今天,云计算、大数据、物联网、人工智能、虚拟化等IT技术正在改变着整个信息化技术的基础架构,改变着我们的现在和未来。在各种新技术不断创新应用的同时,网络信息安全的防护与保障能力也要随之不断地提升。
尤其是伴随云计算的发展、应用,越来越多的企业走向云端,企业愈发关注云安全问题。有关数据表明,90%的机构非常关心云的安全性,占云安全主导地位的问题包括未经授权的访问、劫持账号和内部恶意攻击。
云安全防护新思路——微隔离技术
中国的初创安全企业北京蔷薇灵动科技有限公司(以下简称:蔷薇灵动)CEO严雷认为,在云这样的一个领域里面,传统以墙为核心的安全保护体系已经不再适用于现在的技术发展的要求了,建立新的信息安全防护体系势在必行。而微隔离技术的出现为云安全防护提供了新的思路,解决了云环境中东西向流量的监控和管理难题。
近日,蔷薇灵动公司正式对外发布了新产品“蜂巢(COMB)”——蔷薇灵动自适应微隔离安全平台,并获得了国内首个微隔离产品认证,其先进的隔离技术受到业界专家的一致好评。
什么是微隔离(microsegmentation)?微隔离最早由Gartner在其软件定义的数据中心的相关技术体系中提出,用于提供主机(容器)建安全访问控制(区别与过去的安全域间的安全访问控制),并对东西向流量进行可视化管理,是云安全的核心技术模块。
另外,由中国信息安全认证中心ISCCC发布的国内第一个微隔离技术规范《微隔离产品安全技术要求》是这样定义的:所谓微隔离是指微隔离是一种能够适应虚拟化部署环境,能够识别和管理云平台隔离和流量的一种安全手段。
该规范还指出,微隔离产品需要具备流量识别、业务关系拓扑、网络访问控制、安全策略管理等功能;并且,在安全功能上,微隔离产品要符合标识与鉴别、用户数据保护、安全审计、安全管理、TSF保护等要求。
5月26日,《微隔离产品安全技术要求标准研讨会》在北京昆泰嘉禾酒店举行,在研讨会上,来自信息产业信息安全测评中心的专家在研讨中表示,《微隔离产品安全技术要求》,结合了国际先进技术理念和国内实际环境。接下来,在进一步修订的基础上,进一步有可能提交申请行标和国标。
2018年5月6日,中国计算机用户协会信息安全分会,邀请本分会专家、顾问、委员会的有关信息安全专家,对蔷薇灵动自主研发的虚拟化数据中心内部流量安全管理产品进行了专题研讨和技术评审。在5月26日的研讨会上由协会专家代表发表了专家组的意见:
1.该产品面向虚拟化和云化的数据中心,符合国际分析机构gartner提出的微隔离产品的主要技术特征,实现以虚机或容器为单元的细粒度安全管控,从技术上解决了虚拟化环境中工作负载之间的东西向流量的监控与访问控制问题。
2.该产品提出了自适应安全管理框架,可以对虚拟化环境中发生的变化做自动采集,安全管理人员以此为基础上做管控策略调整,大大降低了虚拟化网络安全的管理难度,提升了管理精细度和准确率。
3.该产品采用基于代理的分布式架构,具有系统开销小、与虚拟化基础架构无关、适应性广的特点,能够适应复杂的虚拟化与云环境要求,对现有业务影响较小,方便在现有业务环境中部署。
4.该产品用户界面友好、直观,采用的软件定义规则、可视化配置、可视化管理、红绿线异常监控等设计,实现了交互式业务分析,交互式策略设计,交互式问题排查等人机交互应用管理方式。
综上,专家组认为:蔷薇灵动产品,瞄准国际科技发展前沿,解决了在云平台网络、虚拟化网络以及大型数据中心系统内部数据交换等信息安全管理的多项关键问题,产品经多家重点央企和政府部门应用已经取得了良好的实践成果,该产品在国内相关技术领域具有领先水平,能够支持大规模虚拟化环境,适应当前私有云的需求,具有良好的市场推广应用前景。
云时代的安全大脑——蔷薇灵动自适应微隔离平台“蜂巢”
目前,云数据中心的流量80%属于东西向(内部)流量,而传统的安全产品基本都是在南北向业务模型的基础上进行研发设计的,这些产品在向东西向移植过程中出现了种种问题,比如部署困难,计算开销太高,策略管理不灵活等等,这种安全能力的欠缺已经很大程度上阻碍了云技术的普及。
为解决以上难题,蔷薇灵动将自适应与微隔离技术相结合,并提出了一套循序渐进的数据中心东西向流量管理的方法论,推出了自适应微隔离平台“蜂巢”。
据严雷介绍,蔷薇灵动自适应微隔离安全平台是面向云化数据中心的跨平台统一安全管理软件,能够对数据中心的内部流量进行全面精细的可视化分析和细粒度的安全策略管理,能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。
记者了解到,平台基于完全自主研发的一套自适应安全架构,将安全能力与工作负载紧密结合起来,而不是在工作负载之外做安全,而且做到了与底层架构无关,使得产品在混合云统一安全管理、业务与安全同步交付、容器间安全等问题上具备了完美的解决能力。
其主要能力在于,可以为数据中心提供东西向流量的可视化与自适应网络安全策略管理,能够减少策略总数90%,缩减攻击界面90%,大幅提升工作效率,大幅缩短业务上线时间及策略部署与调整时间,让安全能够跟上瞬息万变的业务需求。
此外,严雷表示,目前蔷薇灵动的微隔离产品,已经有了包括首钢、海淀区政府等几家用户,均反应良好。
对于蔷薇灵动的微隔离产品技术,来自国家信息中心的专家认为:“云因其弹性可扩展和动态漂移的特性为用户带来便利,然而与此同时也带来了难管理、难定位,安全策略难以有效落实等问题。而蔷薇灵动的这款产品准确的抓住了这个云安全需求的痛点,解决了东西向安全隔离的问题。有了蔷薇灵动的这款产品以后,我觉得在国内安全企业里面至少是一个很有引导性的方向。”
IDC安全行业分析师王军民也表示:“蔷薇灵动的自适应微隔离技术是一种轻量级的,能够把不同云架构下的策略都囊括在一起统一管理,实现虚拟机之间的细致控制。我更看好蔷薇灵动技术的未来,通过不断的积累,将积累的大量经验放在自己的策略指导里,为不同的用户提供完善的经验。然后,在这个基础之上结合本地策略,统一进行配置,使得整个策略为企业应用。”
而来自公安部等级保护的专家也谈到,等级保护发展到了2.0这个阶段是一个巨大的跨越,在产品技术上和技术规范上都需要大家努力创新,才能把等保的要求落到实处。《微隔离产品安全技术要求》的发布以及蔷薇灵动相关产品的投入生产,就非常有利于我们的行业用户在云安全等级保护工作中获得具体的指导和技术支撑。
业界专家的高度认可,让人对微隔离这项技术以及对蔷薇灵动的未来充满期待,期待着在不远的将来他们能给中国的网络安全市场带来真正的变化,让更多用户真正体验到创新的价值。