微隔離作為云安全的重要基礎(chǔ)構(gòu)件,其技術(shù)最早由VMware提出,這是眾所周知的事實。然而薔薇靈動作為國內(nèi)微隔離領(lǐng)域的領(lǐng)導(dǎo)廠商,其誕生及發(fā)展卻與等保2.0有著密不可分的關(guān)系。
作為安全領(lǐng)域的技術(shù)專家,薔薇靈動的兩位創(chuàng)始人根據(jù)對等保2.0的安全理念和具體技術(shù)要求的研究,深刻地認識到,在等保2.0時代現(xiàn)有的防火墻技術(shù)將面臨巨大挑戰(zhàn),尤其是在云環(huán)境下將變得完全不可用。從那時起他們就開始思考如何解決這個問題,并把握這樣一個市場機遇。
經(jīng)過長期的思考與技術(shù)預(yù)研,他們認為薔薇靈動技術(shù)必將作為一項顛覆性技術(shù),成為未來數(shù)據(jù)中心尤其是云化數(shù)據(jù)中心東西向網(wǎng)絡(luò)安全的基石,幫助用戶滿足等級保護2.0關(guān)于內(nèi)部安全的一系列要求。
從2017年成立到今天為止,薔薇靈動已經(jīng)為海淀區(qū)電子政務(wù)云,通州區(qū)電子政務(wù)云,中國移動,中國電信,中國人壽等多家政企客戶提供了微隔離產(chǎn)品和服務(wù),部署的環(huán)境覆蓋了VMware,OpenStack,阿里云,騰訊云,華為云,華三云,天翼云,青云,K8s等各種云計算和虛擬化系統(tǒng),操作系統(tǒng)覆蓋了包括windows的全線服務(wù)器版本,所有的主流linux版本以及部分國產(chǎn)化操作系統(tǒng)。
2019等級保護2.0技術(shù)標準的正式發(fā)布已成為中國網(wǎng)絡(luò)安全行業(yè)發(fā)展歷史中的重要里程碑事件,這也是薔薇靈動發(fā)展歷史中的關(guān)鍵節(jié)點。
微隔離從高配到標配的轉(zhuǎn)變
以等級保護2.0技術(shù)標準正式發(fā)布為分水嶺,我們可以把微隔離產(chǎn)品的發(fā)展化為兩個時期。
在等保2.0以前,微隔離技術(shù)屬于高配技術(shù),他的核心驅(qū)動是兩個,一個是零信任的安全管理邏輯,一個是大規(guī)模云計算系統(tǒng)的安全運維需求。這時候主要部署微隔離技術(shù)的用戶包括:大型行業(yè)用戶、大型云計算用戶、以及高安全需求用戶。
而隨著等級保護2.0技術(shù)標準正式發(fā)布,微隔離技術(shù)已經(jīng)從過去的高配變成標配。內(nèi)部安全的重視不僅僅是在云環(huán)境,而是在全部計算環(huán)境,因為這些要求是出現(xiàn)在等級保護的通用安全要求部分。也就是說不管你是不是已經(jīng)進行了云化或者虛擬化,你都必須要對你的數(shù)據(jù)中心進行白名單化管理。當然,在非云環(huán)境下,除了微隔離,還是有其他手段的,比如說,過去的銀行系統(tǒng)就通過部署大量的隔離防火墻來解決這個問題,不過這個開銷真不是普通用戶能承擔的了的。相較而言,更加輕量級的微隔離技術(shù)即使在傳統(tǒng)環(huán)境下也有著更好的可行性。
在等保2.0時代,以下用戶和場景應(yīng)該盡快考慮部署微隔離技術(shù)以實現(xiàn)對內(nèi)網(wǎng)流量的可視化管理與全面可控的策略設(shè)計。
1)各級電子政務(wù)云
2)企業(yè)私有云和數(shù)據(jù)中心
3)政府部委部署的數(shù)據(jù)中心,私有云和行業(yè)云
4)各種大數(shù)據(jù)計算平臺
5)政企用戶沒有部署過內(nèi)部安全措施的數(shù)據(jù)中心
微隔離部署方式
微隔離技術(shù)要管理的是由數(shù)千甚至數(shù)萬臺機器構(gòu)成的大型計算環(huán)境,在部署這一技術(shù)時必然有一定的復(fù)雜性,通過長期的實踐,薔薇靈動總結(jié)出了一套自己的方法論:
薔薇靈動微隔離方法論
第一步,對東西向業(yè)務(wù)進行學(xué)習(xí),繪制云內(nèi)業(yè)務(wù)拓撲
薔薇靈動微隔離云內(nèi)業(yè)務(wù)拓撲
第二步,業(yè)務(wù)梳理(確認)
這一步,在不同的用戶處不太一樣,有的用戶過去沒有完善的資產(chǎn)、業(yè)務(wù)與配置管理體系,這就需要首先建立起一套業(yè)務(wù)模型出來。這一步的工作量就變得比較大了,而且往往需要調(diào)度多個部門進行協(xié)作。不過,既然等保2.0已經(jīng)來了,這是早晚都要做的一步,用我們的技術(shù)已經(jīng)把工作量縮減了好幾個數(shù)量級了。
而如果是用戶過去就有很好的類似于CMDB的資產(chǎn)與業(yè)務(wù)管理系統(tǒng),那么我們就只需要做業(yè)務(wù)確認即可,因為實際的業(yè)務(wù)情況可能會與系統(tǒng)中的不一樣,或者系統(tǒng)中缺少一些信息。
第三步,策略設(shè)計
好的微隔離產(chǎn)品,一定能夠根據(jù)業(yè)務(wù)情況自動生成安全策略,否則,如果讓用戶自己去逐臺機器進行配置,那根本就是一場災(zāi)難。比如我們的一個客戶,有兩萬臺虛擬機,隨便一個業(yè)務(wù)系統(tǒng)就有超復(fù)雜的內(nèi)部業(yè)務(wù)關(guān)系,給張圖你們自己體會下(這還不是虛機間關(guān)系,只是業(yè)務(wù)間關(guān)系)。
薔薇靈動微隔離業(yè)務(wù)網(wǎng)
而且策略最好是IP無關(guān)的,比如薔薇靈動可以直接根據(jù)虛擬機的業(yè)務(wù)標簽來配置策略。因為IP地址在云內(nèi)是個非常不穩(wěn)定的參數(shù),一旦策略是用IP來配置的,那么后面的運維就非常痛苦了。
第四步,自適應(yīng)運維
好的微隔離產(chǎn)品,一定能夠進行自適應(yīng)的策略運維,也就是當云計算環(huán)境發(fā)生,遷移,擴容,升級等變化時,系統(tǒng)可以對安全策略進行自適應(yīng)調(diào)整。沒有這個能力,策略運維將變得非常困難,甚至是難以完成的。比如一個客戶,如果每天都有新業(yè)務(wù)上線,隨時都有可能進行業(yè)務(wù)架構(gòu)調(diào)整,此時如果策略運維不是自動完成的,那么他們的業(yè)務(wù)交付必將被安全所拖累。
第五步,自動化編排
云計算環(huán)境下,一切都是軟件定義的,這當然也包括安全。不同的安全產(chǎn)品,需要被進行統(tǒng)一的管理和調(diào)度。我們的產(chǎn)品從設(shè)計之初就采用了微服務(wù)架構(gòu),每一個點擊,每一個查詢背后都有對應(yīng)的API可以使用,這使得我們可以被整合到云管理系統(tǒng)中,或者被SOC/SIEM等安全管理平臺所調(diào)用。
東西向安全是新的安全建設(shè)熱點,難度非常大。幸運的是,薔薇靈動已經(jīng)打磨出了一款非常好用的東西向安全產(chǎn)品,并積累了豐富的部署經(jīng)驗。
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )