零信任安全，從微分段做起

很多網路安全從業人員早上起床後的第一個念頭是：在我睡覺的幾個小時內，世界上又有新的威脅或攻擊出現了嗎？

根據《CyberEdge Group 2021 網路威脅防禦報告》，86.2% 的受訪組織至少遭遇過一次成功的安全攻擊（圖 1）。Gartner 在 3 月 7 日釋出的《Gartner 2022 年主要安全和風險管理趨勢》中也指出，網路安全和風險相關的七大趨勢中，第一個就是“攻擊面擴大”。數字世界和真實世界一樣，處於不斷的“熵增”中，我們主觀上覺得有益或有害的事物，客觀上總是在增加。而網路安全威脅的增長趨勢，正是企業 IT 管理者和使用者所不願看到的。每次重大網路安全危機的爆發，都伴隨著《今夜無人入睡》的 BGM ——企業的安全管理員所面臨的壓力可想而知。我們該如何緩解這種無時不在的壓力？

圖 1：受訪組織遭受過至少一次有效安全攻擊的比例

“零信任”方法論

俗話說，“最危險的地方，就是最安全的”，但在數字化安全領域，安全的地方反而更加危險。“零信任”就是這樣的辯證方法論： 將信任歸零，始終保持警惕，才是最安全、最穩妥的做法。

信任是一種相互的關係。在通常的應用模型中，“資料”是核心，“應用”是資料的載體，它們是信任的主體和受保護物件；“人”和“裝置”是應用和資料的使用方，是信任的客體；連線主體與客體的，是“網路”。在這個架構模型中， 客體每一次透過網路訪問主體時，所用工作負載和資料都要遵循“最小許可權”原則，對每一個客體的每一次訪問都要進行認證和授權，這就是“零信任”的指導思想。Gartner 指出，這種指導思想“刪除了‘隱式信任’並用‘自適應的顯式信任’替換它”，而且“不以任何邊界作為信任的條件”。

Forrester 於 2010 年最早提出了數字安全領域的“零信任”概念，並於 2018 年將之擴充套件為 ZTX 架構（圖 2），在資料、工作負載、網路、人、裝置五個方面基礎上，又擴充套件了“視覺化和分析”、“自動化和編排”兩個維度。

圖 2：Forrester ZTX 零信任擴充套件生態系統

基於網路的“微隔離”是實現“最小許可權”原則的基礎。在各種各樣的零信任架構和方法定義中，無論是 NIST（美國國家標準與技術研究院） 的“三大支柱”（SIM ——軟體定義的邊界、身份訪問管理、微分段）、CISA（美國網路安全與基礎設施安全域性）的“五大支柱”（身份、裝置、網路、應用、資料），還是上面提到的 Forrester ZTX “七大支柱”，都毫無例外地將“微隔離”或“微分段”作為網路零信任的必要條件。可以形象地說， 沒有微隔離的應用訪問授權，就像是要給沒有牆的門上加鎖（圖 3）。

圖 3：沒有微隔離的應用訪問授權，就像是要給沒有牆的門上加鎖

雲應用與微隔離

採用前述“零信任”方法論，對“任意的人或裝置，去訪問在任意位置的任意應用”的關係進行梳理，有助於我們認識在雲及資料中心側（應用/資料）實現“微隔離”的重要性。

過去的十餘年間，3G/4G/5G 的發展豐富了終端的多樣性，並且賦予了終端更多移動性。移動性提高帶來的各種需求（如商業使用者對“隨處辦公”的需求、個人使用者對數字化生活和防疫的需求），增加了終端與企業雲和公有云應用的全方位接觸，數以億計的訪問“匯點成面”，對於不可避免地存在著各種未知漏洞的應用，構成了重大威脅。

同時，虛擬化和雲端計算的發展促進了應用和資料的高度集約化部署。面向終端使用者的應用需求的爆炸式增長，也推動了應用開發、部署和迭代模式的變化：從傳統的“高、大、全”的單體架構轉向“小、快、靈”的微服務架構。應用的網格化、敏捷性和移動性特點日益明顯，大大提升了雲內和雲間的橫向互訪和資料交流的頻度，進一步加速了傳統“安全邊界”在雲上的消亡，凸顯了在“最小許可權原則”指導下的東-西向隔離的重要性。 面向虛擬化和容器的“微分段”（Micro-Segmentation），就是在雲內/雲間對應用/資料進行“微顆粒度隔離”的具體技術方法。

雲內微隔離的實現

虛擬化技術的誕生，是雲端計算時代的開端。自此開始，資訊化系統的最小單元從“物理主機”變為“虛擬主機”；用於連線各個單元的不再是網線，而是虛擬介面；主機彼此間的安全邊界也逐步消融到虛擬化叢集內部。基於物理主機為最小單位發展出來的安全體系，逐漸失去了防禦的目標。容器化的普及，更是進一步加深了人們對不可見的邊界及安全問題的憂慮。

虛擬機器和容器是應用的新載體，自身當然存在固有邊界。為什麼不能將安全防禦直接構築在虛擬機器和容器的邊界上呢？對此持消極態度的原因主要可以歸納為兩類：一是，被管物件數量多、移動性強、難以鎖定；二是，既有安全防禦體系體量大、功能強，但不集中，難以聚力到如此微小的目標上。這種困境，用一句俗語來形容就非常貼切——“高射炮打蚊子”。要走出困境，就要有針對這兩類問題的解決方案。

一、維度擴充套件

對於第一類問題，可以具體化為“基於 IP 地址：埠號的安全策略的困境”。在很多場景下，安全管理員已經將安全策略細化到每一個 IP + Port，但卻又必須時時面臨著虛擬機器和容器的數量、用途和位置不斷變化帶來的應接不暇的策略變更需求。

在虛擬化和容器環境裡，透過增加策略“維度”的方式，可以打破這個困境。原有網路安全策略的基本要素是 IP 地址、協議和埠號，擴充套件的安全策略中還可能包含時間和 MAC 地址。這最多是一個“五維”安全策略。而虛擬機器和容器上，天然可以設定“標籤（Tag 或 Label）”，並將標籤作為一個新的安全控制要素，制定包含六個“維度”的安全策略。這就為網路安全規則的編寫和維護帶來了更多便利和可能性。

例如：常見的一個“Web-App-DB”三層應用架構，如果每一層都由 3~4 個虛擬機器或容器組成，那麼為這個應用編寫基於 IP + Port 的安全策略，規則數量有可能多達十幾條；當每一層中需要對虛擬機器或容器進行增、刪、改操作時，都必須調整與之關聯的安全規則，甚至有可能需要調整 IP 網段設定。與之對照的是，如果採用基於“標籤”這個新維度的安全策略，安全規則數量可以減少到 3 條（圖 4），而且對虛擬機器或容器進行增、刪、改操作，都不需要調整安全規則。

圖 4：基於標籤的網路安全策略示例

1. “WEB” 允許訪問 “APP”，目標埠 TCP：8080；

2. “APP” 允許訪問 “DB”，目標埠 TCP：3306；

3. 任意（Any）允許訪問 “WEB”，目標埠 TCP：443；

4. 其他流量：預設拒絕。當 VM/Pod 數量變化，或者重放置到不同物理伺服器上之後，只要其標籤沒有變化，對應的安全訪問策略就不會變化，即便其 IP 地址（有可能）發生了變化。

二、內生安全

第二個方面的困擾，反映在 Gartner《2020 CISO Effectiveness Survey》的結果中：“當今安全的現實是安全領導者擁有太多工具…78% 的 CISO 在其網路安全供應商組合中擁有 16 種或更多工具，12% 有 46 個或更多工具…擁有太多安全供應商會導致複雜的安全操作，從而喪失業務的敏捷性。” 如果為了在虛擬機器和容器環境中實施基於標籤的安全策略，還要再增加更多的安全工具，豈不是“負薪救火”？

因此， 實施虛擬機器和容器微分段的最佳切入點，是 Hypervisor 管理的虛擬交換機 VDS，和容器網路介面 CNI。它們是啟用虛擬化或容器化環境所必需的原生網路元件，在此基礎上應用“標籤”和安全策略，是原生且最直接的微隔離方法。在虛擬機器和容器的網路上編寫的安全策略，以“預設拒絕”作為底線規則，這與“零信任”安全所要求的“最小許可權”原則相一致。這就是“內生安全”的含義。微隔離如果不是內生於虛擬化和容器平臺，將不可避免地成為業務敏捷性的累贅——就如 Gartner 對 CISO 調查結果反映的那種困境。

SmartX 超融合方案中的零信任實現

SMTX OS 是由 SmartX 自主研發的超融合軟體，提供計算虛擬化、分散式儲存和網路與安全等功能。 SMTX OS 可以透過基於安全標籤的最小許可權策略自主為虛擬機器建立符合“零信任”要求的微隔離環境，並透過集中的策略管理平臺，減輕虛擬化和安全管理員繁重的日常操作。對於採用“標籤”為條件的微分段安全策略後的實際效果，可以透過集中的管理平臺 CloudTower 進行檢視和監控，評估現有策略的有效性和適用性，確保必要的應用流量沒有被中斷。這是一個不斷改進的過程。SmartX 將逐步構建支援虛擬化與容器的統一架構，在一致性基礎設施上承載雲原生應用並踐行“零信任”安全理念。

總結

採用基於虛擬機器和容器標籤的微分段安全策略，只是雲應用環境下微隔離的起步，而不是全部。雲應用微隔離也不是“零信任的”全部，面向層出不窮的終端和應用形態，今後必然會有新的安全理論和方法與之相適應。這個過程中，應用層的技術和方法變化得愈複雜，就要求基礎設施層愈精煉，這也可以看成是一種“守恆”。因此，精妙的“零信任”應用訪問控制，從最簡單易行的基礎設施微分段做起，就是一種必然。

點選瞭解  SMTX OS 如何透過微分段構建零信任安全 。