一、軟件定義的隔離

時(shí)間：2022-03-22 11:15:02 | 來(lái)源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-22 11:15:02 來(lái)源：行業(yè)動(dòng)態(tài)

微隔離這個(gè)詞是一個(gè)比較商業(yè)化的市場(chǎng)用語(yǔ)，而這個(gè)技術(shù)事實(shí)上還有一個(gè)更加學(xué)術(shù)一點(diǎn)的名字軟件定義的隔離（Software Defined Segementation）。事實(shí)上這個(gè)名字才更加本質(zhì)的說(shuō)出了這個(gè)技術(shù)的內(nèi)涵。就像軟件定義的網(wǎng)絡(luò)（SDN）一樣，軟件定義的隔離的特點(diǎn)就是隔離點(diǎn)（enforcement point）與策略控制（policy）相分離，從而讓隔離更加靈活，更加智能，進(jìn)而有可能對(duì)由海量工作負(fù)載構(gòu)成的復(fù)雜而多變的虛擬化網(wǎng)絡(luò)進(jìn)行隔離管理。

在過(guò)去，我們主要通過(guò)防火墻來(lái)做隔離這個(gè)事情，在那個(gè)時(shí)候，策略的管理和隔離的動(dòng)作都是發(fā)生在防火墻設(shè)備上的。就算是主機(jī)防火墻也是如此，它的策略也是配置在主機(jī)上的。這些策略一般是在防火墻上線部署的時(shí)候配置上去的，然后在整個(gè)防火墻的生命周期內(nèi)基本不做調(diào)整。然而，進(jìn)入到云計(jì)算時(shí)代之后，如此多分散的獨(dú)立工作的控制點(diǎn)變得非常難以維護(hù)和過(guò)于的僵化。進(jìn)而導(dǎo)致了云的使用者只能在安全與業(yè)務(wù)之間做一個(gè)二選一的選擇。要安全，業(yè)務(wù)就無(wú)法快速交付，要業(yè)務(wù)就無(wú)法進(jìn)行有效的安全管理。這種局面呼喚了軟件定義隔離這種技術(shù)形態(tài)的出現(xiàn)。軟件定義隔離與傳統(tǒng)防火墻最本質(zhì)的區(qū)別在于它把策略從每一個(gè)分散的控制點(diǎn)上給拿出來(lái)了，放在一個(gè)統(tǒng)一集中的地方進(jìn)行設(shè)計(jì)，管理和維護(hù)，原則上，安全管理者不必要了解下面的控制點(diǎn)在哪里，也不必再對(duì)每一個(gè)控制點(diǎn)進(jìn)行策略配置和維護(hù)，這些工作都將由策略管理中心來(lái)自動(dòng)完成。



而這種策略管理工作，不是基于預(yù)定義腳本的簡(jiǎn)單的自動(dòng)化過(guò)程，而是一個(gè)基于實(shí)時(shí)網(wǎng)絡(luò)環(huán)境監(jiān)聽的，基于高層次安全策略的一種實(shí)時(shí)策略計(jì)算與策略更新過(guò)程。對(duì)每一個(gè)接入系統(tǒng)的控制點(diǎn)，根據(jù)實(shí)時(shí)發(fā)生的特殊事件，同時(shí)參考其他控制點(diǎn)的變化情況，做出獨(dú)特的，恰當(dāng)?shù)牟呗杂?jì)算，這個(gè)過(guò)程就是軟件定義隔離的核心管理過(guò)程。