山石发声 | 限制恶意流量东西向移动，看山石网科如何五步做好微隔离

定义资产、梳理业务模型、实施保护、

细化安全策略、持续监控

1849字，为您详解微隔离五步法

微隔离实施五步法是山石网科参考国外同行的理论，结合国内自身的实践经验，总结出的微隔离实施的实践，其中五个步骤包括：定义资产、梳理业务模型、实施保护、细化安全策略、持续监控。

微隔离实施第一步——定义资产

定义资产就是从云平台同步资产的ID信息，并根据需要进行分组，因为后续步骤做流量可视化和微隔离策略都是面向资产ID或分组开展的。在虚拟化业务环境下，虚机名字和网络名字就是资产ID，这就又涉及到资产信息从业务平台向微隔离平台的同步与更新的问题。

当微隔离平台首次被部署时，微隔离平台会根据管理员配置的业务平台访问认证信息去调用业务平台的API对当前业务平台上的全部业务资产进行同步，后面业务平台上的资产信息有更新变动时，微隔离平台也会通过相应机制实时感知这些更新变动，并增量同步，让自己看到的业务资产信息始终跟业务平台保持一致。

微隔离实施第二步——梳理业务模型

梳理业务模型就是对业务资产的流量进行可视化，可视化出来哪些是合法的访问，哪些是非法的访问，为后面做好微隔离策略做铺垫。微隔离平台不仅要对单个的业务资产进行业务模型的梳理，而且还要对业务分组的业务模型进行梳理。这对微隔离平台管理员了解业务资产之间的业务关系很重要（尤其是在微隔离平台管理员不方便提前跟业务平台管理员对接和详细确认的情况下），因为在后面的微隔离实践步骤中要基于单个资产和业务分组的业务模型来进行微隔离策略的配置和细化，以及持续的监控。

微隔离实施第三步——实施保护

实施保护就是配置网络微隔离策略，阻断哪些，放行哪些。给业务资产配置明细的访问控制策略有两种方法，也代表了两种不同的安全思维，即黑名单模式和白名单模式。在黑名单模式下，默认策略是全部允许的，管理员仅对非法的流量配置策略进行控制；而在白名单模式下，默认策略是全部阻断的，管理员仅对合法的流量配置策略进行放行。白名单模式符合最小权限原则和零信任的理念，成熟的系统里通常使用白名单模式。

微隔离实施第四步——细化安全策略

细化安全策略主要是针对放行的流量，进一步做应用层安全检查。通过下面的类比来理解一下细化安全策略的必要性。我们开车上高速，高速上已经给我们规定了明确的行驶线路，但每隔一段都还要有摄像头进行监控。类比到网络业务，管理员虽然为web业务配置安全策略放开了80端口，但80端口里运行的不一定是http，即使是http，也有可能包含跨站、注入等攻击，这就需要微隔离平台在实施保护的网络访问控制策略上继续增加相应管控措施，通过DPI的能力，基于真实业务而不是基于服务端口进行管控，并对正常访问的业务中存在的攻击行为进行应用层攻击识别和控制。

微隔离实施第五步——持续监控

最后一步，持续监控就是对被微隔离控制住的攻击和违规进行溯源调查，持续优化微隔离策略，让PDCA运转起来。攻击事件通常是管理员关注最多的，而事实上因为策略被阻断的流量，也会有日志被记录下来，也同样值得关注，相关的业务虚机为什么会产生非法流量，微隔离平台管理员可以协调业务平台管理员协助去业务虚机上进行确认和定位，也许也会有意外的收获。另外，正常流量业务质量的变化也应该得到关注，通过微隔离平台的NPM能力可以完成这个工作，微隔离平台管理员可以及时将信息同步给业务平台管理员，能够帮助业务平台管理员快速的响应和解决问题。

总结

本文详细讲解了山石网科的微隔离实施五步法，其中定义资产和梳理业务模型步骤解决的是零信任的基本问题，流量是什么，从哪里来，到哪里去，这两步通常被称为可视化，它们不仅能够为后面微隔离实施保护步骤的策略制定提供依据，更重要的是还能够坚定客户实施微隔离项目的决心；实施保护和细化安全策略步骤解决的是控制什么，怎么控制的问题，精细的控制能力是微隔离项目成功的关键；最后的持续监控步骤解决的是闭环问题，任何项目都需要持续优化，持续改进。