微隔离不仅是防火墙

              本文重点:微隔离不仅是防火墙

              而这种策略管理工作,不是基于预定义脚本的简单的自动化过程,而是一个基于实时网络环境监听的,基于高层次安全策略的一种实时策略计算与策略更新过程。

              对每一个接入系统的控制点,根据实时发生的特殊事件,同时参考其他控制点的变化情况,做出独特的,恰当的策略计算,这个过程就是软件定义隔离的核心管理过程。 二、主机防火墙与微隔离的关系讲清楚了微隔离技术的定义,再来回答用户关于主机防火墙与微隔离的关系的问题就比较简单了。 简单地说,主机防火墙相当于SDN网络中的白牌交换机,而策略计算中心相当于SDN控制器。 在微隔离的安全体系中,具体的访问控制是通过主机防火墙来做的,但是策略不在主机防火墙上,而是配置在策略计算中心。

              这个计算中心从全局收集信息,然后根据预先定义好的高级安全策略去做具体的策略计算,然后生成主机防火墙能够看得懂的五元组策略,并配置回去。 所以,主机防火墙自身无法完成微隔离功能,一个强大的策略计算中心才是微隔离体系的灵魂。

              事实上主机防火墙有着悠久的发展历史,无论是iptable还是wfp都是久经考验的好产品,他们在稳定性,兼容性,性能上都非常出色。 微隔离以这些老战士为数据面的控制点事实上也是一种非常稳妥的选择,而微隔离的核心技术应该放在策略计算能力上。 三、微隔离技术的硬核究竟在哪里如果说主机防火墙不是微隔离技术的核心的话,那么微隔离技术的硬核究竟在哪里呢?我们说围绕着安全策略的生命周期,微隔离技术主要就是三个地方展现技术含量。

              首先是业务分析要做隔离就需要具体的安全策略,所谓安全策略就是允许或者拒绝哪些流量的具体规则。

              微隔离要解决的是内网的点到点的访问控制问题,一般来说都是采用的白名单策略。 那么问题就来了,这个策略应该怎样设计呢?在内网充斥着大量复杂且私有的应用协议,除了业务开发者没有人了解他们使用了什么端口和协议,于是无论是运维团队还是安全团队都缺少设计安全策略所必须的业务知识。 所以要做策略管理,首先要分析业务,要把东西向的具体的通信关系给找出来,最好是以可视化的方式呈现出来,这样安全团队才能够在此基础上设计出正确的东西向安全策略。 如果没有这个能力,你有再多的防火墙也注定只能是摆设。