在社区成长营网络与安全第一期分享中,SmartX 高级产品营销经理张涛介绍了网络安全的重要性,和虚拟化环境下东西向安全的指导思路(点击查看第一期图文总结)。
网络与安全第二期分享继续由张涛老师提供,以下为内容回顾。
SmartX 社区成长营
在 SmartX 用户社区,我们将通过系列成长营活动,持续分享技术干货内容与行业解决方案,与社区成员共同成长。
欢迎添加管理员,加入 SmartX 用户社区
大家晚上好,我是来自 SmartX 的张涛。我今天将围绕 SmartX 网络与安全产品 —— Everoute —— 是如何通过微分段技术实现 “零信任” 的安全理念来进行分享。分享内容主要包括以下五个部分:
虚拟化和云计算的发展促进了应用和数据的高度集约化部署。面向最终用户应用需求的爆炸式增长,推动了应用开发、部署和迭代模式的变化:从传统的 “高、大、全” 的单体架构转向 “小、快、灵” 的微服务架构。
应用网格化、敏捷性和移动性特点因此日益明显,云内和云间横向互访和数据交流的频度得以进一步提高,传统 “安全边界” 不再可靠。与此同时,“最小权限原则” 指导下的东-西向隔离的重要性却日益凸显。
产生这样的原因是因为虚拟化技术的诞生,让以往信息化系统的最小单位从“物理主机” 变为 “虚拟主机”。连带着,用于连接各个单元的不再是网线,而是虚拟接口,主机彼此间的安全边界也逐步消融到虚拟化集群内部。
基于物理主机为最小单位发展出来的安全体系,逐渐失去了防御的目标。容器化的普及,更是进一步加深了人们对不可见的边界及安全问题的忧虑。
面向虚拟化和容器的 “微分段”(Micro-Segmentation)因此应运而生,这也是在云内/云间对应用/数据进行 “微颗粒度隔离” 的具体技术方法。
SMTX OS 是由 SmartX 自主研发的超融合软件,提供计算虚拟化、分布式存储和网络与安全等功能。
SmartX 解决方案中的 Everoute 是基于云原生和 SMTX OS 虚拟化、面向云原生和 SMTX OS 虚拟化的网络与安全产品,可以为虚拟机和容器创建符合 “零信任” 要求的微隔离环境,并通过集中的策略管理平台,减轻虚拟化和安全管理员繁重的日常操作。
以下为超融合模式下的应用虚拟化和分布式架构示意图。
目前市场上有三种主流的微分段解决方案。在基于虚拟化网络的微分段产品之前,常用的第一种是通过在每个虚拟机内部安装终端安全软件/插件,来实现微颗粒度的安全控制(如下图)。
但这种方式存在以下三个不足:
1)安装在客户虚拟机内部的安全产品仅能对单个虚拟机进行防护。
2)大量虚拟主机可能基于不同操作系统类型和版本,安装有不同应用和服务,对安全策略有不同要求,难以统一管理。
3)对大批量虚拟主机进行威胁库和补丁更新,在运维层面的操作难度大,对生产的影响大。
第二种,是网络设备厂商推出的基于硬件交换机的微分段解决方案(如下图)。
这种方案的原理是将同一子网的不同端点组(EPG)的虚拟机配置在隔离的 VLAN/PVLAN,从而使得虚拟机在虚拟交换机层面上无法互通。想要沟通,必须首先转发至 TOR 硬件交换机上,基于此实现 “安全服务链”。
但这种方式对用作 Leaf 节点的交换机型号和版本有严格要求,无论逻辑拓扑还是物理拓扑都很复杂,大量 “发卡弯” 流量的存在也将降低系统的可维护性。
基于虚拟化网络的微分段解决方案与以上方式不同,将 Hypervisor 管理的虚拟交换机 VDS,和容器网络接口 CNI 作为实施虚拟机和容器微分段的切入点,并通过在虚拟化和容器环境里,增加策略 “维度” 的方式,解决虚拟机和容器的数量、用途和位置不断变化的困境。
以 SmartX 网络与安全解决方案 —— Everoute 为例,SmartX 的安全微分段内生于超融合操作系统中(如下图)。
其通过在每台主机上运行专用进程,对虚拟机之间的通信流量进行直接管理。若要对一个或多个超融合集群启用安全微分段,仅需在集中管理器上将此功能与对应的虚拟交换机进行关联就可以。
开启后,虚拟机之间的数据包被 “允许” 或 “拒绝” 动作,其由集群上的每台主机分布式执行。
优势体现在四个方面:
此外,以上提到的虚拟机管理、标签管理、安全策略管理、虚拟机隔离等安全运维操作,都可以在 SmartX 超融合系统的 “管理中心”—— CloudTower ——上完成。
CloudTower 是 SmartX 自主研发的多集群管理软件,在同一个管理界面上即可对不同集群上的虚拟机、分布式存储和安全微分段进行配置。虚拟机即使发生了跨集群的迁移,也仍然在原有 CloudTower 管理范围内,虚拟机标签可以保持、与标签关联的安全策略也可以在不同集群上被执行。
通过 CloudTower, 可有效减轻虚拟化和安全管理员繁重的日常操作。而对于采用 “标签” 为条件的微分段安全策略后的实际效果,也可通过其进行查看和监控,评估现有策略的有效性和适用性,确保必要的应用流量没有被中断
因此,Everoute 采用的基于软件 SDN 的微分段方式,是对于整体架构影响最小的方式。
通过以上对比可以了解到,实施微分段的最佳切入点,是虚拟交换机。这是启用虚拟化或容器化环境所必需的原生网络组件。在此基础上应用 “标签” 和安全策略,是原生且最直接的微隔离方法。这就是 “内生安全” 的含义。
微隔离如果不是内生于虚拟化和容器平台,将不可避免地成为业务敏捷性的累赘。
传统访问控制策略的基本要素是 IP 地址、协议和端口号,扩展的安全策略中还可能包含时间和 MAC 地址,最多可实现 “五维” 安全策略。
在 SMTX OS 环境中,可以设置 “标签(Tag 或 Label)”,并将标签作为一个新的安全控制要素,这就为安全规则的编写和维护带来了更多便利和可能性。制定包含六个 “维度” 的安全策略。
常见的一个 “Web-App-DB” 三层应用架构,如果每一层都由 3~4 个虚拟机或容器组成 (如下图)。
那么为这个应用编写基于 IP + Port 的安全策略,规则数量有可能多达十几条;当每一层中需要对虚拟机或容器进行增、删、改操作时,都必须调整与之关联的安全规则,甚至有可能需要调整 IP 网段设置。
与之对照的是,如果基于“ 标签” 这个维度在 Everoute 中制定安全策略,安全规则数量就可以减少到 3 条,而且对虚拟机或容器进行增、删、改操作,都不需要调整安全规则。
Everoute 的安全策略,以 “默认拒绝” 作为底线规则,这与 “零信任” 安全所要求的 “最小权限” 原则相一致。
对于运维人员而言,没有什么安全措施是万全的保障,必须提前备好在突发安全状态下的紧急预案,才能对 “万一” 发生的安全事件进行快速响应。
Everoute 的微分段功能,也包含了对于虚拟机进行紧急隔离的技术方法。
具体来说,当管理员或安全运维中心(SOC)发现某个虚拟机的行为异常,比如某个用作文件服务器的虚拟机上的收/发流量突增,但所有普通用户都无法连接到这个服务器,此时就可以:
1)立刻通过超融合管理界面或 API 将这台虚拟机置于 “网络隔离” 状态。
2)被 “隔离” 的虚拟机与周边的通信被完全切断,不会再影响到同一环境内的其他虚拟机,为管理员排除安全威胁或系统故障争取了时间。
3)如果排查 / 修复过程中,管理员需要临时与虚拟机进行通信(比如需要通过运维跳板机上传补丁文件、运行远程诊断程序),则可以通过设置 “诊断隔离白名单”,允许被隔离虚拟机与特定目标之间的临时单点通信。
4)故障 / 安全漏洞修复后,还可以 “一键式” 恢复虚拟机的正常运行状态,隔离之前已经应用在这个虚拟机上的安全策略无需调整,重新生效。
以上是第二期的内容回顾。在下期分享中,张涛老师将介绍基于微分段技术实现东西向安全防护后,会给数据中心在虚拟化、网络、安全方面带来哪些思路和方法上的改变,并说明这些改变将如何影响和提升数据中心运维效率。
社区版 Everoute 下载
如果您想体验 Everoute 产品功能,可通过下载 SmartX 超融合套件社区版 5.0.1 来进行体验。
社区版 Everoute 支持通过使用 CloudTower 社区版 2.0.0 及以上版本进行管理,可为虚拟机提供分布式防火墙功能。
部署和使用方法可以从以下链接开始,参考官方文档:
http://docs.smartx.com/everoute-1.0.4/docs/user_guide/user_guide_01.html
点击下载 SmartX 超融合套件社区版,体验 Everoute 产品功能。也欢迎各位小伙伴添加管理员微信,加入 SmartX 用户社区,和我们一同成长~