微隔离——帮助企业在云安全领域降低网络内部攻击面

随着云计算的蓬勃发展，云安全也成为当下企业关注的重点，如何帮助企业，特别是应用扁平网络的企业，打造一个更为安全的云计算应用环境，始终是云安全厂商研发和创新的重点。

当前，大多数应用扁平网络的企业，安全建设的重点仍然在网络的边界，一直以南北向防御为主，东西向防御十分薄弱。尽管这些企业在边界建造了越来越坚固、越来越高的“墙”来保护云安全，但这些措施并不能有效地阻止那些顽固的、有充分能力和资源的攻击者。对于内部安全十分脆弱的扁平网络架构，更应该关注东西向防护。

云安全形态复杂，扁平网络风险更大

面对当下新的云安全态势，扁平网络面临着多种风险。攻击者往往首先攻击一个系统或设备作为“跳板”，然后在网络中横向移动，以获得最有价值的资产，而且往往会建立多个“联络点”，并隐藏起来，防止单点暴露后的“全军覆没”。在扁平网络中，默认策略是允许所有设备和应用彼此通信，所以很难确定主机间连接和数据流的合法性。就算一些严格的企业在业务上线时要求上报业务访问关系，但实际环境中一是无法获取内部实际的访问情况，二是没有有效的控制手段，对于异常行为依然无能为力。

当攻击者试图悄悄地穿越网络时，扁平网络也更容易隐藏。这段隐藏的时间被称为驻留时间，全球平均的驻留时间为101天。从近几年著名的网络攻击事件我们可以发现，黑客在这些攻击中驻留时间更长，甚至达到几年。

扁平网络同样也是内部攻击者的游乐场。内部攻击者要做的第一件事就是收集更多的凭证，或者使用他们现有的高级权限，访问职责范围以外的系统。想想内部主机通用的用户名密码，以及无法察觉的主机间访问关系。网络上的互通，为他们的行为提供了便利。

云安全领域，微隔离可有效降低扁平网络风险作为云安全领域的微隔离技术厂商，蔷薇灵动认为，企业在云安全建方面设应该有一种“假定入侵”的心态，即像攻击者一样去思考，这就要求企业做到：

面对云安全，要确定资产的重要程度。首先要先确定哪些是你的重要资产，这可能并不是安全部门可以决定的，而是需要多部门，不仅是业务部门，甚至涉及到法务及财务部门，共同来确定资产的重要程度。

面对云安全，要确定最佳的保护方式。保护重要资产有许多层面需要考虑，包括身份识别与访问管理（IAM）、漏洞管理和微隔离等。微隔离是为了确保业务主机只能被与其有业务关系的主机访问，且这些主机只能按照允许的特定业务流访问。

面对云安全，要选择适用的解决方案。挑选解决方案首先要分配好内部执行的团队，可能是安全部、业务部、网络部或者IT部，甚至是多部门的协作共同去挑选、讨论市场上可用的解决方案。

在云安全厂商蔷薇灵动看来，面对云安全，扁平网络更应该引入微隔离。对于隔离手段，要考虑与环境的适配性（降低部署运维成本），自动化能力（几千、上万台虚拟机靠手动是不可能的），性能损耗（投入成本、业务影响），支持未来技术发展（投资有效性，是否支持容器、混合云等），内部业务流量的可视化能力（实际业务流是否与规划一致）等方面，最后完整的测试很有必要。

扁平网络的普及程度正在增加，但与此同时，恶意攻击者的胃口也在增加，这是一个危险的组合。面对云安全，认识到扁平网络的风险是第一步，转变成“假定入侵”的心态，从而开启降低风险的过程是第二步。而微隔离可以有效的帮助企业降低内部攻击面——有助于确保扁平网络不会最终成为攻击者的目标。（如下图所示）

微隔离是主要用于数据中心东西向流量（内网安全）的可视化识别与访问控制的技术，作为国内目前唯一仅专注于云安全领域微隔离技术探索和研究的公司，蔷薇灵动在此技术领域有着深厚的技术功底和丰富行业客户经验，目前已经为中海油，中石油，中人寿，神华，中航信等金融、政务云、能源等企业提供云安全领域的多种技术支持，值得信赖。