编者按:
最近,微字辈可谓春风得意,前有云原生微服务以“拆解”“独立存活”独领风骚,后有微隔离崭露头角成为零信任中的“明日之星”。
今天,我们就 “从微见著”详细聊聊什么是微隔离吧!
微隔离,顾名思义就是微小的隔离。就像疫情期的个人隔离,以人为最小防疫对象,对不同身份人群不同隔离要求,降低病毒人传人的概率。
微隔离同样起于云计算时代的“催化”,本是VMware为了自家虚拟化隔离而提出,之后连续三年被Gartner安全技术盖章认证,从此走上“C位出道”。
基于身份的细粒度分割,通过隔离策略阻止病毒“左右横跳“,这就是微隔离的第一要义。
让我们回到故事的最初,安全边界的防护通常来自隔离界的“鼻祖”——防火墙,就像是一座城池门前一丝不苟监督扫码测温的“守门侍卫”,根据防疫规则来确定准入人群。
但是出于“业务需求”,有一些居民开始需要每天外出城池,成为病毒易感染人群。如果恰好是善于伪装绕过的“无症状感染者”,“保安大叔”难免会心有余力不足,一旦进入内部,传染可谓防不胜防。
微隔离,就在这样的情况下应运而生。
对于微隔离来说,既要有戴口罩的策略执行外,还要有策略控制中心大脑;既能快速灵活传递所有防疫隔离策略,又要能对所有人的隔离情况“成竹在胸”。而这也是微隔离可以从理论进入实践的关键基础。
虽然有“技术大佬”背书但到底微隔离要如何落地着实让人头疼,现阶段参详出来的解法有三种:
基于agent的微隔离
这就相当于一个装着感应器的口罩,这个感应器可以分析通过口罩的气体数据从而判断口罩防护等级,并且对于疫情的传播情况进行监测实现“病毒流量”的可视化
优势
比较高效的微隔离方式;
agent还可提供其他安
全功能如:EDR等;
不足
必须安装agent,对遗留操作系统和旧系统不友好;
基于虚拟化的微隔离
这种方式则是将口罩抽象成为一种透明的防护罩,用防护罩来阻隔病毒的传播
优势
防护罩转移快速且方便
可以使用现有安全防护
产品
不足
通常不适用于云环境、容器或裸机;
基于网络的微隔离
基于网络的微隔离可以算是最接“现有地气”的一种,用大口罩+行程码的方式来创建分装分层式防护
优势
目前最简单的解法
不足
管理昂贵且复杂;
大型网络实现效果不好;
看到这相信很多人都会有这样一个疑问为啥会是微隔离,而不是中隔离或小隔离呢?这个,就不得不说说相邻赛道上的几个技术了VLAN、VxLAN 和VPC。
首先“出局”的就是VLAN技术,而它出局的理由是“分的太少”,这是一种分隔成虚拟局域网的技术,最多只能分成4096个。
VxLAN 可以说是VLAN的进阶版,虽然解决了“4096”的问题,但是同样还是不够细,最小的粒度是一个网络ZONE,而在这个ZONE中“病毒”的传播仍然无可避免。
VPC则稍有不同是一种专门为云上租户创立的“安全屋”,这就相当于在人来人往的闹市中单独开辟出的一片“世外之地”,但是一旦安全屋被攻破同样也会变得不安全。
既然微隔离这么壕,那么企业是不是就可以义无反顾去隔离自己?
嗯……这个当然也不是。微隔离的实现还依赖于很多基础技术,如果只是单纯的给每个人带上口罩而没有统一的隔离政策与管理微隔离也会变成“微自闭”。
可视化,就是首先要具备的一项buff,就如同每个人的行程卡“看到”才能更好的隔离。
隔离策略,是整个“防毒”的核心根据每条街、每个大楼、每个人的不同角色来制定不同的隔离策略高、中和低风险区绿码、黄码和红码以最少数量提供最大覆盖。
微隔离,是个长期机制云上云下的攻防从未停止。新业务、新资产的引入也会需要微隔离的可持续性在下一波攻击来临前准备好“口罩”?
最后,再说一下微隔离和零信任。作为近年来最受关注的“安全理念”,零信任其实可以非常简单的解释为“总有刁民想害朕+人家不信“。
微隔离就是在人与人之间实现了这种细粒度的安全验证。而这,正好是零信任所需要的。现在以零信任思想为基础的云安全正成为一种趋势,而这也会是未来安全的大势所趋。
来源:阿里云安全
编辑:阿里云研究院内容运营主管 赵子千
往期回顾
