微隔離是如何顛覆防火牆的?

數影星球 發佈 2022-08-19T12:46:04.175574+00:00

隨著雲計算、虛擬化技術的快速發展,越來越多企業將數據與業務遷移到雲計算環境。包含有敏感數據和業務的雲計算工作負載,在雲環境下網絡邊界變得模糊。面對雲環境下的安全防護需求,傳統防火牆、WAF、IPS 等端點安全和網絡安全手段顯得力不從心。

隨著雲計算、虛擬化技術的快速發展,越來越多企業將數據與業務遷移到雲計算環境。包含有敏感數據和業務的雲計算工作負載,在雲環境下網絡邊界變得模糊。面對雲環境下的安全防護需求,傳統防火牆、WAF、IPS 等端點安全和網絡安全手段顯得力不從心。



IP位址不再具備資源的標識信息價值,而是作為一個通信用的臨時性變量而存在。那麼,以IP位址為基本元語的防火牆失去了最核心的功能,以邏輯標識為基本元語的微隔離則開始流行。微隔離要解決的是數據中心內部,任意兩個點之間的業務關係與訪問控制問題。


因此,在雲計算發展的大背景下,微隔離正在顛覆防火牆。那麼,微隔離是如何顛覆防火牆的呢?



在網絡應用的初期,網絡存在兩個很明顯的問題:一是不安全,二是網絡擁擠。而在這時候,防火牆出現了。防火牆把網絡分成了不同的網段(segment),從而把特定的流量限制在特定網段上,這讓網絡比過去安全和高效得多。就靠這個殺手級應用,防火牆曾經一度占據全球網安市場的半壁江山。


根據百度百科的釋義,防火牆(英語:Firewall)技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備,幫助計算機網絡於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。


防火牆技術的功能主要在於及時發現並處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網絡安全當中的各項操作實施記錄與檢測,以確保計算機網絡運行的安全性,保障用戶資料與信息的完整性,為用戶提供更好、更安全的計算機網絡使用體驗。



但是,隨著雲計算時代的到來,對防火牆的應用提出巨大挑戰。雲計算網絡是在物理網絡之上構建起來的虛擬化網絡,真正負責業務處理的網絡是這個虛擬化網絡,而底層的物理網絡上跑的都是封裝之後的無意義的數據報文。


雲內的虛擬化網絡不但是虛擬的,而且還非常動態,這是它與傳統網絡最大的不同,這個網絡可以根據需要隨意的構建,靈活程度前所未有。因此,防火牆作為一種硬體產品,被雲計算阻擋在真實的業務網絡之外,而它的變種——虛擬防火牆,也因為繼承了防火牆複雜繁瑣的體系架構,很難適應靈活多變的軟體定義網絡。



正是在這樣的背景下,微隔離閃亮登場了。跟微隔離一起出現的,還有SDP(軟體定義邊界)。在雲計算的環境中可以按需部署,從而為雲計算網絡帶來了更靈活的安全性和可管理性。


與此同時,隨著數據中心網絡的愈加複雜,以及APT和勒索病毒肆虐之時,「東西向安全」成為大家關注重點。而防火牆本來是用來做大網段隔離的(MacroSegmentation),它的架構非常重,一般來說只能用來看大門和在內部分幾個大區。要利用防火牆做細粒度訪問控制,從部署難度到部署成本上都是不可接受的。這個時候,微隔離的那種極為輕量級的技術結構,細粒度到容器級,可以隨需構建隨需部署的訪問控制能力就變得彌足珍貴。



另外,隨著網絡日益靈活多變,遠程互聯、公有雲、物聯網等基礎設施的廣泛部署,IP位址已經完全失去了身份意義。如,隨著雲計算的廣泛使用,特別是隨著遠程辦公和BYOD的盛行,地址不再唯一確定。在此背景下,IP已經逐漸變得只有通信價值而基本沒有什麼安全價值了,網絡安全在這個時候又面臨著一場史無前例的顛覆性危機。而這個時候,面向ID的而不是IP的微隔離技術再次挺身而出。


在雲計算時代出現的微隔離技術,從它誕生之日起就是在軟體定義網絡(SDN)環境下工作的。微隔離從來就認為網絡地址是個不穩定參數,所以微隔離技術(真正的微隔離技術)都是面向ID的而不是IP。這個本來為應對SDN而設計的技術特徵,在零信任時代,忽然煥發出了始料未及的光彩。因而,微隔離也可以稱之為基於身份的隔離(基於身份的網絡分段)。



最後想說的是,與其說是微隔離顛覆了防火牆,還不如說是雲計算,防火牆已逐漸不再適應雲計算時代愈加複雜多變的網絡環境了。

關鍵字: