摘要:網(wǎng)絡(luò)病毒如同新冠病毒一樣在云環(huán)境中擴(kuò)散,云內(nèi)安全防護(hù)越來越引人關(guān)注,。運(yùn)用零信任的云內(nèi)微隔離技術(shù),,可以有效地使企業(yè)上云更加放心、安全,。
云內(nèi)微隔離簡介:
在介紹微隔離技術(shù)之前,,有必要先了解零信任架構(gòu),零信任是為了滿足愈發(fā)復(fù)雜的企業(yè)構(gòu)成,,從而催生出的一種專注于資源保護(hù)的網(wǎng)絡(luò)安全范例,,前提是永遠(yuǎn)不要隱式授予信任而必須持續(xù)評估信任。目前主流的零信任架構(gòu)有:使用增強(qiáng)的身份治理的零信任架構(gòu),,使用微分段的零信任架構(gòu),,使用網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和軟件定義邊界的零信任架構(gòu)。而微隔離技術(shù),,則是基于微分段的零信任架構(gòu)實(shí)現(xiàn)的重要技術(shù),。
微分段的零信任架構(gòu)是基于將單個或一組資源放在由網(wǎng)關(guān)安全組件保護(hù)的其自己的網(wǎng)段上來選擇實(shí)施零信任架構(gòu)。通過這種方法,,企業(yè)可以放置NGFW或網(wǎng)關(guān)設(shè)備以充當(dāng)PEP(策略執(zhí)行點(diǎn)),,從而保護(hù)每個資源或資源組。對于微分段的描述是基于物理設(shè)備的,,而云內(nèi)微隔離技術(shù)則是在云環(huán)境下,,對資源更靈活,更細(xì)粒度地構(gòu)建微分段架構(gòu),。
云內(nèi)微隔離,,最早由Gartner在其軟件定義的數(shù)據(jù)中心相關(guān)技術(shù)體系中提出。從廣義上講,,云內(nèi)微隔離就是一種更細(xì)粒度的網(wǎng)絡(luò)隔離技術(shù),,使用策略驅(qū)動地防火墻技術(shù)(通常是基于軟件的)或者網(wǎng)絡(luò)加密技術(shù)來隔離數(shù)據(jù)中心,公共云IaaS和容器,,在邏輯上講數(shù)據(jù)中心劃分為不同的安全段,,每個段包含混合場景中的不同工作負(fù)載、應(yīng)用和進(jìn)程,,可以為每個段定義安全控制和所提供的服務(wù),。
企業(yè)上云現(xiàn)狀(需求):
在如今云計算的飛速發(fā)展地時代,為了降低企業(yè)成本,同時對外開放多種接口,,使得企業(yè)運(yùn)營中的銷售,、供應(yīng)、管理等環(huán)節(jié)都可以與外面的平臺對接,,許多企業(yè)都選擇了上云,。
在企業(yè)上云之后,企業(yè)便可以通過網(wǎng)絡(luò)便捷地按需使用資源(包括計算資源,、存儲資源,、應(yīng)用軟件、服務(wù)及網(wǎng)絡(luò)等),,且高度擴(kuò)展,、靈活易管理的業(yè)務(wù)模式,具有大規(guī)模,、虛擬化,、高可靠及彈性配置等屬性。
尤其受新冠疫情的影響,,許多企業(yè)選擇了上云,,共享其服務(wù)及能力,有效降低企業(yè)信息化構(gòu)建成本和生產(chǎn)運(yùn)營成本,,改善企業(yè)工作效率,,提升企業(yè)管理水平,另一方面也方便了企業(yè)員工在家遠(yuǎn)程辦公,。
企業(yè)上云分為基礎(chǔ)系統(tǒng)上云,、管理上云、業(yè)務(wù)上云,,而很重要的也是很常見的則是企業(yè)的數(shù)據(jù)中心上云,,那么對于如今的云上數(shù)據(jù)中心而言,主要有南北向流量和東西向流量,,我們通常使用防火墻進(jìn)行南北向流量的安全防護(hù),,但此時一旦黑客突破了防火墻進(jìn)入了內(nèi)網(wǎng),在內(nèi)網(wǎng)中缺少有效的安全防護(hù)措施來限制東西向流量,。隨著東西向流量占比逐漸增大,,為了限制黑客在進(jìn)入內(nèi)網(wǎng)后地東西向訪問,,便可使用云內(nèi)微隔離技術(shù)進(jìn)行防護(hù),。
微隔離如何解決云安全:
想要實(shí)現(xiàn)云內(nèi)微隔離,首先需要進(jìn)行分區(qū)分隔,,而微隔離技術(shù)達(dá)到的效果是和分隔細(xì)粒度成正比的,。但分割的細(xì)粒度越細(xì),IT部門就越需要了解數(shù)據(jù)流,了解系統(tǒng),、應(yīng)用和服務(wù)之間到底是怎樣的互訪關(guān)系,。
云內(nèi)微隔離系統(tǒng)有別于傳統(tǒng)防火墻單點(diǎn)邊界上的隔離,它通常是由一個控制中心,,和多個分布式虛擬化防火墻組成的,,具有分布式和自適應(yīng)的特點(diǎn)??刂浦行氖俏⒏綦x系統(tǒng)的中心平臺,,它需要能夠通過3D拓?fù)涞匦问娇梢暬卣宫F(xiàn)系統(tǒng)內(nèi)部業(yè)務(wù)之間地互訪關(guān)系,方便運(yùn)維人員理清內(nèi)部訪問關(guān)系,,同時能夠靈活地配置分布式虛擬化防火墻,,對每一個微分段都能夠進(jìn)行自適應(yīng)地配置和遷移。
當(dāng)每一個微分段前都部署了分布式虛擬化防火墻之后,,流量不論是流入還是流出該分段,,都需要先經(jīng)過防火墻,保證了該分段地安全,。
使用微隔離所達(dá)到的結(jié)果:
在運(yùn)用云內(nèi)微隔離技術(shù)后,,不僅可以防止數(shù)據(jù)泄露,還可以在企業(yè)云內(nèi)一臺主機(jī)被攻陷后,,最大程度上地縮減黑客能夠到的主機(jī)范圍和工作負(fù)載,。同時,在云內(nèi)一臺主機(jī)被攻陷后,,可以限制黑客與其他業(yè)務(wù)區(qū)域的訪問,,或是控制其他的主機(jī)。這么做也方便了攻擊事件發(fā)生后的攻擊溯源,。