Gartner再次改名，微隔離技術(shù)迎來新使命

微隔離作為網(wǎng)絡(luò)安全行業(yè)的當紅技術(shù)，早已被業(yè)界所熟知。但是大家可能不知道，早在兩年前，國際知名智庫Gartner就把微隔離(Microsegmentation)的名字給改了。Gartner為什么這么做?微隔離的新名字又叫什么?今天咱們就來念叨念叨。

說起改名這事，其實這已經(jīng)是微隔離的第三個名字了!在最一開始(還沒有防火墻的年代)，網(wǎng)絡(luò)在邏輯上就是一條線，網(wǎng)絡(luò)上的主機彼此自由通信。

這樣的網(wǎng)絡(luò)是沒有內(nèi)部結(jié)構(gòu)的，他看起來高效，但是有兩個大的問題。第一是不安全，好人壞人都在一起，正常流量和惡意代碼相互混淆。第二個問題是擁擠，各種流量都在一起，讓網(wǎng)絡(luò)變得很低效，無法有效管理和運維。這個時候，網(wǎng)安領(lǐng)域上一代扛把子——防火墻，閃亮登場。防火墻這個產(chǎn)品一直以來都是網(wǎng)安、數(shù)通跨界大紅人。他把網(wǎng)絡(luò)分成了不同的網(wǎng)段(segment)，從而把特定的流量限制在特定網(wǎng)段上，這讓網(wǎng)絡(luò)比過去安全和高效得多。就靠這么個簡單功能，防火墻搶下了全球網(wǎng)安市場的半壁江山。

首次提名：軟件定義的隔離

故事就這樣波瀾不驚的發(fā)展了二十多年，一直到云計算時代的到來。云計算是對防火墻的致命打擊。云計算網(wǎng)絡(luò)是在物理網(wǎng)絡(luò)之上構(gòu)建起來的虛擬化網(wǎng)絡(luò)，真正負責業(yè)務(wù)處理的網(wǎng)絡(luò)是這個虛擬化網(wǎng)絡(luò)，而底層的物理網(wǎng)絡(luò)上跑的都是封裝之后的無意義的數(shù)據(jù)報文。云內(nèi)的虛擬化網(wǎng)絡(luò)不但是虛擬的，而且還非常動態(tài)，這是他與傳統(tǒng)網(wǎng)絡(luò)最大的不同，這個網(wǎng)絡(luò)可以根據(jù)需要隨意的構(gòu)建，靈活程度前所未有。防火墻作為一種硬件產(chǎn)品，被云計算阻擋在真實的業(yè)務(wù)網(wǎng)絡(luò)之外，而他的變種——虛擬防火墻，也因為繼承了防火墻僵硬笨拙的體系架構(gòu)，很難適應靈活多變的軟件定義網(wǎng)絡(luò)。這位老同志只能站在大地上看著天上的白云漠然嘆息。此刻網(wǎng)絡(luò)安全迎來了史上第一次大危機。

正是在這樣的背景下，微隔離這個技術(shù)在2015年第一次被Gartner正式提出來，只不過這個時候，他還不叫微隔離，而是叫軟件定義的隔離(軟件定義的分段，software-defined segmentation)，跟微隔離一起閃亮登場的，還有之后的日子里微隔離形影不離的小伙伴SDP(軟件定義邊界)。此時此刻，微隔離的價值正如其名，他是軟件定義的，在云計算的環(huán)境中可以按需部署。從而為云計算網(wǎng)絡(luò)帶來了安全性和可管理性，這也是微隔離第一次拯救網(wǎng)絡(luò)安全。

二次更名：微隔離(微分段)

但沒多久，Gartner就把software-definedsegmentation 更名為Microsegmentation，也就是我們現(xiàn)在所熟知的微隔離(微分段)。這次更名，事實上也反映出Gartner對微隔離的定位發(fā)生了微妙的調(diào)整。微服務(wù)時代的到來讓本來就極為復雜的數(shù)據(jù)中心網(wǎng)絡(luò)變得更加復雜，大量的東西向訪問縱橫交錯。你還不能放任不管，APT和勒索病毒此時也正是肆虐之時，人們對“東西向安全前所未有的關(guān)注。而防火墻本來是用來做大網(wǎng)段隔離的(MacroSegmentation)，它的架構(gòu)非常重，一般來說只能用來看大門和在內(nèi)部分幾個大區(qū)。要利用防火墻做細粒度訪問控制，從部署難度到部署成本上都是不可接受的。這個時候，微隔離的那種極為輕量級的技術(shù)結(jié)構(gòu)，細粒度到容器級，可以隨需構(gòu)建隨需部署的訪問控制能力就變得彌足珍貴。所以這個時候，微隔離的軟件定義能力已經(jīng)不是最核心的價值了，要的就是他的微細控制水平。所以，微隔離就成為了這項技術(shù)真正被業(yè)界所熟知的名字，并且一直沿用至今。薔薇靈動也就是在這個時候開始微隔離的技術(shù)研究工作，從那時開始中國有了微隔離市場。

三次改名：基于身份的隔離

那么，微隔離2020年的更名又是個什么背景呢?要說明白這件事，我們就得談?wù)劻阈湃瘟恕＞W(wǎng)絡(luò)安全一直以來是兩個流派，管控派和攻防派。攻防派的目標就是認出壞人，抓住壞人。但是壞人實在太狡猾，你剛研究明白他長什么樣，他馬上就變個樣子，在安全人員了解這個新變種之前他又可以干好多壞事，而研究一種惡意代碼特征所需要的時間和資源相較創(chuàng)造一種惡意代碼要高出無數(shù)個數(shù)量級。攻防之間的這種不對稱，事實上讓防御者一直處于一種非常被動的地位。事情到了今天，網(wǎng)安界痛定思痛，徹底倒向了管控派(至少主流意見是這樣)。我不管壞人長什么樣，我只管好人長什么樣，我只研究好人該干什么，然后只要不是我充分認知的好人和好的行為我就統(tǒng)統(tǒng)干掉。那么問題來了，我要如何來表達“好人”這個概念呢。在網(wǎng)絡(luò)安全領(lǐng)域，一直以來我們用的都是五元組，也就是源和目的的IP地址和端口以及傳輸協(xié)議。但是IP地址本質(zhì)上只是個通信參數(shù)，他無法描述業(yè)務(wù)屬性和身份信息。在過去，網(wǎng)絡(luò)相對靜態(tài)的時候，我們還可以用IP近似替代身份(而這恰恰是很多網(wǎng)絡(luò)攻擊所利用的點)，但是隨著網(wǎng)絡(luò)日益靈活多變，遠程互聯(lián)，公有云，物聯(lián)網(wǎng)等基礎(chǔ)設(shè)施的廣泛部署，IP地址已經(jīng)完全失去了身份意義。我們必須把隔離和分段這種網(wǎng)絡(luò)安全最核心的動作構(gòu)建在一種新的參數(shù)之上，而這就是ID。所以，微隔離的新名字就是ID-BASED SEGMENTATION，可以稱之為基于身份的隔離(基于身份的網(wǎng)絡(luò)分段)。

所謂基于身份的分段，顧名思義，就是說過去的網(wǎng)絡(luò)分段是面向IP的，現(xiàn)在的網(wǎng)絡(luò)分段是ID的?？雌饋硎且粋€字母的區(qū)別，但是背后代表的技術(shù)內(nèi)涵有著本質(zhì)的不同。我們能進行基于IP地址的分段，事實上有個默認假設(shè)，那就是我們所要進行訪問控制的資源一定有著網(wǎng)絡(luò)位置上的確定性。也就是說，服務(wù)器就應該在總部數(shù)據(jù)中心，財務(wù)小張的地址就應該在10.200.2.147，自己人應該都在內(nèi)網(wǎng)，壞人應該都來自互聯(lián)網(wǎng)。但是在今天，隨著公有云的廣泛使用，服務(wù)器真的不一定在哪，而隨著遠程辦公和BYOD的盛行，財務(wù)小張的地址也不一定是啥。自己人可能來自互聯(lián)網(wǎng)，壞人也可能早就混進了內(nèi)網(wǎng)。在這樣的背景下，IP已經(jīng)逐漸變得只有通信價值而基本沒有什么安全價值了，網(wǎng)絡(luò)安全在這個時候又面臨著一場史無前例的顛覆性危機。而這個時候，微隔離再一次挺身而出。我們發(fā)現(xiàn)，微隔離這個技術(shù)是在云計算時代出現(xiàn)的，它從誕生之日起就是在軟件定義網(wǎng)絡(luò)(SDN)環(huán)境下工作的。微隔離從來就認為網(wǎng)絡(luò)地址是個不穩(wěn)定參數(shù)，所以微隔離技術(shù)(真正的微隔離技術(shù))都是面向ID的而不是IP。這個本來為應對SDN而設(shè)計的技術(shù)特征，在零信任時代，忽然煥發(fā)出了始料未及的光彩(是的，始料未及，薔薇靈動在剛創(chuàng)業(yè)的時候從來沒想過零信任的事情)。安全人員發(fā)現(xiàn)，微隔離可以完美地解決當下基于IP的網(wǎng)絡(luò)安全技術(shù)所面臨的的所有困境。于是，微隔離也就成為了大家所熟知的零信任三個核心技術(shù)基石之一。換言之，在今天，軟件定義也好，微細的控制能力也好，都已經(jīng)不再是微隔離為網(wǎng)絡(luò)安全能做的最大貢獻了，能夠面向身份去定義網(wǎng)絡(luò)，去進行訪問控制，才是微隔離最大的價值，所以，才有了這次更名，Gartner的意思很明確，微不微的不重要，面向ID才是王道!

從軟件定義的隔離，到微隔離，再到基于身份的隔離，微隔離的三次更名，事實上代表了最近十年網(wǎng)絡(luò)安全發(fā)展的歷史，代表了技術(shù)進步的方向。網(wǎng)絡(luò)安全先后面臨了虛擬化，APT，以及數(shù)字化時代的幾輪沖擊，在幾次風雨飄搖中，都是微隔離技術(shù)挺身而出。而最有意思的地方在于，微隔離本身沒有變，這個技術(shù)從誕生之日到今天，他的核心能力和技術(shù)結(jié)構(gòu)就一直是這樣，只不過人們越來越發(fā)現(xiàn)這個技術(shù)簡直是天選之子，這種新的技術(shù)能給我們帶來的東西比我們想象的要多得多。三次更名，其實代表了我們對微隔離這項技術(shù)的三次認知深入，也表現(xiàn)出了微隔離這項技術(shù)工作范圍的三次根本擴展。他早就不是虛擬化環(huán)境下的補充技術(shù)了，今天的微隔離，是整個零信任體系的基石，是網(wǎng)絡(luò)安全的未來!

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）