年内最高规格的线下网络安全活动在深圳举行
2020年11月28日,以“新基建 新安全”为主题的首届湾区创见网络安全大会在深圳国际会展中心盛大开幕。公安部副部长林锐、中央网信办网络安全协调局副局长高林、国家密码管理局副局长刘平、广东省政府副秘书长杨鹏飞、深圳市政府副市长聂新平等领导出席并做重要发言。众所周知,受疫情影响,2020年一向热闹的网络安全行业大型活动基本都转为了线上进行,本次大会堪称年度最盛大的线下活动,网络安全行业群贤毕至,星光闪耀。
(湾区创见·网络安全大会主会场)
2020年堪称零信任崛起之年,作为年内最高规格的网络安全盛会,零信任的话题自然不会缺席。不仅不会缺席,零信任分论坛俨然成为最受瞩目的分论坛。
(湾区创见·网络安全大会零信任安全专场)
中国电子技术标准化研究院带来了关于零信任标准的最新动态;本次大会的三个主要承办厂商,来自深圳本地的三家巨头公司,华为、腾讯、深信服分别带来了自己的零信任解决方案;而全球网络安全领导企业Palo Alto Networks也带来了自己的零信任方案。除了这些大型企业之外,两家零信任细分技术领域的创新型公司蔷薇灵动和竹云也颇为引人注目。整体来看,零信任已经从概念走向落地,无论是完整的解决方案供应商,还是细分技术领域的产品技术创新者,国内都已经形成了非常强大的产业阵容。
蔷薇灵动是行业内公认的微隔离细分市场领头羊,是中国最早也是目前唯一一家专注于微隔离技术的厂商。正如其创始人严雷先生所言,我们只做这一件事情,一方面确实是因为这个技术很难,它的门槛非常高,我们必须全力以赴,才能给用户一个可用的产品。而另一方面,我们要向业界、向我们的客户传递一个信号——微隔离就是我们的全部,是一个我们压上身家性命的承诺,我们必将永远保持领先,除了胜利,我们别无选择。
(蔷薇灵动CEO严雷在湾区创见·网络安全大会零信任安全专场发表演讲)
正是由于专业的精神和取得的卓越成绩,在这次论坛上,蔷薇灵动作为零信任核心技术模块——微隔离技术的代表企业,被邀请在零信任分论坛上与行业巨头同台竞技,向全行业介绍微隔离技术。而严雷先生也不负众望,在论坛上妙语连珠,给出了关于微隔离与零信任技术非常新颖与深刻的洞见,引起现场专家与行业人士的热烈反响与高度共鸣。
微隔离究竟应该叫什么名字?
严雷谈到,如果从直译的角度说,相较于更被大家所熟知的“微隔离”而言,“微分段”应该是更恰当的翻译。因为它事实上很直观的指出了这个技术最朴素的一个含义,那就是把一个无结构无边界的网络分成好多逻辑上的微小网段,以确保每一个网段上只有一个计算资源,而所有需要进出这个微网段的流量都需要经过访问控制设备。但是,不知道什么原因,微分段的名字没有流传开,反倒是不那么准确的微隔离流传开了。严雷认为,似乎可以这样理解,相较于直译的“微分段”,从意译的角度看,微隔离则更加准确。因为它准确地反映了这个技术的目的和价值,那就是在一个没有任何访问控制能力的网络中,创造出一个全面可控的零信任网络,从而让每一个资源都可以被逻辑地与其他资源隔离开。谈到这里,严雷指出,事实上网络安全产品一直就有两种命名方式。比如说漏洞扫描、杀毒软件、网页防篡改一类的名字就是很准确地阐述这个产品的功能。但是还有一类,比如防火墙、下一代防火墙、堡垒机这样的名字就没有直接对技术进行描述,但同时又很形象的反映了产品的价值和目的,因此也被人们认可和广泛使用。因此微隔离这个名字,虽然不是完全的准确,但也不妨碍其成为更加被大家所认可所接受的命名。
微隔离究竟是怎样颠覆防火墙的
业界一直流传一句话,微隔离必将而且正在颠覆防火墙,那么这句话究竟反映了什么样的技术判断和发展趋势呢。严雷先生指出,颠覆防火墙的其实不是微隔离,而是云计算。防火墙有其诞生的历史背景,在防火墙被设计的时候,网络是静态的,IP地址具备稳定的身份属性,也就是说IP地址与资产之间具备稳定的一一对应关系,因此这个时候就出现了以IP地址作为基本表达方式的防火墙技术。但是随着云计算、物联网等基础设施的广泛部署,IP地址不再是一个被静态配置的常数,而是变成了一种池化的,动态分配的变量。换言之,IP地址不再具备资源的标识信息价值,而是作为一个通信用的临时性变量而存在。这带来一个非常重大的影响,那就是以IP地址为基本元语的防火墙失去了最核心的表达方式。取而代之的则是包括微隔离在内的以逻辑标识为基本元语的新一代网络安全技术。
为什么说微隔离技术的复杂度前所未有
许多人刚刚接触微隔离技术的时候会认为这是一种简单的技术,从其部署方式看就是一种主机软件而已。针对这样的观点,严雷从软件产品计算复杂度的角度出发对微隔离技术的计算特点进行了阐释。
严雷将安全产品分为三类计算复杂度类型。
第一类,称为O(1)型产品。也就是说不管部署规模有多大,这个产品的计算复杂度都是一个常量,比如传统的杀毒软件等主机安全产品基本都属于这个类型。当然,这不是说这类产品的难度就低,而只是说它的难度不会随着其管理规模的扩大而变化,在一台机器上部署和在一万台机器上部署,其软件复杂度不会有什么变化。
第二类产品,被称为O(n)型产品,它的计算复杂度随着管理规模的增长呈现线性增长。最典型的O(n)型产品就是防火墙,管理一个小规模网络,我们需要一台100M吞吐的防火墙,而管理一个规模网络,我们就需要一台1000M的防火墙,更大的网络则需要万兆防火墙甚至T级防火墙。O(n)型产品的复杂度,随着其管理规模的增长出现线性增长,越是高端的防火墙越难做,需要的计算资源越多,当然价格也越贵。
而微隔离代表的则是第三种类型。因为微隔离要解决的是数据中心内部,任意两个点之间的业务关系与访问控制问题,因此其计算复杂度与其管理规模呈现为平方的关系,准确地说是(n^2)/ 2。然而,云计算的动态特征又引入了时间上的复杂度,所以微隔离产品的计算复杂度可以表达为O(t*(n^2)/2)。这样的复杂度可以说是我们过去不曾遇到的,是因为零信任的引入而带来的一种面向全网络关系所必然导致的一种复杂度。随着管理规模的增长,其计算复杂度极快增长,管理1000台虚拟机的难度是管理100台虚拟机的100倍而不是十倍。而我们能够利用的算力是不可能以指数形式堆叠增长的,所以,基本上管理规模每放大十倍,产品就必须重构一次了。严雷先生不无感慨地说,蔷薇灵动这几年,就是这样从300台的管理能力,到3000台,再到现在的15000台,无数次地重构,堪称步步艰辛,但回过头看,也充满了成就感。
为什么说微隔离是零信任的核心技术模块
在介绍微隔离与零信任的关系时,严雷引用了Forester,Gartner,NIST的相关资料予以说明。可以看到,在各种权威机构的理论体系中,都把微隔离放在了一个核心的位置上,并与IAM技术,SDP技术一道构成了零信任领域的三个技术基石。而关于这三个技术彼此之间的关系,严雷给出了一个简单而生动的解答。IAM技术主要是回答网络中有哪些物理和逻辑的资源实体,以及这些资源之间彼此的访问关系授权。由于零信任技术的特点就是直接面向资源而不是面向网路的,因此就需要一个在全局生效的IAM体系,用以为SDP和微隔离技术提供策略基础。而SDP和微隔离技术的区别在于,SDP用以解决从数据中心外部(不再区分办公网和互联网)安全地访问数据中心的服务与数据的问题。而微隔离技术则用于解决数据中心内部流量的识别与访问控制问题。这两个技术就把数据中心全部流量(南北向,东西向)都管理起来了。
微隔离实践的五步工作法
当谈到微隔离的五步工作法时,严雷先生风趣地指出,当今做零信任,都是分五步,微隔离是五步,SDP也是五步,每个公司都是五步,不是五步就不正宗了。事实上,就连每一步的主要工作目标也都是相近的,只不过在于具体技术场景相结合时会有一些实现上的差异。
就微隔离而言,主要分为定义、分析、设计、防护和持续监控五个步骤。本质上就是一个对特定业务系统进行全面业务分析,并基于业务设计出一个适合本企业环境和要求的零信任网络架构,并基于此实现全面的白名单访问控制的过程。
当谈到白名单访问控制时,严雷充满激情地讲到,当你切换到白名单防护状态的那一刻,就是见证奇迹的时刻,就是你的网络迎来新生的时刻。我们一切的管理,实际上一直围绕着三个方向去努力,就是尽可能构建解释力,预测力和控制力。过去,我们对自己的网络所知甚少,对它在特定任务下的表现完全没有预见能力,而且也基本没有有效的干预手段。当我们以微隔离技术将网络置于彻底的零信任白名单访问控制之下后,从此网络就将进入稳态!也就是我们可以准确的知道我们的网络中发生的每一件事情,我们也可以很自信的说,这个网络现在这样,将来也将一直这样,只要我不允许,它一定不会发生任何改变。而且我们拥有细粒度到每一个容器乃至每一个进程的网络访问控制能力,我们将真正成为网络的主人。
严雷先生的演讲深入浅出,高屋建瓴,不愧为国内微隔离技术第一人的称号。他的演讲让大家对微隔离乃至零信任技术都有了全新的深入的认识与思考。在演讲后,蔷薇灵动的展台前也是人头攒动,人们争相与蔷薇灵动的技术专家就这个崭新的网络安全技术进行沟通探讨,更有许多行业用户现场表示非常希望蔷薇灵动能够立刻帮助他们实现基于微隔离技术的零信任网络。
(蔷薇灵动展台)
蔷薇灵动表示,他们已经预见到随着零信任理念的盛行,云计算与大数据平台的大范围部署以及国家十四五期间关于数字化转型的定调,微隔离市场必将迎来一个爆发式的发展。为此他们除了在北京的总部之外,又新设立了上海分公司和深圳分公司,分别覆盖京津冀、江浙沪和大湾区。他们相信他们的产品将和他们的名字一样,在华夏大地绽放出一朵朵鲜红的蔷薇。