薔薇靈動創(chuàng)始人嚴(yán)雷：全新視角闡述零信任與微隔離

零信任作為一種安全管理哲學(xué),近年來漸漸有了一統(tǒng)江山之勢,作為在安全領(lǐng)域頗有研究的專業(yè)人士,薔薇靈動創(chuàng)始人嚴(yán)雷用新的視角,從零信任不是什么的角度給大家闡述這一話題。

在薔薇靈動嚴(yán)雷看來,首先,零信任是一種方法論,它定義了一種安全管理的新的視角。它不是一個產(chǎn)品或者說一個技術(shù)。也就是說您買不到一個叫零信任的產(chǎn)品,您只能買到幫您實現(xiàn)零信任的某種要求的產(chǎn)品。

其次,零信任是一個過程,或者說是一個方向。它不是一個靜態(tài)的標(biāo)準(zhǔn),或者說狀態(tài)。零信任的建設(shè)應(yīng)該是一個持續(xù)的,逐漸深入,逐漸優(yōu)化的過程,也是一個在安全與業(yè)務(wù)之間的一個平衡的過程。

最后,零信任是個廣泛適用的方法論,也就是說它可以應(yīng)用于整個計算架構(gòu)的各個方面,在每一個細(xì)分的環(huán)境,每一個具體維度上都可以利用零信任的方式來做管理,而不是像谷歌那樣將之應(yīng)用于辦公網(wǎng),面向員工的身份進(jìn)行管理。

薔薇靈動

從圖中可以看到,零信任可以作用于人,設(shè)備,網(wǎng)絡(luò),工作負(fù)載等所有有數(shù)據(jù)流動的主體上。事實上,相較于辦公網(wǎng)而言,數(shù)據(jù)中心是更容易實現(xiàn)零信任的場景,也是有著更多核心業(yè)務(wù)和關(guān)鍵數(shù)據(jù)的地方,因此可以成為我們開展零信任建設(shè)的起點(diǎn)。

微隔離在零信任網(wǎng)絡(luò)中的地位和價值

對于數(shù)據(jù)中心網(wǎng)絡(luò)而言,具體的產(chǎn)品技術(shù)是什么呢?一個是SDP,一個就是微隔離。事實上微隔離技術(shù)是最早的一種對零信任這個概念的具體技術(shù)實現(xiàn)。Forrester在2019年Q4的報告中對此也有分析。

薔薇靈動零信任

通過對Forrester報告的分析,大家不難理解微隔離之于零信任的價值。因為微隔離要實現(xiàn)的核心能力就是兩條,數(shù)據(jù)中心內(nèi)工作負(fù)載之間的流量可視以及訪問控制。大家可以回頭再看看前面那張圖,零信任能力本質(zhì)上就是倆能力,一個是看得盡量多,一個是管得盡量細(xì)。而恰恰這就是微隔離主要在做的事情。領(lǐng)先的微隔離產(chǎn)品,能夠做在十萬點(diǎn)級別的數(shù)據(jù)中心內(nèi)做到容器間流量的識別與訪問控制,甚至能做到基于進(jìn)程的訪問控制,這個細(xì)粒度正是零信任所要求的。

微隔離技術(shù)的當(dāng)下和遠(yuǎn)方

作為微隔離技術(shù)在國內(nèi)最為積極的倡導(dǎo)者,也是目前唯一一家只做微隔離這一件事的廠商,薔薇靈動做了很多的微隔離項目,服務(wù)的客戶包括三桶油,五大行,三大運(yùn)營商,平安、京東等等云計算領(lǐng)域最領(lǐng)先的行業(yè)領(lǐng)導(dǎo)者。關(guān)于微隔離的具體應(yīng)用,薔薇靈動可以用“多快好省”來概括:

多:跟得上用戶計算密度膨脹的腳步。薔薇靈動嚴(yán)雷曾表示,微隔離就是要跟得上用戶計算密度膨脹的腳步。微隔離要回答的是點(diǎn)和點(diǎn)之間的關(guān)系問題。從算法復(fù)雜度的角度講,他與所管理的點(diǎn)數(shù)之間是個n的平方的關(guān)系。然后再隨著時間的累積,這個數(shù)量級就接近了n的3次方了。這意味著什么呢,如果管理規(guī)模擴(kuò)大一倍,那么對算力的要求會擴(kuò)大8倍。所以對于大規(guī)模網(wǎng)絡(luò)的支撐是微隔離最重要的一個技術(shù)難點(diǎn)。

這里一定要注意一個區(qū)別,不是說你能夠部署安裝多少點(diǎn),而是說你能不能把這些點(diǎn)之間的關(guān)系完整、準(zhǔn)確、實時地分析出來。目前,薔薇靈動的微隔離技術(shù)可以實現(xiàn)用三臺云主機(jī)作為算力,來支撐萬點(diǎn)級別的場景,根據(jù)Illumio的公開資料,他們要支持一萬五千點(diǎn)的時候,就需要6臺專用的高主頻物理服務(wù)器?？梢韵胂蟀俪吒皖^更進(jìn)一步會有多難。而這個能力,相較于我們用戶計算體量的膨脹速度而言還是不夠。

薔薇靈動-防火墻

過去評估防火墻的最主要指標(biāo)是吞吐量,包括延遲,每秒新建,并發(fā)等等指標(biāo)。而微隔離技術(shù)的核心指標(biāo)就在于它能夠管理的工作負(fù)載的規(guī)模。

快:跟得上微服務(wù)架構(gòu)飄渺的跑位。薔薇靈動認(rèn)為,容器在計算密度膨脹這個過程中扮演了非常重要的角色。一個方面,K8S的成熟和便捷,以及對于DEVOPS理念的良好支撐,使得越來越的客戶在快速的擁抱容器。但是,從另一個方面,這也對各種運(yùn)維技術(shù)提出了很嚴(yán)峻的挑戰(zhàn)。就微隔離技術(shù)而言,一個非常大的挑戰(zhàn)是策略計算速度問題。

微隔離是一種典型的軟件定義安全結(jié)構(gòu)。在K8S的環(huán)境下,由于容器的創(chuàng)建和銷毀非常方便,使得容器的生命周期往往非常短,甚至只有幾分鐘。這就對策略計算的速度提出了很嚴(yán)格的要求,再加上往往容器環(huán)境的體量都非常巨大,就讓這個策略計算的難度更高了。

好:企業(yè)級產(chǎn)品必須具備企業(yè)級特性

企業(yè)級產(chǎn)品的功能特性,符合冰山模型。我們能夠看得見摸得著的功能大概只占整個產(chǎn)品功能的10%,90%的功能都是水面之下的非功能特性,或者我們稱之為企業(yè)級特性。

薔薇靈動嚴(yán)雷認(rèn)為,很多時候你并不知道你缺失的企業(yè)級特性是什么,直到你在客戶現(xiàn)場遇到他!這要求企業(yè)一個方面要始終投入最大的精力在這個方面,盡全力去提升企業(yè)級特性。另一個方面,大家在評估微隔離產(chǎn)品的時候,一定要關(guān)注他們是否有大規(guī)模場景的交付經(jīng)驗和大規(guī)模的現(xiàn)網(wǎng)穩(wěn)定運(yùn)轉(zhuǎn)的案例,要評估他們是否真的能夠支撐你的云計算發(fā)展戰(zhàn)略。

　　省:在產(chǎn)品發(fā)展的過程中保持克制

薔薇靈動曾提出 “產(chǎn)品研發(fā)的不可能三角“這個方法論:就是在產(chǎn)品功能的豐富性,產(chǎn)品功能的專業(yè)性,以及計算開銷這三者之間,你最多只能選擇兩者。

比如,你可以選擇產(chǎn)品功能很豐富,計算開銷也比較低,那么你的每一項功能的實現(xiàn)水平勢必比較初級。比如面向中小客戶市場的產(chǎn)品,往往選擇這種產(chǎn)品戰(zhàn)略。

或者,你也可以選擇產(chǎn)品功能很豐富,而且每一項功能的實現(xiàn)水平也很高,那么你勢必需要很多的計算資源。比如我們過去的邊界型安全產(chǎn)品,一個數(shù)據(jù)中心,只需要兩臺,每臺設(shè)備都是4U,兩臺就能裝滿一個機(jī)柜。對于微隔離而言,一個最主要的限制就是計算開銷問題。由于微隔離需要對整個數(shù)據(jù)中心內(nèi)部做點(diǎn)到點(diǎn)的訪問控制,所以他的控制點(diǎn)的分布應(yīng)該是盡可能的廣。

薔薇靈動-演示三角關(guān)系

根據(jù)不可能三角,我們就必須在功能豐富性與功能的完善性之間做個二選一的選擇,再結(jié)合我們前面對微隔離所面臨的技術(shù)挑戰(zhàn)的描述,那么其實我們能選擇的路就只有一條,那就是選擇少而精,而不是多而粗。

作為一家高科技創(chuàng)業(yè)企業(yè),薔薇靈動無論是從客戶的要求來說,還是從對新技術(shù)的偏好來說,都有極大沖動去做更多的安全能力,但這個時候必須始終牢記產(chǎn)品邊界,即要在超大規(guī)模生產(chǎn)環(huán)境下交付的企業(yè)級產(chǎn)品,專注于產(chǎn)品本身的性能優(yōu)化。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）