为什么说不要用VLAN、VPC解决东西向隔离问题

2018-11-29 11:18:11作为一个严谨的、有着职业操守的安全从业人员，首先我要摸着良心说：技术没有好坏，评价一个技术，我们主要看它能否在某些场景下很好的解决特定问题。

前言

作为一个严谨的、有着职业操守的安全从业人员，首先我要摸着良心说：技术没有好坏，评价一个技术，我们主要看它能否在某些场景下很好的解决特定问题。而基于我们多年来的运维经验及实际的客户走访，基于VLAN/VPC的内部隔离方式基本上已经不再适用于解决虚拟数据中心/私有云(包括含有私有云的混合云)环境下的东西向隔离问题。

在开始今天的讨论之前，作为一名日常就是跟客户聊安全(jiang chan pin)的产品人员，要先回答一下客户爸爸总是考验(diao nan)我的问题“内部为什么要做隔离?”

内部为什么需要隔离

从安全建设角度：

一直以来，企业广泛的采用纵深防御技术(defensin depth)和最小权限逻辑(least privilege)来进行企业网络安全管理。而隔离是实现这两个理念的基本方式，例如传统安全管理中，通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别间划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限。

从攻击防御角度：

从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的Lockheed Martin Cyber Kill Chain(洛克希德-马丁公司提出的网络攻击杀伤链)，还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据中心内部横向移动，而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点，复杂的安全策略、巨大的资金和技术都用于了边界防护，而同样的安全级别并不存在于内部。

从安全闭环角度：

有了行为分析、有了蜜罐、有了态势感知，却没有了最基本的访问控制。数据中心内部往往几百台虚拟机域内全通;安全策略“只敢增、不敢减”;内部大量的检测设备，但防护在哪里……

讲到这，如果客户爸爸还没赶我出去，那就可以开始我的表演了：

场景一：

我：“客户爸爸，听说您的数据中心去年就完成虚拟化建设，投入使用了。业务生产效率提升了一大截呢!”

客户爸爸：“嗯，我们选择国外大厂的虚拟化技术去年完成的建设。虚拟化数据中心的确提升了运营效率。”

我：“咱们现在有多少台虚拟机了?”

客户爸爸：“目前一共500多台，有些业务还在迁移，增长比较快，明年预计能达到1000台。”

我：“这么多虚拟机，咱们内部怎么管理啊”

客户爸爸：“我们主要是通过划分VLAN进行管理的……”

场景二：

我：“客户爸爸，听说您的私有云去年就完成建设，开始使用了。现在好多企业才刚刚起步。”

客户爸爸：“嗯，我们三年前就开始做技术调研了，去年完成的建设。云数据中心的确是未来的建设趋势啊。”

我：“咱们现在有多少台虚拟机了?”

客户爸爸：“目前一共1000多台，有些业务还在迁移，增长比较快，明年预计能达到1500台。”

我：“这么多啊，您这私有云在行业内算得上是标杆了。这么多虚拟机，咱们内部怎么管理啊”

客户爸爸：“我们主要通过云厂商提供的VPC进行内部管理……”

虚拟化数据中心根据底层架构的不同，基于VLAN/VPC的内部隔离是两种比较常见的方式。很多企业先根据部门、业务系统将数据中心逻辑上划分成不同安全域，并通过VLAN/VPC的方式进行隔离，再将虚拟机部署在各VLAN/VPC中。由于VLAN/VPC均为二层隔离，如果各组之间需要通信，则需要通过三层设备(三层交换、防火墙)进行。两种方式主要都是延续了传统数据中心安全管理的思维，分堆、分隔、访问控制。

但实际上，客户在运维的过程中，基本都渐渐的“一切从简“——几百台虚拟机分为3、4个域，域间配置一些基于网段的访问控制规则，域内全通。

这个时候，为了不让客户爸爸掉到VLAN/VPC隔离的“大坑“中，专业(wei le xiang mu)的我一定要给客户爸爸讲讲什么才是东西向隔离。

有因才有果，我们先分析下虚拟数据中心/私有云的特点：

虚拟数据中心/私有云的特点

1. 虚拟机数量较多，少则几百台，多则几千上万台，且不断增加。

2. 多分支机构、多业务部门使用，安全级别复杂

3. 业务灵活多变。资源按需分配，变化随时发生(业务上下线，扩容，复制，漂移)。

根据以上特点，结合等保2.0中虚拟机之间访问控制，内部攻击检测、阻断等要求，东西向的隔离应该具备以下能力：

东西向隔离应该具备的能力

1、识别内部业务的访问关系。东西向不易管理，很大程度上是因为内部流量不可见，从而导致安全策略设计、调整困难。能够识别主机(包括容器)之间的流量，包括访问的服务、端口、次数，甚至是进程等。

2、能够实现端到端隔离。具备物理 服务器 之间、虚拟机之间、容器之间的访问控制能力，控制粒度为端口级。

4、策略可视化编辑及统一管理能力。可图形化展示现有安全策略状态;可图形化编辑安全策略;全网的安全策略可以通过统一界面进行管理。

5、策略自动化部署。能够适应私有云弹性可拓展的特性，在虚拟机迁移、克隆、拓展等场景下，安全策略能够自动变化。支持自动化编排。

6、支持混合云架构。混合云环境下，支持跨平台的流量识别及策略统一管理。

遗憾的是，基于VLAN/VPC的内部隔离方式基本满足不了东西向隔离的需求。

基于VLAN/VPC内网隔离的“七宗罪”

1、过于静态。静态的VLAN/VPC划分限定了虚拟机的位置，与云数据中心的动态特性相悖。

2、攻击面过大。虚拟机数量大幅增加，过大的VLAN/VPC划分会给攻击者提供较大的攻击范围，一旦组内一台主机被控制，攻击者就可以随意的横向移动。

3、成本过高。细分安全域，然后部署数百甚至数千个防火墙以做到内部访问控制，在财务和操作上是不可行的。

4、影响业务交付。在新增业务或改变现有业务时，安全人员必须手动修改安全策略，从而符合这个静态又重量级的网络拓扑，大幅增加业务延迟，也容易造成配置错误。

5、安全策略管理复杂。防火墙的配置错误、策略更改均是网络中断的常见原因。尤其是防火墙的策略配置，无法预先测试、错误配置很难排查，防火墙策略往往存在“只敢增，不敢减”的问题。

6、增加网络延迟。这种设计增加了网络复杂性，降低了网络性能。

7、无法适用于混合云模式。当用户有多个云数据中心时，割裂的安全，增加管理的复杂度。

总结起来就是基于VLAN/VPC的内部隔离，不怎么合规、不怎么灵活、粒度相当粗、运维特别难。

综上所述，不管是摸着哪位老师的良心，我都要说，在虚拟数据中心环境下，基于VLAN/VPC的内部隔离只适用于粗粒度的大安全域间隔离，对于解决东西向隔离问题，基本已经凉凉。

VLAN/VPC虽然凉，但客户爸爸不要冷，针对虚拟数据中心内部的隔离问题，国际上早有定论。

云中心内部隔离的最佳实践——微隔离

微隔离(MicroSegmentation)最早由Gartner在其软件定义的数据中心(SDDC)的相关技术体系中提出，用于提供主机(容器)间安全访问控制(区别于过去的安全域间的安全访问控制),并对东西向流量进行可视化管理。

微隔离技术基本上以软件定义为主，可以很好的适应云中心的动态特性。而且从定义上就能看出，其主要解决的就是如何将错综复杂的云内流量看清楚，管理好。

微隔离并不是理念上的革新，它从管理理念上坚持了纵深防御、最小权限这些被广泛认可的原则，所不同的地方在于微隔离使得这些理念能够在完全不同的虚拟化数据中心和复杂的内部通信模型下继续被有效贯彻。

在Gartner2017年的报告中认为微隔离将在未来2-5年内成为主流技术。

后续预告

我：“这么多虚拟机，咱们内部怎么管理啊”

客户爸爸：“我们正在考虑通过SDN牵引的方案进行管理……”

电脑重启后打印机为什么不能共享了

生新操作以下某项工作:一、首先，将计算机实现物理连接，连接方法如下： 1. 使用Hub连接； 2. 使用交换机连接，但要确保交换机不使用VLAN隔离，如使用VLAN则需要共享的计算机在一个VLAN中； 3. 两台计算机使用交叉网线背靠背连接。 二、更改不同的计算机名，设置相同的工作组！方法： 我的电脑右键－管理－计算机管理－本地用户和组－用户：更改管理员用户名。 三、设置防火墙。 开始－设置－控制面板－防火墙，例外－勾选“文件和打印机共享”！当然也可以关闭防火墙。 注意：这里防火墙不设置好，两台机器将无法ping通。 四、手动设置IP，将IP设置在同一个网段，子网掩码和DNS解析相同。 设置好后在“运行”使用ping命令，测试连通后，进行下一步。 五、运行里面输入回车进入本地安全设置－本地策略－安全选项，将“网络访问：不允许SAM账户的匿名枚举”停用，注意此点只对来宾起效；将“账户：使用空白密码的本地账户只允许进行控制台登录”停用 。 如不设置这两项，共享计算机无法正常匿名登陆。 六、双击我的电脑打开资源管理器－工具－文件夹选项－查看－将“使用简单的文件夹共享”前面的勾去除！如不设置这项，则只能实现文件的共享，而不能实现文件夹共享。 七、设置共享文件夹、共享盘符或打印机，如共享打印机：打开控件面板－打印机和传真--打印机－-左键点属性--打开共享。

有一个酒店有600多个房间，要划分600多个VLAN，每个端口属于一个VLAN，而且地址是自动获取的，怎么设DHCP?

我想你这么做的目的：是要为酒店的每个房间的网络不能互相访问，但是又要求能都出去上网吧。 建议你使用端口隔离技术。 顺便回答下你的问题，600个vlan的dhcp分配，一是一个dhcp地址池绑一个vlan，可以用根地址池和子地址池的概念来帮助你统一分配dns，域名等属性，但是600个vlan还是要配置601个dhcp地址池，只是能省去每个地址池中的除网关指定、地址分配访问以外的其他属性（即：公用属性）命令配置。

虚拟局域网 VLAN

虚拟局域网(VLAN)，是指网络中的站点不拘泥于所处的物理位置，而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。 基于交换式以太网的虚拟局域网在交换式以太网中，利用VLAN技术，可以将由交换机连接成的物理网络划分成多个逻辑子网。 也就是说，一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。 在交换式以太网中，各站点可以分别属于不同的虚拟局域网。 构成虚拟局域网的站点不拘泥于所处的物理位置，它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。 虚拟局域网技术使得网络的拓扑结构变得非常灵活，例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。 划分虚拟局域网主要出于三种考虑：第一是基于网络性能的考虑。 对于大型网络，现在常用的Windows NetBEUI是广播协议，当网络规模很大时，网上的广播信息会很多，会使网络性能恶化，甚至形成广播风暴，引起网络堵塞。 那怎么办呢?可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输，因为广播信息是不会跨过VLAN的，可以把广播限制在各个虚拟网的范围内，用术语讲就是缩小了广播域，提高了网络的传输效率，从而提高网络性能。 第二是基于安全性的考虑。 因为各虚拟网之间不能直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性。 在大规模的网络，比如说大的集团公司，有财务部、采购部和客户部等，它们之间的数据是保密的，相互之间只能提供接口数据，其它数据是保密的。 我们可以通过划分虚拟局域网对不同部门进行隔离。 第三是基于组织结构上考虑。 同一部门的人员分散在不同的物理地点，比如集团公司的财务部在各子公司均有分部，但都属于财务部管理，虽然这些数据都是要保密的，但需统一结算时，就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中，实现数据安全和共享。 采用虚拟局域网有如下优势：抑制网络上的广播风暴；增加网络的安全性；集中化的管理控制。 基于交换式的以太网要实现虚拟局域网主要有三种途径：基于端口的虚拟局域网、基于Mac地址(网卡的硬件地址)的虚拟局域网和基于IP地址的虚拟局域网。 (1)基于端口的虚拟局域网基于端口的虚拟局域网是最实用的虚拟局域网，它保持了最普通常用的虚拟局域网成员定义方法，配置也相当直观简单，就局域网中的站点具有相同的网络地址，不同的虚拟局域网之间进行通信需要通过路由器。 采用这种方式的虚拟局域网其不足之处是灵活性不好。 例如，当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个虚拟局域网，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。 在基于端口的虚拟局域网中，每个交换端口可以属于一个或多个虚拟局域网组，比较适用于连接服务器。 (2) 基于MAC地址的虚拟局域网在基于MAC地址的虚拟局域网中，交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时根据需要将其划归至某一个虚拟局域网，而无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置。 这种虚拟局域网技术的不足之处是在站点入网时，需要对交换机进行比较复杂的手工配置，以确定该站点属于哪一个虚拟局域网。 (3)基于IP地址的虚拟局域网在基于IP地址的虚拟局域网中，新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的虚拟局域网。 在三种虚拟局域网的实现技术中，基于IP地址的虚拟局域网智能化程度最高，实现起来也最复杂。 VLAN使用VLAN优点使用VLAN具有以下优点：1、控制广播风暴一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 2、提高网络整体安全性通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。 3、网络管理简单、直观对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。 而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。 在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。 利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。 在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。 三层交换技术传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。 由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络运行的瓶颈。 在这种情况下，出现了第三层交换技术，它是将路由技术与交换技术合二为一的技术。 三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。 可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。 在以三层交换机为核心的千兆网络中，为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性，可采用VLAN技术进行虚拟网络划分。 VLAN子网隔离了广播风暴，对一些重要部门实施了安全保护；且当某一部门物理位置发生变化时，只需对交换机进行设置，就可以实现网络的重组，非常方便、快捷，同时节约了成本。 交换机充当的角色 交换机的好处在于其可以隔离冲突域，每个端口就是一个冲突域，因此在一个端口单独接计算机的时候，该计算机是不会与其它计算机产生冲突的，也就是带宽是独享的，交换机能做到这一点关键在于其内部的总线带宽是足够大的，可以满足所有端口的全双工状态下的带宽需求，并且通过类似电话交换机的机制保护不同的数据包能够到达目的地，可以把HUB和交换机比喻成单排街道与高速公路。 IP广播是属于OSI的第三层，是基于TCP/IP协议的，其产生和原理这里就不多讲了，大家可以看看TCP/IP协议方面的书籍。 交换机是无法隔离广播的，就像HUB无法隔离冲突域一样，因为其是工作在OSI第二层的，无法分析IP包，但我们可以使用路由器来隔离广播域，路由器的每个端口可以看成是一个广播域，一个端口的广播无法传到另外一个端口（特殊设置除外），因此在规模较大，机器较多的情况下我们可以使用路由器来隔离广播。 下面开始归入正题。 通常，只有通过划分子网才可以隔离广播，但是VLAN的出现打破了这个定律，用二层的东西解决三层的问题很是奇怪，但是的确做到了。 VLAN中文叫做虚拟局域网，它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了。 VLAN的实现原理非常简单，通过交换机的控制，某一VLAN成员发出的数据包交换机只发个同一VLAN的其它成员，而不会发给该VLAN成员以外的计算机。 使用VLAN的目的不仅仅是隔离广播，还有安全和管理等方面的应用，例如将重要部门与其它部门通过VLAN隔离，即使同在一个网络也可以保证他们不能互相通讯，确保重要部门的数据安全；也可以按照不同的部门、人员，位置划分VLAN，分别赋给不同的权限来进行管理。 VLAN的划分有很多种，我们可以按照IP地址来划分，按照端口来划分、按照MAC地址划分或者按照协议来划分，常用的划分方法是将端口和IP地址结合来划分VLAN，某几个端口为一个VLAN，并为该VLAN配置IP地址，那么该VLAN中的计算机就以这个地址为网关，其它VLAN则不能与该VLAN处于同一子网。 如果两台交换机都有同一VLAN的计算机，怎么办呢，我们可以通过VLAN Trunk来解决。 如果交换机1的VLAN1中的机器要访问交换机2的VLAN1中的机器，我们可以把两台交换机的级联端口设置为Trunk端口，这样，当交换机把数据包从级联口发出去的时候，会在数据包中做一个标记（TAG），以使其它交换机识别该数据包属于哪一个VLAN，这样，其它交换机收到这样一个数据包后，只会将该数据包转发到标记中指定的VLAN，从而完成了跨越交换机的VLAN内部数据传输。 VLAN Trunk目前有两种标准，ISL和802.1q，前者是Cisco专有技术，后者则是IEEE的国际标准，除了Cisco两者都支持外，其它厂商都只支持后者。