什么是微隔離？薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷來告訴你

對(duì)于關(guān)注云安全的企業(yè)來說,“微隔離”一詞并不算陌生,但“微隔離”究竟是怎樣一種技術(shù)?它的目的和價(jià)值何在?企業(yè)為什么要引入“微隔離”?我們來看一下專業(yè)人士——薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷帶來的“微隔離”科普。

去年11月,以“新基建 新安全”為主題的首屆灣區(qū)創(chuàng)見網(wǎng)絡(luò)安全大會(huì)在深圳國(guó)際會(huì)展中心盛大開幕。會(huì)上,薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷作為零信任細(xì)分技術(shù)領(lǐng)域的創(chuàng)新型公司代表,被邀請(qǐng)?jiān)诹阈湃畏终搲吓c行業(yè)巨頭同臺(tái)競(jìng)技,向全行業(yè)介紹微隔離技術(shù)。

微隔離更恰當(dāng)?shù)姆g是“微分段”

嚴(yán)雷談到,如果從直譯的角度說,相較于更被大家所熟知的“微隔離”而言,“微分段”應(yīng)該是更恰當(dāng)?shù)姆g。因?yàn)樗聦?shí)上很直觀的指出了這個(gè)技術(shù)最樸素的一個(gè)含義,那就是把一個(gè)無結(jié)構(gòu)無邊界的網(wǎng)絡(luò)分成好多邏輯上的微小網(wǎng)段,以確保每一個(gè)網(wǎng)段上只有一個(gè)計(jì)算資源,而所有需要進(jìn)出這個(gè)微網(wǎng)段的流量都需要經(jīng)過訪問控制設(shè)備。但是,不知道什么原因,微分段的名字沒有流傳開,反倒是不那么準(zhǔn)確的微隔離流傳開了。嚴(yán)雷認(rèn)為,似乎可以這樣理解,相較于直譯的“微分段”,從意譯的角度看,微隔離則更加準(zhǔn)確。因?yàn)樗鼫?zhǔn)確地反映了這個(gè)技術(shù)的目的和價(jià)值,那就是在一個(gè)沒有任何訪問控制能力的網(wǎng)絡(luò)中,創(chuàng)造出一個(gè)全面可控的零信任網(wǎng)絡(luò),從而讓每一個(gè)資源都可以被邏輯地與其他資源隔離開。

談到這里,嚴(yán)雷指出,事實(shí)上網(wǎng)絡(luò)安全產(chǎn)品一直就有兩種命名方式。比如說漏洞掃描、殺毒軟件、網(wǎng)頁(yè)防篡改一類的名字就是很準(zhǔn)確地闡述這個(gè)產(chǎn)品的功能。但是還有一類,比如防火墻、下一代防火墻、堡壘機(jī)這樣的名字就沒有直接對(duì)技術(shù)進(jìn)行描述,但同時(shí)又很形象的反映了產(chǎn)品的價(jià)值和目的,因此也被人們認(rèn)可和廣泛使用。因此微隔離這個(gè)名字,雖然不是完全的準(zhǔn)確,但也不妨礙其成為更加被大家所認(rèn)可所接受的命名。

　　微隔離顛覆了防火墻

業(yè)界一直流傳一句話,微隔離必將而且正在顛覆防火墻,那么這句話究竟反映了什么樣的技術(shù)判斷和發(fā)展趨勢(shì)呢。嚴(yán)雷先生指出,顛覆防火墻的其實(shí)不是微隔離,而是云計(jì)算。防火墻有其誕生的歷史背景,在防火墻被設(shè)計(jì)的時(shí)候,網(wǎng)絡(luò)是靜態(tài)的,IP地址具備穩(wěn)定的身份屬性,也就是說IP地址與資產(chǎn)之間具備穩(wěn)定的一一對(duì)應(yīng)關(guān)系,因此這個(gè)時(shí)候就出現(xiàn)了以IP地址作為基本表達(dá)方式的防火墻技術(shù)。

但是隨著云計(jì)算、物聯(lián)網(wǎng)等基礎(chǔ)設(shè)施的廣泛部署,IP地址不再是一個(gè)被靜態(tài)配置的常數(shù),而是變成了一種池化的,動(dòng)態(tài)分配的變量。換言之,IP地址不再具備資源的標(biāo)識(shí)信息價(jià)值,而是作為一個(gè)通信用的臨時(shí)性變量而存在。這帶來一個(gè)非常重大的影響,那就是以IP地址為基本元語的防火墻失去了最核心的表達(dá)方式。取而代之的則是包括微隔離在內(nèi)的以邏輯標(biāo)識(shí)為基本元語的新一代網(wǎng)絡(luò)安全技術(shù)。

微隔離帶來的技術(shù)復(fù)雜度前所未有

許多人剛剛接觸微隔離技術(shù)的時(shí)候會(huì)認(rèn)為這是一種簡(jiǎn)單的技術(shù),從其部署方式看就是一種主機(jī)軟件而已。針對(duì)這樣的觀點(diǎn),嚴(yán)雷從軟件產(chǎn)品計(jì)算復(fù)雜度的角度出發(fā)對(duì)微隔離技術(shù)的計(jì)算特點(diǎn)進(jìn)行了闡釋。

嚴(yán)雷將安全產(chǎn)品分為三類計(jì)算復(fù)雜度類型。

第一類,稱為O(1)型產(chǎn)品。也就是說不管部署規(guī)模有多大,這個(gè)產(chǎn)品的計(jì)算復(fù)雜度都是一個(gè)常量,比如傳統(tǒng)的殺毒軟件等主機(jī)安全產(chǎn)品基本都屬于這個(gè)類型。當(dāng)然,這不是說這類產(chǎn)品的難度就低,而只是說它的難度不會(huì)隨著其管理規(guī)模的擴(kuò)大而變化,在一臺(tái)機(jī)器上部署和在一萬臺(tái)機(jī)器上部署,其軟件復(fù)雜度不會(huì)有什么變化。

第二類產(chǎn)品,被稱為O(n)型產(chǎn)品,它的計(jì)算復(fù)雜度隨著管理規(guī)模的增長(zhǎng)呈現(xiàn)線性增長(zhǎng)。最典型的O(n)型產(chǎn)品就是防火墻,管理一個(gè)小規(guī)模網(wǎng)絡(luò),我們需要一臺(tái)100M吞吐的防火墻,而管理一個(gè)規(guī)模網(wǎng)絡(luò),我們就需要一臺(tái)1000M的防火墻,更大的網(wǎng)絡(luò)則需要萬兆防火墻甚至T級(jí)防火墻。O(n)型產(chǎn)品的復(fù)雜度,隨著其管理規(guī)模的增長(zhǎng)出現(xiàn)線性增長(zhǎng),越是高端的防火墻越難做,需要的計(jì)算資源越多,當(dāng)然價(jià)格也越貴。

而微隔離代表的則是第三種類型。因?yàn)槲⒏綦x要解決的是數(shù)據(jù)中心內(nèi)部,任意兩個(gè)點(diǎn)之間的業(yè)務(wù)關(guān)系與訪問控制問題,因此其計(jì)算復(fù)雜度與其管理規(guī)模呈現(xiàn)為平方的關(guān)系,準(zhǔn)確地說是(n^2)/ 2。然而,云計(jì)算的動(dòng)態(tài)特征又引入了時(shí)間上的復(fù)雜度,所以微隔離產(chǎn)品的計(jì)算復(fù)雜度可以表達(dá)為O(t*(n^2)/2)。這樣的復(fù)雜度可以說是我們過去不曾遇到的,是因?yàn)榱阈湃蔚囊攵鴰淼囊环N面向全網(wǎng)絡(luò)關(guān)系所必然導(dǎo)致的一種復(fù)雜度。隨著管理規(guī)模的增長(zhǎng),其計(jì)算復(fù)雜度極快增長(zhǎng),管理1000臺(tái)虛擬機(jī)的難度是管理100臺(tái)虛擬機(jī)的100倍而不是十倍。而我們能夠利用的算力是不可能以指數(shù)形式堆疊增長(zhǎng)的,所以,基本上管理規(guī)模每放大十倍,產(chǎn)品就必須重構(gòu)一次了。嚴(yán)雷先生不無感慨地說,薔薇靈動(dòng)這幾年,就是這樣從300臺(tái)的管理能力,到3000臺(tái),再到現(xiàn)在的15000臺(tái),無數(shù)次地重構(gòu),堪稱步步艱辛,但回過頭看,也充滿了成就感。

微隔離是零信任的核心技術(shù)模塊

在介紹微隔離與零信任的關(guān)系時(shí),嚴(yán)雷引用了Forrester,Gartner,NIST的相關(guān)資料予以說明?？梢钥吹?在各種權(quán)威機(jī)構(gòu)的理論體系中,都把微隔離放在了一個(gè)核心的位置上,并與IAM技術(shù),SDP技術(shù)一道構(gòu)成了零信任領(lǐng)域的三個(gè)技術(shù)基石。而關(guān)于這三個(gè)技術(shù)彼此之間的關(guān)系,嚴(yán)雷給出了一個(gè)簡(jiǎn)單而生動(dòng)的解答。

IAM技術(shù)主要是回答網(wǎng)絡(luò)中有哪些物理和邏輯的資源實(shí)體,以及這些資源之間彼此的訪問關(guān)系授權(quán)。由于零信任技術(shù)的特點(diǎn)就是直接面向資源而不是面向網(wǎng)路的,因此就需要一個(gè)在全局生效的IAM體系,用以為SDP和微隔離技術(shù)提供策略基礎(chǔ)。而SDP和微隔離技術(shù)的區(qū)別在于,SDP用以解決從數(shù)據(jù)中心外部(不再區(qū)分辦公網(wǎng)和互聯(lián)網(wǎng))安全地訪問數(shù)據(jù)中心的服務(wù)與數(shù)據(jù)的問題。而微隔離技術(shù)則用于解決數(shù)據(jù)中心內(nèi)部流量的識(shí)別與訪問控制問題。這兩個(gè)技術(shù)就把數(shù)據(jù)中心全部流量(南北向,東西向)都管理起來了。

微隔離實(shí)踐離不開五步工作法

當(dāng)談到微隔離的五步工作法時(shí),嚴(yán)雷先生風(fēng)趣地指出,當(dāng)今做零信任,都是分五步,微隔離是五步,SDP也是五步,每個(gè)公司都是五步,不是五步就不正宗了。事實(shí)上,就連每一步的主要工作目標(biāo)也都是相近的,只不過在于具體技術(shù)場(chǎng)景相結(jié)合時(shí)會(huì)有一些實(shí)現(xiàn)上的差異。

就微隔離而言,主要分為定義、分析、設(shè)計(jì)、防護(hù)和持續(xù)監(jiān)控五個(gè)步驟。本質(zhì)上就是一個(gè)對(duì)特定業(yè)務(wù)系統(tǒng)進(jìn)行全面業(yè)務(wù)分析,并基于業(yè)務(wù)設(shè)計(jì)出一個(gè)適合本企業(yè)環(huán)境和要求的零信任網(wǎng)絡(luò)架構(gòu),并基于此實(shí)現(xiàn)全面的白名單訪問控制的過程。

當(dāng)談到白名單訪問控制時(shí),嚴(yán)雷充滿激情地講到,當(dāng)你切換到白名單防護(hù)狀態(tài)的那一刻,就是見證奇跡的時(shí)刻,就是你的網(wǎng)絡(luò)迎來新生的時(shí)刻。我們一切的管理,實(shí)際上一直圍繞著三個(gè)方向去努力,就是盡可能構(gòu)建解釋力,預(yù)測(cè)力和控制力。過去,我們對(duì)自己的網(wǎng)絡(luò)所知甚少,對(duì)它在特定任務(wù)下的表現(xiàn)完全沒有預(yù)見能力,而且也基本沒有有效的干預(yù)手段。當(dāng)我們以微隔離技術(shù)將網(wǎng)絡(luò)置于徹底的零信任白名單訪問控制之下后,從此網(wǎng)絡(luò)就將進(jìn)入穩(wěn)態(tài)!也就是我們可以準(zhǔn)確的知道我們的網(wǎng)絡(luò)中發(fā)生的每一件事情,我們也可以很自信的說,這個(gè)網(wǎng)絡(luò)現(xiàn)在這樣,將來也將一直這樣,只要我不允許,它一定不會(huì)發(fā)生任何改變。而且我們擁有細(xì)粒度到每一個(gè)容器乃至每一個(gè)進(jìn)程的網(wǎng)絡(luò)訪問控制能力,我們將真正成為網(wǎng)絡(luò)的主人。

在薔薇靈動(dòng)看來,他們已經(jīng)預(yù)見到隨著零信任理念的盛行,云計(jì)算與大數(shù)據(jù)平臺(tái)的大范圍部署以及國(guó)家十四五期間關(guān)于數(shù)字化轉(zhuǎn)型的定調(diào),微隔離市場(chǎng)必將迎來一個(gè)爆發(fā)式的發(fā)展。為此他們除了在北京的總部之外,又新設(shè)立了上海分公司和深圳分公司,分別覆蓋京津冀、江浙滬和大灣區(qū)。

作為中國(guó)網(wǎng)絡(luò)安全行業(yè)的技術(shù)創(chuàng)新領(lǐng)導(dǎo)廠商,薔薇靈動(dòng)一直以來都是“零信任”理念和“微隔離”技術(shù)的倡導(dǎo)者和領(lǐng)軍者,始終以推動(dòng)中國(guó)云安全技術(shù)發(fā)展為己任。未來,薔薇靈動(dòng)也將繼續(xù)為用戶提供全方位、更智能的安全解決方案。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）