[深度分析 8.0 系列]05 网络微隔离服务

1 云计算服务安全需求分析

云服务成为数字化经济发展中不可逆转的大势之一，未来的发展趋势在业界已是共识。然而用户在云化的过程中，企业用户面临的最大问题就是云的安全性，安全成为了企业采用云计算服务的最大障碍。云计算安全联盟（CSA）总结了 9 种威胁云计算安全的问题，其中指出共享技术的安全漏洞很可能存在于所有云计算的交付模式当中。

过去，在传统的数据中心，每一个业务应用集群都有一个网络隔离的防火墙，以保证业务运行的安全，并成为企业数据中心中使用最多的安全设备。但是，现在用户已普遍使用了云计算平台（公有云、私有云、混合云等），云在给用户带来了资源的按需申请、高可靠、高可用、弹性伸缩、智能调度等优势的同时，也不得不直面更多的安全需求，如多租户多应用混合部署、虚拟机（包括容器）规模体量极大、资源多租户按需分配、逻辑架构与物理架构无关等。云计算环境下已经无处安放原来的隔离防火墙了，云内流量不可见，不同租户要求的安全等级不同，安全策略多样化大增，导致了传统的隔离防火墙方案在云环境中已无用武之地。当用户面对如云平台内部 ARP 攻击、勒索病毒等安全隐患，其中一个用户遭受攻击时如何不影响其他的用户，又不得不做更细粒度的网络隔离防护，当然，传统安全设备也可以加强东西向防护，但是需要牺牲云平台的动态、弹性、按需分配的技术优势，在这样的背景下，网络微隔离技术应运而生。

微隔离技术区别于过去的安全域间的安全访问控制，主要用于提供虚拟主机（容器）间安全访问机制，并对东西向流量进行可视化管理，避免利用内部没有防护的漏洞，进行内部攻击破坏，是云计算安全领域的核心技术之一。在 2017 年 6 月份举办的第 23 届 Gartner 安全与风险管理峰会上，Gartner 发布了 2017 年度的 11 个最新最酷的信息安全技术，微隔离就是其中之一。美国的微隔离市场发展较早，用户接受度高，市场格局趋于稳定，而国内微隔离技术和产品则开始进入快速发展阶段。目前，国内《微隔离产品安全技术要求标准》正在制定，专业的安全厂商也已开始布局网络微隔离产品，而随着云计算与虚拟化技术的普遍应用，微隔离产品和服务也将会成为用户必不可少的安全需求。