藉由Micro-Segmentation架構內的分散式防火牆與安全群組功能,可以達成傳統安全防護完全做不到的安全效益,大幅強化雲資料中心內的網路安全,並且簡化管理與維護需求。
從2014年5月開始,VMware正式對外介紹Micro-Segmentation架構(中譯為「微切分架構」)作為雲資料中心內的安全防護機制,顛覆了於傳統資料中心內的網路安全規劃概念。陸續包括不同的安全、網路廠商也都在各自的產品介紹與研討會內開始討論他們的產品如何能符合微切分架構的需求。
於本文內,我希望對讀者進行說明何謂Micro-Segmentation、這個架構的特性,以及於雲資料中心之內部署Micro-Segmentation能夠帶來的效益有
哪些。
請各位先思考之前進行資料中心網路安全方案規劃時的基本概念:安全顧問會與企業討論資訊環境內如何劃分「安全區」,或是說如何進行企業環境內的「Segmentation」。不同的安全區會具備不同的屬性及安全防護等級,而進出安全區時,可以透過各種不同的安全方式來進行保護。
所以,在早期,各個企業先導入了防火牆將「Internet」與「企業網路Intranet」相隔開,而逐步企業與外部合作夥伴網路的「Extranet」間也透過防火牆限制可進出的網路應用型態。
接著更注重安全的企業會另外把DMZ區、AP區、DB區、管理區、備份區、OA區、外點環境等等也各自進行了安全區區隔。
而隨著安全防護技術的演進,各個安全區之間的防護也由最早期的防火牆,後來是入侵偵測及防護,然後防毒牆、應用內容檢查等等不同的安全機制都被逐步加入了。
圖1是一個很典型的資料中心安全區架構設計簡化圖,我們可以看到:
·藉由Perimeter Firewall,企業將外部威脅與資料中心環境進行阻隔,與外部用戶接取的業務機器如Web Servers放置於DMZ區。
·企業內部利用Inside Firewall將不同的內部安全區,如DMZ、AP、DB、Management、OA等等進行安全阻隔。
·不同業務系統的機器依據屬性,如對外服務的設備或是資料庫等,各自放在不同的安全區內。
|
▲圖1 傳統資料中心的典型安全區區隔機制。(圖片來源:VMware Public Slide) |
上述的架構可以說是許許多多資料中心內的網路安全防護基本規劃。
而包括各個不同的資訊安全管理系統規範與不同行業的安全規範像ISO27002/BSI7799/PCI-DSS以及如金融、證券、政府等的安全法規,也都會要求要將資訊環境進行安全區的切分,並至少以防火牆進行安全區間的保護。但隨著資料中心內的應用逐漸複雜並趨向虛擬化、自動化,下面的問題開始逐步浮現出來。
傳統網路安全防護注重南北向或安全區間防護
同樣以圖1為例進行思考,想像在DMZ區內已經有一台Web Server由於作業系統的漏洞或是應用程式開發的疏忽被駭客入侵了。此時,現有的網路安全機制能否防護這台Web Server不去攻擊DMZ區內其他系統的機器,像是HR系統或是Finance系統的Web Servers?
應該不行吧!網路安全設備進行的是安全區與安全區之間的防護,但一個安全區目前通常就是一個或多個網路的網段。
此時,同網段內的網路流根本不會流經企業的防火牆,不管這台防火牆的安全功能有多強大,包含各式各樣的最新安全防護功能,當網路流根本是僅僅在同一個安全區內、不流經防火牆時,這個網路流是不會被檢查到的。
現況是由政府到企業資料中心內的網路安全防護,大部分在南北向的網路流(進出資料中心)已經防護得非常嚴密,但東西向的網路流(於資料中心內部傳遞)均僅能做安全區與安全區間的防護,無法做到安全區內的防護。