更細粒度的控制是個好東西,但說的總比做的容易
虛擬數據中心事務繁雜。在安全上,我們聽過各種版本的“微隔離”。這個術語源于VMware,但被其他多個領域借用,有些為其做了引申。
大家都知道隔離是什么。每個企業都會將網絡至少分隔為外網和內網。大多數公司都想要某種程度上的內部隔離,但太多的光說不練——除非審計迫在眉睫。很多網絡對審計員關注的資產做了一定的隔離,比如患者記錄和信用卡信息。確實有企業高出安全復雜性曲線,對業務有嚴格的區域劃分,并對跨區域訪問有一定程度的監管。但這些一般都是大型復雜企業,因而每個區域也往往很大。
簡單算一下就知道,要跟蹤N個區域,考慮的必然是N*(N-1)個關系。這是指數級上升的數字。即便員工充裕的團隊也難以應付單一網絡中的十幾個主要分區。聽起來似乎不多,但任意兩個網絡隔離之間的開放訪問,很容易就會超過50萬對通信。全面審計其中一個隔離就已經是超人般的壯舉了。
但如今,牽引IT戰車的戰馬又多了兩匹:虛擬數據中心和軟件定義網絡。二者提供更多的隔離,更細的控制,大幅減少IT團隊工作量(不同市場營銷團隊承諾的工作負載減少量不盡相同,就看你選擇相信哪家了)。聽起來真是太棒了,誰不想要超精細的控制呢?再沒人相信“僅邊界”模式就能搞定安全了。那么,更多的控制必然更好,對嗎?但實際上,如果你僅僅將此技術甩到現有堆棧上而沒有擴展計劃,也是沒什么卵用的。
如果你以難以搞定的復雜管理任務做為開端,簡單拆分成更小的任務,分發到更多的地方,那很快,你就會瘋狂分裂到生無可戀。
真的沒什么希望了嗎?當然不!問題出在規模上。在快速發展的基礎設施里,更多的隔離,會給已經疲于應付的人類團隊制造更多的麻煩。但這正好是計算機非常擅長處理的那類問題。關鍵就在于認清:你得從實現中將目標(允許在網絡中出現的東西)剝離出來,無論你的實現是遺留防火墻,還是管理虛擬工作負載策略的新鮮GUI。
現實世界中,這不是個非此即彼的問題,而是二者兼具的問題。因為你不得不在更寬廣的網絡中協調你的虛擬工作負載防護。全網必然不是軟件定義的,它會非常頑固地駐扎在你面前,繞不過,推不開。
也就是說,如果你能描述清楚你的網絡職能,你就能贏得漂亮。把你的目標從具體實現中分割出來吧。比如說,在各業務單元區間關系中用通用術語將意圖記錄下來。然后,你就能用自動化軟件來檢查是否確實符合該網絡被設置的原本職能了。計算機不會累,它們只是不太清楚你的公司或你的對手,因而寫不出適合你的具體規則。
相信軟件能搞清公司企業的運作方式,或者希望軟件能迷惑對手,是不現實的。既然軟件都不能通過圖靈測試,區區一個算法又怎能理解作為現代惡意軟件支柱的社會工程呢?
微隔離不是個壞東西。這就像是詢問水是不是個壞東西一樣。用對了,是生命之源;肆虐了,便是死亡使者。在這個問題上,學會游泳可不是找出最新萬能安全產品這么簡單的事兒,而是要弄清你整體基礎設施協同運作機制,知曉它是否在滿足業務需求的同時又沒有暴露過多的攻擊界面。
京公網安備 11010502049343號