近年，黑客組織所使用的攻擊手段和惡意軟件變得越來越復雜和多樣化，其攻擊所利用的惡意軟件（如：病毒、蠕蟲、勒索軟件、間諜軟件）的特點是橫向傳播，一個內部服務器的感染往往使得全網主機都被控制。被攻陷的組織往往要面對高額勒索贖金、重要數據泄露、核心業務無法提供服務等嚴重風險。

• 在虛擬化環境中傳統的邊界防護方案正在失去作用

隨著數據中心發展以及虛擬化的廣泛使用，內部東西向流量增多，安全管控變得重要。傳統邊界部署難以應對內部通信的安全需求，且集中式防火墻可能成為性能瓶頸。同時，虛擬機頻繁變動的IP地址要求安全策略不斷更新，以適應新的安全挑戰。

• 等保2.0明確要求企業系統滿足虛擬機之間配置安全訪問控制策略

在 2019 年頒布并實施的《信息安全技術 網絡安全等級保護基本要求 GB/T 22239 — 2019》中，明確“虛擬機之間的訪問控制”為所有用戶均需要滿足的要求：6.2.4.1 訪問控制

本項要求包括：

1. 應保證當虛擬機遷移時，訪問控制策略隨其遷移。

2. 應允許云服務客戶設置不同虛擬機之間的訪問控制策略。

所以，現在用戶開始有意識加強內部流量偵測與訪問控制能力，而微隔離就是被廣泛采用的一種數據中心內部安全防御技術。而且，等保2.0的要求也可以通過微隔離進行滿足。

本篇文章將詳細解析深信服超融合在微隔離能力上的應用實踐，滿足用戶業務東西向安全防護的要求，也有助于用戶在VMware替代過程中提升數據中心安全性。

微隔離技術的應用場景

深信服超融合提供了豐富的微隔離能力，能讓IT管理員輕松做好數據中心的流量管理工作。

網絡流可視能力：協助IT管理員更方便地掌握所有虛擬機之間的流量關系。

微隔離：能讓IT管理員可以輕松配置策略將虛擬機和虛擬機之間做好流量攔截。

智能微隔離策略：可以基于歷史流量，自動推薦微隔離策略，讓IT管理員可以輕松一鍵生成微隔離策略。

策略預發布：能讓新生成的微隔離策略先試運行5-10天后再正式上線，試運行階段不會真實攔截流量，便于IT管理員觀察準備發布的微隔離策略是否有誤攔截正常業務流量的風險。

日常運維時，IT管理員可以通過流可視進行流量分析

云平臺的云主機分組可以直接同步至流可視，IT管理員可以進入流可視查看所有云主機的流量關系，可以搜索重要虛擬機直接查看流量是否存在風險。

例如：搜索數據庫，查看到存在與公網互訪流量，可以點擊查看流量詳情，并查看是否存在微隔離策略。

針對云主機/云主機組沒有策略保護/需要優化策略的可以點擊策略生成器，基于歷史流量自動生成策略

接著上一步中的示例，數據庫如果未配置微隔離策略是非常危險的，代表著所有公網IP可以隨意訪問數據庫。

IT管理員經過梳理流量訪問記錄后，確認目前的訪問無危險訪問。但是需要規避后續有危險訪問，因此需要配置微隔離策略來進行控制。

可以選擇數據庫，然后點擊策略生成器。策略生成器可以根據歷史流量自動生成微隔離策略，僅允許歷史訪問過的IP及訪問過的端口放通，其他均默認攔截。

創新能力：自動生成的策略可以預發布，便于觀察是否存在誤封流量

基于歷史流量生成數據庫的策略后，先選擇預發布，預發布策略不會真正起到攔截效果，但是可以觀察預防護效果。

預發布階段，如果流量與微隔離策略存在沖突時，會提示建議調整。點擊進去可以查看與策略產生沖突的是哪些訪問。

IT管理員可以確認與策略沖突的訪問是否正常業務訪問，針對誤封的流量配置策略進行放通。

預發布一段時間后，即可以正式發布策略

IT管理員可以點擊推薦策略集查看預發布的微隔離策略，根據業務需求，預發布一段時間后，認為誤封風險較低不影響業務后，就可以選擇策略點擊“立即發布”正式開始對流量起到防護作用。

正式發布后，疑似誤封云主機會觸發告警，可以持續優化策略

平臺默認設置好疑似誤封的告警。如果是正常業務訪問流量被微隔離策略攔截，業務部門會找IT管理員排查故障，IT管理員也會收到誤封告警，進入流可視頁面可以查看疑似被誤封的云主機詳情，可以及時調整微隔離策略避免持續影響業務。如果是非法訪問流量被攔截，管理員可選擇忽略該告警，并維持當前策略。

云話技術是深信服打造的一檔云技術內容專欄，將定期為大家推送云計算相關的技術解析、場景實踐等內容，為大家深度解析深信服在云計算領域的創新能力、技術動態、場景應用及前瞻分析等內容。