“微隔离”一词,对于关注云安全的企业来说,并不算陌生,但“微隔离”究竟是怎样一种技术?它的目的和价值何在?企业为什么要引入“微隔离”?我们来听一下云安全的专业人士——蔷薇灵动创始人严雷对“微隔离”的科普。
去年年底,以“新基建 新安全”为主题的首届湾区创见网络安全大会在深圳国际会展中心盛大开幕。在会上,蔷薇灵动创始人严雷作为零信任细分技术领域的创新型公司代表,被邀请在零信任分论坛上与行业巨头同台竞技,向全行业介绍微隔离技术。
蔷薇灵动-创始人严雷
微隔离更恰当的翻译是“微分段”
蔷薇灵动创始人严雷谈到,如果从直译的角度说,相较于更被大家所熟知的“微隔离”而言,“微分段”应该是更恰当的翻译。因为它事实上很直观的指出了这个技术最朴素的一个含义,那就是把一个无结构无边界的网络分成好多逻辑上的微小网段,以确保每一个网段上只有一个计算资源,而所有需要进出这个微网段的流量都需要经过访问控制设备。但是,不知道什么原因,微分段的名字没有流传开,反倒是不那么准确的微隔离流传开了。严雷认为,似乎可以这样理解,相较于直译的“微分段”,从意译的角度看,微隔离则更加准确。因为它准确地反映了这个技术的目的和价值,那就是在一个没有任何访问控制能力的网络中,创造出一个全面可控的零信任网络,从而让每一个资源都可以被逻辑地与其他资源隔离开。
蔷薇灵动-微隔离
谈到这里,严雷指出,事实上网络安全产品一直就有两种命名方式。比如说漏洞扫描、杀毒软件、网页防篡改一类的名字就是很准确地阐述这个产品的功能。但是还有一类,比如防火墙、下一代防火墙、堡垒机这样的名字就没有直接对技术进行描述,但同时又很形象的反映了产品的价值和目的,因此也被人们认可和广泛使用。因此微隔离这个名字,虽然不是完全的准确,但也不妨碍其成为更加被大家所认可所接受的命名。
微隔离颠覆了防火墙
微隔离必将而且正在颠覆防火墙,业这是界一直流传一句话,那么这句话究竟反映了什么样的技术判断和发展趋势呢。蔷薇灵动严雷先生指出,颠覆防火墙的其实不是微隔离,而是云计算。防火墙有其诞生的历史背景,在防火墙被设计的时候,网络是静态的,IP地址具备稳定的身份属性,也就是说IP地址与资产之间具备稳定的一一对应关系,因此这个时候就出现了以IP地址作为基本表达方式的防火墙技术。
微隔离,防火墙关系
但是随着云计算、物联网等基础设施的广泛部署,IP地址不再是一个被静态配置的常数,而是变成了一种池化的,动态分配的变量。换言之,IP地址不再具备资源的标识信息价值,而是作为一个通信用的临时性变量而存在。这带来一个非常重大的影响,那就是以IP地址为基本元语的防火墙失去了最核心的表达方式。取而代之的则是包括微隔离在内的以逻辑标识为基本元语的新一代网络安全技术。
微隔离带来的技术复杂度前所未有
许多人刚刚接触微隔离技术的时候会认为这是一种简单的技术,从其部署方式看就是一种主机软件而已。针对这样的观点,严雷从软件产品计算复杂度的角度出发对微隔离技术的计算特点进行了阐释。
蔷薇灵动严雷先生将安全产品分为三类计算复杂度类型。
第一类,称为O(1)型产品。也就是说不管部署规模有多大,这个产品的计算复杂度都是一个常量,比如传统的杀毒软件等主机安全产品基本都属于这个类型。当然,这不是说这类产品的难度就低,而只是说它的难度不会随着其管理规模的扩大而变化,在一台机器上部署和在一万台机器上部署,其软件复杂度不会有什么变化。
第二类产品,被称为O(n)型产品,它的计算复杂度随着管理规模的增长呈现线性增长。最典型的O(n)型产品就是防火墙,管理一个小规模网络,我们需要一台100M吞吐的防火墙,而管理一个规模网络,我们就需要一台1000M的防火墙,更大的网络则需要万兆防火墙甚至T级防火墙。O(n)型产品的复杂度,随着其管理规模的增长出现线性增长,越是高端的防火墙越难做,需要的计算资源越多,当然价格也越贵。
微隔离核心挑战
而微隔离代表的则是第三种类型。因为微隔离要解决的是数据中心内部,任意两个点之间的业务关系与访问控制问题,因此其计算复杂度与其管理规模呈现为平方的关系,准确地说是(n^2)/ 2。然而,云计算的动态特征又引入了时间上的复杂度,所以微隔离产品的计算复杂度可以表达为O(t*(n^2)/2)。这样的复杂度可以说是我们过去不曾遇到的,是因为零信任的引入而带来的一种面向全网络关系所必然导致的一种复杂度。随着管理规模的增长,其计算复杂度极快增长,管理1000台虚拟机的难度是管理100台虚拟机的100倍而不是十倍。而我们能够利用的算力是不可能以指数形式堆叠增长的,所以,基本上管理规模每放大十倍,产品就必须重构一次了。蔷薇灵动严雷先生不无感慨地说,我们蔷薇灵动这几年,就是这样从300台的管理能力,到3000台,再到现在的15000台,无数次地重构,堪称步步艰辛,但回过头看,也充满了成就感和自豪感。
微隔离是零信任的核心技术模块
在介绍微隔离与零信任的关系时,蔷薇灵动严雷先生引用了Forrester,Gartner,NIST的相关资料予以说明。可以看到,在各种权威机构的理论体系中,都把微隔离放在了一个核心的位置上,并与IAM技术,SDP技术一道构成了零信任领域的三个技术基石。而关于这三个技术彼此之间的关系,严雷给出了一个简单而生动的解答。
蔷薇灵动-零信任
IAM技术主要是回答网络中有哪些物理和逻辑的资源实体,以及这些资源之间彼此的访问关系授权。由于零信任技术的特点就是直接面向资源而不是面向网路的,因此就需要一个在全局生效的IAM体系,用以为SDP和微隔离技术提供策略基础。而SDP和微隔离技术的区别在于,SDP用以解决从数据中心外部(不再区分办公网和互联网)安全地访问数据中心的服务与数据的问题。而微隔离技术则用于解决数据中心内部流量的识别与访问控制问题。这两个技术就把数据中心全部流量(南北向,东西向)都管理起来了。
微隔离实践离不开五步工作法
当谈到微隔离的五步工作法时,蔷薇灵动严雷先生风趣地指出,当今做零信任,都是分五步,微隔离是五步,SDP也是五步,每个公司都是五步,不是五步就不正宗了。事实上,就连每一步的主要工作目标也都是相近的,只不过在于具体技术场景相结合时会有一些实现上的差异。
就微隔离而言,主要分为定义、分析、设计、防护和持续监控五个步骤。本质上就是一个对特定业务系统进行全面业务分析,并基于业务设计出一个适合本企业环境和要求的零信任网络架构,并基于此实现全面的白名单访问控制的过程。
微隔离-五步工作法
当谈到白名单访问控制时,蔷薇灵动严雷充满激情地讲到,当你切换到白名单防护状态的那一刻,就是见证奇迹的时刻,就是你的网络迎来新生的时刻。我们一切的管理,实际上一直围绕着三个方向去努力,就是尽可能构建解释力,预测力和控制力。过去,我们对自己的网络所知甚少,对它在特定任务下的表现完全没有预见能力,而且也基本没有有效的干预手段。当我们以微隔离技术将网络置于彻底的零信任白名单访问控制之下后,从此网络就将进入稳态!也就是我们可以准确的知道我们的网络中发生的每一件事情,我们也可以很自信的说,这个网络现在这样,将来也将一直这样,只要我不允许,它一定不会发生任何改变。而且我们拥有细粒度到每一个容器乃至每一个进程的网络访问控制能力,我们将真正成为网络的主人。
在蔷薇灵动看来,他们已经预见到随着零信任理念的盛行,云计算与大数据平台的大范围部署以及国家十四五期间关于数字化转型的定调,微隔离市场必将迎来一个爆发式的发展。为此蔷薇灵动除了在北京的总部之外,又新设立了上海分公司和深圳分公司,分别覆盖京津冀、江浙沪和大湾区。
作为中国网络安全行业的技术创新领导厂商,蔷薇灵动一直以来都是“零信任”理念和“微隔离”技术的倡导者和领军者,始终以推动中国云安全技术发展为己任。未来,蔷薇灵动也将继续为用户提供全方位、更智能的安全解决方案。