随着云计算、虚拟化技术的快速发展,越来越多企业将数据与业务迁移到云计算环境。包含有敏感数据和业务的云计算工作负载,在云环境下网络边界变得模糊。面对云环境下的安全防护需求,传统防火墙、WAF、IPS 等端点安全和网络安全手段显得力不从心。
IP地址不再具备资源的标识信息价值,而是作为一个通信用的临时性变量而存在。那么,以IP地址为基本元语的防火墙失去了最核心的功能,以逻辑标识为基本元语的微隔离则开始流行。微隔离要解决的是数据中心内部,任意两个点之间的业务关系与访问控制问题。
因此,在云计算发展的大背景下,微隔离正在颠覆防火墙。那么,微隔离是如何颠覆防火墙的呢?
在网络应用的初期,网络存在两个很明显的问题:一是不安全,二是网络拥挤。而在这时候,防火墙出现了。防火墙把网络分成了不同的网段(segment),从而把特定的流量限制在特定网段上,这让网络比过去安全和高效得多。就靠这个杀手级应用,防火墙曾经一度占据全球网安市场的半壁江山。
根据百度百科的释义,防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
但是,随着云计算时代的到来,对防火墙的应用提出巨大挑战。云计算网络是在物理网络之上构建起来的虚拟化网络,真正负责业务处理的网络是这个虚拟化网络,而底层的物理网络上跑的都是封装之后的无意义的数据报文。
云内的虚拟化网络不但是虚拟的,而且还非常动态,这是它与传统网络最大的不同,这个网络可以根据需要随意的构建,灵活程度前所未有。因此,防火墙作为一种硬件产品,被云计算阻挡在真实的业务网络之外,而它的变种——虚拟防火墙,也因为继承了防火墙复杂繁琐的体系架构,很难适应灵活多变的软件定义网络。
正是在这样的背景下,微隔离闪亮登场了。跟微隔离一起出现的,还有SDP(软件定义边界)。在云计算的环境中可以按需部署,从而为云计算网络带来了更灵活的安全性和可管理性。
与此同时,随着数据中心网络的愈加复杂,以及APT和勒索病毒肆虐之时,“东西向安全”成为大家关注重点。而防火墙本来是用来做大网段隔离的(MacroSegmentation),它的架构非常重,一般来说只能用来看大门和在内部分几个大区。要利用防火墙做细粒度访问控制,从部署难度到部署成本上都是不可接受的。这个时候,微隔离的那种极为轻量级的技术结构,细粒度到容器级,可以随需构建随需部署的访问控制能力就变得弥足珍贵。
另外,随着网络日益灵活多变,远程互联、公有云、物联网等基础设施的广泛部署,IP地址已经完全失去了身份意义。如,随着云计算的广泛使用,特别是随着远程办公和BYOD的盛行,地址不再唯一确定。在此背景下,IP已经逐渐变得只有通信价值而基本没有什么安全价值了,网络安全在这个时候又面临着一场史无前例的颠覆性危机。而这个时候,面向ID的而不是IP的微隔离技术再次挺身而出。
在云计算时代出现的微隔离技术,从它诞生之日起就是在软件定义网络(SDN)环境下工作的。微隔离从来就认为网络地址是个不稳定参数,所以微隔离技术(真正的微隔离技术)都是面向ID的而不是IP。这个本来为应对SDN而设计的技术特征,在零信任时代,忽然焕发出了始料未及的光彩。因而,微隔离也可以称之为基于身份的隔离(基于身份的网络分段)。
最后想说的是,与其说是微隔离颠覆了防火墙,还不如说是云计算,防火墙已逐渐不再适应云计算时代愈加复杂多变的网络环境了。