前 言
作为国内微隔离市场的主要开拓者,我们经常被问一个问题,那就是我们的系统上都装了防火墙,为什么还需要微隔离呢?我们通过自动化脚本配置主机防火墙策略不是也可以做到点到点白名单控制么?
首先,我们必须承认这个看法本身还是有一定的道理的,在比较小比较静态的网络中(小于20台服务器)也基本是可以工作的。但是如果我们讨论的是一个定义为“云”或者“软件定义的数据中心”的中等规模以上的计算系统,那么我们就有一些东西要和您分享一下了。
一
软件定义的隔离
“微隔离”这个词是一个比较商业化的市场用语,而这个技术事实上还有一个更加学术一点的名字——软件定义的隔离(Software Defined Segementation)。事实上这个名字才更加本质的说出了这个技术的内涵。就像软件定义的网络(SDN)一样,软件定义的隔离的特点就是隔离点(enforcement point)与策略控制(policy)相分离,从而让隔离更加灵活,更加智能,进而有可能对由海量工作负载构成的复杂而多变的虚拟化网络进行隔离管理。
在过去,我们主要通过防火墙来做隔离这个事情,在那个时候,策略的管理和隔离的动作都是发生在防火墙设备上的。就算是主机防火墙也是如此,它的策略也是配置在主机上的。这些策略一般是在防火墙上线部署的时候配置上去的,然后在整个防火墙的生命周期内基本不做调整。然而,进入到云计算时代之后,如此多分散的独立工作的控制点变得非常难以维护和过于的僵化。进而导致了云的使用者只能在安全与业务之间做一个二选一的选择。要安全&#