企業(yè)實(shí)現(xiàn)功能時(shí)所需調(diào)用的數(shù)據(jù)在云時(shí)代越來越多,薔薇靈動(dòng)公司認(rèn)為以往防火墻解決南北向流量的安全手段難以復(fù)用,那么怎樣保障東西向流量的安全又成為一個(gè)新話題。薔薇靈動(dòng)作為一家網(wǎng)絡(luò)安全公司——希望通過微隔離的手段幫助企業(yè)在云時(shí)代實(shí)現(xiàn)對(duì)數(shù)據(jù)中心的安全管理。

注:南北向流量即數(shù)據(jù)中心外部用戶和內(nèi)部服務(wù)器之間交互的流量;東西向流量即數(shù)據(jù)中心內(nèi)部服務(wù)器之間交互的流量。

微隔離-Micro-segmentation的定義是一種能夠適應(yīng)虛擬化部署環(huán)境,識(shí)別和管理云平臺(tái)內(nèi)部流量的隔離技術(shù)。薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷解釋道,微隔離要實(shí)現(xiàn)的是東西向流量的防御,對(duì)東西向的流量進(jìn)行點(diǎn)到點(diǎn)的訪問控制。

薔薇靈動(dòng) 圖一

微隔離的作用

薔薇靈動(dòng)嚴(yán)雷曾舉例來描述過微隔離的作用,比如當(dāng)一個(gè)用戶做一次簡(jiǎn)單的互聯(lián)網(wǎng)訪問時(shí),系統(tǒng)內(nèi)部會(huì)進(jìn)行非常多操作。當(dāng)用戶點(diǎn)擊頁面,系統(tǒng)需要進(jìn)行從外部頁面到內(nèi)部系統(tǒng)的轉(zhuǎn)化,這個(gè)過程會(huì)產(chǎn)生對(duì)數(shù)據(jù)的請(qǐng)求,數(shù)據(jù)之間也許還需在多個(gè)數(shù)據(jù)庫中協(xié)同工作,然后再原路返回呈現(xiàn)結(jié)果。雖然整個(gè)過程對(duì)于用戶來說只是進(jìn)行了一次訪問,但會(huì)在數(shù)據(jù)中心內(nèi)部產(chǎn)生數(shù)十次調(diào)用。這些數(shù)據(jù)(即點(diǎn)和點(diǎn))是以正交的方式相連,但由于沒有確定的關(guān)鍵路徑,所以無法通過防火墻的方式完成安全部署。并且基于防火墻的安全策略管理和隔離都發(fā)生在防火墻設(shè)備上,這些策略一般在防火墻上線部署時(shí)隨之一起配置,在整個(gè)防火墻的生命周期內(nèi)一般不做調(diào)整。但在云計(jì)算時(shí)代,大量分散且獨(dú)立工作的控制點(diǎn)非常難以維護(hù),導(dǎo)致了云使用者只能在安全和業(yè)務(wù)之間做出二選一的選擇,而微隔離可以解決這些問題。

薔薇靈動(dòng)圖二

薔薇靈動(dòng)基于白名單的微隔離策略實(shí)施方法

在薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷看來,微隔離是一個(gè)市場(chǎng)用語,更精準(zhǔn)地技術(shù)表達(dá)應(yīng)該是軟件定義隔離。這是因?yàn)檫@種技術(shù)和一切軟件定義的技術(shù)都有一個(gè)相似性——集中的策略管理和分散的策略執(zhí)行。

在薔薇靈動(dòng)的微隔離場(chǎng)景下,集中的策略管理是通過Agent的自學(xué)習(xí)功能,在策略管理平臺(tái)形成云計(jì)算業(yè)務(wù)拓?fù)?設(shè)置白名單策略。再具體點(diǎn),這個(gè)策略管理不是面向資產(chǎn)來做,而是基于業(yè)務(wù)拓?fù)?設(shè)計(jì)一個(gè)通用的策略準(zhǔn)則,每一個(gè)資產(chǎn)根據(jù)自己的情況來判斷自身是不是適用這個(gè)準(zhǔn)則再進(jìn)行計(jì)算。分散的策略執(zhí)行是說控制點(diǎn)可以分散到每一個(gè)云內(nèi)的資產(chǎn)上,二者結(jié)合構(gòu)成一個(gè)軟件定義隔離的形態(tài)。

可以看出,薔薇靈動(dòng)的微隔離所采用的策略是白名單,白名單相比黑名單安全性更高,但白名單策略只能在高度確定化的場(chǎng)景下使用。舉例而言,企業(yè)的辦公網(wǎng)絡(luò)是一個(gè)不確定的場(chǎng)景,因?yàn)檗k公網(wǎng)絡(luò)上會(huì)連接許多個(gè)人設(shè)備,而設(shè)備上會(huì)安裝一些無法被掌控的個(gè)人軟件,這造成了辦公網(wǎng)絡(luò)的不確定性。但和辦公網(wǎng)絡(luò)不同,數(shù)據(jù)中心的每一臺(tái)服務(wù)器都有明確的使用方向,所以基于數(shù)據(jù)中心的云計(jì)算是一個(gè)高度確定化的場(chǎng)景,在此情況下使用白名單這種高安全性策略是可行的。

但接下來的問題是,黑名單的策略可以通過已知的惡意行為設(shè)計(jì),但東西向流量的白名單策略往往難以設(shè)計(jì)。這是由于整個(gè)數(shù)據(jù)中心的業(yè)務(wù)經(jīng)常由許多團(tuán)隊(duì)分布式開發(fā),彼此之間也會(huì)存在各種各樣的調(diào)用,所以企業(yè)常常也無法了解自己數(shù)據(jù)中心的內(nèi)部調(diào)用關(guān)系。以往大家的一些做法是進(jìn)行區(qū)域隔離,即把數(shù)據(jù)中心內(nèi)部的服務(wù)器劃分成幾個(gè)大區(qū),進(jìn)行一些跨大區(qū)的檢查,但更精細(xì)的隔離手段無法實(shí)現(xiàn)。

薔薇靈動(dòng)的方式是先解決業(yè)務(wù)分析的問題。該公司的業(yè)務(wù)分析是基于分散在每一個(gè)虛擬機(jī)或容器宿主機(jī)上的Agent,全局收集信息,依靠計(jì)算引擎繪制出完整的內(nèi)部業(yè)務(wù)拓?fù)?從而生成基于業(yè)務(wù)學(xué)習(xí)的白名單策略。

薔薇靈動(dòng)拓?fù)?/p>

在薔薇靈動(dòng)看來,在后期學(xué)習(xí)生成業(yè)務(wù)拓?fù)渲膺€有另外一種方法——安全左移,指的是企業(yè)在研發(fā)的同時(shí)一并考慮網(wǎng)絡(luò)隔離的問題。這需要安全策略的設(shè)計(jì)者是業(yè)務(wù)研發(fā)人員,因?yàn)橹挥袠I(yè)務(wù)的研發(fā)人員了解軟件應(yīng)用的業(yè)務(wù)調(diào)用關(guān)系,他們可以用策略管理語言寫明業(yè)務(wù)隔離要求,這種情況下業(yè)務(wù)可以和安全同時(shí)交付。

并且,由于安全策略的生成基于業(yè)務(wù)標(biāo)簽而非具體資產(chǎn)(如服務(wù)器IP等),所以當(dāng)云數(shù)據(jù)中心環(huán)境發(fā)生變化時(shí)時(shí),薔薇靈動(dòng)也可以根據(jù)這套策略自動(dòng)調(diào)整,識(shí)別新的網(wǎng)絡(luò)參數(shù)變化(角色靠配置),自動(dòng)配置安全策略,避免管理員手動(dòng)配置。

而且為了確保策略的有效性,薔薇靈動(dòng)將策略分為測(cè)試狀態(tài)和防護(hù)狀態(tài)。在測(cè)試狀態(tài)中,策略并沒有真實(shí)的部署在節(jié)點(diǎn)上,而是模擬策略計(jì)算展現(xiàn)可能的結(jié)果。只有真正驗(yàn)證過后才會(huì)上線真正的策略,以避免破壞業(yè)務(wù)同時(shí)又保證效果真實(shí)。在防護(hù)過程中,薔薇靈動(dòng)還會(huì)持續(xù)記錄東西向訪問,作為必要時(shí)的溯源工具。

薔薇靈動(dòng)的微隔離服務(wù)能力

薔薇靈動(dòng)嚴(yán)雷認(rèn)為,目前使用微隔離技術(shù)管理東西向流量的難點(diǎn)在于計(jì)算量。由于數(shù)據(jù)中心內(nèi)部的點(diǎn)和點(diǎn)之間呈現(xiàn)正交結(jié)構(gòu),所以計(jì)算的復(fù)雜度會(huì)隨著管理的體量增長(zhǎng)而呈現(xiàn)指數(shù)性變化。一開始薔薇靈動(dòng)只能管理數(shù)百點(diǎn),現(xiàn)在通過回傳數(shù)據(jù)調(diào)整、數(shù)據(jù)庫分類存儲(chǔ)等方式可以達(dá)到單機(jī)管理2000點(diǎn)的水平,而通過集群部署方式,薔薇靈動(dòng)可以支撐數(shù)萬點(diǎn)的微隔離服務(wù)能力。

目前,薔薇靈動(dòng)主要服務(wù)于金融、能源、運(yùn)營商等行業(yè)的頭部客戶。原因包括,首先小客戶由于業(yè)務(wù)并不復(fù)雜等原因,對(duì)基于業(yè)務(wù)進(jìn)行微隔離的安全策略需求暫時(shí)還不明顯。然而大型客戶由于內(nèi)部業(yè)務(wù)復(fù)雜,需求主要包括復(fù)雜場(chǎng)景下的業(yè)務(wù)流分析、海量的安全策略運(yùn)維、混合架構(gòu)的統(tǒng)一安全管理等。薔薇靈動(dòng)可以通過基于業(yè)務(wù)的策略制定、自適應(yīng)的安全策略以及統(tǒng)一架構(gòu)的管理,幫助客戶滿足這些需求。其次,微隔離的實(shí)現(xiàn)難點(diǎn)在于計(jì)算量,服務(wù)大型客戶有利于幫助薔薇靈動(dòng)積累大規(guī)模線上場(chǎng)景。

薔薇靈動(dòng)大規(guī)模線上場(chǎng)景

在薔薇靈動(dòng)嚴(yán)雷看來這也是公司在市場(chǎng)中的一個(gè)優(yōu)勢(shì)——薔薇靈動(dòng)是首批將微隔離理念引進(jìn)國內(nèi)的企業(yè),先發(fā)的技術(shù)優(yōu)勢(shì)可以幫助其拿下更多的大型客戶,而大型客戶又能幫助薔薇靈動(dòng)不斷優(yōu)化計(jì)算方式,積累服務(wù)大規(guī)模場(chǎng)景的經(jīng)驗(yàn)。

薔薇靈動(dòng)于2017年開始商業(yè)化探索,2019年?duì)I收達(dá)到千萬級(jí)別。2020年為了推廣之前積累的成功經(jīng)驗(yàn),薔薇靈動(dòng)在深圳、上海設(shè)立新辦事處服務(wù)各行各業(yè)的大型客戶。

團(tuán)隊(duì)方面,薔薇靈動(dòng)CEO 嚴(yán)雷先后歷任JUNIPER北京研發(fā)中心高級(jí)工程師、網(wǎng)康科技產(chǎn)品市場(chǎng)總監(jiān)、遠(yuǎn)江盛邦CMO,CTO陳天航曾任網(wǎng)康NGFW架構(gòu)師,曾是國內(nèi)最早的X86萬兆防火墻的主要開發(fā)者。團(tuán)隊(duì)目前約有50人,員工此前大多擁有網(wǎng)絡(luò)安全行業(yè)背景。