等保2.0时代微隔离经历了两个时期

微隔离作为云安全的重要基础构件,其技术最早由VMware提出,这是众所周知的事实。然而蔷薇灵动作为国内微隔离领域的领导厂商,其诞生及发展却与等保2.0有着密不可分的关系。

作为安全领域的技术专家,蔷薇灵动的两位创始人根据对等保2.0的安全理念和具体技术要求的研究,深刻地认识到,在等保2.0时代现有的防火墙技术将面临巨大挑战,尤其是在云环境下将变得完全不可用。从那时起他们就开始思考如何解决这个问题,并把握这样一个市场机遇。

经过长期的思考与技术预研,他们认为蔷薇灵动技术必将作为一项颠覆性技术,成为未来数据中心尤其是云化数据中心东西向网络安全的基石,帮助用户满足等级保护2.0关于内部安全的一系列要求。

从2017年成立到今天为止,蔷薇灵动已经为海淀区电子政务云,通州区电子政务云,中国移动,中国电信,中国人寿等多家政企客户提供了微隔离产品和服务,部署的环境覆盖了VMware,OpenStack,阿里云,腾讯云,华为云,华三云,天翼云,青云,K8s等各种云计算和虚拟化系统,操作系统覆盖了包括windows的全线服务器版本,所有的主流linux版本以及部分国产化操作系统。

2019等级保护2.0技术标准的正式发布已成为中国网络安全行业发展历史中的重要里程碑事件,这也是蔷薇灵动发展历史中的关键节点。

  微隔离从高配到标配的转变

以等级保护2.0技术标准正式发布为分水岭,我们可以把微隔离产品的发展化为两个时期。

在等保2.0以前,微隔离技术属于高配技术,他的核心驱动是两个,一个是零信任的安全管理逻辑,一个是大规模云计算系统的安全运维需求。这时候主要部署微隔离技术的用户包括:大型行业用户、大型云计算用户、以及高安全需求用户。

而随着等级保护2.0技术标准正式发布,微隔离技术已经从过去的高配变成标配。内部安全的重视不仅仅是在云环境,而是在全部计算环境,因为这些要求是出现在等级保护的通用安全要求部分。也就是说不管你是不是已经进行了云化或者虚拟化,你都必须要对你的数据中心进行白名单化管理。当然,在非云环境下,除了微隔离,还是有其他手段的,比如说,过去的银行系统就通过部署大量的隔离防火墙来解决这个问题,不过这个开销真不是普通用户能承担的了的。相较而言,更加轻量级的微隔离技术即使在传统环境下也有着更好的可行性。

在等保2.0时代,以下用户和场景应该尽快考虑部署微隔离技术以实现对内网流量的可视化管理与全面可控的策略设计。

1)各级电子政务云

2)企业私有云和数据中心

3)政府部委部署的数据中心,私有云和行业云

4)各种大数据计算平台

5)政企用户没有部署过内部安全措施的数据中心

微隔离部署方式

微隔离技术要管理的是由数千甚至数万台机器构成的大型计算环境,在部署这一技术时必然有一定的复杂性,通过长期的实践,蔷薇灵动总结出了一套自己的方法论:

等保2.0时代微隔离经历了两个时期

蔷薇灵动微隔离方法论

第一步,对东西向业务进行学习,绘制云内业务拓扑

等保2.0时代微隔离经历了两个时期

蔷薇灵动微隔离云内业务拓扑

第二步,业务梳理(确认)

这一步,在不同的用户处不太一样,有的用户过去没有完善的资产、业务与配置管理体系,这就需要首先建立起一套业务模型出来。这一步的工作量就变得比较大了,而且往往需要调度多个部门进行协作。不过,既然等保2.0已经来了,这是早晚都要做的一步,用我们的技术已经把工作量缩减了好几个数量级了。

而如果是用户过去就有很好的类似于CMDB的资产与业务管理系统,那么我们就只需要做业务确认即可,因为实际的业务情况可能会与系统中的不一样,或者系统中缺少一些信息。

第三步,策略设计

好的微隔离产品,一定能够根据业务情况自动生成安全策略,否则,如果让用户自己去逐台机器进行配置,那根本就是一场灾难。比如我们的一个客户,有两万台虚拟机,随便一个业务系统就有超复杂的内部业务关系,给张图你们自己体会下(这还不是虚机间关系,只是业务间关系)。

等保2.0时代微隔离经历了两个时期

蔷薇灵动微隔离业务网

而且策略最好是IP无关的,比如蔷薇灵动可以直接根据虚拟机的业务标签来配置策略。因为IP地址在云内是个非常不稳定的参数,一旦策略是用IP来配置的,那么后面的运维就非常痛苦了。

第四步,自适应运维

好的微隔离产品,一定能够进行自适应的策略运维,也就是当云计算环境发生,迁移,扩容,升级等变化时,系统可以对安全策略进行自适应调整。没有这个能力,策略运维将变得非常困难,甚至是难以完成的。比如一个客户,如果每天都有新业务上线,随时都有可能进行业务架构调整,此时如果策略运维不是自动完成的,那么他们的业务交付必将被安全所拖累。

  第五步,自动化编排

云计算环境下,一切都是软件定义的,这当然也包括安全。不同的安全产品,需要被进行统一的管理和调度。我们的产品从设计之初就采用了微服务架构,每一个点击,每一个查询背后都有对应的API可以使用,这使得我们可以被整合到云管理系统中,或者被SOC/SIEM等安全管理平台所调用。

东西向安全是新的安全建设热点,难度非常大。幸运的是,蔷薇灵动已经打磨出了一款非常好用的东西向安全产品,并积累了丰富的部署经验。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )