2020年11月28日,以新基建 新安全为主题的首届湾区创见网络安全大会在深圳国际会展中心盛大开幕。公安部副部长林锐、中央网络通信办理网络安全协调局副局长、一级巡视员高林、国家密码管理局副局长刘平、广东省政府副秘书长杨鹏飞、深圳市政府副市长聂新平出席开幕式并发表致辞。众所周知,受疫情影响,2020年热闹的网络安全行业大型活动几乎在线进行,这次大会被称为年度最盛大的网络活动,网络安全行业群贤毕业,星光闪耀。
(湾区创见网络安全大会主会场)
2020年是零信赖崛起之年,作为年内最高规格的网络安全盛会,零信赖的话题当然不会缺席。不仅不缺席,零信任分论坛也成为最受关注的分论坛。
中国电子技术标准化研究院带来了所)中国电子技术标准化研究院带来了零信任标准的最新动向,本次大会的3家主要承包商来自深圳当地的3家大公司,华为、腾讯、深信服分别带来了自己的零信任解决方案除了这些大型企业,两家零信任细分技术领域的创新型公司玫瑰灵动和竹云也备受瞩目。总的来说,零信任已经从概念走向落地,无论是完整的解决方案供应商,还是细分技术领域的产品技术创新者,国内已经形成了非常强大的产业阵容。
玫瑰灵动是业内公认的微隔离细分市场龙头羊,是中国最早也是目前唯一专注于微隔离技术的厂家。正如创始人严雷先生所说,我们只做这件事,一方面确实是因为这项技术困难,门槛非常高,我们必须全力以赴,给用户带来可用的产品。另一方面,向业界、客户传达信号的微隔离是我们的一切,是我们压迫家人生命的约定,我们永远领先,除了胜利,我们没有选择。
(玫瑰灵动CEO严雷在湾区发表网络安全大会零信任安全专场演讲)
由于专业精神和取得的优异成绩,玫瑰灵动作为零信任核心技术模块微隔离技术的代表企业,被邀请在零信任分论坛上与业界巨头竞争,向业界介绍微隔离技术。严雷也不负众望,在论坛上妙语连珠,给予微隔离和零信任技术非常新颖深刻的洞见,引起现场专家和业界人士的热烈反响和高度共鸣。
微隔离应该叫什么名字
严雷译的角度来看,微隔离应该比众所周知的微隔离更合适。因为它实际上直观地指出了这种技术最简单的含义,也就是说,将一个没有结构和边界的网络分成许多逻辑上的网络段,以确保每个网络段只有一个计算资源,所有需要进出的微网络段的流量都需要访问控制设备。但是不知道什么原因,微分段的名字没有流传,反而没有那么精准的微隔离流传。严雷认为,与直译的微分段相比,从意优艾设计网_PS百科义翻译的角度来看,微隔离似乎更准确。因为它正确地反映了该技术的目的和价值,它在没有访问控制能力的网络中创造了全面可控的零信任网络,使所有资源都能逻辑地与其他资源隔离。在这里,严雷指出,实际上网络安全产品一直有两种命名方法。例如,漏洞扫描、杀毒软件、网页防篡改等名称正确阐述了该产品的功能。但是,防火墙、下一代防火墙、要塞机等名称虽然没有直接说明技术,但是因为形象反映了产品的价值和目的,所以被认可和广泛使用。因此,微隔离这个名字虽然不完全正确,但也不妨碍成为更被认可的名字。
微隔离是如何称霸防火墙的
行业一直流传着一句话,微隔离必然称霸防火墙,这句话反映了什么样的技术判断和发展趋势。严雷指出,霸权防火墙实际上不是微隔离,而是云计算。防火墙有它诞生的历史背景,在设计防火墙时,网络是静态的,IP地址具有稳定的身份属性,即IP地址和资产之间具有稳定的一一对应关系,因此此此时出现了以IP地址为基本表现方式的防火墙技术。但是,随着云计算、物联网等基础设施的广泛配置,IP地址不再是静态配置的常数,而是池化、动态配置的变量。换句话说,IP地址不再具有资源的标志信息价值,而是作为通信的临时变量而存在。这带来了以IP地址为基本要素的防火墙失去了最核心的表现。取而代之的是包括微隔离在内的基本逻辑标志的下一代网络安全技术。
为什么微隔离技术的复杂性前所未有
很多人刚接触微隔离技术时,认为这是一项简单的技术,从其配置方式来看是主机软件。针对这种观点,严雷从软件产品计算复杂性的角度说明了微隔离技术的计算特点。
严雷将安全产品分为三类计算复杂性类型。
第一类叫O(1)型产品。也就是说,无论配置规模如何,该产品的计算复杂性都是常量,例如传统的防病毒软件等主机安全产品基本上属于该类型。当然,这并不是说这样的产品难易度低,而是说其难易度不会随着管理规模的扩大而变化,在一台机器上部署,在一万台机器上部署,软件的复杂性不会变化。
第二类产品被称为O(n)型产品,其计算复杂性随着管理规模的增加而线性增加。最典型的O(n)型产品是防火墙,管理小型网络,我们需要100M吞吐的防火墙,管理大型网络需要1000M的防火墙,更大的网络需要万兆防火墙和t级防火墙。O(n)型产品的复杂性,随着其管理规模的增加线性增加,高级防火墙越难,必要的计算资源越多,当然价格也越高。
微隔离代表第三类。微隔离要解决的是数据中心内部,任意两点之间的业务关系和访问控制问题,其计算复杂性与其管理规模呈平方关系,正确地说是(n^2)/2。但是,由于云计算的动态特征引入了时间的复杂性,微隔离产品的计算复杂性可以表现为O(t*(n^2)/2)。这样的复杂性可以说是我们过去没有遇到过的,因为零信任的引进,面向全网关系的必然复杂性。随着管理规模的增加,加,其计算复杂速增加,管理1000台虚拟机的难度不是100台虚拟机的100倍,而是10倍。我们可以利用的计算力不能以指数形式堆积成长,基本上管理规模每扩大10倍,产品必须重建一次。严雷先生感慨地说,玫瑰这几年,从300台的管理能力到3000台,再到现在的15000台,多次重建,可以说是一步一步地辛苦,回顾一下,也充满了成就感。
为什么说微隔离是零信任的核心技术模块
在介绍微隔离信任的关系时,严雷引用了Forester、Gartner、NIST的相关资料进行说明。在各种权威机构的理论体系中,将微隔离放在核心位置,与IAM技术、SDP技术构成了零信任领域的三个技术基础。关于这三项技术的关系,严雷给出了简单生动的答案。IAM技术主要回答网络中有什么物理和逻辑的资源实体,以及这些资源之间的访问关系许可。零信任技术的特点是直接面向资源而不是面向网络,因此需要在全球生效的IAM系统,为SDP和微隔离技术提供战略基础。SDP和微隔离技术的区别在于SDP从数据中心外部安全访问数据中心的服务和数据问题。微隔离技术用于解决数据中心内部流量的识别和访问控制问题。这两种技术管理了数据中心的所有流量(南北方向、东西方向)。
微隔离实践的五步工作法
当谈到微隔离的五步工作法时,严雷先生有趣地指出,今天的零信任分为五步,微隔离分为五步,SDP也是五步,每个公司都是五步,不是五步,不是五步,不是五步就不正宗。实际上,每一步的主要工作目标都相似,但具体技术场景结合时有实现上的差异。
就微隔离而言,主要分为定义、分析、设计、防护和持续监控五个步骤。本质上是对特定业务系统进行全面业务分析,根据业务设计适合本企业环境和要求的零信任网络结构,实现全面的白名单访问控制过程。
当谈到白名单的访问控制时,严雷热情地说,切换到白名单的保护状态的瞬间,是目睹奇迹的时候,是你的网络迎来新生的时候。我们的一切管理,其实一直围绕着三个方向努力,尽量构建说明力、预测力和控制力。过去,我们对自己的网络不太了解,在特定任务下的表现完全没有预见能力,而且几乎没有有有效的介入手段。当我们以微隔离技术将网络置于彻底的零信任白名单访问控制之下后,从此网络就将进入稳态!也就是我们可以准确的知道我们的网络中发生的每一件事情,我们也可以很自信的说,这个网络现在这样,将来也将一直这样,只要我不允许,它一定不会发生任何改变。并且,我们具有从细粒度到各容器、各过程的网络访问控制能力,真正成为网络的主人。
严雷的演讲深入浅出,高屋建甯,不愧是国内微隔离技术第一人的称号。他的演讲对微隔离和零信任技术有了全新的深刻认识和思考。演讲后,玫瑰灵动的展台前也挤满了人,人们与玫瑰灵动的技术专家就这种新的网络安全技术进行了交流探讨,更多的行业用户现场表示希望玫瑰灵动能够立即实现基于微隔离技术的零信任网络。
(玫瑰灵动展台)
玫瑰灵动表示,随着零信任理念的盛行,云计算和大数据平台的广泛配置和国家十四五期间数字转型的调整,微隔离市场一定会迎来爆炸性的发展。因此,他们不仅在北京总部,还设立了上海分公司和深圳分公司,分别复盖了京津冀、江浙上海和大湾区。他们相信他们的产品会和他们的名字一样,在华夏大地上开出鲜红的玫瑰。
精彩评论