等保2.0了，防火墙真要被“颠覆”了？

虽然2019年才过去仅仅5个月，但如果要评选本年国内年度最具影响力的安全事件，那非“颁布等保2.0”莫属。即便是未来，乃至很长一段时间，“等保2.0”都将是安全界最具影响力的事件。此前业界虽早已风传等保2.0即将落地，但当它真的来的时候，依旧在网安行业中引起了轰动。

5月13日下午，国家市场监督管理总局召开新闻发布会，正式发布《信息安全技术网络信息安全等级保护基本要求》国家标准，将于2019年12月1日正式实施，“等保2.0”时代正式到来。

和等保1.0相比较，等保2.0最大的变化在于增加了四项安全扩展要求，即：云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。这也是业界最为关注的焦点。

在一次活动中，笔者有幸听到蔷薇灵动创始人严雷关于等保2.0后的分享，其中不少知识令人眼前一亮，颇有在黑暗中摸索，却发现原来光明早已存在的感觉。如通过蔷薇灵动的微隔离技术解决防火墙不能解决的安全问题便是其中的代表。

说起来，严雷和等保2.0的渊源早在2015年便已经出现。

2015年，严雷和蔷薇灵动的另一位创始人作为业内知名技术专家，了解到了等保2.0的相关技术内容。而根据等保2.0的安全理念和具体技术要求，他们发现现有的防火墙技术在等保2.0之后将面临巨大的挑战，尤其是难以适应云环境的发展。

等保2.0作为国内企业定级、测评的标准，所涉及的技术内容自然是未来的发展趋势，这点毋庸置疑。

也就是从那时开始，严雷和伙伴们开始思考如何才能把握住这一市场机遇，解决企业面临的这个痛点问题。最终，微隔离技术的出现有望解决企业云化后，内部安全策略配置难题，并很有可能以此“颠覆”传统的防火墙技术。

对于网络安全而言，毫无疑问这是一次巨大的技术创新。等保2.0的颁布意味着我国网络安全进入到新的历史时期，并覆盖了云计算、大数据、移动平台，物联网和工控安全等多个领域。而微隔离的技术的应用正是为了适应这一新的网络安全形式。

当人们的目光聚集于安全扩展要求时，严雷敏锐的发现，在基础技术部分，等保2.0也有相当大的调整。其中，大多数企业都在这两个“不起眼”的地方被“坑”大发了。

坑一

白名单控制策略

这是等保2.0中的访问控制部分的说明，非常明确的指出应使用“白名单”安全机制。而在等保1.0中，只是提出了要设置访问控制设备，并能提供状态检测能力，和部分应用检测能力。

黑白名单一直是访问控制策略的两种机制。所谓白名单是除了策略中允许的通信外，默认阻断其他全部通信；而黑名单则恰恰相反，除了策略中需要阻断的通信外，默认开放其他全部通信。

从安全的角度来看，白名单策略明显要优于黑名单，可以将所有威胁拒之门外。然而，黑名单访问控制策略是企业网络安全实践中普遍采用的一种机制。

原因在于白名单存在很大的风险，不在网络安全，而在业务发展上。应用白名单必须要设计相应的允许通信名单，但网络安全管理者往往难以彻底理解业务，因此无法设计出一个很完善的白名单来。

因此，白名单制度很大程度上会阻断业务的发展，即将“正常业务”当做“不安全的威胁”而拒绝其通信。

随着网络安全攻击技术不断发展，黑名单制度渐渐力不从心，大量的恶意攻击快速出现变种，使得黑名单策略难以囊括安全威胁。当某一种新的攻击未处于名单之内时，攻击行为便可在企业中畅行无阻。

这也是等保2.0的技术要求里明确提出访问控制要切回白名单机制的原因。

但却给企业网络安全带来新的挑战，网络安全管理者必须要深入理解业务的发展，从而制定相对应的白名单制度。

“坑”就出现在这里。企业云化后，随便一个业务系统便有超级复杂的业务关系，大量虚拟机的应用让网络安全管理者的策略配置工作陷入困境。

这还仅仅是业务间的关系，不包括虚拟机之间的关系。由此可见白名单策略下，企业网络安全管理者背负的压力有多大，一个不慎就会阻断业务的发展，并因此被事后问责。

坑二

东西向防御

这是等保2.0中的入侵防范控制要求，其中明确提出要进行内部威胁防御，也就是业内常说的东西向防御。而等保1.0要求是在边界处进行对指定类型的攻击进行防御，传统的理解大多是应对边界外的威胁、攻击。

先简单介绍南北向流量和东西向流量。

南北向流量指通过网关进出数据中心的流量，东西向流量指由数据中心内部服务器彼此相互访问所造成的内部流量。具体如下图所示。

蓝色箭头代表南北向流量，红色箭头代表东西向流量）

等保2.0之前大多采取的是南北向防御，即将防火墙部署在数据中心的出口处，来做南北向流量的安全防护，而缺乏对企业内部东西向流量的安全防御。这也是为什么一旦攻击绕过防御进入到企业内部后便畅行无阻的原因。

等保2.0之后要求企业进行东西向防御，而真正“坑”的地方在于东西向流量不像南北向流量存在“网关”，东西向流量没有关键路径，这无疑将给安全管理者带来巨大的工作量。

目前，业界有较为成熟的两个思路。一是“引流”，将所有流量牵引到一个固定的地方进行处理，将南北向技术强行用于解决东西向问题的方法；二是将控制点下沉，如在每一台接入交换机的位置都部署上安全设备，这个方法效果不错，但却不是所有人都能玩得转，采购、部署、维护成本高昂。

而云计算的出现加剧了这一现象。一方面，当代数据中心规模庞大，尤其是数据中心体量以10万计，再加上容器技术带来的节点数激增，使得云内的东西向安全已经成为了一个禁区。

另一方面，由于云计算普遍采用虚拟化技术，因此只有虚拟化安全产品才可能在云内得以部署，对云基础架构有着强依赖关系。而即便是虚拟化防火墙，在东西向防御上也没有关键路径，因此只能顶着高昂的成本密集部署，云内东西向安全依旧困难重重。

坑三

二合一，超级天坑出现

如果说上文的两大“坑”已经让网络安全管理者焦头烂额，当这两大“坑”撞在一起时，其画面大概和史诗级灾难片的现场没有什么分别。

如果说只在边界处做白名单，网络安全管理者咬咬牙还能顶着压力坚持，然而，当企业东西向流量也要使用白名单策略时，其复杂关系不是一两句话能够解释的清楚。先上一张图，企业内部业务关系可谓是错综复杂。

据说曾经有大型央企的安全部门尝试进行内部业务梳理，将近半年过去了，连冰山一角都还没摸清楚，不得不放弃了这个尝试。

毕竟，内部既有数不胜数的私有协议和应用，又没人了解它们的网络特性，这些都给东西向防御的白名单策略带来了巨大的障碍，也给网络安全工作者设计了一个超级“天坑”。两者结合在一起，其破坏力远不是1+1=2这么简单，而是类似于氢气和氧气碰在一起发生的剧烈化学反应。

一个技术解决两大“坑”

微隔离技术的出现，使得这一史诗级天坑被填上成为可能：近可帮助用户满足等级保护2.0关于内部安全的一系列要求；未来还将成为未来数据中心尤其是云化数据中心东西向网络安全的基石。

由于很多人对微隔离技术还不甚了解，笔者在这类进行简单的科普。微隔离技术起于VMware兴于Gartner，作为一种新兴的安全防御方法，可用来保护企业的关键资产、数据和用户，免遭侵害。

事实上，微隔离还有个另外一个更加专业的名字，软件定义隔离（Software Defined Segementation）。而这个名字反而更加能说明微隔离的特点，即隔离点（enforcement point）与策略控制（policy）相分离，从而让隔离更加灵活，更加智能，进而有可能对由海量工作负载构成的复杂而多变的虚拟化网络进行隔离管理。

“云在杀死防火墙”，这句话不是说说而已。专家们表示，云和混合环境、移动访问以及在线应用已经使防火墙几乎过时了，而数据中心运营商应该考虑用更精细化的安全技术来替代原先的防火墙。

而微隔离这一技术的创新之处在于能够适应更加复杂、多变的云环境和企业内部业务系统，以更加精细化的控制来保障企业安全，故而才能“颠覆”传统防火墙技术。也就是说，不是微隔离在“杀死”防火墙，而是僵硬的防火墙渐渐跟不上网络安全的脚步。

那么，微隔离技术又是如何解决这一问题呢？

关键是策略配置。

上文已经说过，白名单制度和东西向防御已经成为网络安全管理者的超级“天坑”，其本质是因为难以依靠人力梳理清楚内部的企业业务关系，而搞不清楚业务关系便不能设定相应的安全策略。

为避免陷入这个超级“天坑”中，国内在微隔离领域中独树一帜的蔷薇灵动创新性地提出“监测、学习、验证、梳理”四步走的安全解决方案。

为了弄清楚东西向防御中白名单的问题，蔷薇灵动通过在每个工作节点上部署流量收集器，依靠计算引擎就可以绘制出一个完整的内部业务拓扑图（如下图）。回答了系统内部存在哪些业务关系，以及业务关系的具体内容。

（这是张意义重大的关系图）

有了清楚的云内业务拓扑图后，蔷薇灵动提供一整套的交互式策略设计方法，通过点击图中的线和点，管理员可以非常方便的设计出内网安全策略。值得一提的是，蔷薇灵动微隔离能够根据具体业务情况自动生成安全策略，还可以自适应调整，毕竟手动对每台机器进行配置无异于是一场灾难。蔷薇灵动策略管理语言也是独树一帜，完全是面向业务标签而非具体的IP，云内IP是多么的不稳定，大多数安全管理者都深有体会。

为了确保这策略确实有效，蔷薇灵动将策略分为测试状态和防护状态。在测试状态中，策略并没有真实的部署在节点上，而是通过模拟的形式进行策略计算，并将可能的结果展现出来。只有真正验证过后才会上线真正的策略，既可以避免破坏业务，又能保证效果真实。

同时，在防护过程中，蔷薇灵动将会持续记录东西向访问，以作为必要时的溯源工具，并对一切网络访问阻断进行记录，以用于对内部威胁进行分析。

据了解，蔷薇灵动已经为诸多政府部门、大型国企、央企提供微隔离产品和相应的服务，其部署的环境覆盖了VMware，OpenStack，阿里云，腾讯云，华为云，华三云，天翼云，青云，K8s等各种云计算和虚拟化系统，操作系统覆盖了包括windows的全线服务器版本，所有的主流linux版本以及部分国产化操作系统。

结语

有人说，微隔离技术无非就是一种更加精细化的隔离而已，只是恰好碰上了等保2.0这一大潮流趋势而已。

持这样观点的人不在少数，但笔者不敢苟同。

首先提一个简单的问题，为什么要用等保2.0来取代等保1.0？答案是，“为适应网络安全的新形势、新变化以及新技术、新应用发展的要求”。也就是说，等保2.0的出现是为了迎合网络安全技术的发展，代表着未来的发展趋势。

微隔离的提出正是为了适应这样的趋势，而非仅仅是解决等保2.0的问题。哪怕没有等保2.0，这样的趋势依旧存在，微隔离也依旧会出现。因此，与其说微隔离能够满足等保2.0的需求，不如说等保2.0是其发展的必经之路而已。

随着云计算、大数据、移动互联网，物联网和工控系统的出现和应用，传统的安全市场逐步扩大至整个网络空间世界。在一个如此庞大的、复杂的、多变的系统中，网络安全未来该如何发展，原有的安全防御体系是否使用，是安全从业者必须要考虑的问题。

如果仅仅把微隔离理解为一种安全技术，未免有点片面。

众所周知，等保2.0和等保1.0之间存在着不少差异，但其最本质的变化是等保所倡导的安全管理理念发生了深沉次的变革。微隔离的提出代表的正是在这样的变革下的一种创新性的安全方法论，是要“颠覆”难以适应网络安全发展的防御体系。

未来，这样的“颠覆性”技术将会越来越多，而微隔离的出现则为这场浩浩荡荡的变革开了个头。