微隔离实施五步法，让安全防护转起来

前言

零信任的最核心原则→最小权限

安全的第一性原理→预防

零信任的最佳实践→微隔离

“零信任”这个术语的正式出现，公认是在2010年由Forrester分析师John Kindervag最早提出。时至今日，“零信任”俨然已成安全领域最热门的词汇，做安全的不提自己是基于零信任原则，就跟2012年做网络的人说自己不基于SDN一样落伍。零信任是不是一个被过度营销的术语？零信任架构、零信任原则，零信任与微隔离的关系等又该如何解读？

小德今天在这里要跟大家分享一些德迅云安全对零信任的思考和微隔离的实践，零信任是目的，微隔离是手段，所以重点是零信任。

从“零信任”的起源看其发展

首先谈谈我对零信任的理解，我看待一个新的技术或者理念通常有这样一个心法，那就是先把时间轴拉长，从宏观上看它的发展历程，然后再微观上看，也就是聚焦到最近的集大成者。

这个是零信任的发展历程，2010年由Forester的首席分析师John Kindervag首先提出，那时的理念就是把所有接入设备都连到一个超大的NGFW上做网络微隔离，这是第一代零信任概念

然后是2011年到2017年，Google的BeyondCorp项目和论文，让我们相信SDP理念是可以真正落地的。

在这期间，也就是2013年，CSA成立了SDP工作组并发布了标准规范，掀起了基于SDP技术的零信任产品创业浪潮。一度让业内忘记了第一代零信任概念，认为SDP才是零信任，而微隔离不算。

然后时间来到2017年，Gartner也开始跟进零信任，他不能重新定义，但是他可以用，他整了个CARTA框架，说零信任是CARTA的第一步，这就层次更高了，另外还给SDP起了个业务名字，叫ZTNA。

然后2018年Forester那边赶快对零信任理念来了个扩展，不只看网络，还得看用户，设备，工作负载，不只做微隔离，还得做可视化，分析，自动化编排。这个扩展很重要，相当于给最后的集大成者提供了基础框架。

时间来到2020年，NIST发布了零信任架构白皮书，终于对零信任做了正式定义，不是新产品新技术，而是解决方案，并给出IAM，SDP，微隔离是零信任三大落地实践的指导意见，这就把我们这些做微隔离的给救了，业内终于认可微隔离也是零信任。

终于最后的集大成者出现了，就在两个月前，5月12日，美国拜登政府发布了行政令，要求联邦政府必须使用零信任架构，第二天也就是5月13日，美国国防信息系统局就发布了国防部零信任参考架构。

咱们接着就来从微观上看看这个DOD的零信任架构和它提出的成熟度模型。看用户，看设备，看网络，看工作负载，看数据，做精细的接入控制，做微隔离，做可视化，做自动化编排和响应，怎么样，就是从Forester那个零信任扩展来的吧，人家还给出了三个成熟度等级，让你别急慢慢做，最小权限原则是核心，贯穿三个等级，顺便提一下，微隔离也是贯穿三个等级的，不断增强，不止这两个图，还有个七大支柱和每个支柱上功能点之间的依赖关系，妥妥的落地实践指南，你想不会做都难。

本论点的主题是6A，当然也要讲讲小德的理解，这里的心法就是看变化，以前咱们都提4A嘛，新出来哪两个A呢，一个是控制，一个是应用，我想这是让我们重拾网络安全的第一性原理，我认为是预防，而网络安全的预防就是最小权限的访问控制，不只控制客户端访问服务端，还要控制服务端内部应用跟应用之间的互访，做到6A，你也就做到了零信任。

微隔离的技术背景

微隔离，故事就简单了，因为大家早就被各微隔离厂商灌输的太多了。

Gartner给出的三种微隔离技术实现，云平台原生的，第三方虚拟化防火墙的，第三方主机Agent的，没有谁好谁不好，只有不同的客户业务环境下谁更合适。

Gartner2020年的云安全技术成熟度曲线，微隔离已经进入了光明爬坡期，市场价值和技术成熟度都肯定没争议了。

Gartner云工作负载保护控制分层体系，也就是CWPP，核心功能要求微隔离。 

Gartner容器安全控制分层体系，基础控制要求微隔离。

微隔离： 零信任三大技术方案之一

隔离从来都是一种高效可行的安全手段，微隔离技术的出现恰好能满足新环境、新业务对安全保障的需求。

事实上，微隔离是最早的一种对零信任概念的具体技术实现，这是因为微隔离技术与零信任安全模型有着天然的契合性。

传统的安全模型将网络划分为不可信和可信两个区域，用防火墙或网络设备的ACL将网络切分边界进行隔离，防火墙外部是不受信任的，内部则认为是安全可信的。

在零信任体系中，安全将不再区分网络的内部、外部，而是深度嵌入业务体系之中，构建自适应的内生安全机制，通过与传统防火墙、入侵防御等产品的互补，实现更统一、易用的防护体系。 

零信任安全针对传统边界安全架构思想进行了重新评估和审视，以“持续信任评估，动态访问控制”为核心原则，因此，基于“软件定义边界（SDP）”、“增强身份管理（IAM）”和“微隔离”构成了零信任领域的三个技术基石，以减少暴露面和攻击面，控制非授权访问，实现长期的网络安全保障。 

其中，SDP技术是用于实现南北向安全的（用户跟服务器间的安全），微隔离技术是用于实现东西向安全的（服务器跟服务器间的安全），IAM技术用于资源之间彼此的访问关系授权。 

将微隔离技术与零信任架构相结合，可以实现进程级别的访问控制与隔离，防止攻击者使用未经批准的连接或恶意代码，从已经受到攻击的应用程序或进程横向移动感染其他进程。 

举个例子，如果黑客已经攻进了一个服务器，那么他就可以利用这个服务器做跳板，进一步攻击网络中的其他服务器。 

但微隔离可以阻止这种来自内部的横向攻击。微隔离通过服务器间的访问控制，阻断勒索病毒在内部网络中的蔓延，降低黑客的攻击面。 

这正好符合了零信任的原则：假设已经被攻破；持续验证，永不信任；只授予必须的最小权限。

微隔离的实现方式

目前，微隔离已有多种实现方式，企业可以根据自身需要进行选择。

1. 云原生控制

这种在虚拟化平台提供者中比较常见，在虚拟化平台、laas、hypervisor或者基础设施中提供，比如阿里云、VMware NSX等。

优势是与云平台整合的更加完善，属于同一供应商，支持自动化编排。但劣势在于只支持自身虚拟化平台、不支持混合云；更适合于隔离，而不是访问控制；东西向的管理能力有限。

1. 第三方防火墙

主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力，如：入侵检测、防病毒等功能，能集成IPS、av等功能，与防火墙配置逻辑一致，普遍支持自动化编排。

但劣势也很明显，需要与虚拟化平台做对接，费用高，且有性能损耗。

1. 基于主机代理模式

这种模式就是采用Agent，将Agent部署到每台主机（虚拟机）中，Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种方式就是用微隔离实现零信任的模式之一。

优势在于与底层架构无关，支持多云和容器；主机迁移时安全策略也能跟随着迁移；支持自动化编排。

缺点在于必须在每个服务器上安装agent客户端，有人会担心资源占用问题，担心影响现有业务。

1. 混合模型

一般都是通过其它模式组合使用，例如本地与第三方组合。

优势是可以基于现有的内容进行升级改造，在不同的位置使用不同模式的优势。但缺点是通常无法统一管理，需要多种管理工具，且云厂商往往对第三方产品的支持度不够高。

总体来说，四种方案各有优缺点，需要企业安全团队结合自身的实际情况来优化和处理。

如果环境中租户数量较少且有跨云的情况，主机Agent方案可以作为第一选择。

如果环境中有较多租户分隔的需求且不存在跨云的情况，采用SDN虚拟化设备的方式是较优的选择，主机Agent方案作为补充。

另外，主机Agent方案也可以结合主机漏洞风险发现、主机入侵检测能力相结合，形成更立体化的解决方案。

蜂巢的微隔离之路

定义：蜂巢微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习，提供自适应、自迁移、自维护的网络隔离策略，帮助用户快速、安全地落地容器微隔离能力。

模块介绍：

提供业务视角的网络拓扑关系——基于实际业务的⼯作负载可视化展示容器间的访问⾏为，清晰展示网络拓扑关系，方便运维和安全人员理解。

覆盖各种云原生场景的隔离策略——

集群内网络隔离 可设置基于Namespace、Label、Controller、IP/CIDR的隔离策略。 集群间网络隔离 可设置基于集群与非容器集群，集群与外部网络之间的隔离策略。 纯容器与胖容器 针对纯容器与胖容器提供不同的隔离策略。

提供“告警”模式，让用户放心设置策略——针对工作负载提供“仅告警”业务模式，不下发实际的隔离策略，而是模拟下发的情况，当发现偏离策略的行为则进行告警提示。通过此种模式，可避免因隔离错误而对业务造成影响。

全面适配云原生的网络环境——适配Underlay、Overlay、Vxlan、Macvlan、Ovs等诸多网络架构。

微隔离的实施过程

微隔离的实践，实施过程五步法，是我们从用户的使用过程中总结出来的。

定义资产就是从云平台同步资产的ID信息，因为后面做流量可视化和微隔离策略都是面向资产ID开展的。

梳理业务模型就是流量可视化，可视化出来哪些是合法的访问，哪些是非法的访问，后面好做微隔离策略。

实施保护就是配置网络微隔离策略，阻断哪些，放行哪些。

细化安全策略是对放行的流量说的，要进一步做应用层安全检查。

最后一步，持续监控就是对被微隔离控制住的攻击和违规进行溯源调查，持续优化微隔离策略，让PDCA转起来。

如何检验微隔离的效果？

检验微隔离是否真正发挥效果，最直接的方式就是在攻防对抗中进行检验。企业可以模拟以下几个场景进行检验： 

• 互联网一台主机被攻陷后，能够触达内部多大范围的主机和工作负载；
• 同一业务区域一台主机被攻陷后，能否攻陷该业务区域的其他主机和工作负载（所有工作负载都存在可以利用的漏洞）；
• 某一业务区域一台主机被攻陷后，能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载；
• 内部一台主机被攻陷后，能够触达到域控主机以及能否攻陷域控主机（域控主机存在可以利用的漏洞）；
•  内部一个容器工作负载被攻陷后，能够触达内部其他多少个容器工作负载；能否通过该容器渗透到宿主主机；
•  以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到，是否有明显报警标记。

 事实上，从原有的传统安全架构升级到零信任架构注定是一个长期的整体工程，这是一个不断自我提升和完善的过程，因此在微隔离的建设规划中，企业应该专注于自身安全防御能力的提升和优化，将策略和技术手段结合起来，来制定一个适合自身的建设方案。 

同时，企业安全部门还可以根据自身业务的实际情况，模拟更多的攻防对抗场景进行检验，才能做到“知己知彼，百战不殆”。