从软件定义的隔离,到微隔离,再到基于身份的隔离,微隔离的三次更名,事实上代表了最近十年网络安全发展的历史,代表了 Gartner 对微隔离这项技术的三次认知深入,更代表了技术进步的方向。
微隔离作为网络安全行业的当红技术,早已被业界所熟知。但是大家可能不知道,早在两年前,国际知名智库Gartner就把微隔离(Microsegmentation)的名字给改了。Gartner为什么这么做?微隔离的新名字又叫什么?今天就来念叨念叨。
说起改名这事,其实这已经是微隔离的第三个名字了!在最一开始(还没有防火墙的年代),网络在逻辑上就是一条线,网络上的主机彼此自由通信。
这样的网络是没有内部结构的,看起来高效,但是有两个大的问题。第一是不安全,好人坏人都在一起,正常流量和恶意代码相互混淆。第二个问题是拥挤,各种流量都在一起,让网络变得很低效,无法有效管理和运维。这个时候,网安领域上一代扛把子——防火墙,闪亮登场。防火墙这个产品一直以来都是网安、数通跨界大红人。他把网络分成了不同的网段(segment),从而把特定的流量限制在特定网段上,这让网络比过去安全和高效得多。就靠这么个简单功能,防火墙抢下了全球网安市场的半壁江山。
故事就这样波澜不惊的发展了二十多年,一直到云计算时代的到来。云计算是对防火墙的致命打击。云计算网络是在物理网络之上构建起来的虚拟化网络,真正负责业务处理的网络是这个虚拟化网络,而底层的物理网络上跑的都是封装之后的无意义的数据报文。云内的虚拟化网络不但是虚拟的,而且还非常动态,这是它与传统网络最大的不同,这个网络可以根据需要随意的构建,灵活程度前所未有。防火墙作为一种硬件产品,被云计算阻挡在真实的业务网络之外,而它的变种——虚拟防火墙,也因为继承了防火墙僵硬笨拙的体系架构,很难适应灵活多变的软件定义网络。这位老同志只能站在大地上看着天上的白云漠然叹息。此刻网络安全迎来了史上第一次大危机。
正是在这样的背景下,微隔离这个技术在2015年第一次被Gartner正式提出来,只不过这个时候,它还不叫微隔离,而是叫软件定义的隔离(软件定义的分段,software-defined segmentation),跟微隔离一起闪亮登场的,还有之后的日子里微隔离形影不离的小伙伴SDP(软件定义边界)。此时此刻,微隔离的价值正如其名,它是软件定义的,在云计算的环境中可以按需部署。从而为云计算网络带来了安全性和可管理性,这也是微隔离第一次拯救网络安全。
但没多久,Gartner就把software-defined segmentation 更名为Microsegmentation,也就是我们现在所熟知的微隔离(微分段)。
这次更名也反映出Gartner对微隔离的定位发生了微妙的调整。微服务时代的到来让本来就极为复杂的数据中心网络变得更加复杂,大量的东西向访问纵横交错。你还不能放任不管,APT和勒索病毒此时也正是肆虐之时,人们对“东西向安全前所未有的关注。而防火墙本来是用来做大网段隔离的(MacroSegmentation),它的架构非常重,一般来说只能用来看大门和在内部分几个大区。要利用防火墙做细粒度访问控制,从部署难度到部署成本上都是不可接受的。这个时候,微隔离的那种极为轻量级的技术结构,细粒度到容器级,可以随需构建随需部署的访问控制能力就变得弥足珍贵。
所以,微隔离的软件定义能力已经不是最核心的价值了,要的就是它的微细控制水平。于是,微隔离就成为了这项技术真正被业界所熟知的名字,并且一直沿用至今。蔷薇灵动也就是在这个时候开始微隔离的技术研究工作,从那时开始中国有了微隔离市场。
那么,微隔离2020年的更名又是个什么背景呢?要说明白这件事,就得谈谈零信任了。网络安全一直以来是两个流派,管控派和攻防派。攻防派的目标就是认出坏人,抓住坏人。但是坏人实在太狡猾,刚研究明白它长什么样,马上就变个样子,在安全人员了解这个新变种之前又可以干好多坏事,而研究一种恶意代码特征所需要的时间和资源相较创造一种恶意代码要高出无数个数量级。
攻防之间的这种不对称,事实上让防御者一直处于一种非常被动的地位。到了今天,网安界痛定思痛,彻底倒向了管控派(至少主流意见是这样)。不管坏人长什么样,只管好人长什么样,只研究好人该干什么,然后只要不是充分认知的好人和好的行为就统统干掉。那么问题来了,如何来表达“好人”这个概念呢?在网络安全领域,一直以来用的都是五元组,也就是源和目的的IP地址和端口以及传输协议。但是IP地址本质上只是个通信参数,无法描述业务属性和身份信息。在过去,网络相对静态的时候,还可以用IP近似替代身份(而这恰恰是很多网络攻击所利用的点),但是随着网络日益灵活多变,远程互联,公有云,物联网等基础设施的广泛部署,IP地址已经完全失去了身份意义。必须把隔离和分段这种网络安全最核心的动作构建在一种新的参数之上,而这就是ID。所以,微隔离的新名字就是ID-BASED SEGMENTATION,可以称之为基于身份的隔离(基于身份的网络分段)。
所谓基于身份的分段,顾名思义,就是说过去的网络分段是面向IP的,现在的网络分段是ID的。看起来是一个字母的区别,但是背后代表的技术内涵有着本质的不同。能进行基于IP地址的分段,事实上有个默认假设,那就是所要进行访问控制的资源一定有着网络位置上的确定性。也就是说,服务器就应该在总部数据中心,财务小张的地址就应该在10.200.2.147,自己人应该都在内网,坏人应该都来自互联网。但是在今天,随着公有云的广泛使用,服务器真的不一定在哪,而随着远程办公和BYOD的盛行,财务小张的地址也不一定是啥。自己人可能来自互联网,坏人也可能早就混进了内网。在这样的背景下,IP已经逐渐变得只有通信价值而基本没有什么安全价值了,网络安全在这个时候又面临着一场史无前例的颠覆性危机。而这个时候,微隔离再一次挺身而出。
微隔离这个技术是在云计算时代出现的,它从诞生之日起就是在软件定义网络(SDN)环境下工作的。微隔离从来就认为网络地址是个不稳定参数,所以微隔离技术(真正的微隔离技术)都是面向ID的而不是IP。这个本来为应对SDN而设计的技术特征,在零信任时代,忽然焕发出了始料未及的光彩(是的,始料未及,蔷薇灵动在刚创业的时候从来没想过零信任的事情)。安全人员发现,微隔离可以完美地解决当下基于IP的网络安全技术所面临的的所有困境。于是,微隔离也就成为了大家所熟知的零信任三个核心技术基石之一。换言之,在今天,软件定义也好,微细的控制能力也好,都已经不再是微隔离为网络安全能做的最大贡献了,能够面向身份去定义网络,去进行访问控制,才是微隔离最大的价值,所以,才有了这次更名,Gartner的意思很明确,微不微的不重要,面向ID才是王道!
从软件定义的隔离,到微隔离,再到基于身份的隔离,微隔离的三次更名,事实上代表了最近十年网络安全发展的历史,代表了技术进步的方向。网络安全先后面临了虚拟化,APT,以及数字化时代的几轮冲击,在几次风雨飘摇中,都是微隔离技术挺身而出。而最有意思的地方在于,微隔离本身没有变,这个技术从诞生之日到今天,核心能力和技术结构就一直是这样,只不过人们越来越发现这个技术简直是天选之子,这种新的技术能带来的东西比想象的要多得多。
三次更名,其实代表了人们对微隔离这项技术的三次认知深入,也表现出了微隔离这项技术工作范围的三次根本扩展。它早就不是虚拟化环境下的补充技术了,今天的微隔离,是整个零信任体系的基石,是网络安全的未来!
文/Kent