數據中心的各個工作負載的工作流來阻止攻擊。例如，微隔離使安全團隊能夠實施安全策略，在特定的多層應用程序體系結構中提供安全性。在正常操作條件下，此策略只執行基本的安全訪問控制和惡意軟件掃描，將對應用程序性能的影響降到最小。但是

40、，如果檢測到惡意軟件威脅，安全策略可以立即將應用程序及其受影響的組件與網絡其余部分隔離，以防止對該應用程序或數據中心任何其他應用程序的進一步利用。然后，新應用的策略可能需要通過集成的下一代防火墻進行深度數據包檢查（DPI），以識別可能使用策2022 微隔離技術與安全用例研究報告26略的其他威脅，如安全套接字層（SSL）隱藏或端口跳轉，來逃避檢測和泄露敏感信息。圖 3-3 和圖 3-4 分別展示了多層應用程序中微隔離的物理視圖和邏輯視圖。圖 3-3：多層應用中微隔離的物理視圖圖 3-4：多層應用程序中的微隔離的邏輯視圖2022 微隔離技術與安全用例研究報告27第四章微隔離部署過程及安全用例目前，

41、市面上對于微隔離產品還沒有統一的產品檢測標準，它屬于一種比較新的產品形態。因此在選擇微隔離產品或部署方案的時候可以參考 Gartner 列出的以下幾點。Gartner 給出了評估微隔離的幾個關鍵衡量指標，包括：是基于代理的、基于虛擬化設備的還是基于容器的？如果是基于代理的，對宿主的性能影響性如何？如果是基于虛擬化設備的，它如何接入網絡中？該解決方案支持公共云 IaaS 嗎？Gartner 還給客戶提出了如下幾點建議：欲建微隔離，先從獲得網絡可見性開始，可見才可隔離；謹防過度隔離，從關鍵應用開始；鞭策 IaaS、防火墻、交換機廠商原生支持微隔離；從技術層面看微隔離產品實現主要采用虛擬化設備和主機

42、 Agent 兩種模式，這兩種方式的技術對比如下表：2022 微隔離技術與安全用例研究報告28圖 4-1：微隔離兩種實現方式的技術對比總體來說兩種方案各有優缺點：如果環境中租戶數量較少且有跨云的情況，主機 Agent 方案可以作為第一選擇；如果環境中有較多租戶分隔的需求且不存在跨云的情況，采用SDN 虛擬化設備的方式是較優選擇，主機 Agent 方案作為補充。另外，主機 Agent 方案還可以結合主機漏洞風險發現、主機入侵檢測能力相結合，形成更立體化的解決方案。順帶提一句，青藤可基于同一個輕量 Agent 承載微隔離、主機安全、容器安全等眾多安全能2022 微隔離技術與安全用例研究報告29力，

43、并可持續擴展。不僅完全覆蓋了各種安全場景，降低管理員的使用成本，還能實現對業務的 0 影響，滿足用戶安全與業務兼顧的需求。圖 4-2：青藤通過同一個 Agent 可實現多種功能4.1 實現微隔離微隔離的核心設計原則（參見圖 4-3）包括：分離和分隔單位級信任/最低權限普遍性和集中控制2022 微隔離技術與安全用例研究報告30圖 4-3：微隔離的核心設計原則要實現微隔離的單元級零信任模型，首先要了解數據中心內的流量。然后分析工作負載之間的訪問關系。最后，創建一個與每個工作負載的安全需求相一致的策略模型。4.1.1 確定網絡流量了解網絡流量如何流入、流出，以及在數據中心內的流動是第一步，基于此可以

44、發現流量效率低下或可能被利用的安全漏洞，這些漏洞可能已經休眠多年。2022 微隔離技術與安全用例研究報告31通過查看周邊防火墻上的現有規則，并將南北和東西流量分離、分析。各種流量監控工具，如 IPFIX（NetFlow）或 syslog，可以用來收集和分析這些流量，并可以與現有防火墻進行關聯?；貍魇降牧髁磕Ｊ酵ǔ１硎緰|西向流量。分析現有防火墻規則有助于理解如何使用邏輯交換機和虛擬化網絡覆蓋的路由來替換回傳流量。4.1.2 識別模式和關系將現有外圍防火墻的規則與從流量監控工具收集的流量模式相關聯，為微隔離模型提供了一組初始安全策略。流量模式可以幫助用戶深入了解數據中心內部存在的關系。例如，每個工

45、作負載如何與共享 IT 服務、其他應用程序或用戶，以及如何跨不同的環境交互，比如生產與開發或測試。了解這些關系將有助于定義適當的隔離區域，并管理它們之間互動的規則。例如，可以為每個應用程序創建一個微隔離區域，然后控制與其他區域的通信，如活動目錄（AD）、域名稱服務（DNS）、網絡時間協議（NTP）等共享IT 服務。微隔離定義的常見示例包括按業務部門或租戶、環境、應用程序、用戶訪問、數據的分類或合規性。4.1.3 創建并應用策略模型要啟用微隔離的單元級零信任模型，要從“默認塊”策略模型開始，這個模型不允許數據中心的各個工作負載之間進行通信。就像銀行的每扇門和抽屜都被鎖上一樣。然后根據對流量模式和

46、關系的分析，定2022 微隔離技術與安全用例研究報告32義安全策略，再根據需要逐步打開工作負載之間的特定通信通道。這是通過微隔離保護數據中心的最佳實踐方法。對用戶來說，數據中心有部分流量和關系很難理解。在這些情況下，要謹慎地使用“默認允許”策略（基本上保持鎖打開），以防止應用程序的服務中斷。然后關閉識別到的不適當的通信通道，以阻斷這些主機之間的通信。根據工作負載和應用程序/用戶/數據上下文隨時間產生的變化，調整安全策略模型以適應工作負載不斷變化的安全需求，提供不間斷的相關安全控制。4.2 微隔離安全用例企業正使用網絡虛擬化來交付大量新的安全用例和高價值的 IT 成果，這是傳統網絡基礎架構不可能

47、實現的。IT 還能以更快的速度、更低的成本執行現有操作。同時，他們建立了一個戰略平臺，使 IT 自動化，并隨著時間的推移驅動更多的用例。安全用例主要包括災難恢復、自助研發 (R&D) 云、云應用程序可移植性和數據中心遷移、IT 自動化和編排以及基礎設施優化和更新。以下部分重點介紹了三個其他用例：服務器到服務器的流量、多租戶和虛擬桌面基礎架構 (VDI)。2022 微隔離技術與安全用例研究報告334.2.1 數據中心內部的網絡安全通過與單個工作負載相關聯的自動化、細粒度策略，微隔離為數據中心帶來了安全性。微隔離有效地消除了數據中心內威脅的橫向移動，大大減少了總攻擊面。隨著虛擬化服務器平臺上的多層

48、應用基礎設施的部署，數據中心內的東西向流量不斷增多。這種網絡流量通常不受傳統安全控制的阻礙，相反，由于安全設計存在缺陷，它針對最大性能和吞吐量進行了優化，該設計假設威脅在外圍防火墻處被阻止并且數據中心內的任何東西都是可信的。由于主流新聞媒體報道的每個引人注目的數據安全漏洞都暴露了這種安全設計的謬誤，因此企業組織都忙于通過效率低下的做法來補救這種情況，例如在現有的數據中心通過防火墻阻塞點回傳東西向流量。而微隔離假設了一個單元級、零信任的安全模型，默認情況下會阻止所有通信通道，并要求明確允許橫向流量，因此消除了這些潛在的基本安全問題。4.2.2 在任何地方都能創建 DMZ當今快節奏的全球經濟正在推

49、動企業要求用戶隨時隨地在任何設備上訪問數據中心。為了安全地支持業務并在任何地方提供訪問，IT 在任何地方都需要創建一個 DMZ。微隔離允許將安全控制分配給單個工作負載，而不是底層網絡拓撲。此功能使用戶可以應用高級安全服務，并限制或允許對數據中心內任何系統的互聯網訪問，而不管其在網絡中的位置如何。因此，網絡邊2022 微隔離技術與安全用例研究報告34界和 DMZ 不再由互聯網和數據中心之間的物理防火墻定義。相反，它是為數據中心內的每個唯一工作負載定義的。4.2.3 安全的用戶環境許多企業已經部署了虛擬桌面基礎設施(VDI)來利用數據中心之外的虛擬化技術（見圖 4-4）。微隔離使這些組織能夠將數據

50、中心工作負載級的許多安全優勢擴展到桌面，甚至移動環境，包括：將關鍵網絡和安全功能集成到 VDI 管理中消除不同 VDI 用戶的復雜策略集和拓撲設置防火墻和流量過濾，并為邏輯分組分配策略將安全策略與網絡拓撲分離以簡化管理圖 4-4：在 VDI 環境中的微隔離2022 微隔離技術與安全用例研究報告35這些安全和細分用例只是展示網絡虛擬化諸多好處的幾個示例。其他用例還包括自動化 IT 流程以跟上業務需求、保護多租戶基礎架構、促進災難恢復、實現應用程序連續性等。2022 微隔離技術與安全用例研究報告36第五章微隔離在業務和功能方面的利益微隔離極大地改變了數據中心內部的網絡安全，還帶來了諸多業務和功能方