为什么需要微分段
在传统的数据中心网络中,普遍认为数据中心网络内部的流量是安全的,外部的流量是不安全的。因此,通常在网络内、外部的边界部署防火墙,对进、出网络的流量(即南北向流量)进行分析和处理。这种在边界设备上对流量进行安全分析的技术,也称为边界安全技术。
随着数据存储、应用的不断增多, 数据中心网络流量从以前的南北向流量为主转变为东西向流量为主,这样对内部流量进行安全管控就变得尤为重要。一旦攻击者冲破边界防护,那么数据中心内部的安全将受到严重威胁,攻击者可以随意攻击数据中心内部的服务。因此在云化的数据中心内部,需要针对数据中心内外部的流量做全面的防护,如果将数据中心内部虚拟机间的流量全部绕行集中式防火墙,很难满足数据中心灵活分布式、可扩展部署的要求和挑战,容易形成性能和扩容的瓶颈。
微分段可以提供比子网粒度更细的分组规则,并对数据中心的内部网络进行分组,然后对所有分组之间的流量部署安全策略。这样就可以实现更精细的业务策略控制,限制攻击行为在网络内部横向移动的能力,以增强安全性。这就类似于我们将船体分成若干个相互隔离的独立船舱,能保证因破损造成某一船舱进水时,不会波及其他船舱而导致整船进水,从而提高船舶的抗沉性。
有、无微分段对比
微分段与VLAN、ACL、防火墙对比
网络分段不是新技术,传统网络通常依赖防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)用于网络分段,对业务流量进行隔离。但是这些技术存在其局限性:
VLAN只能基于子网进行隔离,其不能实现同一子网内不同服务器之间的隔离,是一种非常粗糙的分段方式。
配置ACL规则可以实现不同服务器之间的隔离。但是数据中心网络中,服务器的数量非常庞大,若要实现服务器之间的隔离,则需要部署海量的ACL规则,配置维护相当复杂。同时,网络设备的ACL资源有限,不能满足客户部署海量ACL规则的需求。
数据中心一般只在对外的网络边界上设置防火墙,因为原则上认为入侵风险来自于外部,数据中心内部是相对安全的。理论上,也可以在数据中心内每个互联节点上部署防火墙来进行内部隔离,但是这需要部署大量的防火墙,是一笔很大的硬件投资,而且防火墙的设置和维护也是一个巨大的工作量。
而微分段可以提供更细粒度、更灵活的分段方式。微分段定义强调“微”和“分段”。
“微”是指分段粒度更细,它可以基于IP地址、IP网段、MAC地址、VM名等细粒度来分段。
“分段”是指将网络按照一定的分组规则划分为若干个子网络,不同子网络之间通过策略控制流量,从而实现数据报文仅能在约定的节点之间相互发送,而不是发送给所有节点。
传统网络分段和微分段的区别
微分段的优势
更精细、灵活的安全隔离:微分段可基于离散IP、MAC、VM名称等定义分组,相应的安全域划分更加细致、更灵活。
减小受攻击面:微分段通过对业务资源进行分段管理,并采用最低权限原则严格控制业务间互访关系,来实现零信任安全模型,能够缩小受攻击面,防止攻击者以及异常数据在东西向移动,确保内部安全。
分布式安全: 微分段方案实现了分布式的安全控制方案,在接入交换机实现对业务流量就近进行安全过滤,东西向流量不需要集中转发到防火墙后再进行安全隔离,减少了网络带宽的消耗,可以防止集中控制点成为流量瓶颈。
微分段工作原理
微分段借鉴了安全设备Security Zone的概念,将数据中心业务单元按照一定的原则分组,然后通过分组间策略实现流量控制。微分段基于以下两个元素实现精细分组隔离:
EPG(End Point Group):基于IP地址、MAC地址、VM名、应用等分组策略,对服务器、虚拟机等承载业务的实体进行的分组。
GBP(Group Based Policy):基于EPG分组的流量控制策略,规定了分组内部、分组之间的流量控制策略。
EPG/GBP实现逻辑
微分段在华为解决方案中,通过云平台、iMaster NCE-Fabric控制器与交换机之间的API接口,将EPG分组信息和GBP策略部署在VXLAN网络的Leaf节点上,在接入节点对业务流量就近进行安全过滤。
微分段工作原理
一旦外部网络攻击冲破了防火墙的防护,数据中心网络的安全将受到严重威胁,攻击者可以随意攻击数据中心网络中的服务器。同时,随着数据中心的不断发展,数据中心网络内部的流量(即东西向流量)也在不断增加,也需要进行安全防护。因此,微分段(Microsegmentation)技术在新一代的数据中心网络中,加强对南北向流量的安全管控、以及对东西向流量实施安全管控。
5、面向未来重新定义液冷
1、面向分布式AI智能网卡低延迟Fabric技术.pdf
2、RDMA参数选择.pdf
3、RDMA技术白皮书(中文版).pdf
4、RDMA技术在数据中心中的应用研究.pdf
5、华为面向AI时代的智能无损数据中心网络.pdf
1、服务器及存储用液冷部件技术规范 第1部分:冷板 2、服务器及存储用液冷部件技术规范 第2部分:连接系统 3、服务器及存储用液冷部件技术规范 第3部分:冷量分配单元 4、服务器及存储用液冷部件技术规范 第4部分:监控系统
本号资料全部上传至知识星球,更多内容请登录全栈云技术知识星球下载全部资料。
‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧ END ‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧
免责申明:本号聚焦相关技术分享,内容观点不代表本号立场,可追溯内容均注明来源,发布文章若存在版权等问题,请留言删除,谢谢。
温馨提示:搜索关注“全栈云技术架构”微信公众号,“扫码”或点击“阅读原文”进入知识星球获取10000+份技术资料。
