一、软件定义的隔离
时间:2022-03-22 11:15:02 | 来源:行业动态
时间:2022-03-22 11:15:02 来源:行业动态
微隔离这个词是一个比较商业化的市场用语,而这个技术事实上还有一个更加学术一点的名字软件定义的隔离(Software Defined Segementation)。事实上这个名字才更加本质的说出了这个技术的内涵。就像软件定义的网络(SDN)一样,软件定义的隔离的特点就是隔离点(enforcement point)与策略控制(policy)相分离,从而让隔离更加灵活,更加智能,进而有可能对由海量工作负载构成的复杂而多变的虚拟化网络进行隔离管理。
在过去,我们主要通过防火墙来做隔离这个事情,在那个时候,策略的管理和隔离的动作都是发生在防火墙设备上的。就算是主机防火墙也是如此,它的策略也是配置在主机上的。这些策略一般是在防火墙上线部署的时候配置上去的,然后在整个防火墙的生命周期内基本不做调整。然而,进入到云计算时代之后,如此多分散的独立工作的控制点变得非常难以维护和过于的僵化。进而导致了云的使用者只能在安全与业务之间做一个二选一的选择。要安全,业务就无法快速交付,要业务就无法进行有效的安全管理。这种局面呼唤了软件定义隔离这种技术形态的出现。软件定义隔离与传统防火墙最本质的区别在于它把策略从每一个分散的控制点上给拿出来了,放在一个统一集中的地方进行设计,管理和维护,原则上,安全管理者不必要了解下面的控制点在哪里,也不必再对每一个控制点进行策略配置和维护,这些工作都将由策略管理中心来自动完成。
而这种策略管理工作,不是基于预定义脚本的简单的自动化过程,而是一个基于实时网络环境监听的,基于高层次安全策略的一种实时策略计算与策略更新过程。对每一个接入系统的控制点,根据实时发生的特殊事件,同时参考其他控制点的变化情况,做出独特的,恰当的策略计算,这个过程就是软件定义隔离的核心管理过程。