一、微分段需求背景
【资料图】
过去的十年,IT基础设施的运营模式进行了多次的演进。云,正式成为一种不可忽略的架构被广泛的接收,数据中心愈发复杂,其在地域上覆盖的广度、架构的深度都有了极大的延伸。而数据,随着这些模式的迭代,达到了前所未有的体量,并且更加分布式的散落在各个角落。其价值不言自明。企业的知识产权、财务状况、用户信息等时刻经受考验,在新出台的等保2.0中,针对数据的安全防护力度也更加细化。这些都对企业的数据中心网络及安全架构提出了更高的要求。
当然,更多、更精细的安全防护意味着管理开销与性能消耗,这些成本并非毫无意义,但对企业的安全和风险管理人员而言,必须要全方位的考虑安全架构,同时保障企业的运营效率。这就需要,通盘考量数据中心网络和安全设计,有的放矢采取不同的“微分段”手段,来进行高效且精准的防护。
二、Gartner看“微分段”
Gartner于2021年发表了《Three Styles of Identity-Based Segmentation》,即《三种基于身份的分段方法》,这些方法是基于Gartner对全球各行业客户的调研和总结。
“基于身份的分段(称为微分段或零信任分段)限制了恶意流量的横向移动。安全管理员选择正确的微分段方法,可以有效地降低环境的风险。”——摘录1
“市场上可用的微分段解决方案有很多,其区别在于部署模型。由于有多种方法可以实现微分段,因此企业的安全和风险管理专业人员应选择与其数据中心最相关的解决方案。”——摘录2
(三种基于身份的分段方法:Agent-based 基于代理,Network-Based基于网络,Hypervisor-Based基于虚拟化)
由于不同的方法对环境的要求不一,其精细化程度不尽相同,所带来的运营开销和管理复杂度自然有所差异,因此,企业更应该考虑针对各异的业务体系、流量模型和基础设施架构,甄别出适合的微分段方法,对各种方法相结合的灵活运用,以期达到安全性、业务性能与成本开销的最佳平衡。
在本期ArSDN的技术探讨中,我们对基于网络的分段方法及其适用场景进行分享。
(Agent-Based通过在终端安装插件/代理的方式来进行的探测和分析,更多为专用的安全设备所采用,不在此展开)
基于网络的分段方法
在Gartner针对基于网络的分段方法中,提出了两种解决方案。其一是基于可编程结构,通过网络控制器发布API来满足网络可编程性,通俗来说,就是在底层网络设备或网络节点上插入“探针”,使其具备为工作负载提供微分段、威胁检测以及隔离能力。这种方案显然会对网络架构的部署带来很大的复杂性,并且对现有的业务负载有较多的“侵入”和占用。
而第二种基于网络的分段则是覆盖网络(Overlays)解决方案,即利用VxLAN隧道封装,使得东西向流量可以在该隧道内进行深度包检测。这种方案无疑可以获得更好的组网灵活性,此外,借助覆盖网络(Overlay)的便利性,这种解决方案还可以更加自如的将第三方的网络控制、安全分析与监测等服务“串联”起来形成有效的防护链条。因此,基于VxLAN的overlay网络方案非常适用于具有一定规模的网络覆盖场景,以及需要全面、立体的安全防护场景。值得一提的是,这种方案可以覆盖位于数据中心和云网络的虚拟化环境、物理服务器以及边缘场景等等。
因此,我们认为企业在虚拟云网络的规划之初,便应将覆盖网络(Overlay VxLAN)作为关键手段之一。除了天然的隧道封装为业务带来的安全区隔,VxLAN二层报文的本质使得这种方法可以将网络和安全的设计无限贴近业务侧,极大的简化了“纵向多层级”网络架构。同时,针对集团企业、专用云平台等场景,借助VxLAN所划分的虚拟网络(VPC)可以实现各个租户/业务的“网络自治”,也就是说,各部门、各租户针对私有网络的设计完全独立,互不干扰,显著降低了IT成本和运维复杂度,提高了部署灵活性。
VxLAN最核心的业务价值在于:
为分散的站点提供网络互联
为海量的业务租户提供隔离网络环境
VxLAN最核心的技术价值在于:
不限软件架构:适用于各类虚拟化(含容器)或裸金属;
不限硬件架构:适用于x86/ARM等架构;
不限地理位置:同一个数据中心或跨多数据中心均可覆盖
不限网络规划:IP地址可重合
不限规模:可支持约1600万个租户网络
虽然基于VxLAN的网络方案是当今市场上最为主流的分段方法之一,其对绝大多数仍采用“VLAN+IP-based防火墙”进行网络划分与隔离的用户而言,改造和学习成本都很大,同时,如前文所述,该分段方案并非放之四海而皆准的手段,也远不能一劳永逸,它需要与“基于虚拟化的分段方法“等更加精细化的手段协同使用,才能实现安全、性能与成本的最佳平衡。这就需要企业在挑选技术方案和产品时,综合评估,全面考量。
安超软件定义网络ArSDN针对“微分段“的研究已有多年,其产品的设计思路与Gartner对微分段的理解不谋而合。而且,ArSDN充分立足用户出发,其VxLAN虚拟网络的设计与搭建无需对现有的物理网络进行改造,并完全可以满足上文中所述的VxLAN功能场景。
此外,在2021年初,ArSDN已将“基于虚拟化的分段方法“——微分段防火墙正式发布,微分段防火墙正式以”零信任“为参考模型,为每个业务、虚机乃至容器提供了最小粒度的分段,如此一来,将网络层面VxLAN与虚拟化层面的微分段防火墙有机结合,用户便可以获得极大的网络设计灵活度与极佳的安全保障。
在下一期的ArSDN技术探讨中,我们将进一步为您讲解Gartner对于“Hypervised-Based”的分段方法的分析以及ArSDN在该方向研究的成果。
【广告】
(免责声明:此文内容为广告,相关素材由广告主提供,广告主对本广告内容的真实性负责。本网发布目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,请自行核实相关内容。广告内容仅供读者参考。)