基於身份的分段：三種技術路線解析與建議

SmartX 趨勢分享
SmartX 趨勢分享由 SmartX 團隊內部分享的權威機構市場報告、全球重要媒體文章精選整理而成。內容涉及現代資料中心相關產業趨勢以及金融、醫療、製造等行業全球使用者需求與實踐前沿洞察。在“零信任實踐”系列的第一篇文章中，我們介紹了兩種實現零信任的技術路線：ZTNA 和基於身份的分段（Identity-Based Segmentation，也稱“微分段”）。本期， 我們將分享 Gartner 關於微分段的技術解析，透過分析三種實現方案，為企業提供詳實的微分段實踐建議。

一、什麼是基於身份的分段

基於身份的分段是指將應用程式工作負載的身份應用於安全策略（policy）的執行。它使用基於策略和工作負載身份的防火牆（通常基於軟體），或有區別地加密網路通訊來隔離資料中心、公有云 IaaS 和容器中的工作負載、應用和程式。工作負載隔離的範圍涵蓋了私有云和多個公有云 IaaS 提供商。基於身份的分段按照邏輯關係對網路中的工作負載進行劃分，並對單個工作負載或一組工作負載應用安全策略。策略可以基於非常精細的設定（不僅僅是 IP 或埠），如標記（tags）、作業系統型別或應用特性。

基於這一技術，使用者可為每個工作負載量身定製分散式服務和精細策略。 這種策略建立方式可以保護東西向或應用內的通訊，限制惡意軟體的橫向移動，減小攻擊面並縮短停留時間。實施後，使用者可以更清楚地瞭解資料中心流量並加強控制。

服務編排、虛擬化、容器化和軟體定義網路等技術的成熟已經為開發運營和應用敏捷性鋪平了道路。可以看到，軟體定義的資料中心在服務的交付速度上大幅提升，因此任何為資料中心設計的新安全措施都應順應這些發展趨勢。基於此，我們認為能夠強化並擴充套件資料中心安全性的基於身份的分段技術應具有以下特點：

• 自動化——解決方案應支援自動識別、建立和模擬策略。部署應可人工進行控制和驗證。策略的更新或新增應根據現有流程進行驗證，以防止出現任何不合規的情況。同時，自動化對於無中斷擴容也具有重要意義。
• 契合環境——規則應基於工作負載的屬性和關係，而不是 IP 地址。該技術應將工作負載與多維標籤或標記相關聯，以實現策略部署的自動化。它應能夠收集環境後設資料，如程式 ID、程式對映和程式所有者。還應能夠處理 CMDB、負載均衡器、防火牆、公有云標記和編排平臺等各類第三方來源的資料。一些解決方案還會建立基於身份的標記，以進一步強化基於身份的分段中的“預設拒絕”原則。
• 智慧化——該技術應具有流量感知能力。它需要利用 AI/ML 演算法不間斷地發現新的、正在遷移和不斷變化的工作負載以及這些工作負載之間的通訊模式。它應該能夠推薦工作流分組和適當的策略，並以視覺化的方式展現通訊流程。
• 精細化——該解決方案應能提供單個工作負載級別（裸機、虛擬機器和容器）的安全保障。許多無代理解決方案都為物聯網、資料採集與監視系統（SCADA）和無伺服器工作負載提供支援，因此應考慮將這類解決方案應用於更多使用場景。
• 靈活性——安全策略應能在混合環境中實現集中管理。策略應與工作負載相繫結，並且能夠伴隨工作負載進行跨資料中心和雲端的移動、變更或遷移。該工具的覆蓋範圍還應足夠廣，能夠涵蓋異構資料中心。可以說，靈活性是基於身份的分段技術的一個核心原則。
• 整合化——該工具應支援與企業網路防火牆（包括第三方防火牆管理工具）等第三方安全產品進行整合。該工具應具有利用其他安全產品的 API 檢索或推送資料以提升整體效力的能力。

理論上講，精細的分段也可以透過部署更多的防火牆來實現。但這種方案成本高昂並會產生大量執行開銷，因此無法大規模運用。目前市場上有多種不同的基於身份分段的解決方案，他們的區別在於部署模式。由於許多方法都可以實現基於身份的分段，企業安全和風險管理主管應選擇與其資料中心環境相關度最高的解決方案。下面我們將針對一些常見的部署方式展開討論。

二、三種基於身份的分段方案

1.基於代理的解決方案

基於代理的解決方案會在終端上使用軟體代理。透過監測並分析流入和流出主機的流量，終端代理能夠確定適當的精細策略並瞭解應用狀況。此時，終端代理會基於從大量流量中過濾出的少數相關流量制定策略建議、提請驗證。基於代理的解決方案通常利用 Windows 篩選平臺（WFP）來啟用作業系統內建的防火牆或作為代理軟體組成部分的專有防火牆。WFP 在 OSI 第 3 層 / 第 4 層篩選流量，從 WFP 收集的程式資料用於製作應用內通訊圖並制定策略決策。

成熟的工作負載部署流程能夠讓企業在使用基於代理的解決方案時更加輕鬆。 基於代理的方案適用於對保護措施的靈活性要求較高的場景，如保護措施需要跟隨工作負載跨環境移動。使用輕量級代理的解決方案只能提供基於身份的分段能力。而一些供應商還會提供更多功能，如檔案完整性監控（FIM）、欺騙能力或終端檢測和響應（EDR）能力。

 

2.基於網路的解決方案

軟體定義網路（SDN）技術將所有網路硬體虛擬化，並以軟體形式對其進行集中控制。它將各交換機和路由器的流量管理作業交由一個集中化軟體進行處理，後者為網路裝置提供基於策略的自動化能力。為了支援基於身份的分段，一些供應商將一些相似的概念擴充套件用於監測工作負載通訊（對第 4-7 層使用有狀態資料包檢查），以瞭解應用行為和模式並建立應用感知策略。

 

（1）基於可程式設計結構

一些供應商為其網路結構提供專用交換機和路由器，該結構可透過高可用性控制器進行程式設計。這些網路控制器釋出的 API 可實現網路可程式設計性。網路可程式設計性功能包括插入安全服務、連結服務、對工作負載遷移的支援，以及整合式軟硬體管理視覺化：

• 網路裝置供應商的控制器控制著底層網路硬體的作業系統，對物理交換機進行集中控制。集中式控制器用於定義安全策略和鏈入生態系統合作伙伴產品，如第三方防火牆或用於第 4-7 層檢查的網路入侵防禦系統（NIPS）。
• 第三方控制器使用了執行點（軟體形式）。執行點在虛擬或物理交換機層面放置，用於攔截流量並對網路流量進行第 2 級至第 7 級處理。這些控制器可以視覺化呈現並分析所有透過可程式設計網路結構的應用流量。這種 DPI 和應用流程對映讓它們可以為工作負載提供應用感知檢視、微分段、威脅檢測和隔離能力。

 

（2）基於網路覆蓋層

覆蓋層是透過 IP 封裝第 2 層流量，在物理基礎設施上疊加出來的虛擬網路。它們大多是採用 VXLAN 封裝協議的軟體解決方案。所有東西向流量都透過覆蓋層進行深度資料包檢查。軟體在底層硬體或虛擬機器監控程式上執行，並使用 API 或 VTEP 介面建立覆蓋層。這些覆蓋層成為所有主機流量的預設路由，並且這些流量可以接受檢查。這些解決方案通常使用專有防火牆，並具有鏈入基於網路的行為控制或蜜罐等第三方網路控制的潛力。 基於覆蓋層的解決方案非常適合需要防護攻擊和大範圍覆蓋的使用場景。它可以覆蓋到資料中心或公有云中的虛擬化工作負載，以及物理伺服器、物聯網、OT 和資料採集與監視系統。

 

3.基於 Hypervisor 的解決方案

一些 hypervisor 供應商在其軟體定義網路模型中提供基於身份分段的支援。此類產品將網路和安全服務從硬體中抽象出來，然後以虛擬機器為單位提供服務。 他們將網路和安全功能嵌入 hypervisor 層，從而顯著拉近這些服務與虛擬機器作業系統的距離（vNIC 級別）。這些供應商提供的是主機層面的分散式防火牆（第 4-7 層）控制。

 

4.混合架構

一些供應商提供具有多種架構模式的解決方案。例如，採用基於 SDN 方式的供應商也提供基於代理的解決方案，而基於代理的解決方案供應商也為應對系統無法執行代理的情況做好了準備。 這一趨勢的產生是因為使用者需要一個能支援混合資料中心、克服單一形式缺點的統一方案。

三、技術優勢與侷限性分析

四、場景與用例

1.安全開發運營

基於身份的分段產品具有豐富的 API 整合能力，能讓開發人員在以開發運營為中心的環境中使用自己的工具鏈配置篩選器和規則。例如，安全團隊可以定義一個“PCI”標記和一個“生產”環境標記。當開發團隊透過自動化 CI/CD 管道部署其應用時，可以與基於身份的分段 API 整合，從而用這兩個標記來標記工作負載。程式碼在部署時會自動繼承這些標記所定義的策略，無需協調防火牆規則變更。由此取得的效果是，新部署的工作負載只能與生產環境中其他帶有 PCI 標記的工作負載通訊。儘管這一功能的深度因供應商而異，但如果實施開發運營的企業旨在實現安全開發運營的自動化，就必須評估與該使用場景相關的功能深度。

 

2.雲安全

基於身份的分段提供對雲工作負載（包括容器和 Kubernetes）的支援。這有助於將工作負載遷移到雲端，並且使用應用控制器透明地對映類似的安全規則。例如，Kubernetes 使用內部 NAT 為在其管理環境內執行的各工作負載單獨分配臨時 IP 地址，因此無法應用基於 IP 的規則來對應用進行分段。整合式基於身份分段產品可以在 Kubernetes 內部執行，在內部對工作負載進行分段，無需依賴基於 IP 地址的規則。

 

3.零信任

基於身份的分段是一種實用的零信任架構實現方法。它從工作負載的身份入手，並採用預設拒絕方式處理工作負載通訊。但安全主管必須先了解工作負載和通訊流量狀況，以確定在什麼情況下采用全部拒絕和基於身份的方法最有利。 100% 零信任目標可能永遠無法實現，但安全主管可以利用基於身份的分段產品向著改善最小特權訪問的目標努力，不再依賴以 IP 地址作為唯一的信任來源。

五、使用者建議

• 企業應採用基於身份的分段技術對東西向流量進行細粒度的監控管理，從而減小受攻擊面並防止威脅的橫向擴散。
• 企業應利用基於工作負載的規則進行細粒度分段，即透過身份、標籤（tags）、標記（labels）和特性分段。企業購置的基於身份的分段產品應可實現工作負載通訊視覺化，並使用 AI/ML 來模擬並輔助策略決策。
• 使用一種或多種基於代理、基於網路和/或基於 hypervisor 的方案。該方案應能同時為工作負載所在位置（本地、混合和 IaaS）和工作負載執行環境（VM 和容器）提供基於身份的分段服務。
• 透過採用基於身份的分段技術，增強雲環境安全，實現應用安全管理自動化，實踐零信任，從而提升網路安全整體水平。

為了更好地支援企業使用並管理微分段技術， SmartX 超融合軟體 SMTX OS 透過 Everoute 網路與安全軟體提供基於 hypervisor 的解決方案。透過零信任模型下的網路隔離技術，Everoute 為每個 APP/VM 提供獨立的分段，為業務提供更加靈活精細的網路安全保障。

值得一提的是，Gartner 在上文中針對微分段產品提出的產品特性，Everoute 幾乎全部具備：

• 精細化：支援使用標籤為虛擬機器分組設定網路安全策略，與虛擬化平臺聯動，統一管理。
• 自動化：對虛擬機器無任何外掛依賴要求，業務地址自動發現；可根據虛擬機器標籤自動適配安全規則；安全規則可自動分發到叢集內每個節點，無需人工維護。
• 可擴充套件性：採用分散式防火牆架構，策略執行與資料包處理分散在每個伺服器節點上，無效能瓶頸，具備橫向擴充套件性。
• 靈活性：可透過 CloudTower 管理平臺進行跨叢集、跨資料中心統一管理網路安全策略。
• 高可用性：多控制器例項組成高可用叢集，無單點故障；控制平面故障不影響網路資料轉發。
• 相容性：無任何物理網路依賴，支援任意網路架構；支援多種架構平臺混合部署，包括 x86、Hygon、ARM 等。