作為云安全的重要基礎(chǔ)構(gòu)件，微隔離技術(shù)最早由VMware提出，這是眾所周知的事實。然而作為國內(nèi)微隔離領(lǐng)域的領(lǐng)導(dǎo)廠商，薔薇靈動的誕生卻與等保2.0有著密不可分的關(guān)系。等保2.0的技術(shù)標準研究工作從2015年已經(jīng)開始，薔薇靈動的兩位創(chuàng)始人作為安全領(lǐng)域的技術(shù)專家，很早就了解到了相關(guān)的技術(shù)內(nèi)容。根據(jù)對等保2.0的安全理念和具體技術(shù)要求的研究，他們深刻地認識到，現(xiàn)有的防火墻技術(shù)在等保2.0時代將面臨巨大挑戰(zhàn)，尤其是在云環(huán)境下將變得完全不可用。從那時起他們就在思考如何解決這個問題，并把握這樣一個市場機遇。

經(jīng)過長期的思考與技術(shù)預(yù)研，他們認為微隔離技術(shù)必將作為一項顛覆性技術(shù)，成為未來數(shù)據(jù)中心尤其是云化數(shù)據(jù)中心東西向網(wǎng)絡(luò)安全的基石，幫助用戶滿足等級保護2.0關(guān)于內(nèi)部安全的一系列要求。在薔薇靈動的第一版商業(yè)計劃書中就明確將等保2.0列為其首要市場驅(qū)動因素，并于2017年年初正式成立公司，開始了產(chǎn)品研發(fā)工作。從這個角度來說，中國的微隔離技術(shù)就是由等保2.0催生而出的科技創(chuàng)新。

雖然等保2.0的正式發(fā)布比他們預(yù)計的要晚了一些，但是這也給了薔薇靈動以足夠的時間來磨煉產(chǎn)品，打造標桿。迄今為止，薔薇靈動已經(jīng)為海淀區(qū)電子政務(wù)云，通州區(qū)電子政務(wù)云，中國移動，中國電信，中國人壽等多家政企客戶提供了微隔離產(chǎn)品和服務(wù)，部署的環(huán)境覆蓋了VMware，OpenStack，阿里云，騰訊云，華為云，華三云，天翼云，青云，K8s等各種云計算和虛擬化系統(tǒng)，操作系統(tǒng)覆蓋了包括windows的全線服務(wù)器版本，所有的主流linux版本以及部分國產(chǎn)化操作系統(tǒng)。

2019年5月13日，等級保護2.0技術(shù)標準正式發(fā)布，這將成為中國網(wǎng)絡(luò)安全行業(yè)發(fā)展歷史中的重要里程碑事件，也將成為薔薇靈動發(fā)展歷史中的關(guān)鍵節(jié)點。
 

以等級保護2.0技術(shù)標準正式發(fā)布為分水嶺，可以把微隔離產(chǎn)品的發(fā)展化為兩個時期。

在等保2.0以前，微隔離技術(shù)屬于高配技術(shù)，他的核心驅(qū)動是兩個，一個是零信任的安全管理邏輯，一個是大規(guī)模云計算系統(tǒng)的安全運維需求。這時候主要部署微隔離技術(shù)的用戶包括：

    1）大型行業(yè)用戶：

例如央企制造業(yè)，金融行業(yè)等，這些用戶一直以來都極為重視安全，他們的業(yè)務(wù)系統(tǒng)從來都是按照白名單方式來進行網(wǎng)絡(luò)策略管理的，但是在云計算時代，過去的技術(shù)手段遇到了問題，使得他們開始考慮采納微隔離技術(shù)作為替換性技術(shù)來在云計算環(huán)境下繼續(xù)提供白名單的管理能力。

    2）大型云計算用戶：

即使不做白名單，而只是在業(yè)務(wù)系統(tǒng)間進行隔離，在大規(guī)模云計算環(huán)境下也變得非常困難，云基礎(chǔ)架構(gòu)提供的安全組，VPC等能力隨著體量的增長和變化頻度的加快變得極為不可用，此時他們也考慮采用更專業(yè)的微隔離技術(shù)來在云計算環(huán)境，尤其是多云，混合云條件下完成其業(yè)務(wù)隔離，區(qū)域隔離需求。

    3）高安全需求用戶：

隨著APT越來越引起重視，以及勒索病毒的泛濫，網(wǎng)絡(luò)安全管理者越來越重視內(nèi)部威脅的防御工作。現(xiàn)有的安全技術(shù)主要是南北向技術(shù)，防御對象是外部攻擊，這些技術(shù)應(yīng)用于內(nèi)部的時候往往有各種不適應(yīng)，此時，用戶會考慮部署微隔離技術(shù)來發(fā)現(xiàn)內(nèi)部的威脅，并對網(wǎng)絡(luò)攻擊在內(nèi)部的橫向行走進行防御。
 
而隨著等級保護2.0技術(shù)標準正式發(fā)布，微隔離技術(shù)將從過去的高配變成標配。

關(guān)于等級保護2.0對內(nèi)部安全的要求及其帶來的挑戰(zhàn)，在我們?nèi)ツ甑囊黄恼轮凶隽松羁痰募夹g(shù)分析，大家可以參考這篇文章：

《東西向加白名單，等保2.0挖了個天坑》

值得再強調(diào)一下的地方是，對于內(nèi)部安全的重視不僅僅是在云環(huán)境，而是在全部計算環(huán)境，因為這些要求是出現(xiàn)在等級保護的通用安全要求部分。也就是說不管你是不是已經(jīng)進行了云化或者虛擬化，你都必須要對你的數(shù)據(jù)中心進行白名單化管理。當然，在非云環(huán)境下，除了微隔離，還是有其他手段的，比如說，過去的銀行系統(tǒng)就通過部署大量的隔離防火墻來解決這個問題，不過這個開銷真不是普通用戶能承擔的了的。相較而言，更加輕量級的微隔離技術(shù)即使在傳統(tǒng)環(huán)境下也有著更好的可行性。

在等保2.0時代，以下用戶和場景應(yīng)該盡快考慮部署微隔離技術(shù)以實現(xiàn)對內(nèi)網(wǎng)流量的可視化管理與全面可控的策略設(shè)計。

1） 各級電子政務(wù)云

2） 企業(yè)私有云和數(shù)據(jù)中心

3） 政府部委部署的數(shù)據(jù)中心，私有云和行業(yè)云

4） 各種大數(shù)據(jù)計算平臺

5） 政企用戶沒有部署過內(nèi)部安全措施的數(shù)據(jù)中心

   

微隔離技術(shù)要管理的是由數(shù)千甚至數(shù)萬臺機器構(gòu)成的大型計算環(huán)境，在部署這一技術(shù)時必然有一定的復(fù)雜性，通過長期的實踐，薔薇靈動總結(jié)出了一套自己的方法論：

   

 

第一步，對東西向業(yè)務(wù)進行學(xué)習(xí)，繪制云內(nèi)業(yè)務(wù)拓撲。

 

 

第二步，業(yè)務(wù)梳理（確認）

這一步，在不同的用戶處不太一樣，有的用戶過去沒有完善的資產(chǎn)、業(yè)務(wù)與配置管理體系，這就需要首先建立起一套業(yè)務(wù)模型出來。無論如何，在你根本不理解業(yè)務(wù)的情況下，是不可能進行有效的東西向安全策略設(shè)計的。這種情況下，這一步的工作量就變得比較大了，而且往往需要調(diào)度多個部門進行協(xié)作。不過，既然等保2.0已經(jīng)來了，這是早晚都要做的一步，用我們的技術(shù)已經(jīng)把工作量縮減了好幾個數(shù)量級了。

而如果是用戶過去就有很好的類似于CMDB的資產(chǎn)與業(yè)務(wù)管理系統(tǒng)，那么我們就只需要做業(yè)務(wù)確認即可，因為實際的業(yè)務(wù)情況可能會與系統(tǒng)中的不一樣，或者系統(tǒng)中缺少一些信息。
 
第三步，策略設(shè)計

好的微隔離產(chǎn)品，一定能夠根據(jù)業(yè)務(wù)情況自動生成安全策略（當然，好的安全產(chǎn)品一定能看得見業(yè)務(wù)），否則，如果讓用戶自己去逐臺機器進行配置，那根本就是一場災(zāi)難。比如我們的一個客戶，有兩萬臺虛擬機，隨便一個業(yè)務(wù)系統(tǒng)就有超復(fù)雜的內(nèi)部業(yè)務(wù)關(guān)系，給張圖你們自己體會下（這還不是虛機間關(guān)系，只是業(yè)務(wù)間關(guān)系）。

 

而且策略最好是IP無關(guān)的，比如薔薇靈動可以直接根據(jù)虛擬機的業(yè)務(wù)標簽來配置策略。因為IP地址在云內(nèi)是個非常不穩(wěn)定的參數(shù)，一旦策略是用IP配置的，那么后面的運維就非常痛苦了。
 
第四步，自適應(yīng)運維

好的微隔離產(chǎn)品，一定能夠進行自適應(yīng)的策略運維，也就是當云計算環(huán)境發(fā)生，遷移，擴容，升級等變化時，系統(tǒng)可以對安全策略進行自適應(yīng)調(diào)整。沒有這個能力，策略運維將變得非常困難，甚至是難以完成的。比如我們的另一個客戶，每天都有新業(yè)務(wù)上線，隨時都有可能進行業(yè)務(wù)架構(gòu)調(diào)整，此時如果策略運維不是自動完成的，那么他們的業(yè)務(wù)交付必將被安全所拖累。
 
第五步，自動化編排

云計算環(huán)境下，一切都是軟件定義的，這當然也包括安全。不同的安全產(chǎn)品，需要被進行統(tǒng)一的管理和調(diào)度。我們的產(chǎn)品從設(shè)計之初就采用了微服務(wù)架構(gòu)，每一個點擊，每一個查詢背后都有對應(yīng)的API可以使用，這使得我們可以被整合到云管理系統(tǒng)中，或者被SOC/SIEM等安全管理平臺所調(diào)用。
 
東西向安全是新的安全建設(shè)熱點，難度非常大。幸運的是，薔薇靈動已經(jīng)打磨出了一款非常好用的東西向安全產(chǎn)品，并積累了豐富的部署經(jīng)驗。等保2.0來了，我們準備好了！