為什麼說不要用VLAN、VPC解決東西向隔離問題

摘要： 前言 作為一個嚴謹的、有著職業操守的安全從業人員，首先我要摸著良心說：技術沒有好壞，評價一個技術，我們主要看它能否在某些場景下很好的解決特定問題。而基於我們多年來的運維經驗及實際的客戶走訪，基於VLAN/VPC的內部隔離方式基本上已經不再適用於解決虛擬資料中心/私有云（包括含有私有云的混合...

前言

作為一個嚴謹的、有著職業操守的安全從業人員，首先我要摸著良心說：技術沒有好壞，評價一個技術，我們主要看它能否在某些場景下很好的解決特定問題。而基於我們多年來的運維經驗及實際的客戶走訪，基於VLAN/VPC的內部隔離方式基本上已經不再適用於解決虛擬資料中心/私有云（包括含有私有云的混合雲）環境下的東西向隔離問題。

在開始今天的討論之前，作為一名日常就是跟客戶聊安全（jiang chan pin）的產品人員，要先回答一下客戶爸爸總是考驗（diao nan）我的問題“內部為什麼要做隔離？”

Line"/>

內部為什麼需要隔離

從安全建設角度：

一直以來，企業廣泛的採用縱深防禦技術（defensin depth）和最小許可權邏輯（least privilege）來進行企業網路安全管理。而隔離是實現這兩個理念的基本方式，例如傳統安全管理中，通過邊界部署防火牆來實現可信網路與外部網路的隔離，內部不同安全級別間劃分安全域，域間通過防火牆實現隔離，並通過設定安全策略按需賦予訪問許可權。

從攻擊防禦角度：

從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉變為以特定的政治或經濟目的為主的高階可持續攻擊。無論從著名的Lockheed Martin Cyber Kill Chain（洛克希德-馬丁公司提出的網路攻擊殺傷鏈），還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點，一旦邊界的防線被攻破或繞過，攻擊者就可以在資料中心內部橫向移動，而中心內部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統安全的一個主要弱點，複雜的安全策略、巨大的資金和技術都用於了邊界防護，而同樣的安全級別並不存在於內部。

從安全閉環角度：

有了行為分析、有了蜜罐、有了態勢感知，卻沒有了最基本的訪問控制。資料中心內部往往幾百臺虛擬機器域內全通；安全策略“只敢增、不敢減”；內部大量的檢測裝置，但防護在哪裡……

講到這，如果客戶爸爸還沒趕我出去，那就可以開始我的表演了：

場景一：

我：“客戶爸爸，聽說您的資料中心去年就完成虛擬化建設，投入使用了。業務生產效率提升了一大截呢！”

客戶爸爸：“嗯，我們選擇國外大廠的虛擬化技術去年完成的建設。虛擬化資料中心的確提升了運營效率。”

我：“咱們現在有多少臺虛擬機器了？”

客戶爸爸：“目前一共500多臺，有些業務還在遷移，增長比較快，明年預計能達到1000臺。”

我：“這麼多虛擬機器，咱們內部怎麼管理啊”

客戶爸爸：“我們主要是通過劃分VLAN進行管理的……”

場景二：

我：“客戶爸爸，聽說您的私有云去年就完成建設，開始使用了。現在好多企業才剛剛起步。”

客戶爸爸：“嗯，我們三年前就開始做技術調研了，去年完成的建設。雲資料中心的確是未來的建設趨勢啊。”

我：“咱們現在有多少臺虛擬機器了？”

客戶爸爸：“目前一共1000多臺，有些業務還在遷移，增長比較快，明年預計能達到1500臺。”

我：“這麼多啊，您這私有云在行業內算得上是標杆了。這麼多虛擬機器，咱們內部怎麼管理啊”

客戶爸爸：“我們主要通過雲廠商提供的VPC進行內部管理……”

虛擬化資料中心根據底層架構的不同，基於VLAN/VPC的內部隔離是兩種比較常見的方式。很多企業先根據部門、業務系統將資料中心邏輯上劃分成不同安全域，並通過VLAN/VPC的方式進行隔離，再將虛擬機器部署在各VLAN/VPC中。由於VLAN/VPC均為二層隔離，如果各組之間需要通訊，則需要通過三層裝置（三層交換、防火牆）進行。兩種方式主要都是延續了傳統資料中心安全管理的思維，分堆、分隔、訪問控制。

但實際上，客戶在運維的過程中，基本都漸漸的“一切從簡“——幾百臺虛擬機器分為3、4個域，域間配置一些基於網段的訪問控制規則，域內全通。

這個時候，為了不讓客戶爸爸掉到VLAN/VPC隔離的“大坑“中，專業（wei le xiang mu）的我一定要給客戶爸爸講講什麼才是東西向隔離。

有因才有果，我們先分析下虛擬資料中心/私有云的特點：

虛擬資料中心/私有云的特點

1. 虛擬機器數量較多，少則幾百臺，多則幾千上萬臺，且不斷增加。
2. 多分支機構、多業務部門使用，安全級別複雜
3. 業務靈活多變。資源按需分配，變化隨時發生（業務上下線，擴容，複製，漂移）。

根據以上特點，結合等保2.0中虛擬機器之間訪問控制，內部攻擊檢測、阻斷等要求，東西向的隔離應該具備以下能力：

東西向隔離應該具備的能力

1、識別內部業務的訪問關係。東西向不易管理，很大程度上是因為內部流量不可見，從而導致安全策略設計、調整困難。能夠識別主機（包括容器）之間的流量，包括訪問的服務、埠、次數，甚至是程序等。
2、能夠實現端到端隔離。具備物理伺服器之間、虛擬機器之間、容器之間的訪問控制能力，控制粒度為埠級。
3、能夠下降內部主機的攻擊面。可以設定訪問來源、及其可以訪問的服務和埠；具備網路層面關閉埠的能力。
4、策略視覺化編輯及統一管理能力。可圖形化展示現有安全策略狀態；可圖形化編輯安全策略；全網的安全策略可以通過統一介面進行管理。
5、策略自動化部署。能夠適應私有云彈性可拓展的特性，在虛擬機器遷移、克隆、拓展等場景下，安全策略能夠自動變化。支援自動化編排。
6、支援混合雲架構。混合雲環境下，支援跨平臺的流量識別及策略統一管理。

遺憾的是，基於VLAN/VPC的內部隔離方式基本滿足不了東西向隔離的需求。

基於VLAN/VPC內網隔離的“七宗罪”

1、過於靜態。靜態的VLAN/VPC劃分限定了虛擬機器的位置，與雲資料中心的動態特性相悖。

2、攻擊面過大。虛擬機器數量大幅增加，過大的VLAN/VPC劃分會給攻擊者提供較大的攻擊範圍，一旦組內一臺主機被控制，攻擊者就可以隨意的橫向移動。

3、成本過高。細分安全域，然後部署數百甚至數千個防火牆以做到內部訪問控制，在財務和操作上是不可行的。

4、影響業務交付。在新增業務或改變現有業務時，安全人員必須手動修改安全策略，從而符合這個靜態又重量級的網路拓撲，大幅增加業務延遲，也容易造成配置錯誤。

5、安全策略管理複雜。防火牆的配置錯誤、策略更改均是網路中斷的常見原因。尤其是防火牆的策略配置，無法預先測試、錯誤配置很難排查，防火牆策略往往存在“只敢增，不敢減”的問題。

6、增加網路延遲。這種設計增加了網路複雜性，降低了網路效能。

7、無法適用於混合雲模式。當用戶有多個雲資料中心時，割裂的安全，增加管理的複雜度。

總結起來就是基於VLAN/VPC的內部隔離，不怎麼合規、不怎麼靈活、粒度相當粗、運維特別難。

綜上所述，不管是摸著哪位老師的良心，我都要說，在虛擬資料中心環境下，基於VLAN/VPC的內部隔離只適用於粗粒度的大安全域間隔離，對於解決東西向隔離問題，基本已經涼涼。

VLAN/VPC雖然涼，但客戶爸爸不要冷，針對虛擬資料中心內部的隔離問題，國際上早有定論。

雲中心內部隔離的最佳實踐——微隔離

微隔離（MicroSegmentation）最早由Gartner在其軟體定義的資料中心（SDDC）的相關技術體系中提出，用於提供主機（容器）間安全訪問控制（區別於過去的安全域間的安全訪問控制）,並對東西向流量進行視覺化管理。

微隔離技術基本上以軟體定義為主，可以很好的適應雲中心的動態特性。而且從定義上就能看出，其主要解決的就是如何將錯綜複雜的雲內流量看清楚，管理好。

微隔離並不是理念上的革新，它從管理理念上堅持了縱深防禦、最小許可權這些被廣泛認可的原則，所不同的地方在於微隔離使得這些理念能夠在完全不同的虛擬化資料中心和複雜的內部通訊模型下繼續被有效貫徹。

在Gartner2017年的報告中認為微隔離將在未來2-5年內成為主流技術。

後續預告

我：“這麼多虛擬機器，咱們內部怎麼管理啊”

客戶爸爸：“我們正在考慮通過SDN牽引的方案進行管理……”