微分段的运作方式
微分段通过保护每个独立的工作负载来提升网络安全性,而非依赖单个中心点。在现代数据中心内,工作负载可以是虚拟机、容器或无服务器应用,这种方法能有效补充您现有的边界防御体系。它可确保即使主网络屏障遭到突破,每个内部组件仍能受到各自特定的、由软件定义的边界保护。
传统网络分段与微分段的对比
传统上,我们通常会使用防火墙和虚拟局域网(VLAN)等基于硬件的工具来对网络进行分段。这种方式主要保护“南北向流量”——也就是数据进出数据中心时经过主网关的流量。
这种模式的问题在于,它将特定分段内的一切都视为“可信”。如果应用和数据库位于同一个 VLAN 中,那么它们通常可以不受限制地相互通信。当其中一方遭到入侵时,另一方也会面临风险,因为网络入口处的安全防线已被突破。
微分段则主要针对“东西向”流量,即服务器与应用之间发生的内部通信。它通过在单个工作负载层面实施安全防护策略,微分段的安全控制不再依赖底层物理网络结构或服务器所在 VLAN。相反,它通过软件基于工作负载自身身份来定义安全策略。
机制
微分段遵循以下三个核心原则来保障网络安全:
- 隔离:各个工作负载之间保持相互隔离的状态,除非有明确规则允许它们进行通信,这有助于构建一个自主可控的数字环境。例如,开发环境可以与生产环境隔离开来,即使它们运行在同一物理硬件上。
- 精细化控制: 安全团队可以制定非常具体的规则。例如,可以将规则明确为“Web 服务器只能通过特定端口,并且仅针对特定数据类型与数据库通信”,而不是笼统地规定“服务器 A 可以与服务器 B 通信”。
- 最小权限原则: 工作负载只应获得完成自身任务所需的最低访问权限。如果某项服务本身不需要连接其他系统,微分段机制就会确保它无法建立这些连接。
基于软件和策略驱动的实施
由于现代基础架构始终处于动态变化之中,您无法通过手动设置硬件的方式来保障其安全。虚拟机与容器的生命周期变化极快,仅靠人工维护根本无法及时跟进。
但微分段采用的是基于软件、由策略驱动的安全模式。在这种架构下,安全策略会以代码形式进行管理。当新的虚拟机或容器启动时,系统会自动识别其身份,并自动应用对应的安全标签与访问规则。无论工作负载运行在何种物理服务器或云平台上,安全策略都会始终随之生效。
红帽 OpenShift 虚拟化学习中心
微分段的优势
微分段技术提供了传统基于硬件的网络难以实现(甚至根本无法实现)的控制力与可见性水平。以下是微分段为现代 IT 环境带来的主要优势:
更强的安全性和受限的横向移动
微分段最显著的优势在于遏制入侵。在扁平化网络中,攻击者一旦获得某个低优先级系统的访问权限,往往就能自由地移动到高价值目标,例如包含客户信息的数据库。
通过创建“包含单个工作负载的分段”,微分段可确保即使单个工作负载遭到入侵,威胁也会被隔离在有限范围内。攻击者实质上就像被困在一个数字“房间”内,没有任何门可通往房子的其他部分。
提升合规性与可审计性
对于医疗卫生、金融等受到严格法规监管的行业来说,微分段能够简化合规流程。它允许企业组织将处理敏感数据的系统与网络的其他部分隔离开来。
由于安全防护策略是通过软件定义的,审计人员可以轻松查明哪些用户有权访问哪些系统。这种精细化的报告功能,使企业组织能够更轻松地证明敏感信息已经按照监管标准得到妥善保护。
对网络流量拥有更高的可见性和控制能力
安全领域有句话:你无法保护自己看不见的东西。微分段工具能够提供针对“东西向”流量模式的深度可见性。让安全团队实时了解不同应用与服务之间的通信情况。这种可见性有助于识别可能表明安全威胁或性能瓶颈的异常行为。
适应现代 IT 环境
传统安全规则通常依赖物理位置,例如 IP 地址或特定硬件端口。在云原生环境中,随着容器的不断启停,这些位置会持续变化。
微分段则具备“环境无关”特性。由于安全策略绑定的是工作负载,而非网络硬件,因此无论工作负载运行在本地数据中心、私有云还是公共云环境中,都能获得一致的保护。
通过自动化简化管理
在现代微分段环境中,安全防护策略通常以自动化方式运行。当部署新应用时,它可以根据自身角色自动继承所需的安全防护策略。这减少了对人类管理员手动配置的需求,从而降低了人为错误的风险。
微分段和虚拟化
多年来,虚拟化一直是提升数据中心效率的主要手段,它允许在单个物理服务器上运行多个虚拟机。然而,在向虚拟环境迁移的过程中,也带来了新的安全漏洞。传统硬件防火墙通常无法检测到同一物理主机上两台虚拟机之间传输的流量。
由于缺乏这种内部可见性,安全团队往往无法识别或阻止恶意的横向移动。随着企业组织向云原生架构转型,并同时使用虚拟机和容器,这一问题也变得越来越突出。
传统分段技术在虚拟环境中的局限性
传统分段技术需要将流量从虚拟主机先导出到物理防火墙进行检查,然后再将流量传回虚拟主机。这一过程会带来巨大的性能瓶颈与延迟,并不是一种适合可扩展环境的高效安全方案。此外,在动态的虚拟环境中,IP 地址和位置会频繁变化。基于硬件的规则过于僵化,无法满足虚拟机不断迁移或扩展的需求。
微分段如何支持可扩展的基础架构
微分段通过将安全策略与底层硬件解耦,解决了传统方案中的低效问题。它不再强制流量经过中央防火墙,而是将安全防护策略部署在每个虚拟机或容器的虚拟网络接口层面。
这带来了以下优势:
- 规模化性能: 安全检查直接在虚拟化层内部完成,因此无需让内部流量绕行至外部安全设备,从而减少延迟并提升性能。
- 跨环境一致性: 无论工作负载是传统虚拟机还是现代容器,微分段都能够以统一方式管理整个技术栈中的安全策略。
- 移动性: 当虚拟机从一台物理主机迁移至另一台时,其安全边界会自动随之移动。
微分段通过将安全防护策略直接集成到虚拟化层,使您能够在快速扩展基础架构的同时,避免将内部系统暴露于风险之中。
常见用例
当微分段应用于特定的企业组织目标时,往往能够发挥最佳效果。常见的应用场景包括:
- 保护混合云环境: 为横跨本地数据中心与多个云平台的应用提供统一安全策略,实现跨环境一致防护。
- 满足监管合规要求: 对处理敏感金融或医疗数据(例如信用卡号或患者病历)的系统进行隔离,以满足严格的审计要求,而无需隔离整个网络。
- 保护开发与生产环境: 确保测试环境中的漏洞或安全隐患不会扩散到存有客户数据的正式生产环境中。
挑战和最佳实践
虽然微分段可提供卓越的安全性,但要从传统网络模式转向微分段模式,仍需进行周密的规划。
常见挑战
- 初始复杂性: 在大型企业组织中,每时每刻都在发生成千上万次连接。要梳理这些连接,并明确“哪些系统应该彼此通信”,本身就是一项极具挑战性的工作。
- 策略管理: 随着分段数量不断增加,相应的策略也会随之增多。如果没有合适的工具,仅依靠人工管理成千上万条安全规则会变得非常困难。
- 与现有工具集成: 微分段必须能够与现有的安全架构和基础架构协同运作,同时避免引发性能问题或隐藏风险。
微分段落地的最佳实践
要克服常见的微分段挑战并确保顺利部署,可参考以下行业最佳实践:
- 从小处着手: 不要试图一次性改造整个数据中心。建议先从一个定义明确的应用或某个特定环境开始,借此逐步完善策略设计流程。
- 优先保护高价值资产: 优先关注那些涉及敏感客户数据,或对业务至关重要的系统与应用。
- 尽可能实现自动化: 在大规模环境中,手动维护安全规则并不可持续。因此,应优先使用能够自动识别流量模式、自动生成策略建议的工具。自动化不仅能降低管理复杂度,也能让安全能力随着环境扩展而同步增长。
- 实施持续监控: 您应持续监控网络流量,以识别新的通信模式,并随着应用的演进不断调整安全防护策略。
为什么选择红帽?
红帽采用现代化的模块化微分段方法,避免了传统专有订阅常见的复杂性与“功能堆叠却用不上”的问题。借助红帽® OpenShift® 虚拟化,您可以在单个平台上管理虚拟机和容器,并实施一致的安全防护策略。这让企业能够更灵活地扩展基础架构,而不必为大量不需要的功能额外付费。
红帽 OpenShift 基于开源标准构建,是一个现代化的应用平台,支持零信任架构,允许您在工作负载层面实施精细化的网络策略。也就是说,每个虚拟机和容器默认处于隔离状态,从而能够有效防范内部威胁。
选择红帽,您将获得一套灵活且面向未来的安全防护解决方案,它能轻松与您的现有环境集成,同时避免传统厂商锁定模式带来的额外复杂度与成本。
红帽 OpenShift 虚拟化
红帽 OpenShift 的一项功能,可将虚拟机无缝集成到现代混合云基础架构平台中。
