什么是微分段？

为什么需要微分段

在传统的数据中心网络中，普遍认为数据中心网络内部的流量是安全的，外部的流量是不安全的。因此，通常在网络内、外部的边界部署防火墙，对进、出网络的流量（即南北向流量）进行分析和处理。这种在边界设备上对流量进行安全分析的技术，也称为边界安全技术。

随着数据存储、应用的不断增多， 数据中心网络流量从以前的南北向流量为主转变为东西向流量为主，这样对内部流量进行安全管控就变得尤为重要。一旦攻击者冲破边界防护，那么数据中心内部的安全将受到严重威胁，攻击者可以随意攻击数据中心内部的服务。因此在云化的数据中心内部，需要针对数据中心内外部的流量做全面的防护，如果将数据中心内部虚拟机间的流量全部绕行集中式防火墙，很难满足数据中心灵活分布式、可扩展部署的要求和挑战，容易形成性能和扩容的瓶颈。

微分段可以提供比子网粒度更细的分组规则，并对数据中心的内部网络进行分组，然后对所有分组之间的流量部署安全策略。这样就可以实现更精细的业务策略控制，限制攻击行为在网络内部横向移动的能力，以增强安全性。这就类似于我们将船体分成若干个相互隔离的独立船舱，能保证因破损造成某一船舱进水时，不会波及其他船舱而导致整船进水，从而提高船舶的抗沉性。

微分段与VLAN、ACL、防火墙对比

网络分段不是新技术，传统网络通常依赖防火墙、虚拟局域网（VLAN）和访问控制列表(ACL)用于网络分段，对业务流量进行隔离。但是这些技术存在其局限性：

• VLAN只能基于子网进行隔离，其不能实现同一子网内不同服务器之间的隔离，是一种非常粗糙的分段方式。
• 配置ACL规则可以实现不同服务器之间的隔离。但是数据中心网络中，服务器的数量非常庞大，若要实现服务器之间的隔离，则需要部署海量的ACL规则，配置维护相当复杂。同时，网络设备的ACL资源有限，不能满足客户部署海量ACL规则的需求。
• 数据中心一般只在对外的网络边界上设置防火墙，因为原则上认为入侵风险来自于外部，数据中心内部是相对安全的。理论上，也可以在数据中心内每个互联节点上部署防火墙来进行内部隔离，但是这需要部署大量的防火墙，是一笔很大的硬件投资，而且防火墙的设置和维护也是一个巨大的工作量。

而微分段可以提供更细粒度、更灵活的分段方式。微分段定义强调“微”和“分段”。

• “微”是指分段粒度更细，它可以基于IP地址、IP网段、MAC地址、VM名等细粒度来分段。

• “分段”是指将网络按照一定的分组规则划分为若干个子网络，不同子网络之间通过策略控制流量，从而实现数据报文仅能在约定的节点之间相互发送，而不是发送给所有节点。

微分段的优势

• 更精细、灵活的安全隔离：微分段可基于离散IP、MAC、VM名称等定义分组，相应的安全域划分更加细致、更灵活。
• 减小受攻击面：微分段通过对业务资源进行分段管理，并采用最低权限原则严格控制业务间互访关系，来实现零信任安全模型，能够缩小受攻击面，防止攻击者以及异常数据在东西向移动，确保内部安全。
• 分布式安全： 微分段方案实现了分布式的安全控制方案，在接入交换机实现对业务流量就近进行安全过滤，东西向流量不需要集中转发到防火墙后再进行安全隔离，减少了网络带宽的消耗，可以防止集中控制点成为流量瓶颈。

微分段工作原理

微分段借鉴了安全设备Security Zone的概念，将数据中心业务单元按照一定的原则分组，然后通过分组间策略实现流量控制。微分段基于以下两个元素实现精细分组隔离：

• EPG（End Point Group）：基于IP地址、MAC地址、VM名、应用等分组策略，对服务器、虚拟机等承载业务的实体进行的分组。
• GBP（Group Based Policy）：基于EPG分组的流量控制策略，规定了分组内部、分组之间的流量控制策略。

微分段在华为CloudFabric解决方案中，通过云平台、iMaster NCE-Fabric控制器与交换机之间的API接口，将EPG分组信息和GBP策略部署在VXLAN网络的Leaf节点上，在接入节点对业务流量就近进行安全过滤。