對于關(guān)注云安全的企業(yè)來說,“微隔離”一詞并不算陌生,但“微隔離”究竟是怎樣一種技術(shù)?它的目的和價值何在?企業(yè)為什么要引入“微隔離”?我們來看一下專業(yè)人士——薔薇靈動創(chuàng)始人嚴雷帶來的“微隔離”科普。
去年11月,以“新基建 新安全”為主題的首屆灣區(qū)創(chuàng)見網(wǎng)絡(luò)安全大會在深圳國際會展中心盛大開幕。會上,薔薇靈動創(chuàng)始人嚴雷作為零信任細分技術(shù)領(lǐng)域的創(chuàng)新型公司代表,被邀請在零信任分論壇上與行業(yè)巨頭同臺競技,向全行業(yè)介紹微隔離技術(shù)。
微隔離更恰當(dāng)?shù)姆g是“微分段”
嚴雷談到,如果從直譯的角度說,相較于更被大家所熟知的“微隔離”而言,“微分段”應(yīng)該是更恰當(dāng)?shù)姆g。因為它事實上很直觀的指出了這個技術(shù)最樸素的一個含義,那就是把一個無結(jié)構(gòu)無邊界的網(wǎng)絡(luò)分成好多邏輯上的微小網(wǎng)段,以確保每一個網(wǎng)段上只有一個計算資源,而所有需要進出這個微網(wǎng)段的流量都需要經(jīng)過訪問控制設(shè)備。但是,不知道什么原因,微分段的名字沒有流傳開,反倒是不那么準(zhǔn)確的微隔離流傳開了。嚴雷認為,似乎可以這樣理解,相較于直譯的“微分段”,從意譯的角度看,微隔離則更加準(zhǔn)確。因為它準(zhǔn)確地反映了這個技術(shù)的目的和價值,那就是在一個沒有任何訪問控制能力的網(wǎng)絡(luò)中,創(chuàng)造出一個全面可控的零信任網(wǎng)絡(luò),從而讓每一個資源都可以被邏輯地與其他資源隔離開。
談到這里,嚴雷指出,事實上網(wǎng)絡(luò)安全產(chǎn)品一直就有兩種命名方式。比如說漏洞掃描、殺毒軟件、網(wǎng)頁防篡改一類的名字就是很準(zhǔn)確地闡述這個產(chǎn)品的功能。但是還有一類,比如防火墻、下一代防火墻、堡壘機這樣的名字就沒有直接對技術(shù)進行描述,但同時又很形象的反映了產(chǎn)品的價值和目的,因此也被人們認可和廣泛使用。因此微隔離這個名字,雖然不是完全的準(zhǔn)確,但也不妨礙其成為更加被大家所認可所接受的命名。
微隔離顛覆了防火墻
業(yè)界一直流傳一句話,微隔離必將而且正在顛覆防火墻,那么這句話究竟反映了什么樣的技術(shù)判斷和發(fā)展趨勢呢。嚴雷先生指出,顛覆防火墻的其實不是微隔離,而是云計算。防火墻有其誕生的歷史背景,在防火墻被設(shè)計的時候,網(wǎng)絡(luò)是靜態(tài)的,IP地址具備穩(wěn)定的身份屬性,也就是說IP地址與資產(chǎn)之間具備穩(wěn)定的一一對應(yīng)關(guān)系,因此這個時候就出現(xiàn)了以IP地址作為基本表達方式的防火墻技術(shù)。
但是隨著云計算、物聯(lián)網(wǎng)等基礎(chǔ)設(shè)施的廣泛部署,IP地址不再是一個被靜態(tài)配置的常數(shù),而是變成了一種池化的,動態(tài)分配的變量。換言之,IP地址不再具備資源的標(biāo)識信息價值,而是作為一個通信用的臨時性變量而存在。這帶來一個非常重大的影響,那就是以IP地址為基本元語的防火墻失去了最核心的表達方式。取而代之的則是包括微隔離在內(nèi)的以邏輯標(biāo)識為基本元語的新一代網(wǎng)絡(luò)安全技術(shù)。
微隔離帶來的技術(shù)復(fù)雜度前所未有
許多人剛剛接觸微隔離技術(shù)的時候會認為這是一種簡單的技術(shù),從其部署方式看就是一種主機軟件而已。針對這樣的觀點,嚴雷從軟件產(chǎn)品計算復(fù)雜度的角度出發(fā)對微隔離技術(shù)的計算特點進行了闡釋。
嚴雷將安全產(chǎn)品分為三類計算復(fù)雜度類型。
第一類,稱為O(1)型產(chǎn)品。也就是說不管部署規(guī)模有多大,這個產(chǎn)品的計算復(fù)雜度都是一個常量,比如傳統(tǒng)的殺毒軟件等主機安全產(chǎn)品基本都屬于這個類型。當(dāng)然,這不是說這類產(chǎn)品的難度就低,而只是說它的難度不會隨著其管理規(guī)模的擴大而變化,在一臺機器上部署和在一萬臺機器上部署,其軟件復(fù)雜度不會有什么變化。
第二類產(chǎn)品,被稱為O(n)型產(chǎn)品,它的計算復(fù)雜度隨著管理規(guī)模的增長呈現(xiàn)線性增長。最典型的O(n)型產(chǎn)品就是防火墻,管理一個小規(guī)模網(wǎng)絡(luò),我們需要一臺100M吞吐的防火墻,而管理一個規(guī)模網(wǎng)絡(luò),我們就需要一臺1000M的防火墻,更大的網(wǎng)絡(luò)則需要萬兆防火墻甚至T級防火墻。O(n)型產(chǎn)品的復(fù)雜度,隨著其管理規(guī)模的增長出現(xiàn)線性增長,越是高端的防火墻越難做,需要的計算資源越多,當(dāng)然價格也越貴。
而微隔離代表的則是第三種類型。因為微隔離要解決的是數(shù)據(jù)中心內(nèi)部,任意兩個點之間的業(yè)務(wù)關(guān)系與訪問控制問題,因此其計算復(fù)雜度與其管理規(guī)模呈現(xiàn)為平方的關(guān)系,準(zhǔn)確地說是(n^2)/ 2。然而,云計算的動態(tài)特征又引入了時間上的復(fù)雜度,所以微隔離產(chǎn)品的計算復(fù)雜度可以表達為O(t*(n^2)/2)。這樣的復(fù)雜度可以說是我們過去不曾遇到的,是因為零信任的引入而帶來的一種面向全網(wǎng)絡(luò)關(guān)系所必然導(dǎo)致的一種復(fù)雜度。隨著管理規(guī)模的增長,其計算復(fù)雜度極快增長,管理1000臺虛擬機的難度是管理100臺虛擬機的100倍而不是十倍。而我們能夠利用的算力是不可能以指數(shù)形式堆疊增長的,所以,基本上管理規(guī)模每放大十倍,產(chǎn)品就必須重構(gòu)一次了。嚴雷先生不無感慨地說,薔薇靈動這幾年,就是這樣從300臺的管理能力,到3000臺,再到現(xiàn)在的15000臺,無數(shù)次地重構(gòu),堪稱步步艱辛,但回過頭看,也充滿了成就感。
微隔離是零信任的核心技術(shù)模塊
在介紹微隔離與零信任的關(guān)系時,嚴雷引用了Forrester,Gartner,NIST的相關(guān)資料予以說明??梢钥吹?在各種權(quán)威機構(gòu)的理論體系中,都把微隔離放在了一個核心的位置上,并與IAM技術(shù),SDP技術(shù)一道構(gòu)成了零信任領(lǐng)域的三個技術(shù)基石。而關(guān)于這三個技術(shù)彼此之間的關(guān)系,嚴雷給出了一個簡單而生動的解答。
IAM技術(shù)主要是回答網(wǎng)絡(luò)中有哪些物理和邏輯的資源實體,以及這些資源之間彼此的訪問關(guān)系授權(quán)。由于零信任技術(shù)的特點就是直接面向資源而不是面向網(wǎng)路的,因此就需要一個在全局生效的IAM體系,用以為SDP和微隔離技術(shù)提供策略基礎(chǔ)。而SDP和微隔離技術(shù)的區(qū)別在于,SDP用以解決從數(shù)據(jù)中心外部(不再區(qū)分辦公網(wǎng)和互聯(lián)網(wǎng))安全地訪問數(shù)據(jù)中心的服務(wù)與數(shù)據(jù)的問題。而微隔離技術(shù)則用于解決數(shù)據(jù)中心內(nèi)部流量的識別與訪問控制問題。這兩個技術(shù)就把數(shù)據(jù)中心全部流量(南北向,東西向)都管理起來了。
微隔離實踐離不開五步工作法
當(dāng)談到微隔離的五步工作法時,嚴雷先生風(fēng)趣地指出,當(dāng)今做零信任,都是分五步,微隔離是五步,SDP也是五步,每個公司都是五步,不是五步就不正宗了。事實上,就連每一步的主要工作目標(biāo)也都是相近的,只不過在于具體技術(shù)場景相結(jié)合時會有一些實現(xiàn)上的差異。
就微隔離而言,主要分為定義、分析、設(shè)計、防護和持續(xù)監(jiān)控五個步驟。本質(zhì)上就是一個對特定業(yè)務(wù)系統(tǒng)進行全面業(yè)務(wù)分析,并基于業(yè)務(wù)設(shè)計出一個適合本企業(yè)環(huán)境和要求的零信任網(wǎng)絡(luò)架構(gòu),并基于此實現(xiàn)全面的白名單訪問控制的過程。
當(dāng)談到白名單訪問控制時,嚴雷充滿激情地講到,當(dāng)你切換到白名單防護狀態(tài)的那一刻,就是見證奇跡的時刻,就是你的網(wǎng)絡(luò)迎來新生的時刻。我們一切的管理,實際上一直圍繞著三個方向去努力,就是盡可能構(gòu)建解釋力,預(yù)測力和控制力。過去,我們對自己的網(wǎng)絡(luò)所知甚少,對它在特定任務(wù)下的表現(xiàn)完全沒有預(yù)見能力,而且也基本沒有有效的干預(yù)手段。當(dāng)我們以微隔離技術(shù)將網(wǎng)絡(luò)置于徹底的零信任白名單訪問控制之下后,從此網(wǎng)絡(luò)就將進入穩(wěn)態(tài)!也就是我們可以準(zhǔn)確的知道我們的網(wǎng)絡(luò)中發(fā)生的每一件事情,我們也可以很自信的說,這個網(wǎng)絡(luò)現(xiàn)在這樣,將來也將一直這樣,只要我不允許,它一定不會發(fā)生任何改變。而且我們擁有細粒度到每一個容器乃至每一個進程的網(wǎng)絡(luò)訪問控制能力,我們將真正成為網(wǎng)絡(luò)的主人。
在薔薇靈動看來,他們已經(jīng)預(yù)見到隨著零信任理念的盛行,云計算與大數(shù)據(jù)平臺的大范圍部署以及國家十四五期間關(guān)于數(shù)字化轉(zhuǎn)型的定調(diào),微隔離市場必將迎來一個爆發(fā)式的發(fā)展。為此他們除了在北京的總部之外,又新設(shè)立了上海分公司和深圳分公司,分別覆蓋京津冀、江浙滬和大灣區(qū)。
作為中國網(wǎng)絡(luò)安全行業(yè)的技術(shù)創(chuàng)新領(lǐng)導(dǎo)廠商,薔薇靈動一直以來都是“零信任”理念和“微隔離”技術(shù)的倡導(dǎo)者和領(lǐng)軍者,始終以推動中國云安全技術(shù)發(fā)展為己任。未來,薔薇靈動也將繼續(xù)為用戶提供全方位、更智能的安全解決方案。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )