电子政务安全大会|基于微隔离构建数据中心零信任体系

9月24日，以“激发数据潜能 共襄安全治理”为主题的第三届中国电子政务安全大会在北京举行。十四五规划中明确提出，“加强数字政府建设，提升公共服务、社会治理等数字化智能化水平”。在推动数字政府、数字社会、数字治理的发展过程中，确保数据安全是核心重点之一。蔷薇灵动作为微隔离技术代表厂商应邀参与此次活动，并在大会上就如何通过微隔离技术构建数据中心零信任体系，保证核心数据安全做精彩分享。

蔷薇灵动产品总监熊瑛在电子政务安全大会发表演讲

零信任理念是对传统边界防护思维的颠覆

当前，零信任作为应对高风险安全形势和威胁的新技术理念，得到了越来越广泛的认同。放眼海外，2021年9月7日美国管理和预算办公室（OMB）发布了《联邦零信任战略》（Federal Zero Trust Strategy）草案，进一步明确联邦政府零信任战略的实施。而自去年疫情发生以来，美国相关机构已经就零信任标准及实施发布过一系列的相关文件。目前其“零信任战略”实施呈现快马加鞭，势不可挡的态势。

在国内，零信任理念同样迎来热潮，备受关注。蔷薇灵动产品总监熊瑛解释道，从技术而言零信任理念其实是对传统边界防护思维的颠覆，传统网络安全是用攻防对抗的模式去构建安全，在网络边界铸造“铜墙铁壁”并御敌于城墙之外。伴随云计算的发展及应用，基础架构正在发生巨变，与此同时攻击手段也在不断演进，网络不再是静态的，因此静态的防御工事在面对网络中流量剧增、工作负载漂移、克隆、扩展、关闭等情况时将束手无策。

零信任的本质是要面向业务进行全方位可视、全要素纳管和细粒度控制。熊瑛指出，零信任本身并不是一种安全产品，而是提供了一套技术框架和方法论，相较于传统边界访控有着非常鲜明的差别。首先，访控模式由黑转白，传统攻防对抗需要识别坏人，而坏人会想法设法躲避，在零信任体系下识别的是好人，好人总会主动配合安全机制的检测。其次，零信任是面向业务而非面向网络进行管控，由于业务逻辑本身是确定的，所以无论虚拟化的网络和基础设施如何变化，安全策略总会依据本身的业务逻辑做出相应变化，实现策略的自适应调整。零信任实际上是在原来的物理网络之上构建的一个逻辑的管理网络，安全控制与基础设施解耦，重建新的逻辑网络。另外，攻防对抗主要是由企业的安全团队负责，而在零信任体系构建中，由于管理控制是面向业务，需要安全部门与业务及运维部门协同配合，从整体上来看可以更好的形成安全管理闭环。

微隔离是构建数据中心内部零信任的基石

从狭义零信任构建来看，零信任有三大核心能力：IAM、SDP和微隔离，分别回答网络中有什么，外面的流量如何进来以及内部的流量如何控制的问题。而微隔离在其中的作用就相当于疫情当中我们用到的“口罩”，通过最细粒度的控制，阻断威胁的传播，从安全能力叠加演进的能力而言，微隔离解决的是最基础的“架构安全”问题，是构建数据中心零信任的基石。

据统计，当代数据中心75%以上的流量为东西向流量，而随着云计算的应用，东西向流量进一步剧增，庞大的流量规模就像一团乱麻难以理清，而不能理清就无从管理。从另一方面来看，微隔离系统的计算复杂度随纳管规模的增加呈指数型增长，静态的安全策略和人工运维方式都不适用于微隔离落地。微隔离技术实施有三项基本要求：第一要面向业务而非面向网络；第二实现自动化配置，包括初期自动化学习业务连接关系以及后期自适应安全策略计算；第三要从分散决策走向软件定义，实现安全策略集约计算、分布执行。

微隔离从具体技术实现上来讲分为三个层次：分析、分段和运维。

分析阶段主要指梳理业务之间的连接关系，例如以可视化形式呈现分组、工作负载间的业务连接，生成全网工作负载端口台账，发现网内长期无人管理的“幽灵主机”，及时洞察攻击的横向侧移等，而洞察内网流量关系则是部署微隔离访控策略的基础。

分段阶段主要是实现基于标识的策略管理，为了满足安全策略面向业务而非面向网络的要求，一组策略要通过四层实体和三次动态映射来实现基于标签的安全策略与基础设施解耦。而这是实现策略最小化和运维极简化的基础。

运维阶段则是要实现策略自适应计算以确保策略实时准确。此处我们将代表工作负载业务角色的标识体系与策略自适应计算引擎相结合， IP可能发生变化，但业务角色及逻辑是确定的，有了不变，才能应对万变。熊瑛指出，在微隔离管理体系中，自适应策略计算不仅确保策略实时有效，策略随工作负载漂移而迁移，同时还能够有效控制策略的数量规模，并避免冗余策略的产生。

通过循序渐进、分步实施实现微隔离落地

据有关测试表明，通过微隔离部署，可有效缩减攻击面积，提升攻击者的攻击难度和攻击成本。作为零信任核心结构性要求之一，微隔离落地部署可分为五步，即定义、分析、设计、防护和运维。

定义阶段是指确定需纳管的工作负载范围和对象。分析阶段则是基于业务角色，以标签化的身份标识标定工作负载的虚拟身份。设计阶段需要基于业务逻辑梳理互访需求，形成东西向流量策略的基线。防护阶段则需部署并启用东西向流量的管控策略，实现微分段控制。运维阶段是指在微隔离系统运行过程中，基于其产生的东西向流量访问数据，实时分析异常行为、及时处置攻击事件。

当然零信热、微隔离的建设本身是有成熟度的，其覆盖范围、分段粒度则需要基于业务和安全等多重需求而定。在具体的实施过程中往往采取分步骤实施的方式，基于蔷薇灵动长期服务政企客户并实施微隔离的经验，以先边缘、后核心，先新业务、后老业务，先小业务、后大业务，先看、后断，先组间、再组内为原则，逐渐深入、持续收紧数据中心微分段控制，则可以在业务效率和安全间达到最佳平衡。

政府单位是推动我国数字社会的先锋，而零信任作为数字化转型下的新一代安全理念必将迎来高速发展。蔷薇灵动作为深耕于数据中心零信任落地研究的厂商，期待能够与更多政府用户一起携手，为推动数字转型安全发展贡献力量。