传统的数据中心安全防护方式侧重于在外围进行边界防护，将威胁拒之门外。但随着数据中心的扩大和升级，现代数据中心约20%的流量是内外网之间的数据交换，而更为庞大的80%流量流转于内网主机之间。

这就出现了一个重大问题，一旦攻击者绕过了边界防御，他们就能够在内网中横冲直撞，肆意妄为。如何有效控制内网中的东西向流量成为一个重大问题。解决这一问题的最佳方式是采用更严格的细粒度安全模型，将安全与工作负载紧密联系起来，灵活配置安全策略，而微隔离是最佳落地方式之一。

^{攻击者突破边界防御后，在数据中心随意进行横向移动}

一、微隔离的作用机制

微隔离限制了攻击者在成功入侵数据中心后横向移动和渗透敏感数据的能力。就像银行保险库遭到破坏后，保险箱依旧可以保护客户的贵重物品。早在2017年，Gartner就将微隔离 (Micro Segmentation) 评为11个最值得关注的安全技术之一。同时，它也是实现零信任，解决云计算内部安全问题的最佳方案之一。

基于微隔离的零信任防护比传统基于网络的防护更加细化，也更加有效，因为它可以通过减小入侵者的攻击面来提高数据中心的整体安全性。我们可以通过一组数据说明。假设一个企业共有10台服务器，其中有3个Web应用暴露在互联网环境中。随着隔离方式的不同，入侵者在攻击不同进程中所能接触的攻击面也有所不同。具体数据如下表所示：

^{不同防护措施下的攻击面}

• 情况一：在只有一层内外网防火墙的情况下，黑客只能攻击暴露在互联网的3个Web应用，这时，攻击面是30%；一旦攻进内网，则没有任何安全防护措施，他可以任意攻击想要攻陷的服务器，攻击面扩大到100%；成功入侵一台服务器之后，服务器间没有彼此防护措施，以攻陷的一个为跳板，可以任意访问、攻击其他服务器，攻击面也是100%。

• 情况二：有些企业出于谨慎，还会在防火墙之内的数据中心边界上添加一套应用交付控制器（ADC），这种情况下攻击面会在一定程度上变窄。黑客在外网的时候同样只能攻击暴露在互联网的3个Web应用，攻击面是30%；进入内网后，还需要继续对ADC发起攻击，相当于可以攻陷4个Web应用，攻击面与没有ADC装置相比，缩小为40%；成功入侵一台服务器之后，服务器间依旧没有彼此防护措施，他同样能够以攻陷的服务器为跳板，任意访问、攻击其他服务器，攻击面也是100%。

• 情况三：在内网防火墙和ADC都建立的前提下，对各个服务器实施微隔离，黑客的攻击面会进一步缩窄。与第二种情况相同，黑客在外网的时候同样只能攻击暴露在互联网的3个Web应用，攻击面是30%；进入内网后，还需要继续对ADC发起攻击，攻击面为40%。不同的是，在成功入侵一台服务器之后，服务器之间彼此相互隔离，被攻陷的一台会切断与其他服务器的所有访问关系，黑客无法以它为跳板，攻击内网的其他服务器，所以他能攻击的位置依旧是3个暴露在外网的Web端和一个ADC，攻击面是40%。

显而易见，微隔离在黑客成功攻陷一台服务器阶段能够将其迅速隔离，阻止入侵行为的进一步扩散，大幅度减少黑客攻击面。

二、微隔离的必备能力

微隔离至关重要，它可以有效提高企业的安全性、提升安全人员的工作效率并增加业务弹性。这让许多组织都在努力探索微隔离的落地方案，但实践表明，组织机构进行自研不仅费时费力，而且效果并不理想，更有效的方法是找一个专业的安全供应商。那如何对众多安全供应商进行选择呢？具体来说，提供微隔离能力的安全厂商应包括五个关键属性：

• 覆盖云和本地环境。企业应用程序的分布式特性意味着大多数组织无法针对每个部分提供不同的安全工具。可部署在混合数据中心架构中，支持主流操作系统和多种IT环境，实现跨平台的统一安全管理非常重要。

• 风险评估能力。零信任的一个核心要素是理解业务访问可能带来的风险。当风险出现时，了解工作负载和其中包含的风险之间的关系就显得至关重要。微隔离需要能够将额外的安全功能集成到防御组合中来，通过安全功能之间的智能共享协同行动，根据溯源分析能力及时响应。

• 策略创建和管理的自动化。随着数据中心工作负载不断增加，业务环境不断变化。微隔离产品应该根据应用程序的类型、作用、平台和其他因素自动生成策略。安全人员可以在实施该策略之前快速检查并测试策略的准确性，确保防护效果和对业务通信影响最小化。

• 易于部署。实现跨平台的统一快速部署非常重要，通过减少部署时间，可以帮助安全团队快速完成目标，并为扩展零信任策略，建立可参考的业务案例。

• 支持旧版应用程序/系统。尽管现代应用程序成为市场主流，但现实情况是，在可预见的未来，大多数企业仍会继续支持各种架构。在整个系统中对旧版网络设备和业务敏感主机实施保护，提供一致性的解决方案可以实现更全面的安全防护。

三、微隔离实践应用

青藤，作为国内首个实现在服务器终端上部署轻量级Agent的安全厂商，其Agent的稳定性和安全性也已经在600万+台核心业务服务器上得到了最佳验证。在经过长期的实践打磨后，青藤正式推出了青藤零域·微隔离安全平台，用户只需一个轻量级Agent（已经部署青藤Agent的客户无需重新安装），即可支持微隔离、主机安全、容器安全的综合能力。青藤零域所具备的6大功能，可帮助企业组织做好东西向网络控制，解决众多棘手的安全问题。

• 流量看得清：自动学习当前的业务访问，以多种拓扑图展示主机之间、业务分组之间的的访问关系。提供丰富的查询方式和可视化图例，让业务梳理变得容易。既能为网络策略的制定提供基础，还可用于发现主机上无用的端口，减少风险暴露面；或定位没有访问的空闲主机，回收未被利用的资源。

^{青藤零域业务访问关系拓扑图}

• 策略好管理：覆盖多个维度的管理场景，可基于简明易读的标签，配置多种形式的策略；可按照业务分组进行粗粒度管控或细化到端口的精细化管控。业务或IT环境发生变化时可自适应调整发布到主机的网络策略，实现自动化运维。

^{业务或IT环境变化时策略自适应调整}

^、

• 策略易验证：自动验证策略的正确性，减少人力成本和犯错可能。根据自动学习建成的基线，一旦发现异常访问，以邮件、短信、系统消息、可视化连线等方式第一时间发出告警。

• 管控多选择：配合不同的管理要求，提供防控严密但实施要求较高的主机控制模式，和只防护关键服务且使用门槛较低的服务控制模式。在主机控制模式下，可为每个业务端口配置策略，严密防护；在服务控制模式下，可管控20%的关键端口，降低80%的风险。

^{青藤零域的两种访问控制模式}

• 威胁可隔离：主机被攻陷时，迅速隔离失陷主机的网络，防止威胁进一步扩散。同时可以保持特定端口开放，并仅允许特定IP访问，以保留上机排查问题的途径，提供应急响应的手段。威胁清除后远程解除隔离，恢复正常通信。

• 保护更全面：对未部署Agent的网络设备和业务敏感主机，通过对安装了Agent的主机的访问行为进行控制来实现保护，并可对DMZ区主机的外网访问进行控制。

四、最佳实践案例

青藤零域·微隔离安全平台可部署在混合数据中心架构中，实现跨平台的统一安全管理，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理。在真实威胁中，青藤零域可快速隔离失陷主机网络，阻断横向渗透行为，让零信任理念真正落地。该产品方案，目前已经在诸多客户的真实业务环境得到了很好验证。

• 客户需求：

以某金融央企客户为例，该客户业务结构复杂，对接单位众多，客户希望提升关键IT基础设施防护和安全策略控制能力，对不同环境的服务器实现高效灵活的访问控制，同时又不危及业务的正常运行；并且在重保活动/攻防演练中监控异常访问，对异常访问进行有效处置。

• 解决方案：

采用独立部署的方式，对客户约5000台服务器部署Agent，涵盖CentOS 7、RedHat 5-7、Ubuntu 12、Windows Server 2012 R2 等物理机和虚拟机。

在重保活动/攻防演练前，通过Agent自动采集所有网络连接，自动学习业务流量，并进行可视化展示，完成白名单基线的创建。

在重保活动/攻防演练中，持续监控访问行为，对白名单以外的异常访问产生告警；确认威胁后用网络隔离功能处理失陷主机。

• 客户收获：

轻量Agent自动学习梳理主机之间的业务访问关系，并可按需配置不同强度的控制措施。

实现跨环境的零信任安全，快速发现异常访问流量并阻断攻击者的潜在横向路径。

一键隔离失陷主机防止威胁扩散，并通过特定端口快速响应处理威胁。