從Gartner的三次定義,看微隔離技術(shù)發(fā)展與演進(jìn)

薔薇靈動(dòng)
在網(wǎng)絡(luò)應(yīng)用的初期,其在邏輯上就是一條線,網(wǎng)絡(luò)上的主機(jī)彼此自由通信。這樣的網(wǎng)絡(luò)是沒有內(nèi)部結(jié)構(gòu)的,看起來高效,但是有兩個(gè)大的問題。第一是不安全,好人壞人都在一起,正常流量和惡意代碼相互混淆。

微隔離作為網(wǎng)絡(luò)安全行業(yè)的當(dāng)紅技術(shù),早已被業(yè)界所熟知。但是大家可能不知道,國際研究機(jī)構(gòu)Gartner對(duì)微隔離(Microsegmentation)的名稱和定義已經(jīng)進(jìn)行過兩次修改。Gartner為什么這么做?微隔離的最新定義又意味著什么?

首次提名:軟件定義的隔離

在網(wǎng)絡(luò)應(yīng)用的初期,其在邏輯上就是一條線,網(wǎng)絡(luò)上的主機(jī)彼此自由通信。這樣的網(wǎng)絡(luò)是沒有內(nèi)部結(jié)構(gòu)的,看起來高效,但是有兩個(gè)大的問題。第一是不安全,好人壞人都在一起,正常流量和惡意代碼相互混淆。第二個(gè)問題是擁擠,各種流量都在一起,讓網(wǎng)絡(luò)變得很低效,無法有效管理和運(yùn)維。這個(gè)時(shí)候,網(wǎng)安領(lǐng)域上一代明星產(chǎn)品——防火墻閃亮登場(chǎng)。防火墻把網(wǎng)絡(luò)分成了不同的網(wǎng)段(segment),從而把特定的流量限制在特定網(wǎng)段上,這讓網(wǎng)絡(luò)比過去安全和高效得多。就靠這個(gè)殺手級(jí)應(yīng)用,防火墻曾經(jīng)一度占據(jù)全球網(wǎng)安市場(chǎng)的半壁江山。

2345截圖20211028093243.png

隨著云計(jì)算時(shí)代的到來,對(duì)防火墻的應(yīng)用提出巨大挑戰(zhàn)。云計(jì)算網(wǎng)絡(luò)是在物理網(wǎng)絡(luò)之上構(gòu)建起來的虛擬化網(wǎng)絡(luò),真正負(fù)責(zé)業(yè)務(wù)處理的網(wǎng)絡(luò)是這個(gè)虛擬化網(wǎng)絡(luò),而底層的物理網(wǎng)絡(luò)上跑的都是封裝之后的無意義的數(shù)據(jù)報(bào)文。云內(nèi)的虛擬化網(wǎng)絡(luò)不但是虛擬的,而且還非常動(dòng)態(tài),這是它與傳統(tǒng)網(wǎng)絡(luò)最大的不同,這個(gè)網(wǎng)絡(luò)可以根據(jù)需要隨意的構(gòu)建,靈活程度前所未有。防火墻作為一種硬件產(chǎn)品,被云計(jì)算阻擋在真實(shí)的業(yè)務(wù)網(wǎng)絡(luò)之外,而它的變種——虛擬防火墻,也因?yàn)槔^承了防火墻復(fù)雜繁瑣的體系架構(gòu),很難適應(yīng)靈活多變的軟件定義網(wǎng)絡(luò)。

2345截圖20211028093243.png

正是在這樣的背景下,微隔離在2015年首次被Gartner正式提出,并被賦予第一個(gè)名稱:軟件定義的隔離(軟件定義的分段,software-defined segmentation)。跟微隔離一起出現(xiàn)的,還有SDP(軟件定義邊界)。此時(shí)此刻,微隔離的價(jià)值正如其名,它是軟件定義的,在云計(jì)算的環(huán)境中可以按需部署,從而為云計(jì)算網(wǎng)絡(luò)帶來了更靈活的安全性和可管理性。

2345截圖20211028093243.png

二次定義:微隔離(微分段)

但沒多久,Gartner就把software-defined segmentation更名為Microsegmentation,也就是我們現(xiàn)在所熟知的微隔離(微分段)。這次更名,事實(shí)上也反映出Gartner對(duì)微隔離的定位發(fā)生了微妙的調(diào)整。

微服務(wù)時(shí)代的到來讓本來就極為復(fù)雜的數(shù)據(jù)中心網(wǎng)絡(luò)變得更加復(fù)雜,大量的東西向訪問縱橫交錯(cuò)。此時(shí)也正是APT和勒索病毒肆虐之時(shí),人們對(duì)“東西向安全前所未有的關(guān)注。而防火墻本來是用來做大網(wǎng)段隔離的(MacroSegmentation),它的架構(gòu)非常重,一般來說只能用來看大門和在內(nèi)部分幾個(gè)大區(qū)。要利用防火墻做細(xì)粒度訪問控制,從部署難度到部署成本上都是不可接受的。這個(gè)時(shí)候,微隔離的那種極為輕量級(jí)的技術(shù)結(jié)構(gòu),細(xì)粒度到容器級(jí),可以隨需構(gòu)建隨需部署的訪問控制能力就變得彌足珍貴。

2345截圖20211028093243.png

在這個(gè)階段,微隔離的軟件定義能力已經(jīng)不是核心的價(jià)值了,而是其微細(xì)控制能力。所以,微隔離就成為了這項(xiàng)技術(shù)真正被業(yè)界所熟知的名字,并且一直沿用至今。薔薇靈動(dòng)也就是在這個(gè)時(shí)候開始微隔離的技術(shù)研究工作。

再次改名:基于身份的隔離

隨著應(yīng)用的發(fā)展,Gartner在2020年對(duì)微隔離的名稱和定義再次進(jìn)行調(diào)整,這次調(diào)整的背景和零信任緊密相關(guān)。

網(wǎng)絡(luò)安全一直以來是兩個(gè)流派,管控派和攻防派。攻防派的目標(biāo)就是識(shí)別威脅,但威脅的變化非??欤诎踩藛T了解這個(gè)新變種之前它又可以干很多壞事,而研究一種惡意代碼特征所需要的時(shí)間和資源相較創(chuàng)造一種惡意代碼要高出無數(shù)個(gè)數(shù)量級(jí)。攻防之間的這種不對(duì)稱,事實(shí)上讓防御者一直處于一種非常被動(dòng)的地位。

在此背景下,管控派開始受到行業(yè)更廣泛的關(guān)注。管控派的理念是不管“壞人”怎么樣,只研究好人該干什么,只要不是系統(tǒng)充分認(rèn)知的“好人”和好的行為就統(tǒng)統(tǒng)干掉。那么問題來了,管控派要如何表達(dá)“好人”這個(gè)概念呢?

在網(wǎng)絡(luò)安全領(lǐng)域,一直以來我們用的都是五元組,也就是源和目的的IP地址和端口以及傳輸協(xié)議。但是IP地址本質(zhì)上只是個(gè)通信參數(shù),它無法描述業(yè)務(wù)屬性和身份信息。在過去,網(wǎng)絡(luò)相對(duì)靜態(tài)的時(shí)候,我們還可以用IP近似替代身份(而這恰恰是很多網(wǎng)絡(luò)攻擊所利用的點(diǎn)),但是隨著網(wǎng)絡(luò)日益靈活多變,遠(yuǎn)程互聯(lián),公有云,物聯(lián)網(wǎng)等基礎(chǔ)設(shè)施的廣泛部署,IP地址已經(jīng)完全失去了身份意義。

我們必須把隔離和分段這種網(wǎng)絡(luò)安全的核心動(dòng)作構(gòu)建在一種新的參數(shù)之上,也就是身份標(biāo)識(shí)(ID)。所以,微隔離的新名字就是ID-BASED SEGMENTATION,可以稱之為基于身份的隔離(基于身份的網(wǎng)絡(luò)分段)。

2345截圖20211028093243.png

所謂基于身份的隔離,顧名思義,就是說過去的網(wǎng)絡(luò)隔離是面向IP的,現(xiàn)在的網(wǎng)絡(luò)隔離是面向ID的。看起來是一個(gè)字母的區(qū)別,但是背后代表的技術(shù)內(nèi)涵有著本質(zhì)不同。我們能進(jìn)行基于IP地址的隔離,事實(shí)上有個(gè)默認(rèn)假設(shè),那就是我們所要進(jìn)行訪問控制的資源一定有著網(wǎng)絡(luò)位置上的確定性。但是在今天,隨著云計(jì)算的廣泛使用,特別是隨著遠(yuǎn)程辦公和BYOD的盛行,地址不再唯一確定。

在這樣的背景下,IP已經(jīng)逐漸變得只有通信價(jià)值而基本沒有什么安全價(jià)值了,網(wǎng)絡(luò)安全在這個(gè)時(shí)候又面臨著一場(chǎng)史無前例的顛覆性危機(jī)。而這個(gè)時(shí)候,微隔離再一次挺身而出。我們發(fā)現(xiàn),微隔離這個(gè)技術(shù)是在云計(jì)算時(shí)代出現(xiàn)的,它從誕生之日起就是在軟件定義網(wǎng)絡(luò)(SDN)環(huán)境下工作的。微隔離從來就認(rèn)為網(wǎng)絡(luò)地址是個(gè)不穩(wěn)定參數(shù),所以微隔離技術(shù)(真正的微隔離技術(shù))都是面向ID的而不是IP。這個(gè)本來為應(yīng)對(duì)SDN而設(shè)計(jì)的技術(shù)特征,在零信任時(shí)代,忽然煥發(fā)出了始料未及的光彩。

安全人員發(fā)現(xiàn),微隔離可以有效解決當(dāng)下基于IP的網(wǎng)絡(luò)安全技術(shù)所面臨的難題,從而成為了大家所熟知的零信任三個(gè)核心技術(shù)基石之一。換言之,在今天,軟件定義也好,微細(xì)的控制能力也好,都已經(jīng)不再是微隔離為網(wǎng)絡(luò)安全能做的主要貢獻(xiàn),能夠面向身份去定義網(wǎng)絡(luò),去進(jìn)行訪問控制,才是微隔離最大的價(jià)值。所以,才有了這次更名,Gartner的意思很明確,微不微的不重要,面向ID才是王道!

2345截圖20211028093243.png

從軟件定義的隔離,到微隔離,再到基于身份的隔離,微隔離的三次更名,事實(shí)上代表了最近十年網(wǎng)絡(luò)安全發(fā)展的歷史,代表了技術(shù)進(jìn)步的方向。網(wǎng)絡(luò)安全先后面臨了虛擬化,APT,以及數(shù)字化時(shí)代的幾輪沖擊,微隔離技術(shù)都發(fā)揮了積極的作用。而最有意思的地方在于,微隔離本身沒有變,這個(gè)技術(shù)從誕生之日到今天,它的核心能力和技術(shù)結(jié)構(gòu)就一直是這樣,只不過人們?cè)絹碓桨l(fā)現(xiàn)這個(gè)技術(shù)能給我們帶來的價(jià)值比想象的要更多。

三次更名,其實(shí)代表了行業(yè)對(duì)微隔離這項(xiàng)技術(shù)的三次認(rèn)知深入,也表現(xiàn)出了微隔離這項(xiàng)技術(shù)應(yīng)用范圍的三次擴(kuò)展。今天的微隔離技術(shù),正在成為整個(gè)零信任安全體系的基石。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論