微隔离(MSG)
参考文章:用"微隔离"实现零信任、什么是微隔离?当下哪家微隔离最靠谱? 参考视频:不仅是防火墙!用微隔离实现零信任
定义
微隔离(Micro Segmentation),微隔离是一种网络安全技术,其核心的能力要求是聚焦在东西向流量的隔离上。微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点,根据动态策略分析对这些节点执行访问控制,在逻辑上将这些节点隔离开,限制用户横向移动,这就是微隔离。在微隔离的架构中,不再存在内、外网的概念,而是将数据中心网络隔离成了很多微小的计算单元,这里我们简称节点。每个节点要访问其他节点的资源,都需要经过微隔离客户端的认证,如果节点身份认证不通过,或不具备访问权限,会被客户端拦截。
节点可以是门户网站,可以是数据库、审计设备,甚至一个文件服务器,只要具备一定的数据处理能力的单元,都可以成为一个节点。他们不再因处于内网而被认为是“可信的”,所有节点都被逻辑隔离,节点之间的访问都是受控的。节点划分越细致,控制中心对整个数据中心网络的流量可视化就越清晰。
数据流向 南北向流量:指通过网关进出数据中心的流量,一般来说防火墙部署在数据中心的出口处,来做南北向流量的保护 东西向流量:指由数据中心内部服务器彼此相互访问所造成的内部流量,据统计,当代数据中心75%以上的流量为东西向流量
组成
有别于传统防火墙单点边界上的隔离(控制平台和隔离策略执行单元都是耦合在一台设备系统中),微隔离系统的控制中心平台和策略执行单元是分离的,具备分布式和自适应特点:
策略控制中心:主要包括管理引擎和策略管理两个控制块。管理引擎接收客户端发送的流量数据,并根据这些信息建立业务模型,交由策略管理模块分析当前网络形势,进行多维度策略运算,动态生成安全策略,并下发给客户端执行,通过流量自学习实现策略自适应。
策略执行单元:通过代理或虚墙实现,主要包括流量信息收集和策略执行两个部分。向控制中心反馈当前网络中的业务流量信息,实时上报业务动态,接收控制中心下发的策略控制指令,执行安全策略动作,
实现方法
1、基于agent客户端实现微隔离
这种模式需要每个服务器的操作系统上装一个agent。Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。
图中右侧红方块是管理平台,负责制定策略,收集信息。
优势:与底层无关,支持容器,支持多云。
缺点:必须在每个服务器上安装agent客户端。有人会担心资源占用问题,担心影响现有业务。
2、基于云原生能力实现微隔离
使用云平台基础架构中虚拟化设备自身的防火墙功能来做访问控制。
优点:隔离功能与基础架构都是云提供的,所以两者兼容性更好,操作界面也类似。
缺点:无法跨越多个云环境进行统一管控。
3、基于第三方防火墙实现微隔离
利用现有的防火墙做访问控制。
优势:网络人员很熟悉,有入侵检测、防病毒等功能。
缺点:防火墙本身跑在服务器上,缺少对底层的控制。
好处
如果黑客已经攻进了一个服务器,那么他就可以利用这个服务器做跳板,进一步攻击网络中的其他服务器。
微隔离可以阻止这种来自内部的横向攻击。微隔离通过服务器间的访问控制,阻断勒索病毒在内部网络中的蔓延,降低黑客的攻击面。
这正好符合了零信任的原则: (1)假设已经被攻破 (2)持续验证,永不信任 (3)只授予必须的最小权限
实施步骤
- 定义资产:资产(服务、业务等)分组;按逻辑分组
- 梳理业务模型:服务安全域识别;网络流量自学习、自发现、自描绘服务安全域
- 设计微隔离分组:安全策略组、系统安全域、租户安全域、业务安全域
- 实施保护:根据策略执行阻断、放行;新增负载自动加域
- 持续监控:快速发现内部渗透、横移、扫描、勒索病毒传播等行为;阻断日志、异常行为告警
