最近,微字辈可谓春风得意,
前有云原生微服务
以“拆解”“独立存活”独领风骚,
后有微隔离崭露头角,
成为零信任中的“明日之星“
今天,我们就 “从微见著”
详细聊聊什么是微隔离吧。
一、概念
微隔离,顾名思义就是微小的隔离
就像疫情期的个人隔离
以人为最小防疫对象,
对不同身份人群不同隔离要求
降低病毒人传人的概率
微隔离同样也起于云计算时代的“催化”
本是VMware为了自家虚拟化隔离而提出
之后连续三年被Gartner安全技术盖章认证
从此走上“C位出道“
基于身份的细粒度分割
通过隔离策略阻止病毒“左右横跳“
这也是微隔离的第一要义
让我们回到故事的最初,
安全边界的防护通常来自隔离界的“鼻祖“
防火墙
就像是一座城池门前
一丝不苟监督扫码测温的“守门侍卫“
根据防疫规则来确定准入人群
但是出于“业务需求”
有一些居民开始需要每天外出城池,
成为病毒易感染人群
如果恰好是善于伪装绕过的“无症状感染者”
“保安大叔”难免会心有余力不足
一旦进入内部,传染可谓防不胜防。
微隔离,就在这样的情况下应运而生
对于微隔离来说,
既要有戴口罩的策略执行外,
还要有策略控制中心大脑
既能快速灵活传递所有防疫隔离策略,
又要能对所有人的隔离情况“成竹在胸”
而这,也是微隔离可以从理论进入实践的关键基础。
二、微隔离的影三重分身
虽然有“技术大佬”背书,
但到底微隔离要如何落地,
着实让人头疼。
现阶段参详出来的解法有三种:
1、基于agent的微隔离
这就相当于一个装着感应器的口罩,
这个感应器可以分析通过口罩的气体数据,
从而判断口罩防护等级,
并且对于疫情的传播情况进行监测
实现“病毒流量”的可视化
优势:
- 比较高效的微隔离方式,
- agent还可提供其他安全功能如:EDR、等;
不足:
- 必须安装agent,对遗留操作系统和旧系统不友好;
2、基于虚拟化的微隔离
这种方式则是将口罩抽象成为一种
透明的防护罩
用防护罩来阻隔病毒的传播
- 防护罩转移快速且方便
- 可以使用现有安全防护产品
- 通常不适用于云环境、容器或裸机
3、基于网络的微隔离
基于网络的微隔离
可以算是最接“现有地气”的一种
用大口罩+行程码的方式
来创建分装分层式防护
- 目前最简单的解法
- 管理起来昂贵且复杂
- 大型网络实现效果不好
三、为啥是微隔离?
看到这相信很多人都会有这样一个疑问:
为啥会是微隔离,而不是中隔离或小隔离呢?
这个,就不得不说说相邻赛道上的几个技术了,
VLAN、VxLAN 和VPC
首先“出局”的就是VLAN技术
而它出局的理由是“分的太少”。
这是一种分隔成虚拟局域网的技术,
最多只能分成4096个
VxLAN可以说是VLAN的进阶版,
虽然解决了“4096”的问题,
但是同样还是不够细
最小的粒度是一个网络ZONE
而在这个ZONE中,
“病毒”的传播仍然无可避免
VPC则稍有不同,
是一种专门为云上租户创立的“安全屋”
这就相当于在人来人往的闹市中
单独开辟出的一片“世外之地”
但是一旦安全屋被攻破,
同样也会变得不安全。
四、企业可以微隔离了吗?
既然微隔离这么壕,
那么企业是不是就可以义无反顾去隔离自己啦?
嗯……这个当然也不是。
微隔离的实现还依赖于很多基础技术
如果只是单纯的给每个人带上口罩,
而没有统一的隔离政策与管理,
微隔离也会变成“微自闭”
可视化,就是首先要具备的一项buff
就如同每个人的行程卡
“看到”才能更好的隔离
隔离策略,是整个“防毒”的核心
根据每条街、每个大楼、每个人的不同角色,
来制定不同的隔离策略,
高、中和低风险区,
绿码、黄码和红码
以最少数量提供最大覆盖
微隔离,是个长期机制
云上云下的攻防从未停止,
新业务、新资产的引入
也会需要微隔离的可持续性
在下一波攻击来临前,
准备好“口罩”?
五、微隔离与零信任
最后,再说一下微隔离和零信任吧。
作为近年来最受关注的“安全理念”
零信任其实可以非常简单的解释为:
“总有刁民想害朕+人家不信“
微隔离就是在人与人之间,
实现了这种细粒度的安全验证
而这,正好是零信任所需要的。
现在
以零信任思想为基础的云安全正成为一种趋势
而这也会是未来安全的大势所趋。
重点来啦
在阿里云云防火墙中
基于零信任理念
通过微隔离内部精细化防控
构筑云上多层网络防护屏障
还可对异常流量/事件
进行精细化分析与动态防御响应
实现高效化防护与运维