微隔离作为网络安全行业的热门技术,早已为业界所熟知。但你可能不知道,国际研究机构Gartner对微隔离(Microsegmentation)名称和定义已经修改了两次。Gartner为什么这么做?微隔离的最新定义又意味着什么?
首次提名:软件定义的隔离
在网络应用的早期阶段,它在逻辑上是一条线,网络上的主机相互自由通信。这样的网络没有内部结构,看起来很有效,但有两个大问题。第一个是不安全的,好人和坏人在一起,正常的流量和恶意的代码相互混淆。第二个问题是拥挤,各种流量在一起,使网络非常低效,无法有效地管理和运行和维护。此时,上一代明星产品——防火墙在网络安全领域闪耀。防火墙将网络分为不同的网络段(segment),因此,将特定的流量限制在特定的网络上,这使得网络比过去更安全、更高效。防火墙曾经占据了全球网络安全市场的一半。
随着云计算时代的到来,对防火墙的应用提出了巨大的挑战。云计算网络是一个建立在物理网络上的虚拟网络。真正负责业务处理的网络是虚拟网络,而底层的物理网络是包装后无意义的数据报告。云中的虚拟网络不仅是虚拟的,而且非常动态,这是它与传统网络最大的区别。该网络可以根据需要随意构建,具有前所未有的灵活性。防火墙作为一种硬件产品,被云计算阻挡在真实的业务网络之外,其变体——虚拟防火墙,由于继承了复杂繁琐的系统结构,难以适应灵活的软件定义网络。
在这种背景下,微隔离在2015年首次被隔离Gartner正式提出并授予第一个名称:软件定义隔离(软件定义分段,software-defined segmentation)。和微隔离一起出现,还有SDP(软件定义边界)。此时此刻,微隔离的价值就像它的名字一样,是由软件定义的,可以在云计算环境中按需部署,为云计算网络带来更灵活的安全性和管理性。
二次定义:微隔离(微分段)
但没多久,Gartner就把software-defined segmentation 更名为Microsegmentation,也就是我们现在熟悉的微隔离(微分段)。这个更名实际上反映了Gartner对微隔离的定位进行了微。
微服务时代的到来到来,已经极其复杂的数据中心网络变得更加复杂,大量的东西纵横交错地进行访问。正是这个时候APT当勒索病毒肆虐时,人们前所未有地关注东西向安全。防火墙最初用于大网段隔离(MacroSegmentation),它的结构很重。一般来说,它只能用来看门和内部几个区域。从部署难度到部署成本,使用防火墙进行细粒度访问控制是不可接受的。此时,极轻的微隔离技术结构,从细粒度到容器级,可以随需构建随需部署的访问控制能力,变得珍贵。
在这个阶段,微隔离的软件定义能力不再是核心价值,而是其微控制能力。因此,微隔离已成为该技术在行业中真正知名的名称,并一直使用到今天。玫瑰聪明就是在这个时候开始微隔离的技术研究。
再次更名:基于身份的隔离
随着应用的发展,Gartner在2020年对微隔离的名称和定义再次进行调整,这次调整的背景和零信任紧密相关。
网络安全一直是控制派和攻防派两个学校。攻防派的目标是识别威胁,但威胁变化非常快。在安全人员了解这个新变体之前,它可以做很多坏事,而创建一个恶意代码所需的时间和资源比创建一个恶意代码所需的时间和资源高出无数的数量级。攻防之间的这种不对称实际上使防御者处于非常被动的位置。
在此背景下,控制派开始引起业界的广泛关注。控制派的概念是,无论坏人是什么,只研究好人应该做什么,只要不是系统的好人和好行为。所以问题是,控制派如何表达好人的概念?
在网络安全领域,我们一直使用五元组,即来源和目的IP但是,地址、端口和传输协议。IP地址本质上只是一个通信参数,无法描述业务属性和身份信息。过去,当网络相对静态时,我们也可以使用它IP类似的替代身份(这正是许多网络攻击的点),但随着网络的日益灵活、远程互联网、公共云、物联网等基础设施的广泛部署,IP地址已经完全失去了身份意义。
我们必须在一个新的参数上构建网络安全的核心动作,即身份识别(ID)。因此,微隔离的新名称是ID-BASED SEGMENTATION,可称为基于身份的隔离(基于身份的网络分段)。
顾名思义,所谓基于身份的隔离意味着过去的网络隔离是面向的IP是的,目前的网络隔离是面向的ID是的。这似乎是字母的区别,但背后的技术内涵本质上是不同的。我们可以基于它IP事实上,地址隔离有一个默认假设,即我们需要访问控制的资源必须具有网络位置的确定性。但今天,随着云计算的广泛使用,特别是远程办公和BYOD地址不再是唯一确定的。
在这种背景下,IP它逐渐变得只有通信价值,基本上没有安全价值。此时,网络安全面临着前所未有的颠覆性危机。此时,微隔离再次挺身而出。我们发现微隔离技术出现在云计算时代,自诞生之日起就出现在软件定义网络中(SDN)在环境中工作。微隔离一直认为网络地址是一个不稳定的参数,因此微隔离技术(真正的微隔离技术)是面向的ID的而不是IP。这本来是为了回应SDN在零信任时代,设计的技术特点突然焕发出意想不到的光彩。
安全人员发现,微隔离可以有效解决当前问题IP网络安全技术面临的问题已成为众所周知的零信任三大核心技术基石之一。换句话说,在今天,软件定义和微控制能力不再是微隔离对网络安全的主要贡献。微隔离最大的价值在于定义网络和访问控制身份。因此,这次更名,Gartner意思很清楚,微不足道不重要,面向ID才是王道!
从软件定义的隔离,到微隔离,再到基于身份的隔离,微隔离的三次更名,事实上代表了最近十年网络安全发展的历史,代表了技术进步的方向。网络安全先后面临了虚拟化,APT,微隔离技术在数字时代的几轮冲击中发挥了积极的作用。最有趣的是,微隔离本身并没有改变。自诞生以来,该技术的核心能力和技术结构一直是这样的,但人们越来越发现该技术比想象的更有价值。
三次更名实际上代表了行业对微隔离技术的三次深入了解,也显示了微隔离技术应用范围的三次扩展。今天的微隔离技术正成为整个零信任安全系统的基石。
https://www.lab.cn/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/