安超SDN技术探讨——如何灵活巧用微分段的“三板斧“(二)

在上期的ArSDN技术探讨中，就Gartner所发表的《Three Styles of Identity-based Segmentation》，即《三种基于身份的分段方法》做了介绍。我们重点了解了“基于网络的分段”，并针对其适用场景进行了分享。同时，我们强调：企业的安全和风险管理专业人员应通盘考量数据中心网络和安全设计，有的放矢采取不同的“微分段”手段，来进行高效且精准的防护。

#FormatImgID_0#

图1：三种基于身份的分段方法：

Agent-based 基于代理，Network-based基于网络，Hypervisor-based基于虚拟化

本期，我们着重来分析“Hypervisor-based”的分段方法以及ArSDN在该方向研究的成果。

基于Hypervisor的分段方法

“很多虚拟化供应商会借助SDN模型来实现基于身份的分段（微分段）”。这些产品将网络和安全服务软件化，并按虚拟机提供服务。他们在虚拟化层嵌入网络和安全功能，使这些服务在虚拟网卡级别实现，从而极大地靠近虚拟机(靠近业务端);同时，这些产品也会在主机级别提供分布式防火墙(L4-L7)控制。“——Gartner 《Three Styles of Identity-based Segmentation》摘录

这里我们不难看出，“基于Hypervisor的分段”相较于我们上期分享的“基于网络的分段”而言，其分段的隔离域粒度更细，更下沉贴近于实际业务资源。通过隔离被攻陷的系统，很好的限制了恶意软件在网络中的传播。此外，基于微分段所生效的策略可以很好的伴随虚拟机的生命周期，为云环境下频繁的虚拟机迁移等场景提供更好的业务体验和运维效率。

ArSDN的基于Hypervisor的分段方法

在过去的几年里，通过对虚拟化用户的深入调研与访谈，我们越发的注意到：随着互联网业务、终端形态应用的广泛兴起，在云环境中，东西向流量(即横向流量)显著增长，然而很多客户现有的安全防护机制大多还停留在“边界”概念中——认为只要垒砌“城堡”，就可以抵御“入侵”。

我们认为这种固有传统的分隔意识，为攻击者开放了一片更加“肥沃”的靶场，一旦网络的分段边界被突破，攻击者可以肆无忌惮的“摧毁”和“掠夺”内部资源。因此，针对云数据中心内部东西向流量，几乎所有的客户都迫切地想要找寻一种更加精细的防护措施。

ArSDN微分段防火墙核心是采用零信任的理念，针对数据中心或私有云内部资源，划分最小可信区，从而实现每个独立的业务流量彼此的通信隔离。借助微分段防火墙，用户可以根据实际业务情况，灵活、细粒度的配置安全访问策略，减少内部资源的暴露面，进而将数据泄露风险降到最低，最大程度保护数据中心或私有云内部资源。

图2：启用微分段的虚拟幻境隔离效果

这种微分段的理念和方法正在被越来越多的用户所接受，在数月前，Gartner所发表的《Emerging Tech: Adoption Growth Insights for Microsegmentation》(新兴技术——微分段的采用增长洞察)中，提到：“what remains key is that the overall microsegmentation market saw strong growth year over year.“（关键的是：整个微分段市场同比增长强劲。）

#FormatImgID_2#

图3：微分段在各行业的采用意向与实际采用趋势

从图中可以看到，虽然用户对于微分段的采用意向很强烈，但在最受关注的政府行业里，实际部署率年度趋势却大打折扣，同样的现象也体现在金融、零售、教育、媒体和服务业。呈现出这种现象的原因，笔者认为是由于微分段的作用粒度太细，以至于市面上很多微分段产品或功能会额外带来大量的部署上线和运维管理的复杂度，这对于业务系统纷繁复杂、或是IT运维能力略有欠缺的行业客户而言无疑提出了更高的挑战。

因此，在ArSDN的产品设计之初，我们便将微分段防火墙与网络标签相结合，通过为虚拟机创建丰富维度的标签，如地理位置、部署环境、业务应用、层级、自定义等标签，从而针对标签进行安全策略的配置。在进行策略规划时，可以针对不同部门，业务，应用进行灵活的隔离，并可以支持云原生场景。对于扩容等场景，通过虚拟机标记的方式可以瞬时应用安全策略，节省大约60%的运维和运营工作，加速业务交付，简化运维管理。

ArSDN微分段防火墙为用户带来的核心价值如下：

显著降低数据泄露风险：微分段防火墙将每个业务流量隔离开来，防止攻击者利用横向移动等窃取有价值的数据;

安全策略的自动化：微分段防火墙提供了基于标签分组的精细化安全隔离，并在虚拟机迁移、恢复时，自动应用相应的隔离策略;

安全可扩展、性能有保障：相对于边界集中式防火墙，微分段防火墙采用分布式处理，可以有效降低处理负载，对流量影响可以忽略不记;

更好的应用体验：微分段防火墙的应用范围可横跨虚拟机和容器，满足在异构环境下的一致性体验，更好的支持虚拟化向云原生的平滑过渡;

减少高额的采购和维护成本投入：针对激增的东西向流量，额外采购物理防火墙来进行防护的各种成本是无法估量的。而微分段防火墙可以完全控制数据中心内部的各个工作负载，从而显著节省企业数据中心内部安全建设成本;

简化运维，缩短上线周期：通过微分段防火墙，企业业务团队无需再经历采购硬件的到货周期以及通盘的网络和安全配置评审，从而为业务快速进入市场提供更多可能性，这种敏捷性推动了快速创新和竞争优势。

多种“微分段”方法的结合

基于Hypervisor的细粒度分段方法虽然可以借助标签等手段进行部署的简化，但由于其精细化，无疑会带来一定的管理和维护成本，因此正如我们在开篇所提到的：企业应充分考虑技术架构和现有环境，避免过度细分的风险，使用适当的方法来维护各类型流量的安全，并谨慎评估其所需的成本，从而实现收益的最大化。