回想一下,十年前发生了什么?虽然 2011 年看起来并没有那么久远(您应该还记得皇家婚礼、Kim Kardashian 离婚,当然还有 Charlie Sheen 的人设崩塌),但 10 年来发生了很多变化。当时,大部分数据中心都才刚刚开始试用虚拟化。还记得吗,当时人们认为只有少量不重要的工作负载采用虚拟化方式处理才是安全的。而现在,全球大约一半的服务器已经实现了虚拟化,并且我们已经远远超越了虚拟化范畴。几乎每个企业数据中心都变为了混合环境,混合使用物理和虚拟形式的存储和计算资源。容器化以及为它提供支持的技术正在开始站稳脚跟。当然,云计算已经普及到企业计算的方方面面。
现在,当今的软件定义数据中心带来了许多业务优势,尤其是在资源效率和成本节约方面。但不可否认的是,复杂性也提高了,原因在于企业需要的所有资源都和原来一样:计算、存储、交换、路由。只不过现在,这些资源有多少在本地部署环境中,有多少在云环境中,都是不确定的。就管理连接、确保满足业务部门的性能需求,以及跟上业务和技术的变革速度而言,管理当今的数据中心是一项巨大的挑战。而除此之外,还有一项董事会、业务领导者和 IT 从业者最关注的挑战:安全性。
我们来看一看当今数据中心所面临的一些安全挑战:
1. 您无法保护您不了解的环境
我们首先来看一下可见性。在最近和 Omdia 召开的网络会议中,该分析机构谈论了他们所称的网络空间安全运维生命周期,概要介绍了有效的 SecOps 所包含的步骤。在该生命周期中,就像在数据中心内一样,一切均始于可见性。毕竟,您无法保护您并不了解的环境。数据中心可见性是指您可以查看有关工作负载、用户、设备和网络的可靠实时信息,并且能够识别出条件变化、风险状况升级或所出现的新威胁。尤其现在正值疫情时期(希望疫情很快结束,那么我们就进入后疫情时期),您可能会面临着高度分散的用户群从远程位置访问数据中心资源的情况,而且这种情况基本上是无限期的。
由于这一点,有多少企业能够完全确信自己可以实现充分的数据中心可见性?如果不能确信,您便不知道自己能否成功地执行安全计划。最后,您实现的可见性越低,您的安全漏洞就越多。
2. 没有适用的应用
接下来看一下应用安全性。这个问题可以单独写一篇文章讨论了,因为您实在是太需要在应用内以及围绕应用实现安全控制了。实现应用安全需要采用不同的方法,具体取决于该应用是传统本地部署应用,还是 SaaS 应用。此外,遵循应用策略要求是一项持续挑战。随着许多应用日益组件化,您需要通过 DevSecOps 流程来确保将安全性融入到实例中,为容器化的甚至是无服务器的应用功能提供支持。
3. 唯一不变的就是一直在变化 – 快速变革
接下来看一下变革的节奏。这听起来有点儿像老生常谈,但几乎每家企业都在以某种形式进行不同程度的数字化转型,其中涉及重大的 IT 基础架构转型。但是,数字化转型有一个不为人知的小秘密,即,它会持续不断地加快变革速度,实现更多的云计算基础架构、更多的 SaaS、更多的容器化。在未来十年,您还会面临着物联网和 5G 等方面的挑战。这意味着,连接到数据中心以及向数据中心输入数据的设备呈指数级增加。因此,数据中心安全技术需要以一种基于策略的自动化驱动型方法为中心,而且该方法必须能够适应不断加快的变革速度。
4. 东西向流量呈爆炸式增长是黑客梦寐以求的机会
最后,我们需要深入了解的一项特定挑战是东西向流量。随着数据中心的发展,东西向流量(数据中心内的流量)呈爆炸式增长。在密度更高、效率更高的数据中心内,工作负载更多,生成的网络流量也更多。在大多数企业中,东西向流量现在远多于进出数据中心的南北向流量。东西向流量不会实际离开数据中心,但这并不意味着您可以信任它。
对于企图掩饰恶意横向移动的攻击者而言,利用东西向流量是绝好的机会,可以说,恶意横向移动是现代数据中心环境内最大的问题。不妨想一想横向移动攻击的最常见场景,即,盗取有效凭证。如果攻击者利用合法凭证通过了身份验证,进而进入了系统,则您需要在网络层施加控制,以便能够识别恶意流量,阻止其遍历网络并加大入侵力度。这样来看,毫无疑问的是,东西向流量基本上已经成为了新的网络边界。
这需要一种新的防火墙
现在公认的是:只要具有网络边界,就需要防火墙。因此,企业现在需要在数据中心内部实施防火墙保护。但传统的边界防火墙方法不一定适用于东西向流量。让我们深入探讨一下。
首先,数据中心拓扑会成为障碍
尤其是在“软件定义”已占主导地位的数据中心内,在各个工作负载之间插入虚拟防火墙保护并不可行,并且也无法高效地将东西向流量路由到专用防火墙所在的位置。这样会在虚拟环境中无端造成物理瓶颈,让高效、灵活的软件定义模型从整体上失去了意义。此外,请考虑不同防火墙控制流量的方式以及涉及的流量类型。在边界处,您主要阻止特定的端口和协议及 IP 地址范围,同时,利用新一代防火墙,您是根据应用类型和用户组控制流量。这非常好,但是需要在东西向流量方面大幅提高控制的精细度。您可能拥有单个应用,但对于该应用的 Web 层、应用功能层、数据库层等不同功能,均需要执行不同的控制。您的防火墙不仅需要能够了解流量和应用,还需要能够了解应用组件以及对什么通信可接受、什么通信不可接受做出规定的业务逻辑。
其次是加密的流量
谈及加密的工作负载内流量,若要设法对这些数据包进行解密、检查以及重新加密,需要巨大的开销,因而通常并不可行。然而,忽略该流量也不是很好的选择,因为您实际上永远不会知道它包含什么内容。
因此,您需要东西向防火墙保护功能,但这并不意味着您需要接受物理和虚拟防火墙的传统限制。可以采用不同的方法,即,引入虚拟边界的概念,更具体地来说,是微分段的概念。
虚拟边界:旧概念,新方法
微分段是指使用软件和策略实施精细的网络分段,精细到应用和工作负载级别。这并不是全新的概念,但许多企业仍然还没有采纳它。虽然微分段具有许多和传统防火墙相同的功能,但它会将防火墙保护转变为虚拟实例中的一项功能。换言之,安全控制内置在工作负载级别,这对数据中心防火墙而言是非常重要的一大进步。展望未来,防火墙保护将越来越多地从专用的物理和虚拟设备转变为应用、工作负载或容器中的一项功能。
数据中心安全性:提高简单性和高效性
在大多数企业中,网络空间安全是业务部门的重中之重,但安全性需要能够推动业务发展。长时间生活在这种环境中的安全领导者知道管理层不希望发生最糟糕的安全事件,但也不希望由于安全体系架构导致人员、流程或技术和创新速度放缓而阻碍其业务发展。
现在,微服务和基于功能的防火墙保护的出色之处是,可以更加轻松地在业务流程中灵活地融入安全保护,甚至是在这些流程快速调整和改变时。不妨看一看下图中左侧的传统虚拟防火墙模型,其中,唯一可行的方法是在各工作负载和工作负载组之间注入虚拟防火墙实例。防火墙供应商将会告诉您:要正确进行网络分段,您需要许多防火墙,这没什么大不了的。但是,部署和管理此模型的流程都非常复杂。它效率低下,成本效益不佳,无疑,也无法促进提升业务敏捷性。
现在来看一看上图中右侧显示的微分段模型,在这种模型中,您仍会获得相同的防火墙功能,但它们内置到每个工作负载中,并且都具有对防火墙和其他网络安全设置做出规定的相应策略,因此,只要创建了工作负载,便已经实施了安全策略。
从业务角度来看,将安全保护内置到重要的数据中心资产中有很大的价值。利用这种基于策略的微分段,只要您部署工作负载,便可以实现工作负载所需的额外安全控制。您可以阻止横向移动的威胁,限制应用流量,并实现所有零信任访问优势。此外,您还能够对防火墙保护所实现的那些额外安全功能进行分层,例如 IDS/IPS、网络流量分析以及虚拟修补。
总结:防火墙保护不会消失
不要相信任何人所说的“防火墙保护将会消失”的说辞,尤其是在数据中心内,防火墙保护更不会消失。您仍然需要防火墙提供的控制力。然而,传统的独立防火墙实例越来越多地开始让位给作为功能实施的新式防火墙保护。现在,是时候开始研究这些技术如何发挥作用以及它们为您的企业提供的好处了。
我希望您能观看此按需网络会议:数据中心未来将如何发展?以便更加深入地了解此主题,包括如何让该技术在您的环境发中挥作用。在此会议中,VMware 的核心 IT 基础架构解决方案工程和设计总监将向您讲述现实经历,介绍 VMware 自己实现这种全新数据中心安全方法的旅程。该总监正是实现这些数据中心转型场景的实际参与者。如果您不相信我的话,不妨听听他说的吧。
详细了解 VMware NSX Service-defined Firewall。
本文翻译自英文博文 4 Data Center Security Issues That Will Make You Rethink Firewalling。