云内微隔离帮助企业安全上云
2021-11-05
来源:网络安全应急技术国家工程实验室
摘要:网络病毒如同新冠病毒一样在云环境中扩散,云内安全防护越来越引人关注。运用零信任的云内微隔离技术,可以有效地使企业上云更加放心、安全。
云内微隔离简介:
在介绍微隔离技术之前,有必要先了解零信任架构,零信任是为了满足愈发复杂的企业构成,从而催生出的一种专注于资源保护的网络安全范例,前提是永远不要隐式授予信任而必须持续评估信任。目前主流的零信任架构有:使用增强的身份治理的零信任架构,使用微分段的零信任架构,使用网络基础架构和软件定义边界的零信任架构。而微隔离技术,则是基于微分段的零信任架构实现的重要技术。
微分段的零信任架构是基于将单个或一组资源放在由网关安全组件保护的其自己的网段上来选择实施零信任架构。通过这种方法,企业可以放置NGFW或网关设备以充当PEP(策略执行点),从而保护每个资源或资源组。对于微分段的描述是基于物理设备的,而云内微隔离技术则是在云环境下,对资源更灵活,更细粒度地构建微分段架构。
云内微隔离,最早由Gartner在其软件定义的数据中心相关技术体系中提出。从广义上讲,云内微隔离就是一种更细粒度的网络隔离技术,使用策略驱动地防火墙技术(通常是基于软件的)或者网络加密技术来隔离数据中心,公共云IaaS和容器,在逻辑上讲数据中心划分为不同的安全段,每个段包含混合场景中的不同工作负载、应用和进程,可以为每个段定义安全控制和所提供的服务。
企业上云现状(需求):
在如今云计算的飞速发展地时代,为了降低企业成本,同时对外开放多种接口,使得企业运营中的销售、供应、管理等环节都可以与外面的平台对接,许多企业都选择了上云。
在企业上云之后,企业便可以通过网络便捷地按需使用资源(包括计算资源、存储资源、应用软件、服务及网络等),且高度扩展、灵活易管理的业务模式,具有大规模、虚拟化、高可靠及弹性配置等属性。
尤其受新冠疫情的影响,许多企业选择了上云,共享其服务及能力,有效降低企业信息化构建成本和生产运营成本,改善企业工作效率,提升企业管理水平,另一方面也方便了企业员工在家远程办公。
企业上云分为基础系统上云、管理上云、业务上云,而很重要的也是很常见的则是企业的数据中心上云,那么对于如今的云上数据中心而言,主要有南北向流量和东西向流量,我们通常使用防火墙进行南北向流量的安全防护,但此时一旦黑客突破了防火墙进入了内网,在内网中缺少有效的安全防护措施来限制东西向流量。随着东西向流量占比逐渐增大,为了限制黑客在进入内网后地东西向访问,便可使用云内微隔离技术进行防护。
微隔离如何解决云安全:
想要实现云内微隔离,首先需要进行分区分隔,而微隔离技术达到的效果是和分隔细粒度成正比的。但分割的细粒度越细,IT部门就越需要了解数据流,了解系统、应用和服务之间到底是怎样的互访关系。
云内微隔离系统有别于传统防火墙单点边界上的隔离,它通常是由一个控制中心,和多个分布式虚拟化防火墙组成的,具有分布式和自适应的特点。控制中心是微隔离系统的中心平台,它需要能够通过3D拓扑地形式可视化地展现系统内部业务之间地互访关系,方便运维人员理清内部访问关系,同时能够灵活地配置分布式虚拟化防火墙,对每一个微分段都能够进行自适应地配置和迁移。
当每一个微分段前都部署了分布式虚拟化防火墙之后,流量不论是流入还是流出该分段,都需要先经过防火墙,保证了该分段地安全。
使用微隔离所达到的结果:
在运用云内微隔离技术后,不仅可以防止数据泄露,还可以在企业云内一台主机被攻陷后,最大程度上地缩减黑客能够到的主机范围和工作负载。同时,在云内一台主机被攻陷后,可以限制黑客与其他业务区域的访问,或是控制其他的主机。这么做也方便了攻击事件发生后的攻击溯源。