日本中文字幕高清在线,国产精品自产拍在线观看蜜 ,久久久久久一级毛片免费看

旅游生活報新聞正文

薔薇靈動是如何保證流量安全？

2021-04-14 10:33 來源：旅游生活報閱讀次數(shù)：3606

薔薇靈動作為一家云網(wǎng)絡安全公司——薔薇靈動通過微隔離技術手段已經(jīng)幫助諸多企業(yè)在云時代實現(xiàn)了對數(shù)據(jù)中心的安全管理。

云時代，企業(yè)在實現(xiàn)功能時所需調用的數(shù)據(jù)越來越多，越來越龐雜。薔薇靈動認為以往防火墻解決南北向流量（即數(shù)據(jù)中心外部用戶和內部服務器之間交互的流量）的安全手段難以復用，那如何保障東西向流量（即數(shù)據(jù)中心內部服務器之間交互的流量）的安全成為了一個新話題。

微隔離（Micro-segmentation）定義

微隔離（Micro-segmentation）的定義是一種能夠適應虛擬化部署環(huán)境，識別和管理云平臺內部流量的隔離技術。薔薇靈動創(chuàng)始人嚴雷解釋道，微隔離要實現(xiàn)的是東西向流量的防御，對東西向的流量進行點到點的訪問控制。

薔薇靈動

微隔離的作用

薔薇靈動嚴雷曾舉例來描述過微隔離的作用，比如當一個用戶做一次簡單的互聯(lián)網(wǎng)訪問時，系統(tǒng)內部會進行非常多操作。在用戶點擊頁面后，后臺系統(tǒng)需要進行從外部頁面到內部系統(tǒng)的轉化，這個過程會產(chǎn)生對數(shù)據(jù)的請求，數(shù)據(jù)之間也許還需在多個數(shù)據(jù)庫中協(xié)同工作，然后再原路返回呈現(xiàn)結果。雖然整個過程對于用戶來說只是進行了一次訪問，但會在數(shù)據(jù)中心內部產(chǎn)生數(shù)十次調用。這些數(shù)據(jù)（點和點）是以正交的方式相連，但由于沒有確定的關鍵路徑，所以無法通過防火墻的方式完成安全部署。并且基于防火墻的安全策略管理和隔離都發(fā)生在防火墻設備上，這些策略一般在防火墻上線部署時隨之一起配置，在整個防火墻的生命周期內基本不做調整。但在云計算時代，大量分散且獨立工作的控制點非常難以維護，導致了云使用者只能在安全和業(yè)務之間做出二選一的選擇，而微隔離技術就是基于此解決這些問題。

薔薇靈動圖二

基于白名單的微隔離策略實施方法

在薔薇靈動創(chuàng)始人嚴雷看來，微隔離是一個市場用語，更精準地技術表達應該是軟件定義隔離。這是因為這種技術和一切軟件定義的技術都有一個相似性——集中的策略管理和分散的策略執(zhí)行。

在薔薇靈動的微隔離場景下，集中的策略管理是通過Agent的自學習功能，在策略管理平臺形成云計算業(yè)務拓撲，設置白名單策略。再具體點來說，這個策略管理不是面向資產(chǎn)來做，而是基于業(yè)務拓撲設計一個通用的策略準則，每一個資產(chǎn)根據(jù)自己的實際情況來判斷自身是不是適用這個準則，然后再進行計算。分散的策略執(zhí)行是說控制點可以分散到每一個云內的資產(chǎn)上，二者結合構成一個軟件定義隔離的形態(tài)。

可以看出，薔薇靈動的微隔離所采用的策略是白名單，白名單相比黑名單安全性更高，但白名單策略只能在高度確定化的場景下使用。舉例而言，企業(yè)的辦公網(wǎng)絡是一個不確定的場景，因為辦公網(wǎng)絡上會連接許多個人設備，而設備上會安裝一些無法被掌控的個人軟件，這造成了辦公網(wǎng)絡的不確定性。但和辦公網(wǎng)絡不同，數(shù)據(jù)中心的每一臺服務器都有明確的使用方向，所以基于數(shù)據(jù)中心的云計算是一個高度確定化的場景，在此情況下使用白名單這種高安全性策略是可行的。

但接下來的問題是，黑名單的策略可以通過已知的惡意行為設計，但東西向流量的白名單策略往往難以設計。這是由于整個數(shù)據(jù)中心的業(yè)務經(jīng)常由許多團隊分布式開發(fā)，彼此之間也會存在各種各樣的調用，所以企業(yè)內部常常也無法了解自己數(shù)據(jù)中心的內部調用關系。以往大家的一些做法是進行區(qū)域隔離，即把數(shù)據(jù)中心內部的服務器劃分成幾個大區(qū)，進行一些跨大區(qū)的檢查，但更精細的隔離手段無法實現(xiàn)。

薔薇靈動的方式是先解決業(yè)務分析的問題。該公司的業(yè)務分析是基于分散在每一個虛擬機或容器宿主機上的Agent，全局收集信息，依靠計算引擎繪制出完整的內部業(yè)務拓撲，從而生成基于業(yè)務學習的白名單策略。

薔薇靈動拓撲

在薔薇靈動看來，在后期學習生成業(yè)務拓撲之外還有另外一種方法——安全左移，指的是企業(yè)在研發(fā)的同時一并考慮網(wǎng)絡隔離的問題。這需要安全策略的設計者是業(yè)務研發(fā)人員，因為只有業(yè)務的研發(fā)人員了解軟件應用的業(yè)務調用關系，他們可以用策略管理語言寫明業(yè)務隔離要求，這種情況下業(yè)務可以和安全同時交付。

并且，由于安全策略的生成基于業(yè)務標簽而非具體資產(chǎn)（如服務器IP等），所以當云數(shù)據(jù)中心環(huán)境發(fā)生變化時時，薔薇靈動也可以根據(jù)這套策略自動調整，識別新的網(wǎng)絡參數(shù)變化（角色靠配置），自動配置安全策略，避免管理員手動配置。

而且為了確保策略的有效性，薔薇靈動將策略分為測試狀態(tài)和防護狀態(tài)。在測試狀態(tài)中，策略并沒有真實的部署在節(jié)點上，而是模擬策略計算展現(xiàn)可能的結果。只有真正驗證過后才會上線真正的策略，以避免破壞業(yè)務同時又保證效果真實。在防護過程中，薔薇靈動還會持續(xù)記錄東西向訪問，作為必要時的溯源工具。

微隔離服務能力

薔薇靈動嚴雷認為，目前使用微隔離技術管理東西向流量的難點在于計算量。由于數(shù)據(jù)中心內部的點和點之間呈現(xiàn)正交結構，所以計算的復雜度會隨著管理的體量增長而呈現(xiàn)指數(shù)性變化。一開始薔薇靈動只能管理數(shù)百點，現(xiàn)在通過回傳數(shù)據(jù)調整、數(shù)據(jù)庫分類存儲等方式可以達到單機管理2000點的水平，而通過集群部署方式，薔薇靈動可以支撐數(shù)萬點的微隔離服務能力。

目前，薔薇靈動主要服務于金融、能源、運營商等行業(yè)的頭部客戶。原因包括，首先小客戶由于業(yè)務并不復雜等原因，對基于業(yè)務進行微隔離的安全策略需求暫時還不明顯。然而大型客戶由于內部業(yè)務復雜，需求主要包括復雜場景下的業(yè)務流分析、海量的安全策略運維、混合架構的統(tǒng)一安全管理等。薔薇靈動可以通過基于業(yè)務的策略制定、自適應的安全策略以及統(tǒng)一架構的管理，幫助客戶滿足這些需求。其次，微隔離的實現(xiàn)難點在于計算量，服務大型客戶有利于幫助薔薇靈動積累大規(guī)模線上場景。

薔薇靈動大規(guī)模線上場景

薔薇靈動于2017年開始商業(yè)化探索，2019年營收達到千萬級別。2020年為了推廣之前積累的成功經(jīng)驗，薔薇靈動在深圳、上海設立新辦事處服務各行各業(yè)的大型客戶。

在薔薇靈動嚴雷看來這也是公司在市場中的一個優(yōu)勢——薔薇靈動是首批將微隔離理念引進國內的企業(yè)，先發(fā)的技術優(yōu)勢可以幫助其拿下更多的大型客戶，而大型客戶又能幫助薔薇靈動不斷優(yōu)化計算方式，積累服務大規(guī)模場景的經(jīng)驗。

團隊方面，薔薇靈動CEO 嚴雷先后歷任JUNIPER北京研發(fā)中心高級工程師、網(wǎng)康科技產(chǎn)品市場總監(jiān)、遠江盛邦CMO，CTO陳天航曾任網(wǎng)康NGFW架構師，曾是國內最早的X86萬兆防火墻的主要開發(fā)者。團隊目前約有50人，員工此前大多擁有網(wǎng)絡安全行業(yè)背景。

責任編輯：李編