在云环境中,通常用虚拟化服务器替代物理服务器集群,承载后台服务的运行,随着容器和微服务技术的发展,传统的单体应用被分解为多个微服务,分布于虚拟化服务器中,各服务之间协作互联,支撑完整的业务逻辑。这样的架构下,以虚拟化服务器为基础的云环境,存在大量东西向流量,一旦某一台虚拟机或者容器被攻破,极易造成恶意代码横向蔓延,影响云内业务的正常运行。由于虚拟化网络不可见,传统的防火墙设备无法部署到云环境中,需要研究针对虚拟化网络的网络访问控制技术,同时,由于云环境的灵活多变,虚拟化网络随时可能发生变化,对应网络访问控制策略也需随之变动,因此虚拟化网络的访问控制技术应具有灵活、便于管理的特点。
微隔离技术应运而生,广义上讲,微隔离(也称做“微分段”)就是一种更细粒度的网络隔离技术,主要面向虚拟化的数据中心,重点用于阻止攻击在进入企业数据中心网络内部后的横向平移 (或者叫东 西向移动),是软件定义安全的一种具体实践。
微隔离使用策略驱动的防火墙技术(通常是基于软件的)或者网络加密技术 来隔离数据中心、公共云 IaaS 和容器,甚至是包含混合场景中的不同工作负载、应用和进程。
流量可视化是微隔离技术的基础,要实现东西向网络流的隔离和控制,必先实现流量可见(Visibility)。流量可见使得安全运维与管理人员可以看到内部网络信息流动 的情况,使得微隔离能够更好地设置策略并协助纠偏。
除了数据中心云化给微隔离带来的机遇,数据中心负载 的动态化、容器化以及微服务架构也都越发成为微隔离的驱 动因素。因为这些新技术、新场景都让传统的防火墙和入侵防御技术显得捉襟见肘。而数据中心架构的变革如此之大,也引发了大型的厂商纷纷进入这个领域,不见得是为了微隔离本 身,更多还是为了自身的整体布局。譬如,云和虚拟化厂商为 了自身的整体战略就不得不进入这个领域。
微隔离的实现包括两种方式:基于代理的模式,基于虚拟化中间件的模式。基于代理的模式,在虚拟机系统内部实现,通过虚拟主机防火墙具体执行策略,占用虚拟机资源;基于虚拟化中间件的模式,在宿主机系统中实现,通过虚拟化软件的引流实现虚拟机的访问控制,占用宿主机资源。
云环境中隔离面临的另一个问题是,随着微服务技术的发展,越来越多细粒度的服务部署于云环境中,大量的服务运行于云端,面对上千甚至上万太的虚拟机或者容器,点对点的网络访问控制策略配置非常耗时,如何快速完成大量的访问策略的配置,同时应对灵活多变的网络,是微隔离技术要考虑的重点,此时安全策略的自动化配置变得非常重要。
阅读更多云安全文章请关注“云计算与大数据安全”公众号。
222
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
