编者按:
近日,微字代可谓春风得意。云原生微服务以拆解、独立生存为主导,微隔离成为零信任中的明日之星。今天,我们就这样 详细说说什么是微隔离。
顾名思义,微隔离就是微隔离。就像期间的个人隔离一样,以人为最小防疫对象,对不同身份的人有不同的隔离要求,降低病毒传播的概率。
微隔离也起源于云计算时代的催化VMware提出自己的虚拟隔离,连续三年被提出Gartner安全技术盖章认证,从此走上“C位出道”。
基于身份的细粒度分割,通过隔离策略防止病毒左右横跳,这是微隔离的首要意义。
让我们回到故事的最初,安全边界的防护通常来自隔离界的“鼻祖”——防火墙,就像是一座城池门前一丝不苟监督扫码测温的“守门侍卫”,根据防疫规则来确定准入人群。
然而,出于商业需求,一些居民开始每天外出城市,成为病毒感染者。假如恰好是善于伪装绕过的无症状感染者,保安大叔难免会有余力不足,一旦进入内部,感染可谓防不胜防。
在这种情况下,微隔离应运而生。
对于微隔离,不仅要有戴口罩的策略,还要有战略控制中心的大脑;它不仅可以快速灵活地传递所有的防疫隔离策略,还可以成竹在胸每个人的隔离。这也是微隔离从理论到实践的关键基础。
虽然有技术大佬的背书,但如何落地微隔离真的很头疼。现阶段参考的解法有三种:
基于agent的微隔离
这就相当于一个装着感应器的口罩这个感应器可以分析通过口罩的气体数据从而判断口罩防护等级并且对于的传播情况进行监测实现“病毒流量”的可视化
优势
高效的微隔离方式;
agent还可提供其他安全
全功能如:EDR等;
不足
必须安装agent,对遗留操作系统和旧系统不友好;
基于虚拟化的微隔离
这种方法是将口罩抽象成透明的防护罩,用防护罩阻止病毒的传播
优势
防护罩转移快捷方便
现有安全防护可使用
shim:微软推进SHIM项目:能让Edge等少数应用Windows 10X上原生运行
产品
不足
一般不适用于云环境、容器或裸机;
基于网络的微隔离
基于网络的微隔离可以算是最接近现有地气的大口罩 创建行程码分层保护的方法
优势
目前最简单的解决方案
不足
昂贵复杂的管理;
大型网络实现效果差;
相信很多人都会有这样一个疑问,为什么会是微隔离,而不是中隔离或小隔离?这个,我不得不谈谈相邻赛道上的几项技术VLAN、VxLAN 和VPC。这个,我不得不谈谈相邻赛道上的几项技术VLAN、VxLAN 和VPC。
首先是出局VLAN技术出局的原因是分数太少。这是一种最多只能分成4096个虚拟局域网的技术。
VxLAN 可以说是VLAN虽然高级版解决了4096的问题,但也不够细。最小粒度是网络ZONE而在这个ZONE中病毒的传播仍然是不可避免的。
VPC稍有不同的是,专门为云上租户设立的安全屋,相当于人来人往的市中心开辟的世外之地,但一旦安全屋被打破,也会变得不安全。
既然微隔离这样的壕沟,企业能毫不犹豫地隔离自己吗?
嗯……当然,这隔离的实现并不取决于许多基本技术。如果只是给大家戴口罩,没有统一的隔离政策和管理,微隔离也会变成微自闭症。
可视化是首先要具备的一项buff就像每个人的行程卡看可以更好的隔离一样。
隔离策略是整个防毒的核心。根据每条街道、每栋建筑和每个人的不同角色,制定不同的高、中、低风险地区绿码、黄码和红码,最大限度地覆盖。
微隔离是云上云下攻防从未停止新业务的长期机制。新资产的引入也需要微隔离的可持续性。在下一波攻击之前准备好口罩?
最后,我们来谈谈微隔离和零信任。作为近年来最受关注的安全理念,零信任可以简单地解释为总有刁民想伤害我 人们不相信。
微隔离是人与人之间这种细粒度的安全验证。而这正是零信任所需要的。基于零信任的云安全正成为一种趋势,这也将是未来安全的总体趋势。
来源:阿里云安全
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。
标签:
评论