等保2.0時代微隔離經(jīng)歷了兩個時期

微隔離作為云安全的重要基礎構件，其技術最早由VMware提出，這是眾所周知的事實。然而薔薇靈動作為國內(nèi)微隔離領域的領導廠商，其誕生及發(fā)展卻與等保2.0有著密不可分的關系。

作為安全領域的技術專家，薔薇靈動的兩位創(chuàng)始人根據(jù)對等保2.0的安全理念和具體技術要求的研究，深刻地認識到，在等保2.0時代現(xiàn)有的防火墻技術將面臨巨大挑戰(zhàn)，尤其是在云環(huán)境下將變得完全不可用。從那時起他們就開始思考如何解決這個問題，并把握這樣一個市場機遇。

經(jīng)過長期的思考與技術預研，他們認為薔薇靈動技術必將作為一項顛覆性技術，成為未來數(shù)據(jù)中心尤其是云化數(shù)據(jù)中心東西向網(wǎng)絡安全的基石，幫助用戶滿足等級保護2.0關于內(nèi)部安全的一系列要求。

從2017年成立到今天為止，薔薇靈動已經(jīng)為海淀區(qū)電子政務云，通州區(qū)電子政務云，中國移動，中國電信，中國人壽等多家政企客戶提供了微隔離產(chǎn)品和服務，部署的環(huán)境覆蓋了VMware，OpenStack，阿里云，騰訊云，華為云，華三云，天翼云，青云，K8s等各種云計算和虛擬化系統(tǒng)，操作系統(tǒng)覆蓋了包括windows的全線服務器版本，所有的主流linux版本以及部分國產(chǎn)化操作系統(tǒng)。

2019等級保護2.0技術標準的正式發(fā)布已成為中國網(wǎng)絡安全行業(yè)發(fā)展歷史中的重要里程碑事件，這也是薔薇靈動發(fā)展歷史中的關鍵節(jié)點。

　　微隔離從高配到標配的轉(zhuǎn)變

以等級保護2.0技術標準正式發(fā)布為分水嶺，我們可以把微隔離產(chǎn)品的發(fā)展化為兩個時期。

在等保2.0以前，微隔離技術屬于高配技術，他的核心驅(qū)動是兩個，一個是零信任的安全管理邏輯，一個是大規(guī)模云計算系統(tǒng)的安全運維需求。這時候主要部署微隔離技術的用戶包括：大型行業(yè)用戶、大型云計算用戶、以及高安全需求用戶。

而隨著等級保護2.0技術標準正式發(fā)布，微隔離技術已經(jīng)從過去的高配變成標配。內(nèi)部安全的重視不僅僅是在云環(huán)境，而是在全部計算環(huán)境，因為這些要求是出現(xiàn)在等級保護的通用安全要求部分。也就是說不管你是不是已經(jīng)進行了云化或者虛擬化，你都必須要對你的數(shù)據(jù)中心進行白名單化管理。當然，在非云環(huán)境下，除了微隔離，還是有其他手段的，比如說，過去的銀行系統(tǒng)就通過部署大量的隔離防火墻來解決這個問題，不過這個開銷真不是普通用戶能承擔的了的。相較而言，更加輕量級的微隔離技術即使在傳統(tǒng)環(huán)境下也有著更好的可行性。

在等保2.0時代，以下用戶和場景應該盡快考慮部署微隔離技術以實現(xiàn)對內(nèi)網(wǎng)流量的可視化管理與全面可控的策略設計。

1)各級電子政務云

2)企業(yè)私有云和數(shù)據(jù)中心

3)政府部委部署的數(shù)據(jù)中心，私有云和行業(yè)云

4)各種大數(shù)據(jù)計算平臺

5)政企用戶沒有部署過內(nèi)部安全措施的數(shù)據(jù)中心

微隔離部署方式

微隔離技術要管理的是由數(shù)千甚至數(shù)萬臺機器構成的大型計算環(huán)境，在部署這一技術時必然有一定的復雜性，通過長期的實踐，薔薇靈動總結出了一套自己的方法論：

薔薇靈動微隔離方法論

第一步，對東西向業(yè)務進行學習，繪制云內(nèi)業(yè)務拓撲

薔薇靈動微隔離云內(nèi)業(yè)務拓撲

第二步，業(yè)務梳理(確認)

這一步，在不同的用戶處不太一樣，有的用戶過去沒有完善的資產(chǎn)、業(yè)務與配置管理體系，這就需要首先建立起一套業(yè)務模型出來。這一步的工作量就變得比較大了，而且往往需要調(diào)度多個部門進行協(xié)作。不過，既然等保2.0已經(jīng)來了，這是早晚都要做的一步，用我們的技術已經(jīng)把工作量縮減了好幾個數(shù)量級了。

而如果是用戶過去就有很好的類似于CMDB的資產(chǎn)與業(yè)務管理系統(tǒng)，那么我們就只需要做業(yè)務確認即可，因為實際的業(yè)務情況可能會與系統(tǒng)中的不一樣，或者系統(tǒng)中缺少一些信息。

第三步，策略設計

好的微隔離產(chǎn)品，一定能夠根據(jù)業(yè)務情況自動生成安全策略，否則，如果讓用戶自己去逐臺機器進行配置，那根本就是一場災難。比如我們的一個客戶，有兩萬臺虛擬機，隨便一個業(yè)務系統(tǒng)就有超復雜的內(nèi)部業(yè)務關系，給張圖你們自己體會下(這還不是虛機間關系，只是業(yè)務間關系)。

薔薇靈動微隔離業(yè)務網(wǎng)

而且策略最好是IP無關的，比如薔薇靈動可以直接根據(jù)虛擬機的業(yè)務標簽來配置策略。因為IP地址在云內(nèi)是個非常不穩(wěn)定的參數(shù)，一旦策略是用IP來配置的，那么后面的運維就非常痛苦了。

第四步，自適應運維

好的微隔離產(chǎn)品，一定能夠進行自適應的策略運維，也就是當云計算環(huán)境發(fā)生，遷移，擴容，升級等變化時，系統(tǒng)可以對安全策略進行自適應調(diào)整。沒有這個能力，策略運維將變得非常困難，甚至是難以完成的。比如一個客戶，如果每天都有新業(yè)務上線，隨時都有可能進行業(yè)務架構調(diào)整，此時如果策略運維不是自動完成的，那么他們的業(yè)務交付必將被安全所拖累。

　　第五步，自動化編排

云計算環(huán)境下，一切都是軟件定義的，這當然也包括安全。不同的安全產(chǎn)品，需要被進行統(tǒng)一的管理和調(diào)度。我們的產(chǎn)品從設計之初就采用了微服務架構，每一個點擊，每一個查詢背后都有對應的API可以使用，這使得我們可以被整合到云管理系統(tǒng)中，或者被SOC/SIEM等安全管理平臺所調(diào)用。

東西向安全是新的安全建設熱點，難度非常大。幸運的是，薔薇靈動已經(jīng)打磨出了一款非常好用的東西向安全產(chǎn)品，并積累了豐富的部署經(jīng)驗。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）