更細(xì)粒度的控制是個(gè)好東西，但說(shuō)的總比做的容易

[[173987]]

RedSeal首席技術(shù)官 麥克·羅伊德

虛擬數(shù)據(jù)中心事務(wù)繁雜。在安全上，我們聽(tīng)過(guò)各種版本的“微隔離”。這個(gè)術(shù)語(yǔ)源于VMware，但被其他多個(gè)領(lǐng)域借用，有些為其做了引申。

[[173988]]

大家都知道隔離是什么。每個(gè)企業(yè)都會(huì)將網(wǎng)絡(luò)至少分隔為外網(wǎng)和內(nèi)網(wǎng)。大多數(shù)公司都想要某種程度上的內(nèi)部隔離，但太多的光說(shuō)不練——除非審計(jì)迫在眉睫。很多網(wǎng)絡(luò)對(duì)審計(jì)員關(guān)注的資產(chǎn)做了一定的隔離，比如患者記錄和信用卡信息。確實(shí)有企業(yè)高出安全復(fù)雜性曲線，對(duì)業(yè)務(wù)有嚴(yán)格的區(qū)域劃分，并對(duì)跨區(qū)域訪問(wèn)有一定程度的監(jiān)管。但這些一般都是大型復(fù)雜企業(yè)，因而每個(gè)區(qū)域也往往很大。

簡(jiǎn)單算一下就知道，要跟蹤N個(gè)區(qū)域，考慮的必然是N*(N-1)個(gè)關(guān)系。這是指數(shù)級(jí)上升的數(shù)字。即便員工充裕的團(tuán)隊(duì)也難以應(yīng)付單一網(wǎng)絡(luò)中的十幾個(gè)主要分區(qū)。聽(tīng)起來(lái)似乎不多，但任意兩個(gè)網(wǎng)絡(luò)隔離之間的開(kāi)放訪問(wèn)，很容易就會(huì)超過(guò)50萬(wàn)對(duì)通信。全面審計(jì)其中一個(gè)隔離就已經(jīng)是超人般的壯舉了。

但如今，牽引IT戰(zhàn)車的戰(zhàn)馬又多了兩匹：虛擬數(shù)據(jù)中心和軟件定義網(wǎng)絡(luò)。二者提供更多的隔離，更細(xì)的控制，大幅減少I(mǎi)T團(tuán)隊(duì)工作量(不同市場(chǎng)營(yíng)銷團(tuán)隊(duì)承諾的工作負(fù)載減少量不盡相同，就看你選擇相信哪家了)。聽(tīng)起來(lái)真是太棒了，誰(shuí)不想要超精細(xì)的控制呢?再?zèng)]人相信“僅邊界”模式就能搞定安全了。那么，更多的控制必然更好，對(duì)嗎?但實(shí)際上，如果你僅僅將此技術(shù)甩到現(xiàn)有堆棧上而沒(méi)有擴(kuò)展計(jì)劃，也是沒(méi)什么卵用的。

如果你以難以搞定的復(fù)雜管理任務(wù)做為開(kāi)端，簡(jiǎn)單拆分成更小的任務(wù)，分發(fā)到更多的地方，那很快，你就會(huì)瘋狂分裂到生無(wú)可戀。

真的沒(méi)什么希望了嗎?當(dāng)然不!問(wèn)題出在規(guī)模上。在快速發(fā)展的基礎(chǔ)設(shè)施里，更多的隔離，會(huì)給已經(jīng)疲于應(yīng)付的人類團(tuán)隊(duì)制造更多的麻煩。但這正好是計(jì)算機(jī)非常擅長(zhǎng)處理的那類問(wèn)題。關(guān)鍵就在于認(rèn)清：你得從實(shí)現(xiàn)中將目標(biāo)(允許在網(wǎng)絡(luò)中出現(xiàn)的東西)剝離出來(lái)，無(wú)論你的實(shí)現(xiàn)是遺留防火墻，還是管理虛擬工作負(fù)載策略的新鮮GUI。

現(xiàn)實(shí)世界中，這不是個(gè)非此即彼的問(wèn)題，而是二者兼具的問(wèn)題。因?yàn)槟悴坏貌辉诟鼘拸V的網(wǎng)絡(luò)中協(xié)調(diào)你的虛擬工作負(fù)載防護(hù)。全網(wǎng)必然不是軟件定義的，它會(huì)非常頑固地駐扎在你面前，繞不過(guò)，推不開(kāi)。

也就是說(shuō)，如果你能描述清楚你的網(wǎng)絡(luò)職能，你就能贏得漂亮。把你的目標(biāo)從具體實(shí)現(xiàn)中分割出來(lái)吧。比如說(shuō)，在各業(yè)務(wù)單元區(qū)間關(guān)系中用通用術(shù)語(yǔ)將意圖記錄下來(lái)。然后，你就能用自動(dòng)化軟件來(lái)檢查是否確實(shí)符合該網(wǎng)絡(luò)被設(shè)置的原本職能了。計(jì)算機(jī)不會(huì)累，它們只是不太清楚你的公司或你的對(duì)手，因而寫(xiě)不出適合你的具體規(guī)則。

相信軟件能搞清公司企業(yè)的運(yùn)作方式，或者希望軟件能迷惑對(duì)手，是不現(xiàn)實(shí)的。既然軟件都不能通過(guò)圖靈測(cè)試，區(qū)區(qū)一個(gè)算法又怎能理解作為現(xiàn)代惡意軟件支柱的社會(huì)工程呢?

微隔離不是個(gè)壞東西。這就像是詢問(wèn)水是不是個(gè)壞東西一樣。用對(duì)了，是生命之源;肆虐了，便是死亡使者。在這個(gè)問(wèn)題上，學(xué)會(huì)游泳可不是找出最新萬(wàn)能安全產(chǎn)品這么簡(jiǎn)單的事兒，而是要弄清你整體基礎(chǔ)設(shè)施協(xié)同運(yùn)作機(jī)制，知曉它是否在滿足業(yè)務(wù)需求的同時(shí)又沒(méi)有暴露過(guò)多的攻擊界面。