为什么说不要用VLAN、VPC解决东西向隔离问题
|
媒介 作为一个严谨的、有着职业操守的安详从业职员,起首我要摸着本心说:技能没有优劣,评价一个技能,我们首要看它可否在某些场景下很好的办理特定题目。而基于我们多年来的运维履历及现实的客户走访,基于VLAN/VPC的内部断绝方法根基上已经不再合用于办理假造数据中心/私有云(包罗含有私有云的殽杂云)情形下的对象向断绝题目。  在开始本日的接头之前,作为一名一般就是跟客户聊安详(jiang chan pin)的产物职员,要先答复一下客户爸爸老是检验(diao nan)我的题目“内部为什么要做断绝?”  内部为什么必要断绝 从安详建树角度: 一向以来,企业普及的回收纵深防止技能(defensin depth)和最小权限逻辑(least privilege)来举办企业收集安详打点。而断绝是实现这两个理念的根基方法,譬喻传统安详打点中,通过界线陈设防火墙来实现可信收集与外部收集的断绝,内部差异安详级别间分别安详域,域间通过防火墙实现断绝,并通过配置安详计策按需赋予会见权限。 从进攻防止角度: 从连年来的安详变乱我们可以看到,进攻者从以粉碎为主的进攻逐渐转变为以特定的政治或经济目标为主的高级可一连进攻。无论从闻名的Lockheed Martin Cyber Kill Chain(洛克希德-马丁公司提出的收集进攻杀伤链),照旧连年名声大噪的打单病毒、挖矿病毒,这些进攻都有一些明显特点,一旦界线的防地被攻破或绕过,进攻者就可以在数据中心内部横向移动,而中心内部根基没有安详节制的本领可以阻止进攻。这也突出了传统安详的一个首要瑕玷,伟大的安详计策、庞大的资金和技能都用于了界线防护,而同样的安详级别并不存在于内部。 从安详闭环角度: 有了举动说明、有了蜜罐、有了态势感知,却没有了最根基的会见节制。数据中心内部每每几百台假造机域内全通;安详计策“只敢增、不敢减”;内部大量的检测装备,但防护在那边……  讲到这,假如客户爸爸还没赶我出去,那就可以开始我的演出了: 场景一: 我:“客户爸爸,传闻您的数据中心客岁就完成假造化建树,投入行使了。营业出产服从晋升了一大截呢!” 客户爸爸:“嗯,我们选择海外大厂的假造化技能客岁完成的建树。假造化数据中心简直晋升了运营服从。” 我:“咱们此刻有几多台假造机了?” 客户爸爸:“今朝一共500多台,有些营业还在迁徙,增添较量快,来岁估量能到达1000台。” 我:“这么多假造机,咱们内部怎么打点啊” 客户爸爸:“我们首要是通过分别VLAN举办打点的……” 场景二: 我:“客户爸爸,传闻您的私有云客岁就完成建树,开始行使了。此刻许多几何企业才方才起步。” 客户爸爸:“嗯,我们三年前就开始做技能调研了,客岁完成的建树。云数据中心简直是将来的建树趋势啊。” 我:“咱们此刻有几多台假造机了?” 客户爸爸:“今朝一共1000多台,有些营业还在迁徙,增添较量快,来岁估量能到达1500台。” 我:“这么多啊,您这私有云在行业内算得上是标杆了。这么多假造机,咱们内部怎么打点啊” 客户爸爸:“我们首要通过云厂商提供的VPC举办内部打点……” 假造化数据中心按照底层架构的差异,基于VLAN/VPC的内部断绝是两种较量常见的方法。许多企业先按照部分、营业体系将数据中心逻辑上分别成差异安详域,并通过VLAN/VPC的方法举办断绝,再将假造机陈设在各VLAN/VPC中。因为VLAN/VPC均为二层断绝,假如各组之间必要通讯,则必要通过三层装备(三层互换、防火墙)举办。两种方法首要都是连续了传统数据中心安详打点的思想,分堆、脱离、会见节制。 但现实上,客户在运维的进程中,根基都徐徐的“统统从简“——几百台假造机分为3、4个域,域间设置一些基于网段的会见节制法则,域内全通。 这个时辰,为了不让客户爸爸掉到VLAN/VPC断绝的“大坑“中,专业(wei le xiang mu)的我必然要给客户爸爸讲讲什么才是对象向断绝。 有因才有果,我们先说明下假造数据中心/私有云的特点: 假造数据中心/私有云的特点 1. 假造机数目较多,少则几百台,多则几千上万台,且不绝增进。 2. 多分支机构、多营业部分行使,安详级别伟大 3. 营业机动多变。资源按需分派,变革随时产生(营业上下线,扩容,复制,漂移)。 按照以上特点,团结等保2.0中假造机之间会见节制,内部进攻检测、阻断等要求,对象向的断绝应该具备以动手段: 对象向断绝应该具备的手段 1、辨认内部营业的会见相关。对象向不易打点,很洪流平上是由于内部流量不行见,从而导致安详计策计划、调解坚苦。可以或许辨认主机(包罗容器)之间的流量,包罗会见的处事、端口、次数,乃至是历程等。 2、可以或许实现端到端断绝。具备物理处事器之间、假造机之间、容器之间的会见节制手段,节制粒度为端口级。 3、可以或许降落内部主机的进攻面。可以配置会见来历、及其可以会见的处事和端口;具备收集层面封锁端口的手段。 4、计策可视化编辑及同一打点手段。可图形化展示现有安详计策状态;可图形化编辑安详计策;全网的安详计策可以通过同一界面举办打点。 5、计策自动化陈设。可以或许顺应私有云弹性可拓展的特征,在假造机迁徙、克隆、拓展等场景下,安详计策可以或许自动变革。支持自动化编排。 6、支持殽杂云架构。殽杂云情形下,支持跨平台的流量辨认及计策同一打点。 遗憾的是,基于VLAN/VPC的内部断绝方法根基满意不了对象向断绝的需求。 基于VLAN/VPC内网断绝的“七宗罪” 1、过于静态。静态的VLAN/VPC分别限制了假造机的位置,与云数据中心的动态特征相悖。 2、进攻面过大。假造机数目大幅增进,过大的VLAN/VPC分别会给进攻者提供较大的进攻范畴,一旦组内一台主机被节制,进攻者就可以随意的横向移动。 3、本钱过高。细分安详域,然后陈设数百乃至数千个防火墙以做到内部会见节制,在财政和操纵上是不行行的。 4、影响营业交付。在新增营业或改变现有营业时,安详职员必需手动修改安详计策,从而切合这个静态又重量级的收集拓扑,大幅增进营业耽误,也轻易造成设置错误。 5、安详计策打点伟大。防火墙的设置错误、计策变动均是收集间断的常见缘故起因。尤其是防火墙的计策设置,无法预先测试、错误设置很难排查,防火墙计策每每存在“只敢增,不敢减”的题目。 6、增进收集耽误。这种计划增进了收集伟大性,低落了收集机能。  7、无法合用于殽杂云模式。当用户有多个云数据中心时,盘据的安详,增进打点的伟大度。 总结起来就是基于VLAN/VPC的内部断绝,,不怎么合规、不怎么机动、粒度相等粗、运维出格难。 综上所述,不管是摸着哪位先生的本心,我都要说,在假造数据中心情形下,基于VLAN/VPC的内部断绝只合用于粗粒度的大安详域中断绝,对付办理对象向断绝题目,根基已经凉凉。 VLAN/VPC固然凉,但客户爸爸不要冷,针对假造数据中心内部的断绝题目,国际上早有定论。 云中心内部断绝的最佳实践——微断绝 微断绝(MicroSegmentation)最早由Gartner在其软件界说的数据中心(SDDC)的相干技能系统中提出,用于提供主机(容器)间安详会见节制(区别于已往的安详域间的安详会见节制),并对对象向流量举办可视化打点。 微断特技能根基上以软件界说为主,可以很好的顺应云中心的动态特征。并且从界说上就能看出,其首要办理的就是怎样将错综伟大的云内流量看清晰,打点好。 微断绝并不是理念上的刷新,它从打点理念上僵持了纵深防止、最小权限这些被普及承认的原则,所差异的处地址于微断绝使得这些理念可以或许在完全差异的假造化数据中心和伟大的内部通讯模子下继承被有用贯彻。 在Gartner2017年的陈诉中以为微断绝将在将来2-5年内成为主流技能。 后续预报 我:“这么多假造机,咱们内部怎么打点啊” 客户爸爸:“我们正在思量通过SDN牵引的方案举办打点……” 点赞 0 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
