想必各位都知道隔離是什麼,但至於“微隔離”是什麼,安全圈裡也出現過不少版本進行解讀。微隔離,作為一種新興的安全防禦方法,起於VMware興於Gartner,可用來保護企業的關鍵資產、數據和用戶,免遭侵害。但技術的最大難題在於對受保護網絡的大量洞見與可視化,不僅如此,國內目前也沒有一個符合我國國情的業內統一技術標準。
為此,中國計算機用戶協會信息安全分會於近日召開專項技術研討會,針對由ISCCC發佈的國內第一個微隔離技術規範《微隔離產品安全技術要求》進行充分討論,並有來自業界的知名專家對規範進行了熱烈探討。
《微隔離產品安全技術要求》將微隔離定義為,一種能夠適應虛擬化部署環境,能夠識別和管理雲平臺內部流量的一種隔離技術。符合微隔離安全技術規範的產品,應在流量識別、業務關係拓撲、網絡訪問控制、和安全策略管理方面具有規範所要求的能力。並且要求“在不更改虛擬化業務架構的情況下,對虛擬機數量進行擴展時,微隔離產品應支持自動發現擴展的虛擬機,並自動對其進行策略配置。”
這一技術標準的發佈再一次將國內微隔離技術的熱度推到了一個新的高度。那麼為什麼微隔離技術會這樣引人關注?為什麼這一技術在美國打造出了獨角獸公司illumio,為什麼這一技術又在國內掀起了一輪技術熱潮。背後的原因有很多,比如APT攻擊的驅動,比如勒索病毒的驅動,比如雲計算內多用戶隔離的驅動等等。而本文將集中探討一個問題,那就是安全自動化運維。
與南北向安全不同,東西向安全是要在數據中心內部進行訪問控制,根據等級保護2.0的相關要求,這個控制的力度要做到虛機的級別。也就是說對任意兩臺虛擬機之間的流量要能夠識別並進行訪問控制。這種管理方式帶來的一個結果就是東西向安全的安全策略總量非常龐大。而使得這個挑戰更加嚴峻的一個背景是,“雲”正在變得日益龐大,在過去,幾百臺服務器的數據中心已經算是大的數據中心了,而在今天,幾千臺虛擬機的私有云到處都是,幾萬甚至十幾萬虛擬機容量的大型雲數據中心也不在少數。在這種體量的雲內做東西向安全是一個完全無法由人力來直接完成的工作,因此,業內有一個說法,在雲時代做安全,要麼自動化,要麼死。
作為國內首家通過該規範認證的安全初創公司,薔薇靈動CEO嚴雷在會上發佈了其標新立異的自適應微隔離技術的產品,據嚴雷介紹,該款產品主打的自適應安全理念,就是要解決在當代的大型虛擬化數據中心內部如何自動學習,分析,設計和管理安全策略的問題。薔薇靈動引入了一套獨特的面向業務的策略管理語言,通過分佈式的監聽與控制代理和一個統一的自適應策略計算引擎,薔薇靈動能夠識別虛擬機的業務角色,併為每一臺虛擬機自動計算出恰當的安全策略。在這種機制下,薔薇靈動一方面為可以為雲數據中心維護一個數以萬計的策略體系,而同時真正需要管理員管理的安全策略卻下降為原來的10%不到,真正做到了化繁為簡。不僅如此,一旦雲數據中心利用薔薇靈動的平臺完成了東西向安全體系的部署,那麼在虛擬機發生遷移,複製,彈性擴展等操作時,自適應平臺會自動進行策略的重新計算,完全不需要人工參與就能完成策略的調整,而這個工作在過去需要數幾周甚至更長時間才能完成。
目前,薔薇靈動的微隔離產品已服務了包括首鋼、海淀區政府等幾家用戶,且目前用戶反饋均很良好,令用戶在享受雲帶來的彈性可擴展及動態漂移的同時,還能很好的解決難管理、難定位等雲安全問題。實際上,擁有這樣成熟技術的薔薇靈動,成立僅一年多的時間,但卻憑其獨特的技術優勢在市場中站穩腳步,不僅如此更積極推動微隔離市場發展。現在,微隔離技術規範已正式發佈,相信未來還將有更多的企業加入其中,共同推動微隔離市場發展,同時我們也希望薔薇靈動繼續秉承初心,繼續用自己的技術與影響力,助力微隔離技術在國內成熟、普及。
閱讀更多 首席發言人 的文章
