微分隔：越細緻越安全

本文探討如何在SDN（軟體定義網路）的數據中心有效設計和實現微分隔

網路分隔是減小數據中心網路攻擊面的最佳實踐策略。就像輪船上的水密隔艙應能在船體受損時阻隔海水灌入一樣，網路分隔也應將各類伺服器和系統區隔在單獨區域中以限制入侵者或惡意軟體橫向移動，控制潛在的安全風險或破壞。

從2013年對塔吉特百貨的攻擊到最近的Equifax數據泄露，人們普遍認為這些重大數據泄露的背後原因包括缺乏有效的網路分隔。但是，儘管網路分隔可強化企業的安全形勢，卻也增加了複雜性和開銷，尤其是對傳統現場數據中心而言。

在這些基於硬體的環境中，創建內部區域通常意味著要安裝額外的防火牆設備來管理各個域之間的流量，而這些的設備的購置、安裝和維護是耗時耗財的。因此，傳統數據中心的網路分隔往往流於只創建少數幾個域。

微分隔趨勢

最近，向採用軟體定義網路(SDN)的虛擬數據中心的遷移，推動了內部網路分隔的採納。SDN的靈活性讓數據中心網路得以進行高級細粒度區域劃分，被分成成百上千個微網路都可以。以往代價高昂且難以實現的安全層級如今也可以輕易達到了。所以，去年ESG分析師喬·奧爾希克才可以充滿自信地說，有68%的企業採用某種形式的軟體微分隔技術遏制黑客在網路上橫向探索，更便捷地保護他們的應用和數據。

但儘管SDN大大便利了網路分隔的實現，想要達到有效微分隔卻也面臨2個主要挑戰：數據中心裡到底在哪兒布置微區域間的邊界呢？怎樣設計和管理每個區域的安全策略呢？

各種應用想要正常工作，數據中心裡的網路和應用流量就需要跨越多區域安全控制措施。所以多個區域控制措施中的策略必須允許這些流量通過，否則應用就沒辦法發揮功用了。而網路分隔越細，微區域越多，這些安全控制策略也就要越複雜，不然就無法支持在業務應用的同時還阻隔掉非法流量。

開始微分隔過程

不過，只要方法用對，上述挑戰都是可以解決的。起點就在於發現數據中心裡的所有應用流量。想要做到這一點，使用流量發現引擎是個不錯的辦法。這個引擎要能發現並分組相互間有邏輯聯繫的流量，比如共享IP地址的那些——共享IP地址代表著這些流量可能支持的是同一個業務應用。

此類信息不單單局限在IP地址上，設備標籤或相關應用名稱這些額外的數據也可以添加進來。這樣就能構建一張標記了數據中心裡支持業務應用正確運行的流量、伺服器和安全設備的完整視圖了。

設立區域邊界

有了這張視圖就可以創建分隔規劃，根據所支持的業務目的或應用來確定哪些伺服器和系統應該放到哪個網路區域。支持同一業務意圖或應用的伺服器相互間的通信會很頻繁，往往會共享類似的數據流，應放入同一分隔區域以更好地互動。

規劃好後就可以在數據中心網路上挑選最適合放置安全過濾器的地方了，用虛擬防火牆或其他安全控制措施為各個區域築牢安全邊界。

在設置這些過濾設備或啟用虛擬化微分隔技術創建各區域間邊界時，一定要記得有些應用流量是需要跨越這些邊界的。跨邊界流量需設置顯式的規則來允許它們，否則就會被封，導致依賴這些流量的應用無法正常工作。所以，一旦引入過濾措施，必須確立各種流量的處置辦法。

設置邊界規則

想要明確是否需要添加或修改特定規則，明確這些規則應該怎麼設置，就得去檢查最初的發現過程中識別出來的應用流量，弄清流量是否已經流經某現有安全控制了。如果給定應用流量當前未流經任何安全控制，而你又想要創建一個新的網路區域，那就得知道新區域的邊界設立起來後該未過濾的數據流會不會被封了。如果會被新邊界阻隔，那就得新設置一條顯式規則來允許該應用流量通過邊界。

如果給定流量已經被安全控制措施過濾，那通常就沒必要在開始分隔網路時再添加什麼顯式規則了。這一判斷和設置過程可以不斷重複，直到你將網路分隔成可以提供所需隔離及安全層次為止。

全面管理

微分隔規劃完成後，接下來的工作就是確保微分隔與網路上的安全措施和諧相處了。應用流量需要無縫流經SDN、現場設備和雲環境，必須保證你的策略和規則支持該無縫流轉。

能夠全面管理SDN環境中所有安全控制及現有傳統現場防火牆的自動化解決方案，是達成應用流量無縫流轉的最有效方式。自動化解決方案可以確保支撐網路分隔策略的那些安全策略能夠統一應用在整個網路資產上，同時又能夠集中監視管理，任何改動都能被跟蹤到，方便審計。

想要實現有效微分隔，必須經過審慎的規劃和細緻的配置。但一旦正確實現，微分隔將帶來更強的安全態勢和更高的業務敏捷度。有時候，確實是越細緻越好。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！