12月19日,云栖大会 · 北京峰会上,阿里云高级产品专家吕颖轩介绍了国内首款基于可视化的微隔离产品:云防火墙的成长故事与技术原理。
简单来说,云防火墙解决了云上东西向隔离的业界难点,让企业将无序的云端资产,推向有序;从不可见,变成可见,进而降低运维成本。
针对在业务部署混乱无序的“企业病”,云防火墙可以在2到3周内,帮助企业将安全域从1-2个扩展到40多个,真正实现精细化、可视化隔离。
云防火墙诞生的背后,是对企业隔离需求的探索,和对技术的打磨。从云防火墙的成长历程,我们来认识一下这款创新的微隔离产品。
1
安全隔离,是最古老也是企业最基本的安全诉求。当前市面上传统防火墙的安全隔离技术,可缩小攻击面,保护企业的核心资产,是安全运维的帮手。但是在云计算环境下的东西向隔离,是安全隔离领域一直未突破的难点。
东西向隔离,是指企业内部针对横向访问(例如不同子业务之间的调用),去设定安全隔离策略的一项技术。在云计算环境下,尤为重要和复杂。
随着大量企业上云,新的部署环境给安全隔离带来了新的挑战,以业务可见性为最。业务不可见,将会直接影响,甚至是阻碍企业实施安全隔离。
我们很难想象一个运维人员在不清楚服务器的具体用途、不清楚业务之间的调用关系,该如何部署安全隔离策略。我们也很难想象每次业务中断或策略巡检的时候,运维人员只能用肉眼去逐条检查。
2
2016年6月,Gartner安全与风险管理峰会上, Gartner副总裁、知名分析师Neil MacDonald提出了微隔离技术(MicroSegmentation)的概念:“安全解决方案应当为企业提供流量的可见性和监控。"
他们认为黑客的攻击一旦在企业的系统中站稳脚跟,他们通常会横向移动(东/西)到其他系统中。微隔离是在云环境中,为实现安全目的进行隔离和分段的过程。就像潜艇中的舱室一样,微隔离有助于在威胁发生时限制破坏。
当前,我们在全球安全市场中所看到的云上微隔离产品,通常有三种模式:
第一种是Native模式。这是一种在物理机的操作系统里,与虚拟化层紧耦合的方式,通过在物理机实现基于状态检测的一个协议栈,达到对虚机之间流量过滤的效果,现在公有云的安全组,几乎都是这种做法;
第二种是Third—party模式,这其实是一种将硬件防火墙去壳的做法,去壳就是去掉硬件的壳,这种方式虽然现在很多,但其实是非常不科学,他和native模式一样都很重,甚至更重一些,他不仅与虚拟化层紧耦合,甚至还会要求虚拟机要实现导流以配合。并且对物理机的资源占用也非常大;
第三种是Over-lay模式。这是一种很轻的方式,是通过在虚机植入agent,去完成隔离工作,这种方式可以很轻,因为他无关虚拟化层,但是agent的部署,其实也会带来一定的复杂度。
阿里云云盾· 云防火墙在设计之初,并不是在生搬硬套上面的模式——因为我们发现,这三种都存在一些问题。
首先,他们不关注隔离的对象是什么?这是个很大问题。在云环境中,跟企业侧办公网不一样,没有办法去根据interface、子接口、vlanID、ip网段去做安全隔离,只有真正了解了要隔离的服务器是干什么用的?服务器之间的访问关系,才能完成隔离部署。
第二, 他们不关注策略的正确性,因此也没办法感知到错误策略带来的影响。
最后,防火墙策略的运维,是运维工作的一项基础工作,这是很多企业日常运维的一项工作,因为人员的权限会变化、业务会变化。但策略数很多的时候,传统列表式的策略呈现方式,客户是没办法运维的。
这三个不关注,在云环境下,是个大事,基本上决定了以上3种模式的微隔离,没有办法在云环境中承担起东西向隔离的任务。
在这个基础上,我们团队发现,如果把可视化技术引进来之后,就能很好的解决这些问题,让客户先看见自己的业务,在部署隔离,这样就能很完美的解决上面所述的三个问题。
当然,这个可视化,不是简单的拓扑呈现,云防火墙,通过很多机器学习算法,才把原本非常复杂的服务器资产、访问关系、策略部署,以简单的方式呈现给客户。
这个简单化非常重要,只有有了这个简单化,客户才能真正把东西向隔离给落地了。阿里云云盾· 云防火墙就在这一理念之下诞生。
与传统防火墙相比,阿里云云盾 · 云防火墙为企业带来了这些创新价值:
首先是业务可视:让企业先看见业务,再进行策略部署;
其次,减少隔离策略错误:通过流量可视,最大程度保障了策略的正确性;
最后,简化运维:云防火墙通过拓扑化将资产、资产的访问关系一一呈现出来,让运维更加简单。
3
将“业务可视”与“微隔离”原本看似关系不大的两项技术,有效的结合在一起,顺滑地做好云上业务隔离,是阿里云云盾· 云防火墙最不一样的地方。具体来说,云防火墙具有三大技术创新点:
首先是智能分组(Intelligent Segmentation),该项技术结合了阿里云数加机器学习的算法,企业无需进行任何配置,一开通就可以自身的业务的分区、分组、服务器资产、服务器之间的访问关系。
第二就是可视化与微隔离的结合落地,企业再也不用进行列表式的ACL配置。通过云防火墙的可视化拓扑,企业点击拓扑中的业务元素(流量、角色、业务),即可完成全部策略的下发和维护。
这项策略管理技术,可以有效的区分了业务内外的不同安全等级的流量、已授权和未授权的流量,并直线下发安全策略。
当云防火墙通过智能算法,自动把整个业务用拓扑图的形式呈现出来的时候,企业的运维水平将提升到一个高度,并可以解决很多以前无法解决的问题。
4
目前,云防火墙已经为超过150家阿里云的企业服务。其中包括G7(北京汇通天下物联科技有限公司) —— 物联网行业车辆领域领先的企业。通过云防火墙,G7不仅重新定义了安全边界,还可以重新梳理那些“年久失修”和“不干正事”的服务器,及时进行纠正。
云防火墙帮助G7改变了原来由两个安全域承载上百台服务器的现状,而是切分为43个安全域,每个安全域保管10多台服务器。同时,G7还基于云防火墙,建立了定期的安全策略巡检机制,发现那些因人员变更、权限变更而造成的过时策略、错误策略。
5
G7的信息安全负责人李剑勇先生,对于云防火墙的评价是:“云防火墙开创了云安全管理与隔离的新方式,是一款能够直击云安全管理痛点的创新型产品。”
就在发布之前一周,阿里云云盾· 云防火墙也击败来自Tenable,思科等全球安全厂商的19个提名产品,摘得WitAwards2017互联网安全评选“年度创新产品”大奖。评选委员会一致认为,它在技术、功能与用户体验上,实现了三重创新。
未来,云防火墙将通过更多的智能算法和大数据分析,帮助全球企业实现更多业务之间、服务器之间、应用之间的策略管控,让安全管理迈入有序、可见、自动化的时代。
阿里云产品链接:https://www.aliyun.com/product/cfw?spm=5176.8142029.388261.283.3836dbccBuf6Ce
