信息化觀察網(wǎng)

想一下，十年前發(fā)生了什么？

雖然2011年看起來并沒有那么久遠(yuǎn)（您應(yīng)該還記得皇家婚禮、Kim Kardashian離婚，當(dāng)然還有Charlie Sheen的人設(shè)崩塌），但10年來發(fā)生了很多變化。當(dāng)時(shí)，大部分?jǐn)?shù)據(jù)中心都才剛剛開始試用虛擬化。還記得嗎，當(dāng)時(shí)人們認(rèn)為只有少量不重要的工作負(fù)載采用虛擬化方式處理才是安全的。

而現(xiàn)在，全球大約一半的服務(wù)器已經(jīng)實(shí)現(xiàn)了虛擬化，并且我們已經(jīng)遠(yuǎn)遠(yuǎn)超越了虛擬化范疇。幾乎每個(gè)企業(yè)數(shù)據(jù)中心都變?yōu)榱嘶旌檄h(huán)境，混合使用物理和虛擬形式的存儲和計(jì)算資源。容器化以及為它提供支持的技術(shù)正在開始站穩(wěn)腳跟。當(dāng)然，云計(jì)算已經(jīng)普及到企業(yè)計(jì)算的方方面面。

現(xiàn)在，當(dāng)今的軟件定義數(shù)據(jù)中心帶來了許多業(yè)務(wù)優(yōu)勢，尤其是在資源效率和成本節(jié)約方面。但不可否認(rèn)的是，復(fù)雜性也提高了，原因在于企業(yè)需要的所有資源都和原來一樣：計(jì)算、存儲、交換、路由。只不過現(xiàn)在，這些資源有多少在本地部署環(huán)境中，有多少在云環(huán)境中，都是不確定的。就管理連接、確保滿足業(yè)務(wù)部門的性能需求，以及跟上業(yè)務(wù)和技術(shù)的變革速度而言，管理當(dāng)今的數(shù)據(jù)中心是一項(xiàng)巨大的挑戰(zhàn)。而除此之外，還有一項(xiàng)董事會(huì)、業(yè)務(wù)領(lǐng)導(dǎo)者和IT從業(yè)者最關(guān)注的挑戰(zhàn)：安全性。

我們來看一看

當(dāng)今數(shù)據(jù)中心所面臨的一些安全挑戰(zhàn)

您無法保護(hù)您不了解的環(huán)境

我們首先來看一下可見性。在最近和Omdia召開的網(wǎng)絡(luò)會(huì)議中，該分析機(jī)構(gòu)談?wù)摿怂麄兯Q的網(wǎng)絡(luò)空間安全運(yùn)維生命周期，概要介紹了有效的SecOps所包含的步驟。在該生命周期中，就像在數(shù)據(jù)中心內(nèi)一樣，一切均始于可見性。畢竟，您無法保護(hù)您并不了解的環(huán)境。

數(shù)據(jù)可見性

指您可以查看有關(guān)工作負(fù)載、用戶、設(shè)備和網(wǎng)絡(luò)的可靠實(shí)時(shí)信息，并且能夠識別出條件變化、風(fēng)險(xiǎn)狀況升級或所出現(xiàn)的新威脅。

尤其現(xiàn)在正值疫情時(shí)期（希望疫情很快結(jié)束，那么我們就進(jìn)入后疫情時(shí)期），您可能會(huì)面臨著高度分散的用戶群從遠(yuǎn)程位置訪問數(shù)據(jù)中心資源的情況，而且這種情況基本上是無限期的。

由于這一點(diǎn)，有多少企業(yè)能夠完全確信自己可以實(shí)現(xiàn)充分的數(shù)據(jù)中心可見性？如果不能確信，您便不知道自己能否成功地執(zhí)行安全計(jì)劃。最后，您實(shí)現(xiàn)的可見性越低，您的安全漏洞就越多。

沒有適用的應(yīng)用

接下來看一下應(yīng)用安全性。這個(gè)問題可以單獨(dú)寫一篇文章討論了，因?yàn)槟鷮?shí)在是太需要在應(yīng)用內(nèi)以及圍繞應(yīng)用實(shí)現(xiàn)安全控制了。

實(shí)現(xiàn)應(yīng)用安全需要采用不同的方法，具體取決于該應(yīng)用是傳統(tǒng)本地部署應(yīng)用，還是SaaS應(yīng)用。此外，遵循應(yīng)用策略要求是一項(xiàng)持續(xù)挑戰(zhàn)。隨著許多應(yīng)用日益組件化，您需要通過DevSecOps流程來確保將安全性融入到實(shí)例中，為容器化的甚至是無服務(wù)器的應(yīng)用功能提供支持。

唯一不變的就是一直在變化——快速變革

接下來看一下變革的節(jié)奏。這聽起來有點(diǎn)兒像老生常談，但幾乎每家企業(yè)都在以某種形式進(jìn)行不同程度的數(shù)字化轉(zhuǎn)型，其中涉及重大的IT基礎(chǔ)架構(gòu)轉(zhuǎn)型。

但是，數(shù)字化轉(zhuǎn)型有一個(gè)不為人知的小秘密，即，它會(huì)持續(xù)不斷地加快變革速度，實(shí)現(xiàn)更多的云計(jì)算基礎(chǔ)架構(gòu)、更多的SaaS、更多的容器化。在未來十年，您還會(huì)面臨著物聯(lián)網(wǎng)和5G等方面的挑戰(zhàn)。這意味著，連接到數(shù)據(jù)中心以及向數(shù)據(jù)中心輸入數(shù)據(jù)的設(shè)備呈指數(shù)級增加。因此，數(shù)據(jù)中心安全技術(shù)需要以一種基于策略的自動(dòng)化驅(qū)動(dòng)型方法為中心，而且該方法必須能夠適應(yīng)不斷加快的變革速度。

東西向流量呈爆炸式增長是黑客夢寐以求的機(jī)會(huì)

最后，我們需要深入了解的一項(xiàng)特定挑戰(zhàn)是東西向流量。隨著數(shù)據(jù)中心的發(fā)展，東西向流量（數(shù)據(jù)中心內(nèi)的流量）呈爆炸式增長。在密度更高、效率更高的數(shù)據(jù)中心內(nèi)，工作負(fù)載更多，生成的網(wǎng)絡(luò)流量也更多。在大多數(shù)企業(yè)中，東西向流量現(xiàn)在遠(yuǎn)多于進(jìn)出數(shù)據(jù)中心的南北向流量。東西向流量不會(huì)實(shí)際離開數(shù)據(jù)中心，但這并不意味著您可以信任它。

對于企圖掩飾惡意橫向移動(dòng)的攻擊者而言，利用東西向流量是絕好的機(jī)會(huì)，可以說，惡意橫向移動(dòng)是現(xiàn)代數(shù)據(jù)中心環(huán)境內(nèi)最大的問題。不妨想一想橫向移動(dòng)攻擊的最常見場景，即，盜取有效憑證。如果攻擊者利用合法憑證通過了身份驗(yàn)證，進(jìn)而進(jìn)入了系統(tǒng)，則您需要在網(wǎng)絡(luò)層施加控制，以便能夠識別惡意流量，阻止其遍歷網(wǎng)絡(luò)并加大入侵力度。這樣來看，毫無疑問的是，東西向流量基本上已經(jīng)成為了新的網(wǎng)絡(luò)邊界。

這需要一種新的防火墻

現(xiàn)在公認(rèn)的是：只要具有網(wǎng)絡(luò)邊界，就需要防火墻。因此，企業(yè)現(xiàn)在需要在數(shù)據(jù)中心內(nèi)部實(shí)施防火墻保護(hù)。但傳統(tǒng)的邊界防火墻方法不一定適用于東西向流量。

讓我們深入探討一下。

首先，數(shù)據(jù)中心拓?fù)鋾?huì)成為障礙

尤其是在“軟件定義”已占主導(dǎo)地位的數(shù)據(jù)中心內(nèi)，在各個(gè)工作負(fù)載之間插入虛擬防火墻保護(hù)并不可行，并且也無法高效地將東西向流量路由到專用防火墻所在的位置。這樣會(huì)在虛擬環(huán)境中無端造成物理瓶頸，讓高效、靈活的軟件定義模型從整體上失去了意義。此外，請考慮不同防火墻控制流量的方式以及涉及的流量類型。在邊界處，您主要阻止特定的端口和協(xié)議及IP地址范圍，同時(shí)，利用新一代防火墻，您是根據(jù)應(yīng)用類型和用戶組控制流量。這非常好，但是需要在東西向流量方面大幅提高控制的精細(xì)度。您可能擁有單個(gè)應(yīng)用，但對于該應(yīng)用的Web層、應(yīng)用功能層、數(shù)據(jù)庫層等不同功能，均需要執(zhí)行不同的控制。您的防火墻不僅需要能夠了解流量和應(yīng)用，還需要能夠了解應(yīng)用組件以及對什么通信可接受、什么通信不可接受做出規(guī)定的業(yè)務(wù)邏輯。

其次是加密的流量

談及加密的工作負(fù)載內(nèi)流量，若要設(shè)法對這些數(shù)據(jù)包進(jìn)行解密、檢查以及重新加密，需要巨大的開銷，因而通常并不可行。然而，忽略該流量也不是很好的選擇，因?yàn)槟鷮?shí)際上永遠(yuǎn)不會(huì)知道它包含什么內(nèi)容。

因此，您需要東西向防火墻保護(hù)功能，但這并不意味著您需要接受物理和虛擬防火墻的傳統(tǒng)限制?？梢圆捎貌煌姆椒ǎ?，引入虛擬邊界的概念，更具體地來說，是微分段的概念。

虛擬邊界：舊概念，新方法

微分段是指使用軟件和策略實(shí)施精細(xì)的網(wǎng)絡(luò)分段，精細(xì)到應(yīng)用和工作負(fù)載級別。這并不是全新的概念，但許多企業(yè)仍然還沒有采納它。雖然微分段具有許多和傳統(tǒng)防火墻相同的功能，但它會(huì)將防火墻保護(hù)轉(zhuǎn)變?yōu)樘摂M實(shí)例中的一項(xiàng)功能。換言之，安全控制內(nèi)置在工作負(fù)載級別，這對數(shù)據(jù)中心防火墻而言是非常重要的一大進(jìn)步。展望未來，防火墻保護(hù)將越來越多地從專用的物理和虛擬設(shè)備轉(zhuǎn)變?yōu)閼?yīng)用、工作負(fù)載或容器中的一項(xiàng)功能。

數(shù)據(jù)中心安全性提高簡單性和高效性

在大多數(shù)企業(yè)中，網(wǎng)絡(luò)空間安全是業(yè)務(wù)部門的重中之重，但安全性需要能夠推動(dòng)業(yè)務(wù)發(fā)展。長時(shí)間生活在這種環(huán)境中的安全領(lǐng)導(dǎo)者知道管理層不希望發(fā)生最糟糕的安全事件，但也不希望由于安全體系架構(gòu)導(dǎo)致人員、流程或技術(shù)和創(chuàng)新速度放緩而阻礙其業(yè)務(wù)發(fā)展。

現(xiàn)在，微服務(wù)和基于功能的防火墻保護(hù)的出色之處是，可以更加輕松地在業(yè)務(wù)流程中靈活地融入安全保護(hù)，甚至是在這些流程快速調(diào)整和改變時(shí)。不妨看一看下圖顯示的傳統(tǒng)虛擬防火墻模型。

其中，唯一可行的方法是在各工作負(fù)載和工作負(fù)載組之間注入虛擬防火墻實(shí)例。防火墻供應(yīng)商將會(huì)告訴您：要正確進(jìn)行網(wǎng)絡(luò)分段，您需要許多防火墻，這沒什么大不了的。但是，部署和管理此模型的流程都非常復(fù)雜。它效率低下，成本效益不佳，無疑，也無法促進(jìn)提升業(yè)務(wù)敏捷性。

現(xiàn)在來看一看下圖顯示的微分段模型。

在這種模型中，您仍會(huì)獲得相同的防火墻功能，但它們內(nèi)置到每個(gè)工作負(fù)載中，并且都具有對防火墻和其他網(wǎng)絡(luò)安全設(shè)置做出規(guī)定的相應(yīng)策略，因此，只要?jiǎng)?chuàng)建了工作負(fù)載，便已經(jīng)實(shí)施了安全策略。

從業(yè)務(wù)角度來看，將安全保護(hù)內(nèi)置到重要的數(shù)據(jù)中心資產(chǎn)中有很大的價(jià)值。利用這種基于策略的微分段，只要您部署工作負(fù)載，便可以實(shí)現(xiàn)工作負(fù)載所需的額外安全控制。您可以阻止橫向移動(dòng)的威脅，限制應(yīng)用流量，并實(shí)現(xiàn)所有零信任訪問優(yōu)勢。此外，您還能夠?qū)Ψ阑饓ΡＷo(hù)所實(shí)現(xiàn)的那些額外安全功能進(jìn)行分層，例如IDS/IPS、網(wǎng)絡(luò)流量分析以及虛擬修補(bǔ)。

防火墻保護(hù)不會(huì)消失！

不要相信任何人所說的“防火墻保護(hù)將會(huì)消失”的說辭，尤其是在數(shù)據(jù)中心內(nèi)，防火墻保護(hù)更不會(huì)消失。您仍然需要防火墻提供的控制力。然而，傳統(tǒng)的獨(dú)立防火墻實(shí)例越來越多地開始讓位給作為功能實(shí)施的新式防火墻保護(hù)?，F(xiàn)在，是時(shí)候開始研究這些技術(shù)如何發(fā)揮作用以及它們?yōu)槟钠髽I(yè)提供的好處了。