等保2.0時(shí)代微隔離經(jīng)歷了兩個(gè)時(shí)期

微隔離作為云安全的重要基礎(chǔ)構(gòu)件，其技術(shù)最早由VMware提出，這是眾所周知的事實(shí)。然而薔薇靈動(dòng)作為國內(nèi)微隔離領(lǐng)域的領(lǐng)導(dǎo)廠商，其誕生及發(fā)展卻與等保2.0有著密不可分的關(guān)系。

作為安全領(lǐng)域的技術(shù)專家，薔薇靈動(dòng)的兩位創(chuàng)始人根據(jù)對(duì)等保2.0的安全理念和具體技術(shù)要求的研究，深刻地認(rèn)識(shí)到，在等保2.0時(shí)代現(xiàn)有的防火墻技術(shù)將面臨巨大挑戰(zhàn)，尤其是在云環(huán)境下將變得完全不可用。從那時(shí)起他們就開始思考如何解決這個(gè)問題，并把握這樣一個(gè)市場(chǎng)機(jī)遇。

經(jīng)過長(zhǎng)期的思考與技術(shù)預(yù)研，他們認(rèn)為薔薇靈動(dòng)技術(shù)必將作為一項(xiàng)顛覆性技術(shù)，成為未來數(shù)據(jù)中心尤其是云化數(shù)據(jù)中心東西向網(wǎng)絡(luò)安全的基石，幫助用戶滿足等級(jí)保護(hù)2.0關(guān)于內(nèi)部安全的一系列要求。

從2017年成立到今天為止，薔薇靈動(dòng)已經(jīng)為海淀區(qū)電子政務(wù)云，通州區(qū)電子政務(wù)云，中國移動(dòng)，中國電信，中國人壽等多家政企客戶提供了微隔離產(chǎn)品和服務(wù)，部署的環(huán)境覆蓋了VMware，OpenStack，阿里云，騰訊云，華為云，華三云，天翼云，青云，K8s等各種云計(jì)算和虛擬化系統(tǒng)，操作系統(tǒng)覆蓋了包括windows的全線服務(wù)器版本，所有的主流linux版本以及部分國產(chǎn)化操作系統(tǒng)。

2019等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)的正式發(fā)布已成為中國網(wǎng)絡(luò)安全行業(yè)發(fā)展歷史中的重要里程碑事件，這也是薔薇靈動(dòng)發(fā)展歷史中的關(guān)鍵節(jié)點(diǎn)。

　　微隔離從高配到標(biāo)配的轉(zhuǎn)變

以等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布為分水嶺，我們可以把微隔離產(chǎn)品的發(fā)展化為兩個(gè)時(shí)期。

在等保2.0以前，微隔離技術(shù)屬于高配技術(shù)，他的核心驅(qū)動(dòng)是兩個(gè)，一個(gè)是零信任的安全管理邏輯，一個(gè)是大規(guī)模云計(jì)算系統(tǒng)的安全運(yùn)維需求。這時(shí)候主要部署微隔離技術(shù)的用戶包括：大型行業(yè)用戶、大型云計(jì)算用戶、以及高安全需求用戶。

而隨著等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布，微隔離技術(shù)已經(jīng)從過去的高配變成標(biāo)配。內(nèi)部安全的重視不僅僅是在云環(huán)境，而是在全部計(jì)算環(huán)境，因?yàn)檫@些要求是出現(xiàn)在等級(jí)保護(hù)的通用安全要求部分。也就是說不管你是不是已經(jīng)進(jìn)行了云化或者虛擬化，你都必須要對(duì)你的數(shù)據(jù)中心進(jìn)行白名單化管理。當(dāng)然，在非云環(huán)境下，除了微隔離，還是有其他手段的，比如說，過去的銀行系統(tǒng)就通過部署大量的隔離防火墻來解決這個(gè)問題，不過這個(gè)開銷真不是普通用戶能承擔(dān)的了的。相較而言，更加輕量級(jí)的微隔離技術(shù)即使在傳統(tǒng)環(huán)境下也有著更好的可行性。

在等保2.0時(shí)代，以下用戶和場(chǎng)景應(yīng)該盡快考慮部署微隔離技術(shù)以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)流量的可視化管理與全面可控的策略設(shè)計(jì)。

1)各級(jí)電子政務(wù)云

2)企業(yè)私有云和數(shù)據(jù)中心

3)政府部委部署的數(shù)據(jù)中心，私有云和行業(yè)云

4)各種大數(shù)據(jù)計(jì)算平臺(tái)

5)政企用戶沒有部署過內(nèi)部安全措施的數(shù)據(jù)中心

微隔離部署方式

微隔離技術(shù)要管理的是由數(shù)千甚至數(shù)萬臺(tái)機(jī)器構(gòu)成的大型計(jì)算環(huán)境，在部署這一技術(shù)時(shí)必然有一定的復(fù)雜性，通過長(zhǎng)期的實(shí)踐，薔薇靈動(dòng)總結(jié)出了一套自己的方法論：

薔薇靈動(dòng)微隔離方法論

第一步，對(duì)東西向業(yè)務(wù)進(jìn)行學(xué)習(xí)，繪制云內(nèi)業(yè)務(wù)拓?fù)?/strong>

薔薇靈動(dòng)微隔離云內(nèi)業(yè)務(wù)拓?fù)?/p>

第二步，業(yè)務(wù)梳理(確認(rèn))

這一步，在不同的用戶處不太一樣，有的用戶過去沒有完善的資產(chǎn)、業(yè)務(wù)與配置管理體系，這就需要首先建立起一套業(yè)務(wù)模型出來。這一步的工作量就變得比較大了，而且往往需要調(diào)度多個(gè)部門進(jìn)行協(xié)作。不過，既然等保2.0已經(jīng)來了，這是早晚都要做的一步，用我們的技術(shù)已經(jīng)把工作量縮減了好幾個(gè)數(shù)量級(jí)了。

而如果是用戶過去就有很好的類似于CMDB的資產(chǎn)與業(yè)務(wù)管理系統(tǒng)，那么我們就只需要做業(yè)務(wù)確認(rèn)即可，因?yàn)閷?shí)際的業(yè)務(wù)情況可能會(huì)與系統(tǒng)中的不一樣，或者系統(tǒng)中缺少一些信息。

第三步，策略設(shè)計(jì)

好的微隔離產(chǎn)品，一定能夠根據(jù)業(yè)務(wù)情況自動(dòng)生成安全策略，否則，如果讓用戶自己去逐臺(tái)機(jī)器進(jìn)行配置，那根本就是一場(chǎng)災(zāi)難。比如我們的一個(gè)客戶，有兩萬臺(tái)虛擬機(jī)，隨便一個(gè)業(yè)務(wù)系統(tǒng)就有超復(fù)雜的內(nèi)部業(yè)務(wù)關(guān)系，給張圖你們自己體會(huì)下(這還不是虛機(jī)間關(guān)系，只是業(yè)務(wù)間關(guān)系)。

薔薇靈動(dòng)微隔離業(yè)務(wù)網(wǎng)

而且策略最好是IP無關(guān)的，比如薔薇靈動(dòng)可以直接根據(jù)虛擬機(jī)的業(yè)務(wù)標(biāo)簽來配置策略。因?yàn)镮P地址在云內(nèi)是個(gè)非常不穩(wěn)定的參數(shù)，一旦策略是用IP來配置的，那么后面的運(yùn)維就非常痛苦了。

第四步，自適應(yīng)運(yùn)維

好的微隔離產(chǎn)品，一定能夠進(jìn)行自適應(yīng)的策略運(yùn)維，也就是當(dāng)云計(jì)算環(huán)境發(fā)生，遷移，擴(kuò)容，升級(jí)等變化時(shí)，系統(tǒng)可以對(duì)安全策略進(jìn)行自適應(yīng)調(diào)整。沒有這個(gè)能力，策略運(yùn)維將變得非常困難，甚至是難以完成的。比如一個(gè)客戶，如果每天都有新業(yè)務(wù)上線，隨時(shí)都有可能進(jìn)行業(yè)務(wù)架構(gòu)調(diào)整，此時(shí)如果策略運(yùn)維不是自動(dòng)完成的，那么他們的業(yè)務(wù)交付必將被安全所拖累。

　　第五步，自動(dòng)化編排

云計(jì)算環(huán)境下，一切都是軟件定義的，這當(dāng)然也包括安全。不同的安全產(chǎn)品，需要被進(jìn)行統(tǒng)一的管理和調(diào)度。我們的產(chǎn)品從設(shè)計(jì)之初就采用了微服務(wù)架構(gòu)，每一個(gè)點(diǎn)擊，每一個(gè)查詢背后都有對(duì)應(yīng)的API可以使用，這使得我們可以被整合到云管理系統(tǒng)中，或者被SOC/SIEM等安全管理平臺(tái)所調(diào)用。

東西向安全是新的安全建設(shè)熱點(diǎn)，難度非常大。幸運(yùn)的是，薔薇靈動(dòng)已經(jīng)打磨出了一款非常好用的東西向安全產(chǎn)品，并積累了豐富的部署經(jīng)驗(yàn)。