网安内家拳——东西向网络安全是门高级功夫

蔷薇灵动

于 2024-09-03 17:46:37 发布

阅读量1k

点赞数 11

分类专栏：蔷薇内经文章标签：网络安全云安全

本文链接：https://blog.csdn.net/weixin_45144127/article/details/141867873

版权

蔷薇内经专栏收录该内容

2 篇文章 0 订阅

订阅专栏

网安内家拳的兴起

网络安全一直以来有广义和狭义之分。广义的网络安全就是“网络安全与信息化领导小组”里边的那个“网络安全”，它几乎包括了赛博空间中的所有安全议题。而从狭义来说，网络安全就是指网络流量的安全。我们可以根据网络流量的来源将其分为两类：一类是来自本地网络外部的流量，称为南北向流量；另一类是来自本地网络内部的流量，称为东西向流量。在过去的20年里，网络安全技术主要关注南北向流量的安全问题。然而，近年来，东西向流量的安全问题逐渐成为新的关注热点。

内网安全的重要性日益增加，其中一个主要原因是“内网”已难以被视为绝对意义上的内网。在过去，由于网络与外界的交互相对有限，南北向流量较小且易于监控，只要守住“网关”，我们就有信心打造一个安全的“内网”。然而，这一前提在今天显然不再成立。南北向流量的规模和复杂性不断增加，且越来越多的流量经过加密，使得监控愈加困难。同时，网络的开放性不断增强，边界日益模糊。过去的网络如同古代的长安城，有城墙（网络边界）和城门（网关），所有人都从有限的几个入口进出。城内分为若干坊（分区），坊间实行严格的访问控制。而如今，远程办公、移动办公和混合云架构使网络变得更加灵活和开放。我们的网络更像是现代化的大城市，边界难以界定，人们可以从无数条路径进出。城市内部也更加扁平，人们可以自由选择居住和活动的地点。这样的城市显然更具自由和活力，但管理难度也随之增加。

守住网络边界（如果还有的话）越来越难，内网成为备受关注的新战场。然而，当人们开始构建东西向流量的访问控制体系时，发现东西向流量与南北向流量是截然不同的管理对象。南北向流量意图明确，因而管理相对简单；而东西向流量意图不明，充斥着私有协议和随意的网络配置，管理难度要大得多。此外，南北向流量如同一条线，易于管理，而东西向流量则如同一张网，将管理一条线的方法应用于一张网显得格外捉襟见肘。类似的问题还有很多，最终的结论是，简单地将南北向安全技术应用于东西向流量管理是行不通的，网络安全需要新的进化。

事实上，对东西向流量安全问题的探索由来已久，相关产品和技术层出不穷，其中最具代表性的是“微隔离”产品。它是首个专门为解决东西向网络问题而设计的访问控制平台，其技术基础和运营方式与传统边界防火墙截然不同。作为一种对抗性的技术，网络安全与传统武术有许多相似之处。如果说，管理南北向流量的边界防火墙是网络安全中的“外家拳”，那么，专注于东西向流量的微隔离则堪称是网络安全中的“内家拳”。微隔离在网络安全领域中作为“内家拳”的江湖地位，绝不仅仅是信息安全江湖中一个新兴的武术流派而已。实际上，它代表了一种全新的技术理念和攻防哲学，它的出现标志着一个全新时代的开始。

所谓内家拳

微隔离技术被称为“内家拳”，包含两个层次的含义。首先，微隔离的核心能力在于对东西向流量的访问控制。它主要管理内部流量，旨在抵御内部威胁，研究内部业务关系，并保护内部网络资产。可以说微隔离是网络安全领域中“内家拳”的核心拳种，相当于太极拳在内家拳体系中的地位。然而，这只是对微隔离表层的理解。真正让微隔离堪称“内家拳”的原因在于，其修炼体系和攻防哲学相较传统的“外家功夫”而言实现了革命性的突破。

内力

微隔离的一个首要特点就是它的控制点遍布网络中的每一台服务器，这使得微隔离的整体控制能力变得非常强大。

这种强大，有时候表现为极高的攻击成本。攻击者突破边界后发现还有无数条防线、无数个堡垒需要攻击，每走一步都要付出高昂的代价。不仅仅成本高，而且非常容易被发现，想要在密集防御体系中保持不被察觉几乎不可能。攻防本身就是资源的对抗。在过去，我们只能动用一条边界和攻击者打，现在我能动用整个网络的力量和攻击者对抗，当然就厉害多了。就好像内家拳看起来慢悠悠的，但是它的发力能够调动全身的力量，所以可以很容易将对手击飞出去，这就是传说中的内力。

微隔离的强大，有的时候还表现为非常的精微。与大开大合的外家拳不同，内家拳的动作非常小，但是非常敏感，发力又快又精准。微隔离遍布全网的高密度控制点，使得它一方面对于网络中的风吹草动有着极其敏锐的感知力，另一方面，又使得它在处理问题的时候可以做到精细化微创处理。往往是问题已经解决了，网络该怎么运行还怎么运行，别说业务不受影响，就连被处理的工作负载都还能在线工作，微隔离只是阻断了它与特定业务的特定资产的特定端口的通信而已。内家拳练到高深的时候，能做到“一羽不能加，蝇虫不能落”，用这个境界来形容微隔离也是完全恰当的。

合一

微隔离的另一个核心特征，就是它是一种面向身份的访问控制平台。所谓面向身份就是说，微隔离平台要为每一个接入微隔离网络的资产颁发身份证书，每一个资产接入网络时，微隔离都会通过密码学的方法对这个资产的证书进行校验，只有身份得到确认了的资产才能接入网络并进行网络通信。

这个做法与过去的网络管理是完全不一样的。过去的网络管理实践中，事实上存在一种“默认信任”假设。防火墙上面有两个端口，连接外网的叫“不信任”（untrust），连接内网的就叫“信任”（trust）。内部网络中的资源默认就是可信的，除非我们观察到了什么异常的行为。而微隔离网络中是没有这种“默认信任“的，微隔离默认就是不信任任何网络主体，除非这个实体能够证明了自己的身份，微隔离网络因此也可以被认为是一种可信身份网络。基础假设的不同，使得微隔离网络相较于传统网络要安全的多。

内家拳讲究身心相合，我们平常貌似动作很快，但实际上靠的是无意识的条件反射，脚下走着路，心里想着吃什么，身心都是分离的。而练内家拳的人，要求哪怕再微小的动作也必须按照意识的指挥去做，每一块小肌肉，每一条经络都必须得到关照，每一个动作都在明明白白的觉知中完成，绝不允许一丝一毫的乱动。微隔离所要求的对每一个工作负载乃至每一个网络行为的精准识别，正是内家拳的精髓所在。

内观

微隔离网络是根据网络的最小权限业务白名单构建的，只有业务必需的网络访问才能够发生，不必要的访问不能发生，不但不能发生，一旦出现非必要的网络访问还会引起告警。相较于传统的黑名单的做法，按照业务白名单去做访问控制，是显而意见更安全的做法。这个方法论的提出其实也不是一天两天了，那为什么微隔离能做到而别人做不到呢？关键的技术突破就在于微隔离的业务自学习能力。

所谓业务自学习，就是对网络访问关系进行全量收集，然后通过一个较长时间的统计分析，计算出业务所必须的最小权限访问控制策略。听起来似乎也没什么神奇的，但其实这里面藏着两个核心技术，就是我们前面提到的“端点级”数据采集和面向“身份”的数据分析。没有端点级的采集能力，你就看不到全部的访问，自然就无法对网络进行分析和管理。而如果没有“身份”信息，即使收集到了网络数据也是无法进行有效分析的，因为网络访问的合理性源于业务需求，而业务需求是面向资产的业务角色进行描述的，没有资产的身份信息以及与之关联的角色信息，只有一个简单的IP信息的话，是无法对采集到的网络数据进行分析的，在过去，人们更关注的是采集，但当我们面对纷繁复杂的内部网络时，身份与角色信息就变得非常重要了。

内家拳讲究内观，内观是要观什么呢？观经络气脉，观血气的运行。内家高手的眼里能看到人体内部血气的运行路线，于是他的动作和发力就会按照这个路线来走，所以他的动作看起来非常的自然，却又合乎章法，没有一丝一毫的错乱。微隔离的业务自学习能力，就相当于内家拳高手的“内观”能力。网络的业务访问关系，就相当于人体内的经络与气脉，你了解了这个，网络管理就有了章法了。

不争

传统的网络安全技术研究的是恶意特征（恶意代码特征，恶意行为特征），所有的努力都聚焦于如何识别“恶意”上。这种方法就好像过去张贴在城门边的“画影图形”，不能说没用，但是问题也比较明显。首先就是容易被绕过，比如说“络腮胡子”、“脸上有疤”这些特征都很容易被修改。另外就是，防御者永远是落后的一方，永远是先有攻击，然后安全厂商再尝试捕捉攻击，提炼特征，等你提炼好了，攻击者摇身一变，我们又不认识它了。谁都能看出来这是一条没有止境的不归路，防御者在理论上就不可能取得对抗的胜利。

微隔离的对抗逻辑则完全不同，它要自己定义一套新的规则。我们前面说了，微隔离访问控制的依据是最小权限白名单，或者说是东西向网络访问基线。这个基线也可以被理解为是一个网络的东西向网络行为特征。如果说基于恶意特征的对抗，防守者无论如何赢不了攻击者的话，那么基于网络行为特征的对抗，则让防守者成为了优势的一方。孙子兵法说：“致敌而不致于敌”，意思就是说，不要在敌人预设的战场与之作战，这样是无法取得胜利的。要取胜，就要在我们设定的战场与之作战。微隔离把对抗的战场从威胁的恶意特征转变为自己的网络行为特征，从而一举转变了攻防对抗的局势，将对抗的主动权拿回到了自己的手上。

内家拳的特点就是“不争”，内家拳高手自始自终只是在做自己，他的动作看似缓慢，但是合乎天道，你要是贸然进入到他的行拳线路里，你自己都不知道怎么回事就飞出去了，甚至说连那个打拳的人也不知道怎么回事，因为他的眼里根本就没有你，他的眼里只有道！拳谚上说“练时无人似有人，打时有人似无人”，说的就是这种境界。微隔离网络的建立显然要比传统的松散管理要投入更大的精力，微隔离网络在接入的时候采取“零信任”原则，这都是练时无人似有人的表现，而真正有网络入侵的时候，微隔离似乎却又不需要做什么事情，它只是按照业务本身的需求“做自己”而已，它在做自己的时候，就把那些入侵者给发现了，给处理了，这就是所谓的打时有人似无人。最近正在进行大规模网络攻防演练，我们的用户普遍也不需要做什么额外的事情，而他们的网络也和过去一样静悄悄的，岁月静好。

通过微隔离的几个典型技术特征，相信大家不难发现，微隔离与传统网络访问控制技术截然不同，它面向身份的管理基础，端点级的访问控制能力，对网络行为的深刻洞察，以及以白名单为基础的网络结构共同打造出了一种前所未见的技术平台。底层能力的跃迁，赋予了微隔离种种过去难以想象的强大能力，在这些强大能力的加持下，东西向网络这个曾经的网络安全管理禁区终于缓缓的打开了它神秘的大门。

蔷薇内经

蔷薇灵动跟微隔离的关系，就和杨露禅和太极拳的关系差不多。太极拳虽然不是杨露禅开创的，但确实是杨露禅带到北京并发扬光大的。我们今天所熟悉的基于主机防火墙的微隔离技术发源自美国，由蔷薇灵动于2017年在北京发布了中国市场上第一个同类型产品，从此开始了微隔离在中国的推广与实践。杨露禅到北京后在王府任职武术教头，也算是从高端市场开始做，期间败尽天下英雄，人称杨无敌，太极拳也成为了京城显贵热衷的高端拳种。蔷薇灵动的微隔离之路也是从北京的顶级行业巨头开始服务，多年耕耘，基本上完成了各行各业头部客户的标杆建立，微隔离也成为大型行业客户的必备基础设施。

内网访问控制要做好，必须通过微隔离技术，而要把微隔离用好，需要用户建立起一套关于东西向安全的全新认知，包括基本的概念，管理的逻辑，可利用的技术选择，必须解决的关键问题等等。这些认知已经成为一套完整的知识体系，而作为这个体系的创造者，蔷薇灵动很希望能够把它分享给全行业。我们把和微隔离有关的各种知识整理为十几篇文章，本篇就是这个系列的第一篇，我们把这个系列称之为《蔷薇内经》。我们主要讨论用户内部东西向网络的访问控制问题，所以称之为“内”。而“经”者“径”也，有道路、途径的意思。我们希望通过我们的系列文章能够让广大用户找到自己的内网安全解决之道。