为什么说不要用VLAN、VPC解决东西向隔离问题

前言

作为一个严谨的、有着职业操守的安全从业人员，首先我要摸着良心说：技术没有好坏，评价一个技术，我们主要看它能否在某些场景下很好的解决特定问题。而基于我们多年来的运维经验及实际的客户走访，基于VLAN/VPC的内部隔离方式基本上已经不再适用于解决虚拟数据中心/私有云（包括含有私有云的混合云）环境下的东西向隔离问题。

在开始今天的讨论之前，作为一名日常就是跟客户聊安全（jiang chan pin）的产品人员，要先回答一下客户爸爸总是考验（diao nan）我的问题“内部为什么要做隔离？”

内部为什么需要隔离

从安全建设角度：

一直以来，企业广泛的采用纵深防御技术（defensin depth）和最小权限逻辑（least privilege）来进行企业网络安全管理。而隔离是实现这两个理念的基本方式，例如传统安全管理中，通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别间划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限。

从攻击防御角度：

从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的Lockheed Martin Cyber Kill Chain（洛克希德-马丁公司提出的网络攻击杀伤链），还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据中心内部横向移动，而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点，复杂的安全策略、巨大的资金和技术都用于了边界防护，而同样的安全级别并不存在于内部。

从安全闭环角度：

有了行为分析、有了蜜罐、有了态势感知，却没有了最基本的访问控制。数据中心内部往往几百台虚拟机域内全通；安全策略“只敢增、不敢减”；内部大量的检测设备，但防护在哪里……

讲到这，如果客户爸爸还没赶我出去，那就可以开始我的表演了：

场景一：

我：“客户爸爸，听说您的数据中心去年就完成虚拟化建设，投入使用了。业务生产效率提升了一大截呢！”

客户爸爸：“嗯，我们选择国外大厂的虚拟化技术去年完成的建设。虚拟化数据中心的确提升了运营效率。”

我：“咱们现在有多少台虚拟机了？”

客户爸爸：“目前一共500多台，有些业务还在迁移，增长比较快，明年预计能达到1000台。”

我：“这么多虚拟机，咱们内部怎么管理啊”

客户爸爸：“我们主要是通过划分VLAN进行管理的……”

场景二：

我：“客户爸爸，听说您的私有云去年就完成建设，开始使用了。现在好多企业才刚刚起步。”

客户爸爸：“嗯，我们三年前就开始做技术调研了，去年完成的建设。云数据中心的确是未来的建设趋势啊。”

我：“咱们现在有多少台虚拟机了？”

客户爸爸：“目前一共1000多台，有些业务还在迁移，增长比较快，明年预计能达到1500台。”

我：“这么多啊，您这私有云在行业内算得上是标杆了。这么多虚拟机，咱们内部怎么管理啊”

客户爸爸：“我们主要通过云厂商提供的VPC进行内部管理……”

虚拟化数据中心根据底层架构的不同，基于VLAN/VPC的内部隔离是两种比较常见的方式。很多企业先根据部门、业务系统将数据中心逻辑上划分成不同安全域，并通过VLAN/VPC的方式进行隔离，再将虚拟机部署在各VLAN/VPC中。由于VLAN/VPC均为二层隔离，如果各组之间需要通信，则需要通过三层设备（三层交换、防火墙）进行。两种方式主要都是延续了传统数据中心安全管理的思维，分堆、分隔、访问控制。

但实际上，客户在运维的过程中，基本都渐渐的“一切从简“——几百台虚拟机分为3、4个域，域间配置一些基于网段的访问控制规则，域内全通。

这个时候，为了不让客户爸爸掉到VLAN/VPC隔离的“大坑“中，专业（wei le xiang mu）的我一定要给客户爸爸讲讲什么才是东西向隔离。

有因才有果，我们先分析下虚拟数据中心/私有云的特点：

虚拟数据中心/私有云的特点

1. 虚拟机数量较多，少则几百台，多则几千上万台，且不断增加。
2. 多分支机构、多业务部门使用，安全级别复杂
3. 业务灵活多变。资源按需分配，变化随时发生（业务上下线，扩容，复制，漂移）。

根据以上特点，结合等保2.0中虚拟机之间访问控制，内部攻击检测、阻断等要求，东西向的隔离应该具备以下能力：

东西向隔离应该具备的能力

1、识别内部业务的访问关系。东西向不易管理，很大程度上是因为内部流量不可见，从而导致安全策略设计、调整困难。能够识别主机（包括容器）之间的流量，包括访问的服务、端口、次数，甚至是进程等。
2、能够实现端到端隔离。具备物理服务器之间、虚拟机之间、容器之间的访问控制能力，控制粒度为端口级。
3、能够下降内部主机的攻击面。可以设置访问来源、及其可以访问的服务和端口；具备网络层面关闭端口的能力。
4、策略可视化编辑及统一管理能力。可图形化展示现有安全策略状态；可图形化编辑安全策略；全网的安全策略可以通过统一界面进行管理。
5、策略自动化部署。能够适应私有云弹性可拓展的特性，在虚拟机迁移、克隆、拓展等场景下，安全策略能够自动变化。支持自动化编排。
6、支持混合云架构。混合云环境下，支持跨平台的流量识别及策略统一管理。

遗憾的是，基于VLAN/VPC的内部隔离方式基本满足不了东西向隔离的需求。

基于VLAN/VPC内网隔离的“七宗罪”

1、过于静态。静态的VLAN/VPC划分限定了虚拟机的位置，与云数据中心的动态特性相悖。

2、攻击面过大。虚拟机数量大幅增加，过大的VLAN/VPC划分会给攻击者提供较大的攻击范围，一旦组内一台主机被控制，攻击者就可以随意的横向移动。

3、成本过高。细分安全域，然后部署数百甚至数千个防火墙以做到内部访问控制，在财务和操作上是不可行的。

4、影响业务交付。在新增业务或改变现有业务时，安全人员必须手动修改安全策略，从而符合这个静态又重量级的网络拓扑，大幅增加业务延迟，也容易造成配置错误。

5、安全策略管理复杂。防火墙的配置错误、策略更改均是网络中断的常见原因。尤其是防火墙的策略配置，无法预先测试、错误配置很难排查，防火墙策略往往存在“只敢增，不敢减”的问题。

6、增加网络延迟。这种设计增加了网络复杂性，降低了网络性能。

7、无法适用于混合云模式。当用户有多个云数据中心时，割裂的安全，增加管理的复杂度。

总结起来就是基于VLAN/VPC的内部隔离，不怎么合规、不怎么灵活、粒度相当粗、运维特别难。

综上所述，不管是摸着哪位老师的良心，我都要说，在虚拟数据中心环境下，基于VLAN/VPC的内部隔离只适用于粗粒度的大安全域间隔离，对于解决东西向隔离问题，基本已经凉凉。

VLAN/VPC虽然凉，但客户爸爸不要冷，针对虚拟数据中心内部的隔离问题，国际上早有定论。

云中心内部隔离的最佳实践——微隔离

微隔离（MicroSegmentation）最早由Gartner在其软件定义的数据中心（SDDC）的相关技术体系中提出，用于提供主机（容器）间安全访问控制（区别于过去的安全域间的安全访问控制）,并对东西向流量进行可视化管理。

微隔离技术基本上以软件定义为主，可以很好的适应云中心的动态特性。而且从定义上就能看出，其主要解决的就是如何将错综复杂的云内流量看清楚，管理好。

微隔离并不是理念上的革新，它从管理理念上坚持了纵深防御、最小权限这些被广泛认可的原则，所不同的地方在于微隔离使得这些理念能够在完全不同的虚拟化数据中心和复杂的内部通信模型下继续被有效贯彻。

在Gartner2017年的报告中认为微隔离将在未来2-5年内成为主流技术。

后续预告

我：“这么多虚拟机，咱们内部怎么管理啊”

客户爸爸：“我们正在考虑通过SDN牵引的方案进行管理……”