SmartX Everoute 如何透過微分段技術實現 “零信任” | 社群成長營分享回顧

在社群成長營網路與安全第一期分享中，SmartX 高階產品營銷經理張濤介紹了網路安全的重要性，和虛擬化環境下東西向安全的指導思路。

網路與安全第二期分享繼續由張濤老師提供，以下為內容回顧。

大家晚上好，我是來自 SmartX 的張濤。我今天將圍繞 SmartX 網路與安全產品 —— Everoute —— 是如何透過微分段技術實現 “零信任” 的安全理念來進行分享。分享內容主要包括以下五個部分：

回顧：為什麼需要微分段？

虛擬化和雲端計算的發展促進了應用和資料的高度集約化部署。面向終端使用者應用需求的爆炸式增長，推動了應用開發、部署和迭代模式的變化：從傳統的 “高、大、全” 的單體架構轉向 “小、快、靈” 的微服務架構。

應用網格化、敏捷性和移動性特點因此日益明顯，雲內和雲間橫向互訪和資料交流的頻度得以進一步提高，傳統 “安全邊界” 不再可靠。與此同時，“最小許可權原則” 指導下的東-西向隔離的重要性卻日益凸顯。

產生這樣的原因是因為虛擬化技術的誕生，讓以往資訊化系統的最小單位從“物理主機” 變為 “虛擬主機”。連帶著，用於連線各個單元的不再是網線，而是虛擬介面，主機彼此間的安全邊界也逐步消融到虛擬化叢集內部。

基於物理主機為最小單位發展出來的安全體系，逐漸失去了防禦的目標。容器化的普及，更是進一步加深了人們對不可見的邊界及安全問題的憂慮。

面向虛擬化和容器的 “微分段”（Micro-Segmentation）因此應運而生，這也是在雲內/雲間對應用/資料進行 “微顆粒度隔離” 的具體技術方法。

SMTX OS 是由 SmartX 自主研發的超融合軟體，提供計算虛擬化、分散式儲存和網路與安全等功能。

SmartX 解決方案中的 Everoute 是基於雲原生和 SMTX OS 虛擬化、面向雲原生和 SMTX OS 虛擬化的網路與安全產品，可以為虛擬機器和容器建立符合 “零信任” 要求的微隔離環境，並透過集中的策略管理平臺，減輕虛擬化和安全管理員繁重的日常操作。

以下為超融合模式下的應用虛擬化和分散式架構示意圖。

市場上主流微分段解決方案概述

目前市場上有三種主流的微分段解決方案。在基於虛擬化網路的微分段產品之前，常用的第一種是透過在每個虛擬機器內部安裝終端安全軟體/外掛，來實現微顆粒度的安全控制（如下圖）。

但這種方式存在以下三個不足：

1）安裝在客戶虛擬機器內部的安全產品僅能對單個虛擬機器進行防護。

2）大量虛擬主機可能基於不同作業系統型別和版本，安裝有不同應用和服務，對安全策略有不同要求，難以統一管理。

3）對大批次虛擬主機進行威脅庫和補丁更新，在運維層面的操作難度大，對生產的影響大。

第二種，是網路裝置廠商推出的基於硬體交換機的微分段解決方案（如下圖）。

這種方案的原理是將同一子網的不同端點組（EPG）的虛擬機器配置在隔離的 VLAN/PVLAN，從而使得虛擬機器在虛擬交換機層面上無法互通。想要溝通，必須首先轉發至 TOR 硬體交換機上，基於此實現 “安全服務鏈”。

但這種方式對用作 Leaf 節點的交換機型號和版本有嚴格要求，無論邏輯拓撲還是物理拓撲都很複雜，大量 “髮卡彎” 流量的存在也將降低系統的可維護性。

“安全微分段” 內生在超融合架構中的原理和優勢

基於虛擬化網路的微分段解決方案與以上方式不同，將 Hypervisor 管理的虛擬交換機 VDS，和容器網路介面 CNI 作為實施虛擬機器和容器微分段的切入點，並透過在虛擬化和容器環境裡，增加策略 “維度” 的方式，解決虛擬機器和容器的數量、用途和位置不斷變化的困境。

以 SmartX 網路與安全解決方案 —— Everoute 為例，SmartX 的安全微分段內生於超融合作業系統中（如下圖）。

其透過在每臺主機上執行專用程式，對虛擬機器之間的通訊流量進行直接管理。若要對一個或多個超融合叢集啟用安全微分段，僅需在集中管理器上將此功能與對應的虛擬交換機進行關聯就可以。

開啟後，虛擬機器之間的資料包被 “允許” 或 “拒絕” 動作，其由叢集上的每臺主機分散式執行。

優勢體現在四個方面：

此外，以上提到的虛擬機器管理、標籤管理、安全策略管理、虛擬機器隔離等安全運維操作，都可以在 SmartX 超融合系統的 “管理中心”—— CloudTower ——上完成。

CloudTower 是 SmartX 自主研發的多叢集管理軟體，在同一個管理介面上即可對不同叢集上的虛擬機器、分散式儲存和安全微分段進行配置。虛擬機器即使發生了跨叢集的遷移，也仍然在原有 CloudTower 管理範圍內，虛擬機器標籤可以保持、與標籤關聯的安全策略也可以在不同叢集上被執行。

透過 CloudTower， 可有效減輕虛擬化和安全管理員繁重的日常操作。而對於採用 “標籤” 為條件的微分段安全策略後的實際效果，也可透過其進行檢視和監控，評估現有策略的有效性和適用性，確保必要的應用流量沒有被中斷

因此，Everoute 採用的基於軟體 SDN 的微分段方式，是對於整體架構影響最小的方式。

Everoute 微分段安全策略舉例

透過以上對比可以瞭解到，實施微分段的最佳切入點，是虛擬交換機。這是啟用虛擬化或容器化環境所必需的原生網路元件。在此基礎上應用 “標籤” 和安全策略，是原生且最直接的微隔離方法。這就是 “內生安全” 的含義。

微隔離如果不是內生於虛擬化和容器平臺，將不可避免地成為業務敏捷性的累贅。

傳統訪問控制策略的基本要素是 IP 地址、協議和埠號，擴充套件的安全策略中還可能包含時間和 MAC 地址，最多可實現 “五維” 安全策略。

在 SMTX OS 環境中，可以設定 “標籤（Tag 或 Label）”，並將標籤作為一個新的安全控制要素，這就為安全規則的編寫和維護帶來了更多便利和可能性。制定包含六個 “維度” 的安全策略。

常見的一個 “Web-App-DB” 三層應用架構，如果每一層都由 3~4 個虛擬機器或容器組成 （如下圖）。

那麼為這個應用編寫基於 IP + Port 的安全策略，規則數量有可能多達十幾條；當每一層中需要對虛擬機器或容器進行增、刪、改操作時，都必須調整與之關聯的安全規則，甚至有可能需要調整 IP 網段設定。

與之對照的是，如果基於“ 標籤” 這個維度在 Everoute 中制定安全策略，安全規則數量就可以減少到 3 條，而且對虛擬機器或容器進行增、刪、改操作，都不需要調整安全規則。

Everoute 的安全策略，以 “預設拒絕” 作為底線規則，這與 “零信任” 安全所要求的 “最小許可權” 原則相一致。

如何對可疑虛擬機器進行 “一鍵式” 隔離？

對於運維人員而言，沒有什麼安全措施是萬全的保障，必須提前備好在突發安全狀態下的緊急預案，才能對 “萬一” 發生的安全事件進行快速響應。

Everoute 的微分段功能，也包含了對於虛擬機器進行緊急隔離的技術方法。

具體來說，當管理員或安全運維中心（SOC）發現某個虛擬機器的行為異常，比如某個用作檔案伺服器的虛擬機器上的收/發流量突增，但所有普通使用者都無法連線到這個伺服器，此時就可以：

1）立刻透過超融合管理介面或 API 將這臺虛擬機器置於 “網路隔離” 狀態。

2）被 “隔離” 的虛擬機器與周邊的通訊被完全切斷，不會再影響到同一環境內的其他虛擬機器，為管理員排除安全威脅或系統故障爭取了時間。

3）如果排查 / 修復過程中，管理員需要臨時與虛擬機器進行通訊（比如需要透過運維跳板機上傳補丁檔案、執行遠端診斷程式），則可以透過設定 “診斷隔離白名單”，允許被隔離虛擬機器與特定目標之間的臨時單點通訊。

4）故障 / 安全漏洞修復後，還可以 “一鍵式” 恢復虛擬機器的正常執行狀態，隔離之前已經應用在這個虛擬機器上的安全策略無需調整，重新生效。

以上是第二期的內容回顧。在下期分享中，張濤老師將介紹基於微分段技術實現東西向安全防護後，會給資料中心在虛擬化、網路、安全方面帶來哪些思路和方法上的改變，並說明這些改變將如何影響和提升資料中心運維效率。