知微见著：微隔离

战国韩非子在其《说林上》曾说到：圣人见微以知萌，见端以知末，故见象箸而怖，知天下不足也^[1]。圣人见到细微的苗头，就能预知事物的发展，透过微小的现象，便可看到本质。知微见著，网络安全领域更是如此。如何通过微小流量而发现大的潜在安全风险？下面就是我们要介绍的微隔离技术。

微隔离（Micro Segmentation），顾名思义是一种颗粒度更细的网络安全隔离技术^[2]。传统上的网络安全隔离，如网络防火墙（图1），是对数据中心的南北流量进行管控，主要根据源目IP等五元组信息对流量放行或阻止，且无法查看区域内部的东西流量。而微隔离技术（图2）真正做到，特别是东西流量的安全监测，弥补了企业内部相同网络内业务虚拟机之间的监控盲区。

目前业界有多种技术路线，包括：

云厂商面向其用户推出了适用于自身平台的安全组件，如阿里云、VMware NSX等，可与云管理平台紧密结合，但对第三方云平台的适应性具有明显局限，用户无法跨越多个云环境进行统一管控。

防火墙厂商通过与虚拟化平台的适配，将东西向流量牵引至其防火墙系统实现访问控制，可利用较成熟的安全能力对流量进行检测和控制，但性能上存在较大难点，且实际效果往往受制于虚拟化平台的兼容适配水平。

业界主流主要采用主机代理（Agent）的模式,通过控制工作负载操作系统的主机防火墙程序（iptables）实现面向工作负载的隔离控制，但需要在每个服务器上安装agent客户端。

基于agent客户端（即主机代理）模式是目前业界主流及主推的微隔离方案[3]。具体来说，微隔离后台会根据操作系统不同，下发不同的agent到服务器。微隔离agent获取到操作系统产品ID（唯一值），会与操作系统捆绑。安装成功后，工程师会在后台以手动打标签的形式对主机进行分组，然后基于组做安全配置。“位置”、“环境”、“应用”三个标签是针对工作组的，三个标签确定一个工作组。在工作组内，工程师会给工作负载（即单台主机）加上“角色”标签，然后基于工作组和角色标签（或者IP地址）来制定安全策略。

所有的安全策略将通过agent修改主机防火墙实现，并只对装有微隔离agent的主机入向流量管控，出向流量是默认放开。当安全策略制定后，后台可选择“建设”“预阻断”“阻断”三种模式[4]。建设模式为学习模式，一般业务主机装agent后默认初始状态都为“建设”模式来学习流量。在这个模式下，微隔离至少学习1-3个月（学习时间越久越好）来尽可能识别正常业务流量。预阻断模式下，控制后台会显示哪些流量被放行或阻断，即预留时间手动修正安全策略，不会阻断流量。而切换到阻断模式，策略会下发到装有微隔离agent的主机上。未配置安全策略的流量将会被阻断，开启该模式有一定的正常流量拦截的风险。

主机代理的微隔离技术能够有效填补数据中心东西流量监测盲区，发现并识别服务器之间的异常流量。但由于技术特点与部署环境，微隔离只能监测到装有agent主机的入向流量，并只对已部署的主机进行安全管控。此外，如果内部主机被植入病毒木马，我们可以遏制其横向侧移或内部传播，但需要和业务相关方协调配合，识别异常流量。

作为网络安全的重要工具与抓手，微隔离技术在企业攻防演练防守过程中发挥着不可或缺的作用。根据以往攻防演练实战中的经验，在演练前需确保装有微隔离agent的主机经过长时间的流量学习，如果学习时间较短或者演练前新加装agent，都有可能导致后台误报率上升并造成正常业务被拦截。在攻防演练期间，业务相关方需与安全团队确认相关告警真实性及其他安全设备告警关联性，一旦核实攻击轨迹，可以在微隔离后台安全隔离该台主机。一般情况下，一旦相关恶意服务或者病毒到达服务器后，说明互联网或者其他出入口（指内网、运维终端等）都已被恶意攻击者突破。考虑到攻防演练实战特殊性和时效性，在业务相关方可以承受业务暂时中断风险下，一般建议先处置，再去核实信息。

我们通过在关键业务系统成功落地微隔离技术，有效地填补了数据中心内部东西流量检测盲区，解决了边界防火墙无法实现颗粒度防护的现实问题。基于业务视角，我们重建了域内边界，夯实了数字基础设施安全能力，为公司提供了有利的网络安全支撑。