南北向流量防护后，东西向流量防护呢？山石网科有话说

众所周知，云已经是当今IT建设部署的重要方式，不过云上的安全也令很多企业对其表示迟疑。当然，我们听到过很多云上的防火墙方案、DDoS防护方案等等，这些都是边界的安全，它们主要聚焦在内外网之间边界上通过的流量，一般叫做南北向流量，不得不说这一层面的安全防护是十分必要的。不过，你有没有想过除了边界，云内部的安全是什么样子的呢？这也是很多企业被困扰的问题。

例如，云平台内部不可视，用户无法管控虚机上的流量和应用；虚机之间缺乏威胁隔离机制，网络威胁一旦进入云平台内部，可以肆意蔓延等。

进一步通俗的讲，假设某虚机由于弱口令之类的漏洞被远程控制，然后黑客以此虚机为跳板，再对其它虚机进行漏洞扫描和利用入侵。然而从内部发起的漏洞入侵的过程在网络层面上与正常访问无异，很难被发现。

所以，和物理网络中通常仅做不同网段间的安全隔离不一样，虚拟化网络中需要更细粒度的虚拟机之间的隔离。

山石网科近日发布“山石云·格”产品，其特点就是实现虚拟机微隔离的安全防护，和“山石云·界”组合形成了边界＋虚机综合云安全方案，也就是山石网科的云安全战略。

“山石云·格”是个什么样子的微隔离？

云格将自己深度插入到虚拟化环境中，能够做到每一个虚拟机跟外部网络或内部其它虚拟机之间通信的精细监控，这也就是所谓的微隔离。

技术逻辑是这样的：云格能够收集并分析虚机之间的数据通信，为用户描绘出整个云平台上的流量模型，包括虚机之间以及不同端口组(port group) 之间的的流量情况。同时，云格还可为用户呈现云平台中的指定时间段内的新增流量及新增应用，从而分析云平台内部的细微变化。

据介绍，它可以识别出虚机流量中的具体应用类型，并在此基础上提供了流量与应用控制功能，可对虚机间的业务访问进行细粒度的权限控制，以过滤非法访问。

“山石云·格”是怎样工作的？

云格以虚拟机的形式部署在云平台中，它的管理平面、控制平面、业务平面采用分离式设计，由vSOM、vSCM、vSSM 三部分组成。vSOM虚拟安全管理模块为管理平面，负责管理整个云格产品安全服务生命周期。vSCM虚拟安全控制模块为控制平面，负责安全配置管理，以及对业务平面进行调度。vSCM通常采用冗余部署，可避免单点故障，提高云格产品可靠性。vSSM虚拟安全业务模块是业务平面，负责执行具体安全功能，如访问控制，攻击阻断等，在每一台需要保护的物理服务器部署一个vSSM即可实现对该物理服务器上所有虚拟机的安全保护。

山石网科市场副总裁张凌龄用“贴身保镖”来形容云格为每个虚机提供的安全防护，通过专利引流技术，云格可将每个业务虚机的流量牵引至虚拟安全业务模块vSSM，进行2-7层的威胁检测，从而发现并阻断东西向流量的安全威胁，阻止攻击在云平台内横向蔓延。

“山石云·格”适用于什么场景？

值得一说的说，云格的典型应用是私有云，张凌龄提到浙江一家地方银行的案例，银行应用私有云，在之前因为有一台虚机被木马感染，而出现了将其他虚机传染的风险，它希望找一个方式进行东西向隔离，所以也就有了云格的用武之地。

对于私有云来说，微隔离这种技术对他们来说是很难做到的，而公有云往往有自己的一套系统。山石网科CTO刘向明说，私有云大多在新建时就把网格成为他们云安全体系的一部分。云格支持当前的主流云平台技术，例如基于VMware的私有云（vCenter+ESXi）、基于OpenStack的私有云（OpenStack+KVM）。

与云格对应的是，云界应用于公有云VPC或多租户方案，对南北向流量进行防护，它已经在阿里云、AWS、沃云等公有云平台上架。

张凌龄称云格填补了市场的空白，而云格+云界则实现了东西南北棋盘式全维度云保护。