為什么說不要用VLAN、VPC解決東西向隔離問題

為什么說不要用VLAN、VPC解決東西向隔離問題，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

前言

作為一個嚴謹的、有著職業操守的安全從業人員，首先我要摸著良心說：技術沒有好壞，評價一個技術，我們主要看它能否在某些場景下很好的解決特定問題。而基于我們多年來的運維經驗及實際的客戶走訪，基于VLAN/VPC的內部隔離方式基本上已經不再適用于解決虛擬數據中心/私有云（包括含有私有云的混合云）環境下的東西向隔離問題。

在開始今天的討論之前，作為一名日常就是跟客戶聊安全（jiang chan pin）的產品人員，要先回答一下客戶爸爸總是考驗（diao nan）我的問題“內部為什么要做隔離？”

內部為什么需要隔離

從安全建設角度：

一直以來，企業廣泛的采用縱深防御技術（defensin depth）和最小權限邏輯（least privilege）來進行企業網絡安全管理。而隔離是實現這兩個理念的基本方式，例如傳統安全管理中，通過邊界部署防火墻來實現可信網絡與外部網絡的隔離，內部不同安全級別間劃分安全域，域間通過防火墻實現隔離，并通過設置安全策略按需賦予訪問權限。

從攻擊防御角度：

從近年來的安全事件我們可以看到，攻擊者從以破壞為主的攻擊逐漸轉變為以特定的政治或經濟目的為主的高級可持續攻擊。無論從著名的Lockheed Martin Cyber Kill Chain（洛克希德-馬丁公司提出的網絡攻擊殺傷鏈），還是近年名聲大噪的勒索病毒、挖礦病毒，這些攻擊都有一些顯著特點，一旦邊界的防線被攻破或繞過，攻擊者就可以在數據中心內部橫向移動，而中心內部基本沒有安全控制的手段可以阻止攻擊。這也突出了傳統安全的一個主要弱點，復雜的安全策略、巨大的資金和技術都用于了邊界防護，而同樣的安全級別并不存在于內部。

從安全閉環角度：

有了行為分析、有了蜜罐、有了態勢感知，卻沒有了最基本的訪問控制。數據中心內部往往幾百臺虛擬機域內全通；安全策略“只敢增、不敢減”；內部大量的檢測設備，但防護在哪里……

講到這，如果客戶爸爸還沒趕我出去，那就可以開始我的表演了：

場景一：

我：“客戶爸爸，聽說您的數據中心去年就完成虛擬化建設，投入使用了。業務生產效率提升了一大截呢！”

客戶爸爸：“嗯，我們選擇國外大廠的虛擬化技術去年完成的建設。虛擬化數據中心的確提升了運營效率。”

我：“咱們現在有多少臺虛擬機了？”

客戶爸爸：“目前一共500多臺，有些業務還在遷移，增長比較快，明年預計能達到1000臺。”

我：“這么多虛擬機，咱們內部怎么管理啊”

客戶爸爸：“我們主要是通過劃分VLAN進行管理的……”

場景二：

我：“客戶爸爸，聽說您的私有云去年就完成建設，開始使用了。現在好多企業才剛剛起步。”

客戶爸爸：“嗯，我們三年前就開始做技術調研了，去年完成的建設。云數據中心的確是未來的建設趨勢啊。”

我：“咱們現在有多少臺虛擬機了？”

客戶爸爸：“目前一共1000多臺，有些業務還在遷移，增長比較快，明年預計能達到1500臺。”

我：“這么多啊，您這私有云在行業內算得上是標桿了。這么多虛擬機，咱們內部怎么管理啊”

客戶爸爸：“我們主要通過云廠商提供的VPC進行內部管理……”

虛擬化數據中心根據底層架構的不同，基于VLAN/VPC的內部隔離是兩種比較常見的方式。很多企業先根據部門、業務系統將數據中心邏輯上劃分成不同安全域，并通過VLAN/VPC的方式進行隔離，再將虛擬機部署在各VLAN/VPC中。由于VLAN/VPC均為二層隔離，如果各組之間需要通信，則需要通過三層設備（三層交換、防火墻）進行。兩種方式主要都是延續了傳統數據中心安全管理的思維，分堆、分隔、訪問控制。

但實際上，客戶在運維的過程中，基本都漸漸的“一切從簡“——幾百臺虛擬機分為3、4個域，域間配置一些基于網段的訪問控制規則，域內全通。

這個時候，為了不讓客戶爸爸掉到VLAN/VPC隔離的“大坑“中，專業（wei le xiang mu）的我一定要給客戶爸爸講講什么才是東西向隔離。

有因才有果，我們先分析下虛擬數據中心/私有云的特點：

虛擬數據中心/私有云的特點

1. 虛擬機數量較多，少則幾百臺，多則幾千上萬臺，且不斷增加。

2. 多分支機構、多業務部門使用，安全級別復雜

3. 業務靈活多變。資源按需分配，變化隨時發生（業務上下線，擴容，復制，漂移）。

根據以上特點，結合等保2.0中虛擬機之間訪問控制，內部攻擊檢測、阻斷等要求，東西向的隔離應該具備以下能力：

東西向隔離應該具備的能力

1、識別內部業務的訪問關系。東西向不易管理，很大程度上是因為內部流量不可見，從而導致安全策略設計、調整困難。能夠識別主機（包括容器）之間的流量，包括訪問的服務、端口、次數，甚至是進程等。

2、能夠實現端到端隔離。具備物理服務器之間、虛擬機之間、容器之間的訪問控制能力，控制粒度為端口級。

3、能夠下降內部主機的攻擊面。可以設置訪問來源、及其可以訪問的服務和端口；具備網絡層面關閉端口的能力。

4、策略可視化編輯及統一管理能力。可圖形化展示現有安全策略狀態；可圖形化編輯安全策略；全網的安全策略可以通過統一界面進行管理。

5、策略自動化部署。能夠適應私有云彈性可拓展的特性，在虛擬機遷移、克隆、拓展等場景下，安全策略能夠自動變化。支持自動化編排。

6、支持混合云架構。混合云環境下，支持跨平臺的流量識別及策略統一管理。

遺憾的是，基于VLAN/VPC的內部隔離方式基本滿足不了東西向隔離的需求。

基于VLAN/VPC內網隔離的“七宗罪”

1、過于靜態。靜態的VLAN/VPC劃分限定了虛擬機的位置，與云數據中心的動態特性相悖。

2、攻擊面過大。虛擬機數量大幅增加，過大的VLAN/VPC劃分會給攻擊者提供較大的攻擊范圍，一旦組內一臺主機被控制，攻擊者就可以隨意的橫向移動。

3、成本過高。細分安全域，然后部署數百甚至數千個防火墻以做到內部訪問控制，在財務和操作上是不可行的。

4、影響業務交付。在新增業務或改變現有業務時，安全人員必須手動修改安全策略，從而符合這個靜態又重量級的網絡拓撲，大幅增加業務延遲，也容易造成配置錯誤。

5、安全策略管理復雜。防火墻的配置錯誤、策略更改均是網絡中斷的常見原因。尤其是防火墻的策略配置，無法預先測試、錯誤配置很難排查，防火墻策略往往存在“只敢增，不敢減”的問題。

6、增加網絡延遲。這種設計增加了網絡復雜性，降低了網絡性能。

7、無法適用于混合云模式。當用戶有多個云數據中心時，割裂的安全，增加管理的復雜度。

總結起來就是基于VLAN/VPC的內部隔離，不怎么合規、不怎么靈活、粒度相當粗、運維特別難。

綜上所述，不管是摸著哪位老師的良心，我都要說，在虛擬數據中心環境下，基于VLAN/VPC的內部隔離只適用于粗粒度的大安全域間隔離，對于解決東西向隔離問題，基本已經涼涼。

VLAN/VPC雖然涼，但客戶爸爸不要冷，針對虛擬數據中心內部的隔離問題，國際上早有定論。

云中心內部隔離的最佳實踐——微隔離

微隔離（MicroSegmentation）最早由Gartner在其軟件定義的數據中心（SDDC）的相關技術體系中提出，用于提供主機（容器）間安全訪問控制（區別于過去的安全域間的安全訪問控制）,并對東西向流量進行可視化管理。

微隔離技術基本上以軟件定義為主，可以很好的適應云中心的動態特性。而且從定義上就能看出，其主要解決的就是如何將錯綜復雜的云內流量看清楚，管理好。

微隔離并不是理念上的革新，它從管理理念上堅持了縱深防御、最小權限這些被廣泛認可的原則，所不同的地方在于微隔離使得這些理念能夠在完全不同的虛擬化數據中心和復雜的內部通信模型下繼續被有效貫徹。

在Gartner2017年的報告中認為微隔離將在未來2-5年內成為主流技術。

關于為什么說不要用VLAN、VPC解決東西向隔離問題問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。