从近几年的黑客攻击形势看,内网的攻击逐渐增多。然而,当前不少组织单位的安全防御思路依然仅靠层层边界防御,却忽略了内网的安全防护。当攻击者有机会拿到内网一个跳板机时,即可畅通无阻在内部网络中横向传播威胁,对业务造成爆破式影响。
以WannaCry为例,其感染内网一个终端后,在5分钟内即可将内网中相关联的终端全部感染,当IT运维人员发现时,已经造成无法挽回的巨额损失。因此,为了适应新的攻防形势,行业开始重新分析和审视内部网络隔离的重要性。
为什么需要微隔离
实现内部网络隔离的有多种,传统网络隔离方案基本都是基于网络层面进行工作:
部署物理硬件防火墙,并配置相应的策略,从网络层进行访问控制;
调用系统主机防火墙,需要单独对主机进行策略配置,从而进行访问控制;
VLAN隔离技术根据特定的策略进行区域逻辑网段分离。
但随着组织内部网络架构的演进,从传统的IT架构向虚拟化、混合云升级变迁,虚拟化极大化扩充资产数量,传统隔离方案在以灵活为核心的新IT架构下落地变得困难重重,难以适应当下的环境:
1、无法做到细粒度的隔离措施:传统网络隔离最小粒度只能做到域的隔离,意味着只能针对南北向流量进行隔离,而同一域内的东西流量无法有效隔离,从而无法有效防范威胁横向扩散,内部一旦被突破一点,感染成面,损失巨大;
2、维护不够灵活:面对众多分散的虚机控制点,以及变化的网络环境,传统隔离策略无法做到实时更新与自适应防护,反而因为安全影响了业务的灵活性,最终因为策略复杂不能真正落地;
3、访问关系不可视:业务系统之间的访问关系完全不可视,难以确定隔离的有效性,甚至外部供应商网络与内部涉密生产系统交互频繁却不自知。
也正是因为传统网络隔离的缺陷,VMware率先提出了适应虚拟化环境的微隔离技术。随后,Gartner在年安全与风险管理峰会上重点强调微隔离技术使得微隔离技术逐渐在行业广受