“微隔離”一詞,對于關注云安全的企業(yè)來說,并不算陌生,但“微隔離”究竟是怎樣一種技術(shù)?它的目的和價值何在?企業(yè)為什么要引入“微隔離”?我們來聽一下云安全的專業(yè)人士——薔薇靈動創(chuàng)始人嚴雷對“微隔離”的科普。

2020年年底,以“新基建 新安全”為主題的首屆灣區(qū)創(chuàng)見網(wǎng)絡安全大會在深圳國際會展中心盛大開幕。在會上,薔薇靈動創(chuàng)始人嚴雷作為零信任細分技術(shù)領域的創(chuàng)新型公司代表,被邀請在零信任分論壇上與行業(yè)巨頭同臺競技,向全行業(yè)介紹微隔離技術(shù)。

薔薇靈動-創(chuàng)始人嚴雷

微隔離更恰當?shù)姆g是“微分段”

薔薇靈動創(chuàng)始人嚴雷談到,如果從直譯的角度說,相較于更被大家所熟知的“微隔離”而言,“微分段”應該是更恰當?shù)姆g。因為它事實上很直觀的指出了這個技術(shù)最樸素的一個含義,那就是把一個無結(jié)構(gòu)無邊界的網(wǎng)絡分成好多邏輯上的微小網(wǎng)段,以確保每一個網(wǎng)段上只有一個計算資源,而所有需要進出這個微網(wǎng)段的流量都需要經(jīng)過訪問控制設備。但是,不知道什么原因,微分段的名字沒有流傳開,反倒是不那么準確的微隔離流傳開了。嚴雷認為,似乎可以這樣理解,相較于直譯的“微分段”,從意譯的角度看,微隔離則更加準確。因為它準確地反映了這個技術(shù)的目的和價值,那就是在一個沒有任何訪問控制能力的網(wǎng)絡中,創(chuàng)造出一個全面可控的零信任網(wǎng)絡,從而讓每一個資源都可以被邏輯地與其他資源隔離開。

薔薇靈動-微隔離

談到這里,薔薇靈動-嚴雷指出,事實上網(wǎng)絡安全產(chǎn)品一直就有兩種命名方式。比如說漏洞掃描、殺毒軟件、網(wǎng)頁防篡改一類的名字就是很準確地闡述這個產(chǎn)品的功能。但是還有一類,比如防火墻、下一代防火墻、堡壘機這樣的名字就沒有直接對技術(shù)進行描述,但同時又很形象的反映了產(chǎn)品的價值和目的,因此也被人們認可和廣泛使用。因此微隔離這個名字,雖然不是完全的準確,但也不妨礙其成為更加被大家所認可所接受的命名。

微隔離顛覆了防火墻

微隔離必將而且正在顛覆防火墻,業(yè)這是界一直流傳一句話,那么這句話究竟反映了什么樣的技術(shù)判斷和發(fā)展趨勢呢。薔薇靈動嚴雷先生指出,顛覆防火墻的其實不是微隔離,而是云計算。防火墻有其誕生的歷史背景,在防火墻被設計的時候,網(wǎng)絡是靜態(tài)的,IP地址具備穩(wěn)定的身份屬性,也就是說IP地址與資產(chǎn)之間具備穩(wěn)定的一一對應關系,因此這個時候就出現(xiàn)了以IP地址作為基本表達方式的防火墻技術(shù)。

薔薇靈動-微隔離，防火墻關系

但是隨著云計算、物聯(lián)網(wǎng)等基礎設施的廣泛部署,IP地址不再是一個被靜態(tài)配置的常數(shù),而是變成了一種池化的,動態(tài)分配的變量。換言之,IP地址不再具備資源的標識信息價值,而是作為一個通信用的臨時性變量而存在。這帶來一個非常重大的影響,那就是以IP地址為基本元語的防火墻失去了最核心的表達方式。取而代之的則是包括微隔離在內(nèi)的以邏輯標識為基本元語的新一代網(wǎng)絡安全技術(shù)。

微隔離帶來的技術(shù)復雜度前所未有

許多人剛剛接觸微隔離技術(shù)的時候會認為這是一種簡單的技術(shù),從其部署方式看就是一種主機軟件而已。針對這樣的觀點,嚴雷從軟件產(chǎn)品計算復雜度的角度出發(fā)對微隔離技術(shù)的計算特點進行了闡釋。

薔薇靈動嚴雷先生將安全產(chǎn)品分為三類計算復雜度類型。

第一類,稱為O(1)型產(chǎn)品。也就是說不管部署規(guī)模有多大,這個產(chǎn)品的計算復雜度都是一個常量,比如傳統(tǒng)的殺毒軟件等主機安全產(chǎn)品基本都屬于這個類型。當然,這不是說這類產(chǎn)品的難度就低,而只是說它的難度不會隨著其管理規(guī)模的擴大而變化,在一臺機器上部署和在一萬臺機器上部署,其軟件復雜度不會有什么變化。

第二類產(chǎn)品,被稱為O(n)型產(chǎn)品,它的計算復雜度隨著管理規(guī)模的增長呈現(xiàn)線性增長。最典型的O(n)型產(chǎn)品就是防火墻,管理一個小規(guī)模網(wǎng)絡,我們需要一臺100M吞吐的防火墻,而管理一個規(guī)模網(wǎng)絡,我們就需要一臺1000M的防火墻,更大的網(wǎng)絡則需要萬兆防火墻甚至T級防火墻。O(n)型產(chǎn)品的復雜度,隨著其管理規(guī)模的增長出現(xiàn)線性增長,越是高端的防火墻越難做,需要的計算資源越多,當然價格也越貴。

薔薇靈動-微隔離核心挑戰(zhàn)

而微隔離代表的則是第三種類型。因為微隔離要解決的是數(shù)據(jù)中心內(nèi)部,任意兩個點之間的業(yè)務關系與訪問控制問題,因此其計算復雜度與其管理規(guī)模呈現(xiàn)為平方的關系,準確地說是(n^2)/ 2。然而,云計算的動態(tài)特征又引入了時間上的復雜度,所以微隔離產(chǎn)品的計算復雜度可以表達為O(t*(n^2)/2)。這樣的復雜度可以說是我們過去不曾遇到的,是因為零信任的引入而帶來的一種面向全網(wǎng)絡關系所必然導致的一種復雜度。隨著管理規(guī)模的增長,其計算復雜度極快增長,管理1000臺虛擬機的難度是管理100臺虛擬機的100倍而不是十倍。而我們能夠利用的算力是不可能以指數(shù)形式堆疊增長的,所以,基本上管理規(guī)模每放大十倍,產(chǎn)品就必須重構(gòu)一次了。薔薇靈動嚴雷先生不無感慨地說,我們薔薇靈動這幾年,就是這樣從300臺的管理能力,到3000臺,再到現(xiàn)在的15000臺,無數(shù)次地重構(gòu),堪稱步步艱辛,但回過頭看,也充滿了成就感和自豪感。

微隔離是零信任的核心技術(shù)模塊

在介紹微隔離與零信任的關系時,薔薇靈動嚴雷先生引用了Forrester,Gartner,NIST的相關資料予以說明。可以看到,在各種權(quán)威機構(gòu)的理論體系中,都把微隔離放在了一個核心的位置上,并與IAM技術(shù),SDP技術(shù)一道構(gòu)成了零信任領域的三個技術(shù)基石。而關于這三個技術(shù)彼此之間的關系,嚴雷給出了一個簡單而生動的解答。

薔薇靈動-零信任

IAM技術(shù)主要是回答網(wǎng)絡中有哪些物理和邏輯的資源實體,以及這些資源之間彼此的訪問關系授權(quán)。由于零信任技術(shù)的特點就是直接面向資源而不是面向網(wǎng)路的,因此就需要一個在全局生效的IAM體系,用以為SDP和微隔離技術(shù)提供策略基礎。而SDP和微隔離技術(shù)的區(qū)別在于,SDP用以解決從數(shù)據(jù)中心外部(不再區(qū)分辦公網(wǎng)和互聯(lián)網(wǎng))安全地訪問數(shù)據(jù)中心的服務與數(shù)據(jù)的問題。而微隔離技術(shù)則用于解決數(shù)據(jù)中心內(nèi)部流量的識別與訪問控制問題。這兩個技術(shù)就把數(shù)據(jù)中心全部流量(南北向,東西向)都管理起來了。

微隔離實踐離不開五步工作法

當談到微隔離的五步工作法時,薔薇靈動嚴雷先生風趣地指出,當今做零信任,都是分五步,微隔離是五步,SDP也是五步,每個公司都是五步,不是五步就不正宗了。事實上,就連每一步的主要工作目標也都是相近的,只不過在于具體技術(shù)場景相結(jié)合時會有一些實現(xiàn)上的差異。

就微隔離而言,主要分為定義、分析、設計、防護和持續(xù)監(jiān)控五個步驟。本質(zhì)上就是一個對特定業(yè)務系統(tǒng)進行全面業(yè)務分析,并基于業(yè)務設計出一個適合本企業(yè)環(huán)境和要求的零信任網(wǎng)絡架構(gòu),并基于此實現(xiàn)全面的白名單訪問控制的過程。

薔薇靈動-五步工作法

當談到白名單訪問控制時,薔薇靈動嚴雷充滿激情地講到,當你切換到白名單防護狀態(tài)的那一刻,就是見證奇跡的時刻,就是你的網(wǎng)絡迎來新生的時刻。我們一切的管理,實際上一直圍繞著三個方向去努力,就是盡可能構(gòu)建解釋力,預測力和控制力。過去,我們對自己的網(wǎng)絡所知甚少,對它在特定任務下的表現(xiàn)完全沒有預見能力,而且也基本沒有有效的干預手段。當我們以微隔離技術(shù)將網(wǎng)絡置于徹底的零信任白名單訪問控制之下后,從此網(wǎng)絡就將進入穩(wěn)態(tài)!也就是我們可以準確的知道我們的網(wǎng)絡中發(fā)生的每一件事情,我們也可以很自信的說,這個網(wǎng)絡現(xiàn)在這樣,將來也將一直這樣,只要我不允許,它一定不會發(fā)生任何改變。而且我們擁有細粒度到每一個容器乃至每一個進程的網(wǎng)絡訪問控制能力,我們將真正成為網(wǎng)絡的主人。

在薔薇靈動看來,他們已經(jīng)預見到隨著零信任理念的盛行,云計算與大數(shù)據(jù)平臺的大范圍部署以及國家十四五期間關于數(shù)字化轉(zhuǎn)型的定調(diào),微隔離市場必將迎來一個爆發(fā)式的發(fā)展。為此薔薇靈動除了在北京的總部之外,又新設立了上海分公司和深圳分公司,分別覆蓋京津冀、江浙滬和大灣區(qū)。

作為中國網(wǎng)絡安全行業(yè)的技術(shù)創(chuàng)新領導廠商,薔薇靈動一直以來都是“零信任”理念和“微隔離”技術(shù)的倡導者和領軍者,始終以推動中國云安全技術(shù)發(fā)展為己任。未來,薔薇靈動也將繼續(xù)為用戶提供全方位、更智能的安全解決方案。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。