本期焦點

隨著各行業深入數字化建設，用戶對云內環境安全的要求愈發嚴格，在VMware替代實施過程中，眾多用戶也希望通過虛擬化替代來提升數據中心安全性。

深信服在安全領域已有多年技術積累，本文將針對云內環境如何基于微隔離技術構建有效的安全防護，介紹微隔離技術的技術發展、深信服在微隔離技術方面的創新，為廣大虛擬化用戶及正在進行VMware替代的用戶提供參考。

微隔離是網絡安全領域的一項重要技術，已經廣為人知。

微隔離技術定義已經過多次變遷，從軟件定義的隔離（software-defined segmentation）到微分段（Microsegmentation）到基于身份的隔離（ID-BASED SEGMENTATION），反映了網絡安全技術的發展和行業對這項技術認識的深化。

微隔離技術隨著業務的發展不斷更新，其應用范圍和給業務帶來的價值也隨著時間的推移而不斷擴大。如今，微隔離已成為零信任安全體系的核心組成部分。

微隔離&策略推薦技術實現方法

微隔離技術實現方法

在當前的云環境中，構建微隔離的方法有幾種。

• 虛擬化技術派

這是由提供Hypervisor的廠商如VMware、a廠商、S廠商來負責實現虛擬機之間的安全保護，這種方式被稱為原生支持。這種方案靈活性、擴展性都較強。

• 硬件派

這是由傳統的硬件交換機廠商，如Cisco、H廠商等主導的方案。在這種方案中，云平臺提供API，被物理安全設備或交換設備調用實現云內網絡安全防護。

用于微隔離的硬件設施，較適合相對靜態的私有云部署，但不能保護具有移動和臨時工作負載的動態混合云部署，無法達成統一管理的需求，而且這種類型的微隔離會引入阻塞點，可能會影響網絡性能并使網絡工程復雜化。

• 純軟件派

供應商只提供安全保護功能，與硬件和Hypervisor都沒有直接聯系。需要在所有虛擬機中安裝代理程序（Agent），或者需要侵入到不同的Hypervisor中，才能與Hypervisor內部的虛擬交換組件進行交互。illumio是這個路線的代表廠商?；谥鳈C的微分段，對于移動和臨時工作負載比較有用，方便企業達成統一管理的需求。

但無論是侵入Hypervisor還是虛擬機，安裝、部署和實施過程都會比較復雜?；谥鳈C的技術可能很復雜，因為它們需要為數百或數千個工作負載，管理策略和實施規則，而不是幾個集中的網絡或虛擬化層。最后，基于主機的技術也會引入安全漏洞。如果一個主機遭到破壞，黑客就可以改變微分段規則，從而獲得對更廣闊網絡的訪問權。

虛擬化技術派的原生支持方式性能更優，并且更容易和虛擬化平臺各功能模塊深度融合為用戶提供更多價值（如網絡、安全、虛擬機管理等），因此深信服的分布式防火墻（微隔離）也選擇了虛擬化技術派。

微隔離規則配置的困難性

微隔離策略已經不僅限于傳統的網絡邊界配置防護策略的概念，是需要針對每個虛擬機/應用類型做好策略配置和持續更新，所需要投入的工作量是維護邊界防護策略的數倍。

• 存量/新增業務新配置微隔離規則

存量/新增虛擬機東西向流量、南北向流量關系較復雜，只能找業務方提供業務所需的流量關系及端口，但有些陳舊的業務已經無法找到可聯系的業務方，只能依賴人工梳理，一旦梳理漏了流量關系，配置的安全規則可能就會導致正常的業務訪問被攔截。

• 日常運維微隔離規則

傳統的安全規則通常是基于IP地址或云主機來確定哪些通信是被允許的，哪些是被禁止的。然而，由于虛擬機的創建、刪除、關閉和啟動操作非常頻繁，其IP地址或云主機標識也會頻繁變化。這就要求安全規則必須能夠及時更新，以適應這些變化。

存量業務的版本升級，也需要相應地更新安全規則，要持續投入人力做好安全規則的維護。

微隔離策略推薦技術實現方法

因微隔離策略配置存在較多困難，有部分廠商開始提供微隔離策略推薦能力，輔助用戶更好地做好策略管理和策略生成。目前主要是國外廠商提供該能力，如illumio、Akamai Guardicore Segmentation、VMware等，國內仍然較少廠商支持。為了幫助用戶解決這類困難，深信服在信服云6.10.0版本中提供微隔離策略推薦的能力。

• 基于機器學習，自動化創建工作負載的分組/標簽和微隔離策略

基于歷史流量和工作負載的基礎信息，例如運行的應用、通信協議/端口、L2-L7的上下文詳情，通過AI自動分析資產進程級別的流量上下文，自動生成工作負載的分組/標簽，并生成微隔離推薦策略。代表廠商主要為國外廠商，有Akamai Guardicore Segmentation、VMware等。

實際使用過程中，用戶需選擇特定的工作負載，選擇智能生成組/標簽及微隔離策略， 每次智能推薦后，都會給工作負載配置一個新的組/標簽，管理界面很復雜，一定程度上增加了用戶的理解成本和后續管理工作的難度。

• 基于標簽/組/工作負載自動生成策略

選擇標簽/分組/工作負載后，基于歷史流量，例如通信協議/端口、L2-L7的上下文詳情，通過策略生成器自動生成微隔離推薦策略。代表廠商主要為illumio。

目前基于機器學習生成工作負載分組的方式，理解成本和用戶使用成本都較高。用戶日常使用場景中，在創建虛擬機時會基于IT的管理需求做好虛擬機的分組管理，并不常需要用到分組自動推薦。

因此，深信服的微隔離策略推薦，選擇了基于標簽/組/工作負載自動生成策略，可以在具備歷史流量時智能生成策略，能有效減輕用戶新建微隔離策略、更新微隔離策略的管理難度。

深信服微隔離功能詳解

網絡流量訪問可視化

隨著用戶業務規模和復雜度越來越高，流可視提供業務流采集和分析，為業務系統瓶頸診斷、故障發現、容量規劃、服務狀態等提供可視化輔助，便于服務綜合治理。

深信服網絡流量訪問可視化的邏輯架構如下：

流量訪問可視化邏輯

網絡流量訪問可視化的采集器通過旁路方式將流量導入到aNI的收集器，aNI分析器對收集的流量進行分析后將分析結果存儲在aNI DB中供管理員查詢。

具體功能包括：

• 防火墻規則意圖驗證，確定訪問流量的合規性，快速對異常流量進行隔離，幫助用戶更好地配置訪問策略。

• 實現業務訪問流量和訪問關系的可視化，幫助用戶優化業務拓撲。

• 對于受網絡攻擊場景，便于識別影響范圍，能快速并最小范圍隔離故障域。

• 支持歷史訪問詳情查詢，幫助用戶分析指定業務的訪問關系，也方便運維人員快速定位問題，提升運維效率。

• 支持歷史訪問詳情導出，可以用于用戶內部的分析平臺，對業務訪問進行分析統計。

• 業務訪問流量的采樣率百分百的同時網絡轉發性能基本無損耗，保障不會漏掉訪問的流量和訪問關系。

流量訪問可視具備以下優勢：

• 流量訪問關系的導出通過旁路的方式，支持大并發，大吞吐場景，基本不影響網絡轉發性能。

• aNI數據庫采用時序數據庫進行分析數據存儲，支持數據聚合和壓縮，降低了對存儲空間和性能的要求。同時支持30天的大范圍查詢，支持實時數據攝取、快速聚合分析，界面響應在3s內。

基于身份的微隔離（分布式防火墻）

深信服云平臺提供分布式防火墻(DFW，Distribute Firewall)，將安全從數據中心邊界延展到核心，實現虛擬機之間的微隔離，對數據中心內部流量進行L3-L4層安全防護，更大程度降低攻擊對數據中心的影響。

• 所有虛擬機全面防護：可以配置在任何一個分布式交換機端口上，進行訪問防護；對平臺一個區域的流量出入口進行防護，實現微隔離；即使虛擬機遷移運行位置，策略也會跟隨。

• 防護策略快速生效：信服云平臺可直接快速部署分布式防火墻，無須用戶安裝插件，架構簡單；結合“所畫即所得”功能，運維方便；與連通性探測相結合，快速排障，縮短定位問題時間。

• 簡化網絡結構，排障方便：分布式防火墻由平臺自身提供，結合所畫即所得，結構簡單，運維方便；提供BYPASS與攔截日志顯示功能，快速確認規則有效性。與連通性探測相結合，快速排障，縮短定位問題時間。

• 與深信服下一代防火墻(vNGAF)聯合打造安全防護：DFW是分布式架構，策略在整個平臺上都能夠生效，往往用來做虛擬網絡內部的流量控制；vNGAF往往放在邊界出口處，最大程度防護外部流量的攻擊。

• 可以指定虛擬機、虛擬機組、虛擬機標簽、IP、IP組、IP范圍等。虛擬機組、虛擬機標簽可作為虛擬機的應用身份標識。

• 分布式防火墻只需要開通虛擬網絡(aNET)即可使用。DFW與vNGAF相結合，從南北向、東西向，從外部、內部，進行全方位的安全防護，保障數據中心的安全。

智能生成微隔離策略

• 基于流可視的歷史訪問數據智能生成微隔離規則

aNI Collector/Analyzer采集DP上報的訪問關系，并落庫到druid數據庫中。SEG（微隔離）根據用戶的配置（保護對象、日期、保護方向、規則粒度等）從druid數據庫中篩選出訪問關系，生成DFW規則，并提供規則的預覽能力，支持用戶修改生成的規則。

• 創新能力：微隔離規則支持預發布驗證效果

aNet和DP提供DFW預發布能力，用戶將上述生成的規則預發布后。預發布狀態的DFW規則，僅執行規則的匹配和記錄，但不生效動作。請求先命中預發布規則，跳轉直接去匹配正式生效的規則，并上報命中的預發布規則、正式規則給aNI；請求若先命中正式生效的規則，則結束規則匹配并上報命中的正式規則給aNI。對可能被上述預發布DFW規則封堵的流量以“疑似誤封”的形式通知到用戶，預發布的規則不會真實攔截流量，不會影響到實際業務。

深信服提供首創的智能策略推薦預發布能力，可以更好地幫助用戶做好策略觀察及進一步地調整，避免未充分驗證的推薦策略影響到用戶的實際業務。

• “疑似誤封”告警通知

預發布觀察并調整到位后，用戶將上述規則轉為正式DFW規則，此時命中的流量將會執行動作（攔截、放通）。也會提供“疑似誤封”的通知告警能力，支持用戶快速放通被誤封堵的正常流量。

云話技術是深信服打造的一檔云技術內容專欄，將定期為大家推送云計算相關的技術解析、場景實踐等內容，為大家深度解析深信服在云計算領域的創新能力、技術動態、場景應用及前瞻分析等內容。