6王海峰-基于微隔离的数据中心零信任实践（15页）.pdf

1、基于微隔离的数据中心零信任实践北京蔷薇灵动科技有限公司王海峰 高级产品专家妖魔变幻，唐僧总是轻信、越界画地为牢，静态屏障跟不上变化人性本恶，绝不轻信永远验证，统一分析两则小故事零信任究竟改变了什么？边界访控零信任访控访控模式黑名单为主白名单作用位置域间边界（静态）访问两端（动态）管控对象基础设施（IP/Port）业务访问（业务角色、安全状态）决策模式分散决策软件定义主责部门安全团队安全、业务与运维协同零信任的三大结构性要求微隔离是构建数据中心零信任的基石网络中有什么？他们能干什么？外边的流量如何进来？微隔离（微隔离（Micro-Segmentation）里边的流量如何控制？标识与访问控制管理（

2、IAM）软件定义边界（SDP）微隔离：一个已经成为主流的新技术来源：Hype Cycle for Network Security,2021微隔离（Micro-Segmentation，亦称为微分段、软件定义分段、基于身份的分段或逻辑分段），其用于提供主机（包括容器）间安全访问控制（区别于过去的安全域间的安全访问控制）,并对东西向流量进行可视化管理；从安全能力叠加演进的视角来看，微隔离属于“架构安全”的范畴，其运用早于零信任理念兴起；随着微隔离被纳入零信任体系框架，Gartner近年来对其的技术命名更新为“Identity-Based Segmentation”，即“基于身份的分段”。TORV

3、MVMVMTORVMVMVMTORVMVMVMTORVMVMVMFWFW互联网难点一：东西流量不可见难点二：静态策略不适应难点三：人工运维不可行微隔离的三项基本要求面向业务而非面向网络以业务角色标定资产身份以业务逻辑制定安全策略以业务视角实现统一纳管自动化配置而非人工配置自动化学习业务连接关系自适应工作负载属性变化从分散决策走向软件定义安全策略集约计算、分布执行跨域易构混合环境下统一纳管基于API 广泛协同、自动编排微隔离需具备的基本技术特征以业务角色标定非人实体的身份（ID）一组策略，四层实体，三次动态映射基于标签实现安全策略与基础设施解耦ID 1ID 2ID 3ID 4ID5Scope 1

4、Scope 2Policy 1Policy 2以可视化呈现分组、工作负载间的业务连接生成全网工作负载端口台账、协助摸清家底基于业务连接，向导式生成白名单访控策略监测访问频度，发现网内幽灵主机监测异常访问，洞察攻击横向侧移基于身份实现业务关系可视和分析以身份为依据进行自适应策略计算自适应策略计算自适应策略计算上海灾备中心上海灾备中心电商电商Web上海灾备中心上海灾备中心电商电商Web北京主中心北京主中心电商电商DB北京主中心北京主中心电商电商DB192.168.100.10192.168.100.2010.10.20.1010.10.20.20策略定义策略定义上海灾备中心|电商|Web 北京主中

5、心|电商|DB192.168.100.10 10.10.20.10192.168.100.10 10.10.20.20192.168.100.20 10.10.20.10192.168.100.20 10.10.20.20192.168.100.10 10.10.20.10192.168.100.10 10.10.20.20192.168.100.20 10.10.20.10192.168.100.20 10.10.20.20192.168.100.10 10.10.20.10192.168.100.20 10.10.20.10192.168.100.10 10.10.20.20192.168

6、.100.20 10.10.20.20以身份为依据进行自适应策略计算自适应策略计算自适应策略计算上海灾备中心上海灾备中心电商电商Web上海灾备中心上海灾备中心电商电商Web北京主中心北京主中心电商电商DB北京主中心北京主中心电商电商DB192.168.100.10192.168.100.2010.10.20.1010.10.20.20策略定义策略定义上海灾备中心|电商|Web 北京主中心|电商|DB192.168.100.10 10.10.20.10192.168.100.10 10.10.20.20192.168.100.20 10.10.20.101