網(wǎng)絡(luò)安全公司Byos在2021年第三季度，對(duì)100位企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者開(kāi)展了一項(xiàng)關(guān)于微隔離策略的調(diào)查。

結(jié)果顯示，有83％的領(lǐng)導(dǎo)者通過(guò)某種形式的微隔離來(lái)增強(qiáng)其企業(yè)網(wǎng)絡(luò)安全性。

企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者認(rèn)為微隔離解決方案最有吸引力的功能是：實(shí)時(shí)威脅管理（76％）、安全遠(yuǎn)程訪問(wèn)（67％）和勒索軟件終止開(kāi)關(guān)（62％）等。 對(duì)于已經(jīng)轉(zhuǎn)向微隔離的人，有88％的企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者表示，微隔離對(duì)于實(shí)現(xiàn)零信任網(wǎng)絡(luò)安全至關(guān)重要。

甚至更多的領(lǐng)導(dǎo)者（92％）表示，微隔離“比其替代方案更實(shí)用、更高效”。 不難發(fā)現(xiàn)，微隔離自2016年首次被Gartner確定為信息安全的一項(xiàng)關(guān)鍵新興技術(shù)，至今已被越來(lái)越多的業(yè)界人士認(rèn)可，成為了企業(yè)網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵組成部分。 在Gartner 2020年的云安全技術(shù)成熟度曲線中，微隔離進(jìn)入了光明爬坡期，市場(chǎng)價(jià)值和技術(shù)成熟度已經(jīng)毋庸置疑。

云化趨勢(shì)下的微隔離 微隔離是2016年在Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上，由Gartner副總裁、知名分析師Neil MacDonald提出的概念。 微隔離又稱軟件定義隔離、微分段。從網(wǎng)絡(luò)層隔離技術(shù)的角度看，小到主機(jī)防火墻、VLAN、VPC，大到硬件防火墻、VxLAN、安全域，其實(shí)都是隔離技術(shù)，微隔離也是其中的一種，只是在不同的基礎(chǔ)設(shè)施上有不同的名字。 

隨著內(nèi)部網(wǎng)絡(luò)的架構(gòu)從傳統(tǒng)的IT架構(gòu)向虛擬化、混合云和容器化升級(jí)變遷，企業(yè)發(fā)現(xiàn)一旦邊界的防線被攻破或者繞過(guò)，攻擊者就可以在數(shù)據(jù)中心內(nèi)部橫向移動(dòng)，內(nèi)部隔離不再是一件容易的事情。 在近些年來(lái)各個(gè)領(lǐng)域發(fā)生的一些APT攻擊案例中能夠發(fā)現(xiàn)，橫向移動(dòng)已經(jīng)廣泛應(yīng)用于復(fù)雜的網(wǎng)絡(luò)攻擊中。 惡意攻擊者通常會(huì)嘗試包括釣魚(yú)郵件攻擊、漏洞利用等多種綜合攻擊的方式來(lái)突破目標(biāo)邊界防御系統(tǒng)，然后伺機(jī)使用橫向移動(dòng)來(lái)訪問(wèn)受感染系統(tǒng)中的更多設(shè)備，向目標(biāo)組織內(nèi)部更多包含重要資產(chǎn)的服務(wù)器和主機(jī)進(jìn)行滲透，并伺機(jī)潛伏下來(lái)進(jìn)行長(zhǎng)期、有計(jì)劃性和組織性地竊取敏感數(shù)據(jù)。一次橫向移動(dòng)攻擊甚至能夠讓攻擊者控制同一環(huán)境下的全部機(jī)器。 已知的擅長(zhǎng)利用橫向移動(dòng)攻擊的惡意軟件更是不勝枚舉，如BlackEnergy、Emotet、Trickbot、Petya Ransomware、WannaCry等等，都是其中的佼佼者。 除了在APT攻擊之外，在我國(guó)大型攻防對(duì)抗演練活動(dòng)中，這一攻擊手法也十分常見(jiàn)，橫向移動(dòng)也被滲透測(cè)試人員稱為“最爽”的技術(shù)之一，一旦在滲透目標(biāo)系統(tǒng)內(nèi)部找到通路，就能夠在目標(biāo)系統(tǒng)內(nèi)部留下后門(mén)，為所欲為。 為了適應(yīng)攻防對(duì)抗防護(hù)的要求，滿足新的IT架構(gòu)的要求，業(yè)界不得不再重新分析和審視隔離的重要性，微隔離概念由此誕生。 簡(jiǎn)單而言，微隔離能夠應(yīng)對(duì)傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下，對(duì)于東西向流量隔離的需求，重點(diǎn)用于阻止攻擊者進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向移動(dòng)。

微隔離： 零信任三大技術(shù)方案之一 隔離從來(lái)都是一種高效可行的安全手段，微隔離技術(shù)的出現(xiàn)恰好能滿足新環(huán)境、新業(yè)務(wù)對(duì)安全保障的需求。 

事實(shí)上，微隔離是最早的一種對(duì)零信任概念的具體技術(shù)實(shí)現(xiàn)，這是因?yàn)槲⒏綦x技術(shù)與零信任安全模型有著天然的契合性。 傳統(tǒng)的安全模型將網(wǎng)絡(luò)劃分為不可信和可信兩個(gè)區(qū)域，用防火墻或網(wǎng)絡(luò)設(shè)備的ACL將網(wǎng)絡(luò)切分邊界進(jìn)行隔離，防火墻外部是不受信任的，內(nèi)部則認(rèn)為是安全可信的。 

在零信任體系中，安全將不再區(qū)分網(wǎng)絡(luò)的內(nèi)部、外部，而是深度嵌入業(yè)務(wù)體系之中，構(gòu)建自適應(yīng)的內(nèi)生安全機(jī)制，通過(guò)與傳統(tǒng)防火墻、入侵防御等產(chǎn)品的互補(bǔ)，實(shí)現(xiàn)更統(tǒng)一、易用的防護(hù)體系。 零信任安全針對(duì)傳統(tǒng)邊界安全架構(gòu)思想進(jìn)行了重新評(píng)估和審視，以“持續(xù)信任評(píng)估，動(dòng)態(tài)訪問(wèn)控制”為核心原則，因此，基于“軟件定義邊界（SDP）”、“增強(qiáng)身份管理（IAM）”和“微隔離”構(gòu)成了零信任領(lǐng)域的三個(gè)技術(shù)基石，以減少暴露面和攻擊面，控制非授權(quán)訪問(wèn)，實(shí)現(xiàn)長(zhǎng)期的網(wǎng)絡(luò)安全保障。 其中，SDP技術(shù)是用于實(shí)現(xiàn)南北向安全的（用戶跟服務(wù)器間的安全），微隔離技術(shù)是用于實(shí)現(xiàn)東西向安全的（服務(wù)器跟服務(wù)器間的安全），IAM技術(shù)用于資源之間彼此的訪問(wèn)關(guān)系授權(quán)。 將微隔離技術(shù)與零信任架構(gòu)相結(jié)合，可以實(shí)現(xiàn)進(jìn)程級(jí)別的訪問(wèn)控制與隔離，防止攻擊者使用未經(jīng)批準(zhǔn)的連接或惡意代碼，從已經(jīng)受到攻擊的應(yīng)用程序或進(jìn)程橫向移動(dòng)感染其他進(jìn)程。 

舉個(gè)例子，如果黑客已經(jīng)攻進(jìn)了一個(gè)服務(wù)器，那么他就可以利用這個(gè)服務(wù)器做跳板，進(jìn)一步攻擊網(wǎng)絡(luò)中的其他服務(wù)器。 但微隔離可以阻止這種來(lái)自內(nèi)部的橫向攻擊。微隔離通過(guò)服務(wù)器間的訪問(wèn)控制，阻斷勒索病毒在內(nèi)部網(wǎng)絡(luò)中的蔓延，降低黑客的攻擊面。 這正好符合了零信任的原則：假設(shè)已經(jīng)被攻破；持續(xù)驗(yàn)證，永不信任；只授予必須的最小權(quán)限。

微隔離的實(shí)現(xiàn)方式 目前，微隔離已有多種實(shí)現(xiàn)方式，企業(yè)可以根據(jù)自身需要進(jìn)行選擇。

云原生控制

這種在虛擬化平臺(tái)提供者中比較常見(jiàn)，在虛擬化平臺(tái)、laas、hypervisor或者基礎(chǔ)設(shè)施中提供，比如阿里云、VMware NSX等。 優(yōu)勢(shì)是與云平臺(tái)整合的更加完善，屬于同一供應(yīng)商，支持自動(dòng)化編排。但劣勢(shì)在于只支持自身虛擬化平臺(tái)、不支持混合云；更適合于隔離，而不是訪問(wèn)控制；東西向的管理能力有限。

第三方防火墻

主要是基于第三方防火墻供應(yīng)商提供的虛擬化防火墻。這種方案的優(yōu)勢(shì)在于具備豐富的安全能力，如：入侵檢測(cè)、防病毒等功能，能集成IPS、av等功能，與防火墻配置邏輯一致，普遍支持自動(dòng)化編排。 但劣勢(shì)也很明顯，需要與虛擬化平臺(tái)做對(duì)接，費(fèi)用高，且有性能損耗。

基于主機(jī)代理模式

這種模式就是采用Agent，將Agent部署到每臺(tái)主機(jī)（虛擬機(jī)）中，Agent調(diào)用主機(jī)自身的防火墻或內(nèi)核自定義防火墻來(lái)做服務(wù)器間的訪問(wèn)控制。這種方式就是用微隔離實(shí)現(xiàn)零信任的模式之一。 優(yōu)勢(shì)在于與底層架構(gòu)無(wú)關(guān)，支持多云和容器；主機(jī)遷移時(shí)安全策略也能跟隨著遷移；支持自動(dòng)化編排。 缺點(diǎn)在于必須在每個(gè)服務(wù)器上安裝agent客戶端，有人會(huì)擔(dān)心資源占用問(wèn)題，擔(dān)心影響現(xiàn)有業(yè)務(wù)。

混合模型

一般都是通過(guò)其它模式組合使用，例如本地與第三方組合。 優(yōu)勢(shì)是可以基于現(xiàn)有的內(nèi)容進(jìn)行升級(jí)改造，在不同的位置使用不同模式的優(yōu)勢(shì)。但缺點(diǎn)是通常無(wú)法統(tǒng)一管理，需要多種管理工具，且云廠商往往對(duì)第三方產(chǎn)品的支持度不夠高。 總體來(lái)說(shuō)，四種方案各有優(yōu)缺點(diǎn)，需要企業(yè)安全團(tuán)隊(duì)結(jié)合自身的實(shí)際情況來(lái)優(yōu)化和處理。 如果環(huán)境中租戶數(shù)量較少且有跨云的情況，主機(jī)Agent方案可以作為第一選擇。 如果環(huán)境中有較多租戶分隔的需求且不存在跨云的情況，采用SDN虛擬化設(shè)備的方式是較優(yōu)的選擇，主機(jī)Agent方案作為補(bǔ)充。 另外，主機(jī)Agent方案也可以結(jié)合主機(jī)漏洞風(fēng)險(xiǎn)發(fā)現(xiàn)、主機(jī)入侵檢測(cè)能力相結(jié)合，形成更立體化的解決方案。

如何檢驗(yàn)微隔離的效果？ 檢驗(yàn)微隔離是否真正發(fā)揮效果，最直接的方式就是在攻防對(duì)抗中進(jìn)行檢驗(yàn)。企業(yè)可以模擬以下幾個(gè)場(chǎng)景進(jìn)行檢驗(yàn)：

互聯(lián)網(wǎng)一臺(tái)主機(jī)被攻陷后，能夠觸達(dá)內(nèi)部多大范圍的主機(jī)和工作負(fù)載；

同一業(yè)務(wù)區(qū)域一臺(tái)主機(jī)被攻陷后，能否攻陷該業(yè)務(wù)區(qū)域的其他主機(jī)和工作負(fù)載（所有工作負(fù)載都存在可以利用的漏洞）；

某一業(yè)務(wù)區(qū)域一臺(tái)主機(jī)被攻陷后，能否觸達(dá)跟該業(yè)務(wù)區(qū)域有訪問(wèn)關(guān)系的其他業(yè)務(wù)區(qū)域的核心主機(jī)和工作負(fù)載；

內(nèi)部一臺(tái)主機(jī)被攻陷后，能夠觸達(dá)到域控主機(jī)以及能否攻陷域控主機(jī)（域控主機(jī)存在可以利用的漏洞）；

內(nèi)部一個(gè)容器工作負(fù)載被攻陷后，能夠觸達(dá)內(nèi)部其他多少個(gè)容器工作負(fù)載；能否通過(guò)該容器滲透到宿主主機(jī)；

以上所有網(wǎng)絡(luò)訪問(wèn)行為是否在微隔離系統(tǒng)中的策略智能管控平臺(tái)上監(jiān)測(cè)到，是否有明顯報(bào)警標(biāo)記。

事實(shí)上，從原有的傳統(tǒng)安全架構(gòu)升級(jí)到零信任架構(gòu)注定是一個(gè)長(zhǎng)期的整體工程，這是一個(gè)不斷自我提升和完善的過(guò)程，因此在微隔離的建設(shè)規(guī)劃中，企業(yè)應(yīng)該專注于自身安全防御能力的提升和優(yōu)化，將策略和技術(shù)手段結(jié)合起來(lái)，來(lái)制定一個(gè)適合自身的建設(shè)方案。 同時(shí)，企業(yè)安全部門(mén)還可以根據(jù)自身業(yè)務(wù)的實(shí)際情況，模擬更多的攻防對(duì)抗場(chǎng)景進(jìn)行檢驗(yàn)，才能做到“知己知彼，百戰(zhàn)不殆”。