站長資訊網
文/Kent
編者按:從軟件定義的隔離,到微隔離,再到基于身份的隔離,微隔離的三次更名,事實上代表了最近十年網絡安全發展的歷史,代表了我們對微隔離這項技術的三次認知深入,更代表了技術進步的方向。
微隔離作為網絡安全行業的當紅技術,早已被業界所熟知。但是大家可能不知道,早在兩年前,國際知名智庫Gartner就把微隔離(Microsegmentation)的名字給改了。Gartner為什么這么做?微隔離的新名字又叫什么?今天咱們就來念叨念叨。
說起改名這事,其實這已經是微隔離的第三個名字了!在最一開始(還沒有防火墻的年代),網絡在邏輯上就是一條線,網絡上的主機彼此自由通信。
這樣的網絡是沒有內部結構的,他看起來高效,但是有兩個大的問題。第一是不安全,好人壞人都在一起,正常流量和惡意代碼相互混淆。第二個問題是擁擠,各種流量都在一起,讓網絡變得很低效,無法有效管理和運維。這個時候,網安領域上一代扛把子——防火墻,閃亮登場。防火墻這個產品一直以來都是網安、數通跨界大紅人。他把網絡分成了不同的網段(segment),從而把特定的流量限制在特定網段上,這讓網絡比過去安全和高效得多。就靠這么個簡單功能,防火墻搶下了全球網安市場的半壁江山。
首次提名:軟件定義的隔離
故事就這樣波瀾不驚的發展了二十多年,一直到云計算時代的到來。云計算是對防火墻的致命打擊。云計算網絡是在物理網絡之上構建起來的虛擬化網絡,真正負責業務處理的網絡是這個虛擬化網絡,而底層的物理網絡上跑的都是封裝之后的無意義的數據報文。云內的虛擬化網絡不但是虛擬的,而且還非常動態,這是他與傳統網絡最大的不同,這個網絡可以根據需要隨意的構建,靈活程度前所未有。防火墻作為一種硬件產品,被云計算阻擋在真實的業務網絡之外,而他的變種——虛擬防火墻,也因為繼承了防火墻僵硬笨拙的體系架構,很難適應靈活多變的軟件定義網絡。這位老同志只能站在大地上看著天上的白云漠然嘆息。此刻網絡安全迎來了史上第一次大危機。
正是在這樣的背景下,微隔離這個技術在2015年第一次被Gartner正式提出來,只不過這個時候,他還不叫微隔離,而是叫軟件定義的隔離(軟件定義的分段,software-defined segmentation),跟微隔離一起閃亮登場的,還有之后的日子里微隔離形影不離的小伙伴SDP(軟件定義邊界)。此時此刻,微隔離的價值正如其名,他是軟件定義的,在云計算的環境中可以按需部署。從而為云計算網絡帶來了安全性和可管理性,這也是微隔離第一次拯救網絡安全。
二次更名:微隔離(微分段)
但沒多久,Gartner就把software-definedsegmentation 更名為Microsegmentation,也就是我們現在所熟知的微隔離(微分段)。這次更名,事實上也反映出Gartner對微隔離的定位發生了微妙的調整。微服務時代的到來讓本來就極為復雜的數據中心網絡變得更加復雜,大量的東西向訪問縱橫交錯。你還不能放任不管,APT和勒索病毒此時也正是肆虐之時,人們對“東西向安全前所未有的關注。而防火墻本來是用來做大網段隔離的(MacroSegmentation),它的架構非常重,一般來說只能用來看大門和在內部分幾個大區。要利用防火墻做細粒度訪問控制,從部署難度到部署成本上都是不可接受的。這個時候,微隔離的那種極為輕量級的技術結構,細粒度到容器級,可以隨需構建隨需部署的訪問控制能力就變得彌足珍貴。所以這個時候,微隔離的軟件定義能力已經不是最核心的價值了,要的就是他的微細控制水平。所以,微隔離就成為了這項技術真正被業界所熟知的名字,并且一直沿用至今。薔薇靈動也就是在這個時候開始微隔離的技術研究工作,從那時開始中國有了微隔離市場。
三次改名:基于身份的隔離
那么,微隔離2020年的更名又是個什么背景呢?要說明白這件事,我們就得談談零信任了。網絡安全一直以來是兩個流派,管控派和攻防派。攻防派的目標就是認出壞人,抓住壞人。但是壞人實在太狡猾,你剛研究明白他長什么樣,他馬上就變個樣子,在安全人員了解這個新變種之前他又可以干好多壞事,而研究一種惡意代碼特征所需要的時間和資源相較創造一種惡意代碼要高出無數個數量級。攻防之間的這種不對稱,事實上讓防御者一直處于一種非常被動的地位。事情到了今天,網安界痛定思痛,徹底倒向了管控派(至少主流意見是這樣)。我不管壞人長什么樣,我只管好人長什么樣,我只研究好人該干什么,然后只要不是我充分認知的好人和好的行為我就統統干掉。那么問題來了,我要如何來表達“好人”這個概念呢。在網絡安全領域,一直以來我們用的都是五元組,也就是源和目的的IP地址和端口以及傳輸協議。但是IP地址本質上只是個通信參數,他無法描述業務屬性和身份信息。在過去,網絡相對靜態的時候,我們還可以用IP近似替代身份(而這恰恰是很多網絡攻擊所利用的點),但是隨著網絡日益靈活多變,遠程互聯,公有云,物聯網等基礎設施的廣泛部署,IP地址已經完全失去了身份意義。我們必須把隔離和分段這種網絡安全最核心的動作構建在一種新的參數之上,而這就是ID。所以,微隔離的新名字就是ID-BASED SEGMENTATION,可以稱之為基于身份的隔離(基于身份的網絡分段)。
所謂基于身份的分段,顧名思義,就是說過去的網絡分段是面向IP的,現在的網絡分段是ID的。看起來是一個字母的區別,但是背后代表的技術內涵有著本質的不同。我們能進行基于IP地址的分段,事實上有個默認假設,那就是我們所要進行訪問控制的資源一定有著網絡位置上的確定性。也就是說,服務器就應該在總部數據中心,財務小張的地址就應該在10.200.2.147,自己人應該都在內網,壞人應該都來自互聯網。但是在今天,隨著公有云的廣泛使用,服務器真的不一定在哪,而隨著遠程辦公和BYOD的盛行,財務小張的地址也不一定是啥。自己人可能來自互聯網,壞人也可能早就混進了內網。在這樣的背景下,IP已經逐漸變得只有通信價值而基本沒有什么安全價值了,網絡安全在這個時候又面臨著一場史無前例的顛覆性危機。而這個時候,微隔離再一次挺身而出。我們發現,微隔離這個技術是在云計算時代出現的,它從誕生之日起就是在軟件定義網絡(SDN)環境下工作的。微隔離從來就認為網絡地址是個不穩定參數,所以微隔離技術(真正的微隔離技術)都是面向ID的而不是IP。這個本來為應對SDN而設計的技術特征,在零信任時代,忽然煥發出了始料未及的光彩(是的,始料未及,薔薇靈動在剛創業的時候從來沒想過零信任的事情)。安全人員發現,微隔離可以完美地解決當下基于IP的網絡安全技術所面臨的的所有困境。于是,微隔離也就成為了大家所熟知的零信任三個核心技術基石之一。換言之,在今天,軟件定義也好,微細的控制能力也好,都已經不再是微隔離為網絡安全能做的最大貢獻了,能夠面向身份去定義網絡,去進行訪問控制,才是微隔離最大的價值,所以,才有了這次更名,Gartner的意思很明確,微不微的不重要,面向ID才是王道!
從軟件定義的隔離,到微隔離,再到基于身份的隔離,微隔離的三次更名,事實上代表了最近十年網絡安全發展的歷史,代表了技術進步的方向。網絡安全先后面臨了虛擬化,APT,以及數字化時代的幾輪沖擊,在幾次風雨飄搖中,都是微隔離技術挺身而出。而最有意思的地方在于,微隔離本身沒有變,這個技術從誕生之日到今天,他的核心能力和技術結構就一直是這樣,只不過人們越來越發現這個技術簡直是天選之子,這種新的技術能給我們帶來的東西比我們想象的要多得多。三次更名,其實代表了我們對微隔離這項技術的三次認知深入,也表現出了微隔離這項技術工作范圍的三次根本擴展。他早就不是虛擬化環境下的補充技術了,今天的微隔離,是整個零信任體系的基石,是網絡安全的未來!
特別提醒:本網信息來自于互聯網,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
