為什么說不要用VLAN、VPC解決東西向隔離問題

為什么說不要用VLAN、VPC解決東西向隔離問題，針對這個問題，這篇文章詳細介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

前言

作為一個嚴謹?shù)?、有著職業(yè)操守的安全從業(yè)人員，首先我要摸著良心說：技術(shù)沒有好壞，評價一個技術(shù)，我們主要看它能否在某些場景下很好的解決特定問題。而基于我們多年來的運維經(jīng)驗及實際的客戶走訪，基于VLAN/VPC的內(nèi)部隔離方式基本上已經(jīng)不再適用于解決虛擬數(shù)據(jù)中心/私有云（包括含有私有云的混合云）環(huán)境下的東西向隔離問題。

在開始今天的討論之前，作為一名日常就是跟客戶聊安全（jiang chan pin）的產(chǎn)品人員，要先回答一下客戶爸爸總是考驗（diao nan）我的問題“內(nèi)部為什么要做隔離？”

內(nèi)部為什么需要隔離

從安全建設(shè)角度：

一直以來，企業(yè)廣泛的采用縱深防御技術(shù)（defensin depth）和最小權(quán)限邏輯（least privilege）來進行企業(yè)網(wǎng)絡(luò)安全管理。而隔離是實現(xiàn)這兩個理念的基本方式，例如傳統(tǒng)安全管理中，通過邊界部署防火墻來實現(xiàn)可信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離，內(nèi)部不同安全級別間劃分安全域，域間通過防火墻實現(xiàn)隔離，并通過設(shè)置安全策略按需賦予訪問權(quán)限。

從攻擊防御角度：

從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉(zhuǎn)變?yōu)橐蕴囟ǖ恼位蚪?jīng)濟目的為主的高級可持續(xù)攻擊。無論從著名的Lockheed Martin Cyber Kill Chain（洛克希德-馬丁公司提出的網(wǎng)絡(luò)攻擊殺傷鏈），還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點，一旦邊界的防線被攻破或繞過，攻擊者就可以在數(shù)據(jù)中心內(nèi)部橫向移動，而中心內(nèi)部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統(tǒng)安全的一個主要弱點，復(fù)雜的安全策略、巨大的資金和技術(shù)都用于了邊界防護，而同樣的安全級別并不存在于內(nèi)部。

從安全閉環(huán)角度：

有了行為分析、有了蜜罐、有了態(tài)勢感知，卻沒有了最基本的訪問控制。數(shù)據(jù)中心內(nèi)部往往幾百臺虛擬機域內(nèi)全通；安全策略“只敢增、不敢減”；內(nèi)部大量的檢測設(shè)備，但防護在哪里……

講到這，如果客戶爸爸還沒趕我出去，那就可以開始我的表演了：

場景一：

我：“客戶爸爸，聽說您的數(shù)據(jù)中心去年就完成虛擬化建設(shè)，投入使用了。業(yè)務(wù)生產(chǎn)效率提升了一大截呢！”

客戶爸爸：“嗯，我們選擇國外大廠的虛擬化技術(shù)去年完成的建設(shè)。虛擬化數(shù)據(jù)中心的確提升了運營效率。”

我：“咱們現(xiàn)在有多少臺虛擬機了？”

客戶爸爸：“目前一共500多臺，有些業(yè)務(wù)還在遷移，增長比較快，明年預(yù)計能達到1000臺?！?/p>

我：“這么多虛擬機，咱們內(nèi)部怎么管理啊”

客戶爸爸：“我們主要是通過劃分VLAN進行管理的……”

場景二：

我：“客戶爸爸，聽說您的私有云去年就完成建設(shè)，開始使用了?，F(xiàn)在好多企業(yè)才剛剛起步?！?/p>

客戶爸爸：“嗯，我們?nèi)昵熬烷_始做技術(shù)調(diào)研了，去年完成的建設(shè)。云數(shù)據(jù)中心的確是未來的建設(shè)趨勢啊?！?/p>

我：“咱們現(xiàn)在有多少臺虛擬機了？”

客戶爸爸：“目前一共1000多臺，有些業(yè)務(wù)還在遷移，增長比較快，明年預(yù)計能達到1500臺。”

我：“這么多啊，您這私有云在行業(yè)內(nèi)算得上是標桿了。這么多虛擬機，咱們內(nèi)部怎么管理啊”

客戶爸爸：“我們主要通過云廠商提供的VPC進行內(nèi)部管理……”

虛擬化數(shù)據(jù)中心根據(jù)底層架構(gòu)的不同，基于VLAN/VPC的內(nèi)部隔離是兩種比較常見的方式。很多企業(yè)先根據(jù)部門、業(yè)務(wù)系統(tǒng)將數(shù)據(jù)中心邏輯上劃分成不同安全域，并通過VLAN/VPC的方式進行隔離，再將虛擬機部署在各VLAN/VPC中。由于VLAN/VPC均為二層隔離，如果各組之間需要通信，則需要通過三層設(shè)備（三層交換、防火墻）進行。兩種方式主要都是延續(xù)了傳統(tǒng)數(shù)據(jù)中心安全管理的思維，分堆、分隔、訪問控制。

但實際上，客戶在運維的過程中，基本都漸漸的“一切從簡“——幾百臺虛擬機分為3、4個域，域間配置一些基于網(wǎng)段的訪問控制規(guī)則，域內(nèi)全通。

這個時候，為了不讓客戶爸爸掉到VLAN/VPC隔離的“大坑“中，專業(yè)（wei le xiang mu）的我一定要給客戶爸爸講講什么才是東西向隔離。

有因才有果，我們先分析下虛擬數(shù)據(jù)中心/私有云的特點：

虛擬數(shù)據(jù)中心/私有云的特點

1. 虛擬機數(shù)量較多，少則幾百臺，多則幾千上萬臺，且不斷增加。

2. 多分支機構(gòu)、多業(yè)務(wù)部門使用，安全級別復(fù)雜

3. 業(yè)務(wù)靈活多變。資源按需分配，變化隨時發(fā)生（業(yè)務(wù)上下線，擴容，復(fù)制，漂移）。

根據(jù)以上特點，結(jié)合等保2.0中虛擬機之間訪問控制，內(nèi)部攻擊檢測、阻斷等要求，東西向的隔離應(yīng)該具備以下能力：

東西向隔離應(yīng)該具備的能力

1、識別內(nèi)部業(yè)務(wù)的訪問關(guān)系。東西向不易管理，很大程度上是因為內(nèi)部流量不可見，從而導致安全策略設(shè)計、調(diào)整困難。能夠識別主機（包括容器）之間的流量，包括訪問的服務(wù)、端口、次數(shù)，甚至是進程等。

2、能夠?qū)崿F(xiàn)端到端隔離。具備物理服務(wù)器之間、虛擬機之間、容器之間的訪問控制能力，控制粒度為端口級。

3、能夠下降內(nèi)部主機的攻擊面?？梢栽O(shè)置訪問來源、及其可以訪問的服務(wù)和端口；具備網(wǎng)絡(luò)層面關(guān)閉端口的能力。

4、策略可視化編輯及統(tǒng)一管理能力?？蓤D形化展示現(xiàn)有安全策略狀態(tài)；可圖形化編輯安全策略；全網(wǎng)的安全策略可以通過統(tǒng)一界面進行管理。

5、策略自動化部署。能夠適應(yīng)私有云彈性可拓展的特性，在虛擬機遷移、克隆、拓展等場景下，安全策略能夠自動變化。支持自動化編排。

6、支持混合云架構(gòu)?；旌显骗h(huán)境下，支持跨平臺的流量識別及策略統(tǒng)一管理。

遺憾的是，基于VLAN/VPC的內(nèi)部隔離方式基本滿足不了東西向隔離的需求。

基于VLAN/VPC內(nèi)網(wǎng)隔離的“七宗罪”

1、過于靜態(tài)。靜態(tài)的VLAN/VPC劃分限定了虛擬機的位置，與云數(shù)據(jù)中心的動態(tài)特性相悖。

2、攻擊面過大。虛擬機數(shù)量大幅增加，過大的VLAN/VPC劃分會給攻擊者提供較大的攻擊范圍，一旦組內(nèi)一臺主機被控制，攻擊者就可以隨意的橫向移動。

3、成本過高。細分安全域，然后部署數(shù)百甚至數(shù)千個防火墻以做到內(nèi)部訪問控制，在財務(wù)和操作上是不可行的。

4、影響業(yè)務(wù)交付。在新增業(yè)務(wù)或改變現(xiàn)有業(yè)務(wù)時，安全人員必須手動修改安全策略，從而符合這個靜態(tài)又重量級的網(wǎng)絡(luò)拓撲，大幅增加業(yè)務(wù)延遲，也容易造成配置錯誤。

5、安全策略管理復(fù)雜。防火墻的配置錯誤、策略更改均是網(wǎng)絡(luò)中斷的常見原因。尤其是防火墻的策略配置，無法預(yù)先測試、錯誤配置很難排查，防火墻策略往往存在“只敢增，不敢減”的問題。

6、增加網(wǎng)絡(luò)延遲。這種設(shè)計增加了網(wǎng)絡(luò)復(fù)雜性，降低了網(wǎng)絡(luò)性能。

7、無法適用于混合云模式。當用戶有多個云數(shù)據(jù)中心時，割裂的安全，增加管理的復(fù)雜度。

總結(jié)起來就是基于VLAN/VPC的內(nèi)部隔離，不怎么合規(guī)、不怎么靈活、粒度相當粗、運維特別難。

綜上所述，不管是摸著哪位老師的良心，我都要說，在虛擬數(shù)據(jù)中心環(huán)境下，基于VLAN/VPC的內(nèi)部隔離只適用于粗粒度的大安全域間隔離，對于解決東西向隔離問題，基本已經(jīng)涼涼。

VLAN/VPC雖然涼，但客戶爸爸不要冷，針對虛擬數(shù)據(jù)中心內(nèi)部的隔離問題，國際上早有定論。

云中心內(nèi)部隔離的最佳實踐——微隔離

微隔離（MicroSegmentation）最早由Gartner在其軟件定義的數(shù)據(jù)中心（SDDC）的相關(guān)技術(shù)體系中提出，用于提供主機（容器）間安全訪問控制（區(qū)別于過去的安全域間的安全訪問控制）,并對東西向流量進行可視化管理。

微隔離技術(shù)基本上以軟件定義為主，可以很好的適應(yīng)云中心的動態(tài)特性。而且從定義上就能看出，其主要解決的就是如何將錯綜復(fù)雜的云內(nèi)流量看清楚，管理好。

微隔離并不是理念上的革新，它從管理理念上堅持了縱深防御、最小權(quán)限這些被廣泛認可的原則，所不同的地方在于微隔離使得這些理念能夠在完全不同的虛擬化數(shù)據(jù)中心和復(fù)雜的內(nèi)部通信模型下繼續(xù)被有效貫徹。

在Gartner2017年的報告中認為微隔離將在未來2-5年內(nèi)成為主流技術(shù)。

關(guān)于為什么說不要用VLAN、VPC解決東西向隔離問題問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。