為什么說不要用VLAN、VPC解決東西向隔離問題

作者：pearwith 2018-11-29 11:18:11

云計算

虛擬化 作為一個嚴謹的、有著職業(yè)操守的安全從業(yè)人員，首先我要摸著良心說：技術沒有好壞，評價一個技術，我們主要看它能否在某些場景下很好的解決特定問題。

我們注重客戶提出的每個要求，我們充分考慮每一個細節(jié)，我們積極的做好成都做網站、成都網站設計服務，我們努力開拓更好的視野，通過不懈的努力，成都創(chuàng)新互聯公司贏得了業(yè)內的良好聲譽，這一切，也不斷的激勵著我們更好的服務客戶。 主要業(yè)務：網站建設,網站制作,網站設計,重慶小程序開發(fā),網站開發(fā),技術開發(fā)實力，DIV+CSS，PHP及ASP，ASP.Net，SQL數據庫的技術開發(fā)工程師。

前言

作為一個嚴謹的、有著職業(yè)操守的安全從業(yè)人員，首先我要摸著良心說：技術沒有好壞，評價一個技術，我們主要看它能否在某些場景下很好的解決特定問題。而基于我們多年來的運維經驗及實際的客戶走訪，基于VLAN/VPC的內部隔離方式基本上已經不再適用于解決虛擬數據中心/私有云(包括含有私有云的混合云)環(huán)境下的東西向隔離問題。

[[251023]]

在開始今天的討論之前，作為一名日常就是跟客戶聊安全(jiang chan pin)的產品人員，要先回答一下客戶爸爸總是考驗(diao nan)我的問題“內部為什么要做隔離?”

[[251024]]

內部為什么需要隔離

從安全建設角度：

一直以來，企業(yè)廣泛的采用縱深防御技術(defensin depth)和最小權限邏輯(least privilege)來進行企業(yè)網絡安全管理。而隔離是實現這兩個理念的基本方式，例如傳統(tǒng)安全管理中，通過邊界部署防火墻來實現可信網絡與外部網絡的隔離，內部不同安全級別間劃分安全域，域間通過防火墻實現隔離，并通過設置安全策略按需賦予訪問權限。

從攻擊防御角度：

從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉變?yōu)橐蕴囟ǖ恼位蚪洕康臑橹鞯母呒壙沙掷m(xù)攻擊。無論從著名的Lockheed Martin Cyber Kill Chain(洛克希德-馬丁公司提出的網絡攻擊殺傷鏈)，還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點，一旦邊界的防線被攻破或繞過，攻擊者就可以在數據中心內部橫向移動，而中心內部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統(tǒng)安全的一個主要弱點，復雜的安全策略、巨大的資金和技術都用于了邊界防護，而同樣的安全級別并不存在于內部。

從安全閉環(huán)角度：

有了行為分析、有了蜜罐、有了態(tài)勢感知，卻沒有了最基本的訪問控制。數據中心內部往往幾百臺虛擬機域內全通;安全策略“只敢增、不敢減”;內部大量的檢測設備，但防護在哪里……

[[251025]]

講到這，如果客戶爸爸還沒趕我出去，那就可以開始我的表演了：

場景一：

我：“客戶爸爸，聽說您的數據中心去年就完成虛擬化建設，投入使用了。業(yè)務生產效率提升了一大截呢!”

客戶爸爸：“嗯，我們選擇國外大廠的虛擬化技術去年完成的建設。虛擬化數據中心的確提升了運營效率?！?/p>

我：“咱們現在有多少臺虛擬機了?”

客戶爸爸：“目前一共500多臺，有些業(yè)務還在遷移，增長比較快，明年預計能達到1000臺。”

我：“這么多虛擬機，咱們內部怎么管理啊”

客戶爸爸：“我們主要是通過劃分VLAN進行管理的……”

場景二：

我：“客戶爸爸，聽說您的私有云去年就完成建設，開始使用了?，F在好多企業(yè)才剛剛起步?！?/p>

客戶爸爸：“嗯，我們三年前就開始做技術調研了，去年完成的建設。云數據中心的確是未來的建設趨勢啊?！?/p>

我：“咱們現在有多少臺虛擬機了?”

客戶爸爸：“目前一共1000多臺，有些業(yè)務還在遷移，增長比較快，明年預計能達到1500臺。”

我：“這么多啊，您這私有云在行業(yè)內算得上是標桿了。這么多虛擬機，咱們內部怎么管理啊”

客戶爸爸：“我們主要通過云廠商提供的VPC進行內部管理……”

虛擬化數據中心根據底層架構的不同，基于VLAN/VPC的內部隔離是兩種比較常見的方式。很多企業(yè)先根據部門、業(yè)務系統(tǒng)將數據中心邏輯上劃分成不同安全域，并通過VLAN/VPC的方式進行隔離，再將虛擬機部署在各VLAN/VPC中。由于VLAN/VPC均為二層隔離，如果各組之間需要通信，則需要通過三層設備(三層交換、防火墻)進行。兩種方式主要都是延續(xù)了傳統(tǒng)數據中心安全管理的思維，分堆、分隔、訪問控制。

但實際上，客戶在運維的過程中，基本都漸漸的“一切從簡“——幾百臺虛擬機分為3、4個域，域間配置一些基于網段的訪問控制規(guī)則，域內全通。

這個時候，為了不讓客戶爸爸掉到VLAN/VPC隔離的“大坑“中，專業(yè)(wei le xiang mu)的我一定要給客戶爸爸講講什么才是東西向隔離。

有因才有果，我們先分析下虛擬數據中心/私有云的特點：

虛擬數據中心/私有云的特點

1. 虛擬機數量較多，少則幾百臺，多則幾千上萬臺，且不斷增加。

2. 多分支機構、多業(yè)務部門使用，安全級別復雜

3. 業(yè)務靈活多變。資源按需分配，變化隨時發(fā)生(業(yè)務上下線，擴容，復制，漂移)。

根據以上特點，結合等保2.0中虛擬機之間訪問控制，內部攻擊檢測、阻斷等要求，東西向的隔離應該具備以下能力：

東西向隔離應該具備的能力

1、識別內部業(yè)務的訪問關系。東西向不易管理，很大程度上是因為內部流量不可見，從而導致安全策略設計、調整困難。能夠識別主機(包括容器)之間的流量，包括訪問的服務、端口、次數，甚至是進程等。

2、能夠實現端到端隔離。具備物理服務器之間、虛擬機之間、容器之間的訪問控制能力，控制粒度為端口級。

3、能夠下降內部主機的攻擊面。可以設置訪問來源、及其可以訪問的服務和端口;具備網絡層面關閉端口的能力。

4、策略可視化編輯及統(tǒng)一管理能力?？蓤D形化展示現有安全策略狀態(tài);可圖形化編輯安全策略;全網的安全策略可以通過統(tǒng)一界面進行管理。

5、策略自動化部署。能夠適應私有云彈性可拓展的特性，在虛擬機遷移、克隆、拓展等場景下，安全策略能夠自動變化。支持自動化編排。

6、支持混合云架構?；旌显骗h(huán)境下，支持跨平臺的流量識別及策略統(tǒng)一管理。

遺憾的是，基于VLAN/VPC的內部隔離方式基本滿足不了東西向隔離的需求。

基于VLAN/VPC內網隔離的“七宗罪”

1、過于靜態(tài)。靜態(tài)的VLAN/VPC劃分限定了虛擬機的位置，與云數據中心的動態(tài)特性相悖。

2、攻擊面過大。虛擬機數量大幅增加，過大的VLAN/VPC劃分會給攻擊者提供較大的攻擊范圍，一旦組內一臺主機被控制，攻擊者就可以隨意的橫向移動。

3、成本過高。細分安全域，然后部署數百甚至數千個防火墻以做到內部訪問控制，在財務和操作上是不可行的。

4、影響業(yè)務交付。在新增業(yè)務或改變現有業(yè)務時，安全人員必須手動修改安全策略，從而符合這個靜態(tài)又重量級的網絡拓撲，大幅增加業(yè)務延遲，也容易造成配置錯誤。

5、安全策略管理復雜。防火墻的配置錯誤、策略更改均是網絡中斷的常見原因。尤其是防火墻的策略配置，無法預先測試、錯誤配置很難排查，防火墻策略往往存在“只敢增，不敢減”的問題。

6、增加網絡延遲。這種設計增加了網絡復雜性，降低了網絡性能。

7、無法適用于混合云模式。當用戶有多個云數據中心時，割裂的安全，增加管理的復雜度。

總結起來就是基于VLAN/VPC的內部隔離，不怎么合規(guī)、不怎么靈活、粒度相當粗、運維特別難。

綜上所述，不管是摸著哪位老師的良心，我都要說，在虛擬數據中心環(huán)境下，基于VLAN/VPC的內部隔離只適用于粗粒度的大安全域間隔離，對于解決東西向隔離問題，基本已經涼涼。

VLAN/VPC雖然涼，但客戶爸爸不要冷，針對虛擬數據中心內部的隔離問題，國際上早有定論。

云中心內部隔離的最佳實踐——微隔離

微隔離(MicroSegmentation)最早由Gartner在其軟件定義的數據中心(SDDC)的相關技術體系中提出，用于提供主機(容器)間安全訪問控制(區(qū)別于過去的安全域間的安全訪問控制),并對東西向流量進行可視化管理。

微隔離技術基本上以軟件定義為主，可以很好的適應云中心的動態(tài)特性。而且從定義上就能看出，其主要解決的就是如何將錯綜復雜的云內流量看清楚，管理好。

微隔離并不是理念上的革新，它從管理理念上堅持了縱深防御、最小權限這些被廣泛認可的原則，所不同的地方在于微隔離使得這些理念能夠在完全不同的虛擬化數據中心和復雜的內部通信模型下繼續(xù)被有效貫徹。

在Gartner2017年的報告中認為微隔離將在未來2-5年內成為主流技術。

后續(xù)預告

我：“這么多虛擬機，咱們內部怎么管理啊”

客戶爸爸：“我們正在考慮通過SDN牽引的方案進行管理……”

網站題目：為什么說不要用VLAN、VPC解決東西向隔離問題
瀏覽地址：http://m.5511xx.com/article/cddsshs.html