深信服day4：微隔离（MSG）

ps：解决的是东西向流量，服务器到服务器流量，东西零信任安排。

一、微隔离的概念及论述

1、云数据中心的“南北”与“东西”

1）南北向流量:

指通过网关进出数据中心的流量，一般来说防火墙部署在数据中心的出口处，来做南北向流量的安全防护。

2）东西向流量:

指由数据中心内部服务器彼此相互访问所造成的内部流量，据统计，当代数据中心75%以上的流量为东西向流量。

2、东西向的常见风险——数据泄露

近年来数据泄漏事件不断升级，攻击者从以破坏为主逐渐转向有明确经济目的的高级可持续攻击，通过对攻击事件的研究，都存在相似的特征

3、东西向的常见风险——病毒传播  

勒索病毒、挖矿病毒等恶意软件利用东西向大二层网络的特性，在内部进行传播，宿主机计算资源耗尽网络瘫痪。

4、东西向的常见风险--“内鬼”

尽管很多数据泄露来自于外部黑客攻击，但所造成的数据被盗或遗失，仅占13%;相比之下，内部恶意泄露、员工疏忽无意泄露等造成的却占19亿被盗数据中的86%。参考金雅拓(Gemalto)发布的《2017Poor International Security Practices Take a Toll》

5、云时代下的网络隔离技术——微隔离

1）云时代网络安全急需一种新的安全模型解决东西向流量安全问题，云时代下的网络隔离技术——微隔离。

2）微隔离(又称软件定义隔离、微分段)最早由Gartner在其软件定义的数据中心(SDDC)的相关技术体系中提出。

3）微隔离是一种网络安全技术，它使安全架构师能够在逻辑上将数据中心划分为不同的安全段，一直到各个工作负载级别，然后为每个独特的段定义安全控制和所提供的服务。多采用软件方式，而不是安装多个物理防火墙，微隔离可以在数据中心深处部署灵活的安全策略。

6、微隔离助力云计算走入零信任时代

创建微隔离是零信任解决方案的关键功能。一些供应商关注用户或身份作为细分点;一些供应商则在网络层推动细分;少数供应商在设备层面提供微细分。好的方面是，所有这些方法在实现零信任上都是有效和有用的。不好的是，由于许多不同的方法，使隔离有一些差异。每一种方法都有特定的优点来实现零信任，并且可以对不同规模的不同组织进行最佳的矢量化。最重要的是，现在没有理由不为任何公司或基础设施启用微细分。你能否做这件事已不再是问题，现在的问题是你如何做。

7、微隔离的价值总结

1）面向业务而不是面向物理网络建立信任边界，有助于业务人员定义。

基于业务设计策略，基于业务管理策略，提升策略的稳定性，安全设计与网络设计分离，网络变化不影响策略执行。

2）信任边界随业务弹性伸缩，自动化适应业务变化而不是人工配置。

海量的节点，频繁的变化，都不适宜通过人工来做网络安全配置，否则必将大大降低云的敏捷性，提高了策略错误配置的可能性。自动化的难点在于如何根据网络变化自动做出正确的决策。由于变化是不可预知的，所以没办法通过预定义的静态脚本来做，只能是一个自适应的策略计算引擎来做。

3）信任策略的管理必须是集中管理，方便人机界面操作。

网络策略的设计、维护与策略的实现执行相分离，不必在每个控制点上分别编写策略。

二、微隔离的技术路线

1、云自身控制

利用自身虚拟化架构的内在技术来完成隔离，在虚拟化平台提供者中比较常见。往往在虚拟化平台、laaS、hypervisor或基础设施中提供。例如华为云，阿里云，Vmware NSX，AWS等。

最基本的功能非常类似于配置单个主机，更高级的功能往往提供了复杂分组和名称的简单抽象。

1）优势：不需要额外的部署，与云平台整合更完善隔离能力和基础设施是紧密耦合同一个供应商支持自动化编排

2）劣势：只支持自身虚拟化平台，不支持混合云更适于隔离，而不是访问控制东西向的管理能力有限

2、第三方防火墙

此技术路线主要基于第三方防火墙供应商提供的虚拟防火墙(与虚拟基础设施供应商提供的防火墙不同)。与常见的南北向防火墙一样，虚拟防火墙具有良好的安全性，因为它们具有经过专业安全厂商的设计，并且提供了业界最先进的安全技术。

1）优势：有丰富的安全能力，例如IPS、AV等与防火墙的配置逻辑一致普遍支持自动化编排丰富的报告

2）劣势：需要与虚拟化平台对接费用较高性能损耗

3、代理模式

大多数Overlay模式，使用某种形式的代理或软件，这些代理或软件必须部署在每个主机(虚拟机)中，而不是像防火墙那样在外部控制通信。在分区以进行分割的过程中，大多数其他模型关注于在主机周围形成虚拟墙的类似网络的抽象，而Overlay模型通常以一种更动态的方式控制启用代理的主机之间的通信。中央控制器用于维护策略配置并与代理通信。

1）优势：与底层架构无关，支持混合云主机迁移时安全策略能随之迁移支持自动化编排

2）劣势：需要安装客户端功能主要以访问控制为主厂商较新

4、混合模式

微隔离的混合模型一般是通过不同其它模式进行组合使用，例如使用本地控件和第三方控件进行组合。使用第三方控件进行南北通信(例如，在web服务器和应用程序服务器之间)，使用本地控件进行东西连接(例如，数据服务器到数据服务器)。

1）优势：可以基于已有的工作继续发展·在不同位置使用不同模式的优势

2）劣势：通常无法统一管理(需要管理多种工具)·云厂商往往对第三方产品的支持度不高

三、微隔离的趋势

微隔离相比传统网络隔离技术的优势主要是在策略管理上是面向业务而不是面向网络，通过对业务的分类抽象来定义隔离策略;策略执行自动适应业务负载的状态变化而不是大量人工配置;策略由随业务分散部署管理变为软件定义后集中管理。

1、策略模型:面向业务而不是面向网络

1）从基于网络的安全管理走向基于业务用业务语言定义安全，是安全策略更简化便于理解。

2）基于业务进行策略设计与管理安全设计与网络设计解耦，网络变化不影响策略执行，提升策略的稳定性。

2、策略执行:自动化适应业务变化而不是人工配置

1）数据中心海量节点频繁变化，应采用自动化而非人工方式配置策略，否则必将大大降低云的敏捷性及策略准确性。

2）云内变化不可预知，无法通过预定义配置满足云的敏捷性，只能通过自适应策略引擎自动适应云环境的改变。

3、策略管理:从分散决策走向软件定义

1）网络策略的设计与实现相解耦

2）统一的策略管理中心、统一的策略计算中心

3）分布式的策略执行点

4）自动化安全编排、与CMDB、安全事件管理系统及漏洞管理平台等系统对接，让微隔离具备更多想象空间。

四、微隔离的优势

1、减少攻击面：微隔离技术能够有效减少网络中的攻击面，因为它将网络分割成多个小区域，攻击者即使突破一个区域，也无法轻易访问其他区域。

2、限制横向移动：在遭受攻击时，微隔离可以限制攻击者在网络中的横向移动，从而减少网络攻击的扩散范围和潜在损害。

3、提高安全策略的细粒度：微隔离允许管理员对网络中的每个微小网段实施特定的安全策略，从而提供更加精细化的安全控制。

4、增强内部网络安全：传统边界防御难以应对内部威胁，而微隔离技术能够有效防御内部横向攻击，增强内部网络的安全性。    

5、适应多云和混合云环境：微隔离技术适用于多云和混合云环境，能够在不同云服务之间提供一致的安全策略。    

6、快速响应和隔离：在检测到安全威胁时，微隔离可以迅速隔离受感染的系统或网段，防止威胁进一步扩散。

7、简化安全运维：微隔离技术通过自动化策略配置和监控，简化了安全运维流程，降低了运维成本。

8、提高业务连续性：由于微隔离能够有效隔离攻击，因此即使在遭受攻击的情况下，也能保证关键业务的连续性。

9、支持零信任模型：微隔离是零信任安全模型的核心组成部分，有助于实现“永不信任，总是验证”的原则。  

10、降低配置错误的风险：微隔离技术减少了依赖复杂配置的传统安全设备，从而降低了配置错误导致的安全风险。

五、微隔离的实施过程——五步法

定义资产->梳理业务模型->实施保护->细化安全策略->持续监控

1、定义资产和梳理业务模型步骤解决的是零信任的基本问题，流量是什么，从哪里来，到哪里去，这两步通常被叫做可视化，它们不仅能够为后面微隔离实施保护步骤的策略制定提供依据，更重要的，还能够坚定客户实施微隔离项目的决心;

2、实施保护和细化安全策略步骤解决的是控制什么，怎么控制的问题，精细的控制能力是微隔离项目成功的关键;

3、最后的持续监控步骤解决的是闭环问题，任何项目都需要持续优化，持续改进。