1、2022微隔离技术与安全用例研究报告2022 微隔离技术与安全用例研究报告目 录概 述.1第一章 传统数据中心安全防护的无效性.21.1 数据泄露事件持续发生.21.2 数据中心的攻击流程.41.3 数据中心外围的安全措施. 7第二章认识微隔离. 112.1 限制数据中心内的横向移动.112.1.1 数据中心内部东西流量的增长. 122.1.2 可见性和上下文. 122.1.3 隔离. 142.1.4 自动化. 152.2 微隔离的基本要素.162.2.1 持续性. 162.2.2 普遍性. 172.2.3 扩展性. 172.3 用微隔离实现最小权限和单元级信任.182.4 什么不是微隔离.1

2、9第三章 安全工作流自动化.203.1 为软件定义的数据中心创建安全策略. 213.1.1 基于网络的策略.213.1.2 基于基础设施的策略.223.1.3 基于应用程序的策略.223.2 适应变化.233.3 威胁响应.252022 微隔离技术与安全用例研究报告第四章微隔离部署过程及安全用例. 274.1 实现微隔离.294.1.1 确定网络流量. 304.1.2 识别模式和关系. 314.1.3 创建并应用策略模型. 314.2 微隔离安全用例.324.2.1 数据中心内部的网络安全. 334.2.2 在任何地方都能创建 DMZ.334.2.3 安全的用户环境. 34第五章微隔离在业务和

3、功能方面的利益.365.1 将数据中心安全漏洞的风险和影响降至最低.365.2 IT 服务交付自动化，加快上市时间.375.3 简化网络流量.375.4 启用高级安全服务插入、链接和流量转向.385.5 利用现有基础设施.385.6 减少资本支出.405.7 降低营业费用.415.8 安全地实现业务敏捷性.422022 微隔离技术与安全用例研究报告1概 述保护数据中心安全的传统方法聚焦于强大的外围防御，以把威胁隔绝在网络外部 ，就像中世纪的城堡防御一样。城墙由城垛和堡垒加固，出入受吊桥控制。对于攻击者来说，突破边界、进入城堡是胜利的关键。一旦进入城堡，其内部几乎没有防御工事，攻击者可以随意燃烧

4、和掠夺！但是，这个模型对于处理现在不断演变的新威胁是无效的，包括高级持久性威胁（APT）和协同攻击。我们需要的是一种更现代、更复杂的数据中心安全方法：假设威胁无处不在，然后采取相应行动。微隔离不仅采用了这种方法，还提供了网络虚拟化的操作灵活性。如今的网络威胁是协同攻击，一般包括数月的侦察、漏洞攻击和“休眠”恶意软件代理，这些代理可以在被远程控制激活以前持续休眠。尽管数据中心网络边缘的保护类型不断增加，比如防火墙、入侵防御系统和基于网络的恶意软件检测，但攻击仍能成功渗透到外围，漏洞依然不断产生。现在面临的主要问题是：一旦攻击越过数据中心外围，数据中心几乎没有横向控制来阻止它在网络内部的传播。解决

5、这一问题的最佳方法是采用更严格的细粒度安全模型，这个模型不仅能够将安全与单个工作负载联系起来，还能自动生成安全策略。Forrester Research 称之为“零信任”模型，微隔离就是这种模型的落地实践。2022 微隔离技术与安全用例研究报告2通过微隔离，细粒度的网络控制可以实现单元级的信任，灵活的安全策略可以一直应用到网络接口。第一章 传统数据中心安全防护的无效性数据中心已成为 21 世纪的虚拟银行金库。存储在数据中心系统中敏感的公司、财务和个人信息对网络罪犯来说可能价值数亿美元。尽管在过去几十年中，对这些系统的依赖性急剧增长，但为这些系统提供高级安全防护基础架构却相对没有改变，依旧重点关

6、注外围安全，很少甚至压根不关注数据中心内部的安全防护。那么，数据中心漏洞是如何发生的？为什么缺乏数据中心内部防御的传统安全方法是无效的？1.1 数据泄露事件持续发生尽管越来越严格的数据保护法、对安全技术的大量投资以及不断壮大且能力不断增强的安全团队证明了企业对安全的高度重视，但数据中心漏洞仍旧以惊人的速度出现，而且每个新漏洞都比旧的更严重。Anthem、苹果、索尼、塔吉特等公司最近遭受的网络攻击与以往有所不同，这些攻击有一个共同点：一旦突破外围，就能够在数据中心内的服务器之间横向运动，收集、过滤和利用敏感数据，基本上没有2022 微隔离技术与安全用例研究报告3安全控制来阻止它。这些案例突出了现

7、代数据中心的一个主要弱点：过于关注数据中心外围安全，却忽视了数据中心内部的安全性。想要有效解决这一弱点，需要从数据中心外围应用的安全技术和控制措施中挑选适用的部分，部署在数据中心内部，以便在外围被破坏时阻止或隔离攻击。根据公开报道，2021 年，数据泄露的平均成本达到 17 年来最高，成本从 386 万美金上升到 424 万美金。但实际发生的数据泄露的成本可能比这个数据要高得多。例如，2021 年，苹果代工厂广达被国际黑客组织 REvil 攻击，黑客组织盗取了正处于计划量产中的 MacBook Pro 图纸在内的各类机密文件数据，并通过加密方式勒索赎金约 3.2 亿元人民币。此外，广达或还将因

8、此面临苹果保密协议的高额罚金。同年，Omiai 母公司 NetMarketing 表示，其服务器遭到未经授权访问。遭泄露的数据包括用户身份证、驾照、保险卡和护照信息，部分流行的 Android 应用泄露了超过 1 亿用户的个人数据。Net Marketing 是东京证券交易所上市公司，目前其市值约为 7000 万美元。由此可见，国内外数据安全的形势不容乐观。办公 APP、手机 APP 等新的应用场景不断出现，我们面临的网络环境更加复杂。怎样在不影响业务应用的情况下，解决数据在存储、使用与跨境流动环节中的安全，对数据安全构成新的挑战。2022 微隔离技术与安全用例研究报告41.2 数据中心的攻击

9、流程现在复杂的网络攻击利用了数据中心设计中存在的一个基本漏洞：数据中心内部几乎没有安全控制。洛克希德马丁网络杀伤链（见图 1-1）展示了一个用于了解网络犯罪分子破坏数据中心外围过程的简单框架。攻击者一旦进入数据中心，就可以在整个数据中心内任意横向移动，以扩展攻击面并实现攻击目标。图 1-1：洛克希德马丁网络杀伤链2022 微隔离技术与安全用例研究报告5这个模型反映了一个严峻的问题：虽然投入大量的精力和资源用以保护数据中心外围（对应于图 1-1 中的前三个步骤），但入侵仍不可避免地频繁发生。攻击者一旦进入数据中心，就可以利用漏洞、安装恶意软件、建立命令与控制（C2）基础设施，轻易就能在整个数据中

10、心的系统间横向移动（见图 1-2）。C2 通信对于成功的攻击至关重要，为避免被发现，它必须是隐蔽的。C2 流量通常用“安全套接字层(SSL)”加密，并在合法的应用程序或协议中使用代理或隧道。图 1-2：C2 可进一步在数据中心进行侦察接下来，攻击者在其他设备和系统上安装额外的 C2 基础设施，覆盖所有入侵痕迹，并在利用数据中心内部漏洞的多管齐下的攻击中提升系统权限（见图 1-3）。2022 微隔离技术与安全用例研究报告6图 1-3：安装额外 C2 基础设施，以确保攻击者在数据中心横向移动时的持久性现代的高级攻击一般是持久且有弹性的。如果发现了主动威胁，攻击者可以快速“唤醒”数据中心另一个受感染

11、系统上休眠的恶意软件毒株，然后继续攻击（见图 1-4）。由于缺乏充分的隔离和安全控制，以及数据中心内东西流量的激增，事件响应团队很难有效地隔离攻击。因此，攻击者可以对目标执行任意操作（请参见图 1-5）。图 1-4：如果发现攻击，攻击者将休眠毒株激活，并继续攻击2022 微隔离技术与安全用例研究报告7图 1-5：攻击者可以对数据中心目标执行任何需要的操作如果目标是窃取敏感信息，攻击者会将数据打包成小的、加密的有效载荷，避免在从目标网络渗漏时被检测到。在耐心、弹性、多管齐下、隐秘的攻击策略下，数据中心内的攻击者可以相对不受阻碍地在系统之间移动，并在被检测到之前持续窃取敏感数据长达数月甚至数年。1

12、.3 数据中心外围的安全措施隔离是一项基本的信息安全原则，几十年来一直应用于数据中心设计。在最基本的层面上，隔离应用在两个或多个网络之间，例如内部网络（数据中心）和外部网络（互联网），防火墙部署在不同网络之间的外围边界（见图 1-6）。2022 微隔离技术与安全用例研究报告8图 1-6：在处处需要安全的数据中心，基于外围的安全防护是不够的尽管目前数据中心确实存在隔离，但网络分段太大，无法发挥作用，而且这些网络隔离通常是为了限制互联网与数据中心之间或客户端工作站与数据中心之间的南北向流量。例如，可以使用额外防火墙将网络划分为多个信任级别，以创建 DMZ 或单独的部门网络（如财务、人力资源和研发）

13、。为了发挥更全面的效果，隔离（和防火墙）需要能够降低到单个工作负载的级别。但一个典型的数据中心可能有成千上万个工作负载，每个工作负载都有独特的安全条件。目前，数据中心外围已经部署了许多先进的安全解决方案，包括下一代防火墙、反恶意软件、入侵防御系统(IPS)、分布式拒绝服务(DDoS)预防、统一威胁管理(UTM)、垃圾邮件过滤和许多其他技术。这些解决方案虽然加固了外围防御，但它通常只能解决限定上下文和不同安全技术之间的特定威胁，数据中心安全的基本问题仍然存在：当攻击2022 微隔离技术与安全用例研究报告9者越过外围进入数据中心内部以后，就能不受控制地随意移动。为了在任何位置都能成功阻止威胁的发生

14、，数据中心外围和内部都需要部署这些解决方案，通过一个统一的平台提供跨各个工作负载和不同技术的上下文和协调能力。过时的数据中心安全方法无法满足在任何地方、任何时间从任何设备访问数据中心应用程序和数据的现代业务需求，也不足以应对当今复杂的网络攻击。这些方法和挑战包括：以外围为中心的安全设施：外围防御很强大，但数据中心内部的安全控制很薄弱，甚至根本不存在。在高级安全解决方案（如下一代防火墙、IP、DDoS 防护和其他技术）上分层可以加强外围环境，但不足以解决数据中心内部的威胁。缺乏内部控制：攻击者利用数据中心内部薄弱或不存在的安全控制在工作负载之间横向移动，快速扩展攻击面。无法扩展：部署成百上千的防

15、火墙来保护数据中心中的每个工作负载是不可行且不切实际的。映射到网络拓扑的安全性：由数据中心服务器工作负载的物理位置确定的安全策略并不能满足业务和合规性要求，而且它过于僵化和复杂。这种传统的安全方法通常会导致应用程序部署中的重大延迟。回传的低效性：强迫东西向流量通过防火墙会形成阻塞点，并回传服务器流量，导致防火墙规则集和复杂性的蔓延。2022 微隔离技术与安全用例研究报告10大型安全区：在数据中心内部使用防火墙阻塞点，试图将其隔离，从而创建粗粒度的安全区域，但威胁仍能在这些大型分段隔离区内相对不受阻碍地移动。虽然外围安全是安全的重要因素，但它不应该是基础，就像建筑物的墙构成了关键的结构边界，但它

16、并不是基础，而是由地基提供了建筑的平台。为了有效地保护数据中心免受现代攻击，需要对各个工作负载进行微隔离。2022 微隔离技术与安全用例研究报告11第二章认识微隔离微隔离使企业组织能够有逻辑地将数据中心划分为不同的安全段，一直划分到各个工作负载级别，然后为每个唯一段定义安全控制并交付服务。这限制了攻击者攻破外围之后在数据中心内部横向移动的能力，就像银行保险库被破坏之后，保险箱还能继续保护客户的贵重物品。2.1 限制数据中心内的横向移动现代攻击利用传统以外围为中心的网络安全策略的固有弱点渗透到企业数据中心，在成功地避开了数据中心的周边防御后，可以在数据中心内的工作负载间没有阻碍地随意横向移动。数

17、据中心网络的微隔离限制了未经授权的横向移动。传统的包过滤和先进的下一代防火墙通过安全控制在网络上实现了物理或虚拟的“阻塞点”。当应用程序工作负载流量通过这些控制点时，根据在该控制点配置的防火墙规则，阻止或允许网络数据包穿越防火墙。使用传统防火墙进行微隔离有两个关键的操作障碍：吞吐量容量和安全管理。吞吐量容量的限制是可以克服的，但代价很大。可以购买足够的物理或虚拟防火墙来提供实现微隔离所需的容量，但对大多数企业组织来说，购买有效微隔离所需的防火墙数量在财务上是不可行的。2022 微隔离技术与安全用例研究报告12由于工作负载的大量增加，以及当今数据中心的日益动态化，安全管理负担呈指数级增长。如果每

18、次添加、移动或停用新主机时都需要手动添加、删除或修改防火墙规则，那么更改速度会很快压倒 IT 运营。正是这个障碍使得大多数安全团队开始了最佳布局计划，即在数据中心实现全面的微隔离或最小特权、单元级的信任策略。2.1.1 数据中心内部东西流量的增长过去十年中，应用程序越来越多地部署在多层服务器基础设施上，服务器与服务器之间的东西向流量比客户端与服务器或互联网之间的南北向流量占比更大。事实上，数据中心内部的流量现在占所有网络流量的 80%。这些多层应用程序基础架构通常很少或压根没有安全控制来限制分层系统之间的通信，并越来越多地利用 10 Gbps 以太网连接来实现最佳吞吐量和性能。攻击者通过修改攻

19、击策略，来利用数据中心流量的这种范式转变，以及以外围为中心的防御策略很少或根本无法控制数据中心内部网络通信的弱点。因此，安全团队必须将其防御策略扩展到数据中心内部，而不是只关注外围防御，因为占据网络流量大部分的内部流量没有受到保护。2.1.2 可见性和上下文数据中心内东西向流量的增长和服务器虚拟化的兴起导致数据中心缺乏可视性和上下文。2022 微隔离技术与安全用例研究报告13在大多数情况下，数据中心内的东西向访问不会通过防火墙，因此不会被检查。无论出于何种目的，网络安全团队都看不到该流量。当使用回传等技术迫使东西向流量通过防火墙时，会生成复杂且低效的通信路径，这对整个数据中心的网络性能会产生负

20、面影响。服务器虚拟化的创新远远超越了传统数据中心的底层网络和安全结构，这导致了数据中心可视性和上下文有限等问题的出现。虚拟服务器环境中，在配置了多个网卡(NICs)的单个物理主机上部署多个虚拟工作负载是很常见的。如果没有虚拟交换机，就无法轻易识别进出各个虚拟机的流量。这可能会给试图识别和解决问题的网络团队带来重大问题，同时也为攻击者提供沃土。因此，直观展示出各个服务器之间的访问关系对微隔离的实现至关重要。青藤零域微隔离安全平台由主机探针 Agent、计算引擎和控制台组成，支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境，异构环境对用户完全透明。主机探针 Agent：实时采集业务网

21、络连接和资产信息，接收服务端指令，管控主机防火墙。计算引擎：聚合、统计网络连接，进行可视化呈现，智能拆解策略下发给主机，并分析策略的覆盖情况。控制台：控制台可清晰展示网络连接和策略配置情况，用户通过控制台集中管理网络策略并进行隔离操作。2022 微隔离技术与安全用例研究报告14Agent 探针会自动采集主机的所有网络连接，并进行可视化展示。用户可以在多种视图中查看不同主机之间、不同主机分组之间的访问关系，比如连接状态、被访问者、进程、端口、协议、访问者、连接次数、首次连接时间、最近连接时间等字段，并且提供必要的网络信息和主机信息。以清晰直观的形式帮助用户梳理业务，为配置网络策略做准备。图 2-

22、1：青藤零域的访问关系可视化2.1.3 隔离隔离是网络安全中的一项重要原则，无论是为了合规性、控制，还是仅仅保持开发、测试和生产环境的分离。在物理设备上手动配置和维护的路由、访问控制列表（ACL）或防火墙规则一般用于在数据中心网络中建立和实施隔离。Forrester Research 概述了其信息安全和隔离的“零信任模型”，将外围安全控制扩展到整个数据中心。它要求企业组织保护外部和内部2022 微隔离技术与安全用例研究报告15数据资源，并实施严格的访问控制。零信任包含了“最低特权”原则，这是信息安全的基石，将访问和权限限制在执行授权功能所需的最低限度。另外，“信任，但要核实”是 20 世纪 8

23、0 年代的事。“永不信任，总要核实”才是网络安全的新范例。2.1.4 自动化自动化配置允许在以编程方式创建工作负载时调配正确的防火墙策略，而且这些策略可以在数据中心的任何位置或数据中心之间移动时对工作负载实现自适应。如果删除应用程序，其安全策略也会从系统中自动删除。此功能消除防火墙规则蔓延的痛点，这个痛点可能会留下成千上万条过时的防火墙规则，还会导致性能下降和安全问题。利用自动化，企业还可以将高级安全服务链接在一起，并根据不同的安全情况实施不同的服务，从而应用不同合作伙伴功能的组合。这使企业组织能够集成其现有的安全技术，在数据中心内构建更全面、更相关的安全功能。现有的安全技术与微隔离结合可以发

24、挥更好的作用，因为它们对数据中心内单个工作负载的主机流量具有更高的可见性和上下文，并且可以为单个主机工作负载定制安全操作，作为完整安全解决方案的一部分。例如，一个工作负载可能配置了标准防火墙策略，这些策略允许或限制其他类型工作负载的访问。同一策略还可以定义，如果在正常漏洞扫描过程中在工作负载上检测到漏洞，则将应用更严格的防火墙策略，将工作负载限制为仅允许用于修复漏洞的工具访问。2022 微隔离技术与安全用例研究报告162.2 微隔离的基本要素实现三个微隔离的关键要素：持续性、普遍性和可扩展性。2.2.1 持续性安全管理员在为工作负载提供安全防护时，尽管环境发生了变化，安全防护仍要继续。这一点至

25、关重要，因为数据中心拓扑结构在不断变化：网络重新编号、服务器池扩展、工作负载移动等等。与这些变化相对应的是，工作负载本身及其安全需求没变。但在不断变化的环境中，首次部署工作负载时配置的安全策略可能不再具有可执行性，特别是当策略的定义依赖于与 IP 地址、端口和协议等工作负载的松散关联时。从一个数据中心移动到另一个数据中心，甚至移动到混合云（例如，实时迁移或灾难恢复）的工作负载加剧了这种持久安全防护的困难性。微隔离为管理员提供了更有用的描述工作负载的方式。除了依赖于 IP 地址，管理员还可以描述工作负载的固有特征，并将这些信息与安全策略联系起来。比如：这是什么类型的工作负载（例如，web、应用程

26、序或数据库）？此工作负载将用途是什么（例如，开发、存储或生产）？此工作负载将处理哪些类型的数据（例如，低敏感度、财务或个人身份信息）？管理员甚至可以使用微隔离来把这些特征结合起来，以定义策略属性。例如，处理财务数据的工作负载要有一定级别的安全性，但处理财务数据的生产工作负载要具备更高级别的安全性。2022 微隔离技术与安全用例研究报告172.2.2 普遍性一方面，传统的数据中心架构优先考虑重要工作负载的安全性，而往往忽略优先级较低的系统。另一方面，传统的网络安全部署和管理成本高昂，管理员被迫陷入必须定量供给安全防护的境地。攻击者往往利用这一点，以防护级别较低的系统作为进入数据中心的渗透点。为了

27、提供足够的防御级别，数据中心的每个系统都要具备高级别的安全防护。微隔离可以通过将安全功能嵌入数据中心基础设施来达成这一目标。通过利用这种广泛使用的计算基础设施，管理员可以依靠安全功能的可用性来处理数据中心内部大量的工作负载。2.2.3 扩展性除了持久性和普遍性之外，安全管理员还要依赖微隔离来适应新的和不断发展的情况。就像数据中心拓扑结构在不断变化一样，数据中心内部的威胁拓扑也在不断变化：新的威胁或漏洞被暴露，旧的威胁或漏洞变得无关紧要，而用户行为是不断震惊安全管理员的不可避免的变量。面对新出现的安全场景，管理员可以利用微隔离将额外的安全功能集成到他们的防御组合中来扩展功能。例如，管理员可能从分

28、布在整个数据中心的状态防火墙开始，然后添加用于深度数据包检测 (DPI) 的下一代防火墙和入侵防御，或添加无代理反恶意软件以提高服务器安全性。微隔离通过在安全功能之间共享情报来满足这一需求。这使得安全基础设施可以相互协作来对独特情况做出个性化响应。2022 微隔离技术与安全用例研究报告18例如，基于恶意软件检测，防病毒系统与网络协调，将流量镜像到入侵防御系统（IPS），后者反过来扫描异常流量。微隔离的可扩展性实现了这种动态功能。如果没有它，安全管理员将不得不预先配置不同的静态服务链，每个服务链对应不同的可能出现的安全场景。这需要在初始部署过程中预先考虑到每一种可能的安全场景！2.3 用微隔离实

29、现最小权限和单元级信任假设威胁可能潜伏在数据中心的任何地方，这是一种谨慎的安全方法，需要建立最低权限和单元级信任模型。最低权限和单元级信任共同实现了一种积极的控制模型，该模型在非常细粒度的级别上实现了“从不信任，始终验证”的安全策略，一直至单个工作负载。最低权限始于对数据中心的任何实体或对象，没有默认信任级别，包括网段、服务器工作负载、应用程序和用户。单位级信任要求企业建立信任边界，以非常细粒度的级别有效划分数据中心环境的不同部分，并让安全控制尽可能靠近需要保护的资源。最小权限和单元级别的信任需要持续监控和检查所有数据中心流量，以确定威胁和未经授权的活动。这包括南北向（客户端-服务器和因特网）

30、和东西向（服务器-服务器）流量。微隔离通过在极细粒度的级别上建立多个信任边界，并对数据中心中的单个工作负载应用适当的策略和控制，从而实现有效的最小权限和单元级信任安全策略。微隔离允许组织采用最小权限、单元级的信任策略，这有效限制了攻击者在数据中心内横向移动和渗透敏感数据的能力。2022 微隔离技术与安全用例研究报告192.4 什么不是微隔离微隔离的概念并不新鲜，但微隔离的落地实现却是新的。与任何新的技术创新一样，对于微隔离的功能和限制存在很多困惑。因此，是时候揭穿一些关于微观隔离的神话了。微隔离并不能取代部署在数据中心外围的硬件防火墙。硬件防火墙平台的性能容量旨在控制进出成百上千个同步数据中心

31、工作负载会话的流量。微隔离使企业组织能够以前所未有的创造性方式定义组。由于网络管理程序无处不在的性质及其对数据中心中各个工作负载的独特可见性和理解，智能网络和安全策略分组应基于以下特征（见图 2-2）：操作系统机器名称服务多层监管要求唯一标签2022 微隔离技术与安全用例研究报告20图 2-2：由自定义标准定义的智能分组这种粒度级别可能需要在数据中心内部署数千个防火墙，物理的、虚拟的或两者兼有，这对于大多数组织来说在财务或运营上都是不可行的。尽管微隔离支持在单个工作负载级别部署和集中管理、自动化和编排数十万个单独的防火墙，但微隔离既不是硬件定义的解决方案，也不是虚拟设备。防火墙规则管理和自动化

32、都是微隔离的重要能力，但它们本身并没有定义微隔离。第三章 安全工作流自动化通过微隔离，允许安全工作流实现自动化，如资源调配、移动/添加/更改、威胁响应和安全策略管理，以提高数据中心的准确性和整体安全性。2022 微隔离技术与安全用例研究报告213.1 为软件定义的数据中心创建安全策略通过根据工作负载的属性进行智能分组，并应用适当的安全策略，可以实现有效的安全防护。一般情况下，可以以多种方式创建安全策略规则，如图 3-1 所示。图 3-1：基于网络、基础设施和基于应用程序的策略。基于网络的策略可用于静态环境。在更动态的环境中，策略需要随着应用程序的动态特性而发展3.1.1 基于网络的策略基于网络

33、的安全策略通过对第 2 层或第 3 层元素进行分组来实现，例如媒体访问控制 (MAC) 或互联网协议 (IP) 地址。安全团队需要了解网络基础设施来部署基于网络的策略。由于不使用基于动态属性的分组，因此出现安全规则扩展的概率很高。如果只从2022 微隔离技术与安全用例研究报告22不同的供应商防火墙迁移现有的规则，那么这种分组方法会达到很好的安全效果。在动态环境中，例如自助服务 IT 供应和云自动化部署，用户需要添加或删除主机，应用程序拓扑快速变化，基于 MAC 地址的分组方法可能不合适，因为配置主机和添加 MAC 地址之间可能存在显著延迟。在具有高工作负载移动性（例如，迁移虚拟机和高可用性）的

34、数据中心环境中，基于第 3 层 IP 的分组方法也可能不够充分。3.1.2 基于基础设施的策略数据中心基础设施元素，如群集、分布式端口组等。基于基础设施安全策略的一个示例是将支付卡行业(PCI)持卡人数据环境(CDE)分组在单个虚拟 LAN(VLAN)中，并根据 VLAN 名称应用适当的安全规则。有效的基于基础设施的策略需要安全团队和应用程序团队之间的密切协调，以理解数据中心内的逻辑和物理边界。如果数据中心内没有物理或逻辑边界，那么基于基础设施的策略方法是不可行的。用户还需要了解在此场景中可以部署应用程序的位置。例如，如果用户需要灵活地将 PCI 工作负载部署到任何具有足够计算资源的集群，则不

35、能将安全态势绑定到特定集群。相反，安全策略应该随应用程序一起移动。3.1.3 基于应用程序的策略基于应用程序的策略基于各种可定制的机制对数据中心元素进行分组，例如应用程序类型(例如，标记为“Web_Servers”的主机)、应用程2022 微隔离技术与安全用例研究报告23序环境(例如，所有标记为“Production_Zone”的资源)和应用程序安全姿态。这种方法的优点是，应用程序的安全态势不与网络构造或数据中心基础设施绑定。安全策略可以与应用程序一起移动，而不考虑网络或基础设施的边界，并且可以跨类似的应用程序类型和工作负载实例创建和重用策略模板。要实现基于应用程序的策略，安全团队只需要知道它

36、正试图基于这些策略进行保护的应用程序。安全策略遵循应用程序从策略创建到销毁的全生命周期。基于应用程序的策略方法支持自助服务 IT 模型。在不了解底层拓扑结构的情况下也能创建可重复使用的安全性规则和模板。由此可见，基于基础设施和应用程序的策略提供了相对更好的微隔离安全模型。3.2 适应变化在当今世界的任何地方，变化都是不间断的，数据中心也是如此。IT部门正在努力满足日益苛刻和动态的业务需求。这种能力和服务交付的差距已经变得非常明显，并且被当前的趋势进一步加剧，例如服务器虚拟化和云计算。这些趋势可以实现更高的业务敏捷性，并带来更多相应的变化。网络和安全团队尤其感到压力，因为他们被迫使用跟不上业务和

37、其他功能性 IT 领域需求的工具和解决方案。在过去，我们主要通过防火墙来实现隔离，在那个时候，策略的管理和隔离的动作都是发生在防火墙设备上的。主机防火墙也是如此，它2022 微隔离技术与安全用例研究报告24的策略也是配置在主机上的。这些策略一般在防火墙上线部署的时候配置上去，然后在整个防火墙的生命周期内基本不做调整。然而，进入到云计算时代之后，如此多分散的独立工作的控制点变得非常难以维护和过于僵化，进而导致云的使用者只能在安全与业务之间二选一。要安全，业务就无法快速交付；要业务，就无法进行有效的安全管理。这种局面呼唤了软件定义隔离这种技术形态的出现。软件定义隔离与传统防火墙最本质的区别在于它把

38、策略从每一个分散的控制点上给拿出来了，放在一个统一集中的地方进行设计、管理和维护。原则上，安全管理者不必要了解下面的控制点在哪里，也不必再对每一个控制点进行策略配置和维护，这些工作都将由策略管理中心来自动完成。青藤零域微隔离安全平台可部署在混合数据中心架构中，用户可以基于控制台实现跨平台的统一安全管理。产品覆盖多个维度的管理场景，通过自主学习分析、可视化展示业务访问关系，可基于简明易读的标签，或精确的 IP 地址配置多种形式的策略；可按照业务分组进行粗粒度管控，或进行细化到端口的精细化管控。业务或 IT 环境发生变化时可自适应调整发布到主机的网络策略，实现自动化运维。2022 微隔离技术与安全

39、用例研究报告25图 3-2：青藤零域微隔离安全平台的构成3.3 威胁响应针对数据中心的现代攻击不仅复杂，而且还在迅速演变。这同样需要快速、适应性强的响应。这种响应只有通过自动化的安全工作流才能有效地实现，因为如今的攻击者拥有相应工具和资源来自动修改威胁或攻击，以避开数据中心的静态安全控制和反应性对策。微隔离提供了匹配这种功能的能力，并通过同样复杂的、细粒度的安全控制和应用于数据中心的各个工作负载的工作流来阻止攻击。例如，微隔离使安全团队能够实施安全策略，在特定的多层应用程序体系结构中提供安全性。在正常操作条件下，此策略只执行基本的安全访问控制和恶意软件扫描，将对应用程序性能的影响降到最小。但是

40、，如果检测到恶意软件威胁，安全策略可以立即将应用程序及其受影响的组件与网络其余部分隔离，以防止对该应用程序或数据中心任何其他应用程序的进一步利用。然后，新应用的策略可能需要通过集成的下一代防火墙进行深度数据包检查（DPI），以识别可能使用策2022 微隔离技术与安全用例研究报告26略的其他威胁，如安全套接字层（SSL）隐藏或端口跳转，来逃避检测和泄露敏感信息。图 3-3 和图 3-4 分别展示了多层应用程序中微隔离的物理视图和逻辑视图。图 3-3：多层应用中微隔离的物理视图图 3-4：多层应用程序中的微隔离的逻辑视图2022 微隔离技术与安全用例研究报告27第四章微隔离部署过程及安全用例目前，

41、市面上对于微隔离产品还没有统一的产品检测标准，它属于一种比较新的产品形态。因此在选择微隔离产品或部署方案的时候可以参考 Gartner 列出的以下几点。Gartner 给出了评估微隔离的几个关键衡量指标，包括：是基于代理的、基于虚拟化设备的还是基于容器的？如果是基于代理的，对宿主的性能影响性如何？如果是基于虚拟化设备的，它如何接入网络中？该解决方案支持公共云 IaaS 吗？Gartner 还给客户提出了如下几点建议：欲建微隔离，先从获得网络可见性开始，可见才可隔离；谨防过度隔离，从关键应用开始；鞭策 IaaS、防火墙、交换机厂商原生支持微隔离；从技术层面看微隔离产品实现主要采用虚拟化设备和主机

42、 Agent 两种模式，这两种方式的技术对比如下表：2022 微隔离技术与安全用例研究报告28图 4-1：微隔离两种实现方式的技术对比总体来说两种方案各有优缺点：如果环境中租户数量较少且有跨云的情况，主机 Agent 方案可以作为第一选择；如果环境中有较多租户分隔的需求且不存在跨云的情况，采用SDN 虚拟化设备的方式是较优选择，主机 Agent 方案作为补充。另外，主机 Agent 方案还可以结合主机漏洞风险发现、主机入侵检测能力相结合，形成更立体化的解决方案。顺带提一句，青藤可基于同一个轻量 Agent 承载微隔离、主机安全、容器安全等众多安全能2022 微隔离技术与安全用例研究报告29力，

43、并可持续扩展。不仅完全覆盖了各种安全场景，降低管理员的使用成本，还能实现对业务的 0 影响，满足用户安全与业务兼顾的需求。图 4-2：青藤通过同一个 Agent 可实现多种功能4.1 实现微隔离微隔离的核心设计原则（参见图 4-3）包括：分离和分隔单位级信任/最低权限普遍性和集中控制2022 微隔离技术与安全用例研究报告30图 4-3：微隔离的核心设计原则要实现微隔离的单元级零信任模型，首先要了解数据中心内的流量。然后分析工作负载之间的访问关系。最后，创建一个与每个工作负载的安全需求相一致的策略模型。4.1.1 确定网络流量了解网络流量如何流入、流出，以及在数据中心内的流动是第一步，基于此可以

44、发现流量效率低下或可能被利用的安全漏洞，这些漏洞可能已经休眠多年。2022 微隔离技术与安全用例研究报告31通过查看周边防火墙上的现有规则，并将南北和东西流量分离、分析。各种流量监控工具，如 IPFIX（NetFlow）或 syslog，可以用来收集和分析这些流量，并可以与现有防火墙进行关联。回传式的流量模式通常表示东西向流量。分析现有防火墙规则有助于理解如何使用逻辑交换机和虚拟化网络覆盖的路由来替换回传流量。4.1.2 识别模式和关系将现有外围防火墙的规则与从流量监控工具收集的流量模式相关联，为微隔离模型提供了一组初始安全策略。流量模式可以帮助用户深入了解数据中心内部存在的关系。例如，每个工

45、作负载如何与共享 IT 服务、其他应用程序或用户，以及如何跨不同的环境交互，比如生产与开发或测试。了解这些关系将有助于定义适当的隔离区域，并管理它们之间互动的规则。例如，可以为每个应用程序创建一个微隔离区域，然后控制与其他区域的通信，如活动目录（AD）、域名称服务（DNS）、网络时间协议（NTP）等共享IT 服务。微隔离定义的常见示例包括按业务部门或租户、环境、应用程序、用户访问、数据的分类或合规性。4.1.3 创建并应用策略模型要启用微隔离的单元级零信任模型，要从“默认块”策略模型开始，这个模型不允许数据中心的各个工作负载之间进行通信。就像银行的每扇门和抽屉都被锁上一样。然后根据对流量模式和

46、关系的分析，定2022 微隔离技术与安全用例研究报告32义安全策略，再根据需要逐步打开工作负载之间的特定通信通道。这是通过微隔离保护数据中心的最佳实践方法。对用户来说，数据中心有部分流量和关系很难理解。在这些情况下，要谨慎地使用“默认允许”策略（基本上保持锁打开），以防止应用程序的服务中断。然后关闭识别到的不适当的通信通道，以阻断这些主机之间的通信。根据工作负载和应用程序/用户/数据上下文随时间产生的变化，调整安全策略模型以适应工作负载不断变化的安全需求，提供不间断的相关安全控制。4.2 微隔离安全用例企业正使用网络虚拟化来交付大量新的安全用例和高价值的 IT 成果，这是传统网络基础架构不可能

47、实现的。IT 还能以更快的速度、更低的成本执行现有操作。同时，他们建立了一个战略平台，使 IT 自动化，并随着时间的推移驱动更多的用例。安全用例主要包括灾难恢复、自助研发 (R&D) 云、云应用程序可移植性和数据中心迁移、IT 自动化和编排以及基础设施优化和更新。以下部分重点介绍了三个其他用例：服务器到服务器的流量、多租户和虚拟桌面基础架构 (VDI)。2022 微隔离技术与安全用例研究报告334.2.1 数据中心内部的网络安全通过与单个工作负载相关联的自动化、细粒度策略，微隔离为数据中心带来了安全性。微隔离有效地消除了数据中心内威胁的横向移动，大大减少了总攻击面。随着虚拟化服务器平台上的多层

48、应用基础设施的部署，数据中心内的东西向流量不断增多。这种网络流量通常不受传统安全控制的阻碍，相反，由于安全设计存在缺陷，它针对最大性能和吞吐量进行了优化，该设计假设威胁在外围防火墙处被阻止并且数据中心内的任何东西都是可信的。由于主流新闻媒体报道的每个引人注目的数据安全漏洞都暴露了这种安全设计的谬误，因此企业组织都忙于通过效率低下的做法来补救这种情况，例如在现有的数据中心通过防火墙阻塞点回传东西向流量。而微隔离假设了一个单元级、零信任的安全模型，默认情况下会阻止所有通信通道，并要求明确允许横向流量，因此消除了这些潜在的基本安全问题。4.2.2 在任何地方都能创建 DMZ当今快节奏的全球经济正在推

49、动企业要求用户随时随地在任何设备上访问数据中心。为了安全地支持业务并在任何地方提供访问，IT 在任何地方都需要创建一个 DMZ。微隔离允许将安全控制分配给单个工作负载，而不是底层网络拓扑。此功能使用户可以应用高级安全服务，并限制或允许对数据中心内任何系统的互联网访问，而不管其在网络中的位置如何。因此，网络边2022 微隔离技术与安全用例研究报告34界和 DMZ 不再由互联网和数据中心之间的物理防火墙定义。相反，它是为数据中心内的每个唯一工作负载定义的。4.2.3 安全的用户环境许多企业已经部署了虚拟桌面基础设施(VDI)来利用数据中心之外的虚拟化技术（见图 4-4）。微隔离使这些组织能够将数据

50、中心工作负载级的许多安全优势扩展到桌面，甚至移动环境，包括：将关键网络和安全功能集成到 VDI 管理中消除不同 VDI 用户的复杂策略集和拓扑设置防火墙和流量过滤，并为逻辑分组分配策略将安全策略与网络拓扑分离以简化管理图 4-4：在 VDI 环境中的微隔离2022 微隔离技术与安全用例研究报告35这些安全和细分用例只是展示网络虚拟化诸多好处的几个示例。其他用例还包括自动化 IT 流程以跟上业务需求、保护多租户基础架构、促进灾难恢复、实现应用程序连续性等。2022 微隔离技术与安全用例研究报告36第五章微隔离在业务和功能方面的利益微隔离极大地改变了数据中心内部的网络安全，还带来了诸多业务和功能方