三级片在线观看网址|国产av约操探花|久久最新最好视频|AV一区二区免费看|制服丝袜国产日韩一区二区三区|加勒比无码一区二区|激情动漫美女视频久久|国自拍第一页日韩综合伊人|成人无码AV喷潮|亚洲自拍婷婷五月天

在以“新基建 新安全”為主題的首屆灣區(qū)創(chuàng)見(jiàn)網(wǎng)絡(luò)安全大會(huì)上,薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷作為零信任細(xì)分技術(shù)領(lǐng)域的創(chuàng)新型公司代表,被邀請(qǐng)?jiān)诹阈湃畏终搲吓c行業(yè)巨頭同臺(tái)競(jìng)技,向全行業(yè)介紹微隔離技術(shù)。

對(duì)于關(guān)注云安全的企業(yè)來(lái)說(shuō),“微隔離”一詞并不算陌生,但“微隔離”究竟是怎樣一種技術(shù)?它的目的和價(jià)值何在?企業(yè)為什么要引入“微隔離”?我們來(lái)看一下專(zhuān)業(yè)人士——薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷帶來(lái)的“微隔離”科普。

微隔離更恰當(dāng)?shù)姆g是“微分段”

薔薇靈動(dòng)嚴(yán)雷談到,如果從直譯的角度說(shuō),相較于更被大家所熟知的“微隔離”而言,“微分段”應(yīng)該是更恰當(dāng)?shù)姆g。因?yàn)樗聦?shí)上很直觀的指出了這個(gè)技術(shù)最樸素的一個(gè)含義,那就是把一個(gè)無(wú)結(jié)構(gòu)無(wú)邊界的網(wǎng)絡(luò)分成好多邏輯上的微小網(wǎng)段,以確保每一個(gè)網(wǎng)段上只有一個(gè)計(jì)算資源,而所有需要進(jìn)出這個(gè)微網(wǎng)段的流量都需要經(jīng)過(guò)訪問(wèn)控制設(shè)備。但是,不知道什么原因,微分段的名字沒(méi)有流傳開(kāi),反倒是不那么準(zhǔn)確的微隔離流傳開(kāi)了。薔薇靈動(dòng)嚴(yán)雷認(rèn)為,似乎可以這樣理解,相較于直譯的“微分段”,從意譯的角度看,微隔離則更加準(zhǔn)確。因?yàn)樗鼫?zhǔn)確地反映了這個(gè)技術(shù)的目的和價(jià)值,那就是在一個(gè)沒(méi)有任何訪問(wèn)控制能力的網(wǎng)絡(luò)中,創(chuàng)造出一個(gè)全面可控的零信任網(wǎng)絡(luò),從而讓每一個(gè)資源都可以被邏輯地與其他資源隔離開(kāi)。

談到這里,薔薇靈動(dòng)嚴(yán)雷指出,事實(shí)上網(wǎng)絡(luò)安全產(chǎn)品一直就有兩種命名方式。比如說(shuō)漏洞掃描、殺毒軟件、網(wǎng)頁(yè)防篡改一類(lèi)的名字就是很準(zhǔn)確地闡述這個(gè)產(chǎn)品的功能。但是還有一類(lèi),比如防火墻、下一代防火墻、堡壘機(jī)這樣的名字就沒(méi)有直接對(duì)技術(shù)進(jìn)行描述,但同時(shí)又很形象的反映了產(chǎn)品的價(jià)值和目的,因此也被人們認(rèn)可和廣泛使用。因此微隔離這個(gè)名字,雖然不是完全的準(zhǔn)確,但也不妨礙其成為更加被大家所認(rèn)可所接受的命名。

微隔離顛覆了防火墻

業(yè)界一直流傳一句話,微隔離必將而且正在顛覆防火墻,那么這句話究竟反映了什么樣的技術(shù)判斷和發(fā)展趨勢(shì)呢。薔薇靈動(dòng)嚴(yán)雷先生指出,顛覆防火墻的其實(shí)不是微隔離,而是云計(jì)算。防火墻有其誕生的歷史背景,在防火墻被設(shè)計(jì)的時(shí)候,網(wǎng)絡(luò)是靜態(tài)的,IP地址具備穩(wěn)定的身份屬性,也就是說(shuō)IP地址與資產(chǎn)之間具備穩(wěn)定的一一對(duì)應(yīng)關(guān)系,因此這個(gè)時(shí)候就出現(xiàn)了以IP地址作為基本表達(dá)方式的防火墻技術(shù)。

但是隨著云計(jì)算、物聯(lián)網(wǎng)等基礎(chǔ)設(shè)施的廣泛部署,IP地址不再是一個(gè)被靜態(tài)配置的常數(shù),而是變成了一種池化的,動(dòng)態(tài)分配的變量。換言之,IP地址不再具備資源的標(biāo)識(shí)信息價(jià)值,而是作為一個(gè)通信用的臨時(shí)性變量而存在。這帶來(lái)一個(gè)非常重大的影響,那就是以IP地址為基本元語(yǔ)的防火墻失去了最核心的表達(dá)方式。取而代之的則是包括微隔離在內(nèi)的以邏輯標(biāo)識(shí)為基本元語(yǔ)的新一代網(wǎng)絡(luò)安全技術(shù)。

微隔離帶來(lái)的技術(shù)復(fù)雜度前所未有

許多人剛剛接觸微隔離技術(shù)的時(shí)候會(huì)認(rèn)為這是一種簡(jiǎn)單的技術(shù),從其部署方式看就是一種主機(jī)軟件而已。針對(duì)這樣的觀點(diǎn),嚴(yán)雷從軟件產(chǎn)品計(jì)算復(fù)雜度的角度出發(fā)對(duì)微隔離技術(shù)的計(jì)算特點(diǎn)進(jìn)行了闡釋。

嚴(yán)雷將安全產(chǎn)品分為三類(lèi)計(jì)算復(fù)雜度類(lèi)型。

第一類(lèi),稱(chēng)為O(1)型產(chǎn)品。也就是說(shuō)不管部署規(guī)模有多大,這個(gè)產(chǎn)品的計(jì)算復(fù)雜度都是一個(gè)常量,比如傳統(tǒng)的殺毒軟件等主機(jī)安全產(chǎn)品基本都屬于這個(gè)類(lèi)型。當(dāng)然,這不是說(shuō)這類(lèi)產(chǎn)品的難度就低,而只是說(shuō)它的難度不會(huì)隨著其管理規(guī)模的擴(kuò)大而變化,在一臺(tái)機(jī)器上部署和在一萬(wàn)臺(tái)機(jī)器上部署,其軟件復(fù)雜度不會(huì)有什么變化。

第二類(lèi)產(chǎn)品,被稱(chēng)為O(n)型產(chǎn)品,它的計(jì)算復(fù)雜度隨著管理規(guī)模的增長(zhǎng)呈現(xiàn)線性增長(zhǎng)。最典型的O(n)型產(chǎn)品就是防火墻,管理一個(gè)小規(guī)模網(wǎng)絡(luò),我們需要一臺(tái)100M吞吐的防火墻,而管理一個(gè)規(guī)模網(wǎng)絡(luò),我們就需要一臺(tái)1000M的防火墻,更大的網(wǎng)絡(luò)則需要萬(wàn)兆防火墻甚至T級(jí)防火墻。O(n)型產(chǎn)品的復(fù)雜度,隨著其管理規(guī)模的增長(zhǎng)出現(xiàn)線性增長(zhǎng),越是高端的防火墻越難做,需要的計(jì)算資源越多,當(dāng)然價(jià)格也越貴。

而微隔離代表的則是第三種類(lèi)型。因?yàn)槲⒏綦x要解決的是數(shù)據(jù)中心內(nèi)部,任意兩個(gè)點(diǎn)之間的業(yè)務(wù)關(guān)系與訪問(wèn)控制問(wèn)題,因此其計(jì)算復(fù)雜度與其管理規(guī)模呈現(xiàn)為平方的關(guān)系,準(zhǔn)確地說(shuō)是(n^2)/ 2。然而,云計(jì)算的動(dòng)態(tài)特征又引入了時(shí)間上的復(fù)雜度,所以微隔離產(chǎn)品的計(jì)算復(fù)雜度可以表達(dá)為O(t*(n^2)/2)。這樣的復(fù)雜度可以說(shuō)是我們過(guò)去不曾遇到的,是因?yàn)榱阈湃蔚囊攵鴰?lái)的一種面向全網(wǎng)絡(luò)關(guān)系所必然導(dǎo)致的一種復(fù)雜度。隨著管理規(guī)模的增長(zhǎng),其計(jì)算復(fù)雜度極快增長(zhǎng),管理1000臺(tái)虛擬機(jī)的難度是管理100臺(tái)虛擬機(jī)的100倍而不是十倍。而我們能夠利用的算力是不可能以指數(shù)形式堆疊增長(zhǎng)的,所以,基本上管理規(guī)模每放大十倍,產(chǎn)品就必須重構(gòu)一次了。嚴(yán)雷先生不無(wú)感慨地說(shuō),薔薇靈動(dòng)這幾年,就是這樣從300臺(tái)的管理能力,到3000臺(tái),再到現(xiàn)在的15000臺(tái),無(wú)數(shù)次地重構(gòu),堪稱(chēng)步步艱辛,但回過(guò)頭看,也充滿了成就感。

微隔離是零信任的核心技術(shù)模塊

在介紹微隔離與零信任的關(guān)系時(shí),嚴(yán)雷引用了Forrester,Gartner,NIST的相關(guān)資料予以說(shuō)明?？梢钥吹?在各種權(quán)威機(jī)構(gòu)的理論體系中,都把微隔離放在了一個(gè)核心的位置上,并與IAM技術(shù),SDP技術(shù)一道構(gòu)成了零信任領(lǐng)域的三個(gè)技術(shù)基石。而關(guān)于這三個(gè)技術(shù)彼此之間的關(guān)系,嚴(yán)雷給出了一個(gè)簡(jiǎn)單而生動(dòng)的解答。

IAM技術(shù)主要是回答網(wǎng)絡(luò)中有哪些物理和邏輯的資源實(shí)體,以及這些資源之間彼此的訪問(wèn)關(guān)系授權(quán)。由于零信任技術(shù)的特點(diǎn)就是直接面向資源而不是面向網(wǎng)路的,因此就需要一個(gè)在全局生效的IAM體系,用以為SDP和微隔離技術(shù)提供策略基礎(chǔ)。而SDP和微隔離技術(shù)的區(qū)別在于,SDP用以解決從數(shù)據(jù)中心外部(不再區(qū)分辦公網(wǎng)和互聯(lián)網(wǎng))安全地訪問(wèn)數(shù)據(jù)中心的服務(wù)與數(shù)據(jù)的問(wèn)題。而微隔離技術(shù)則用于解決數(shù)據(jù)中心內(nèi)部流量的識(shí)別與訪問(wèn)控制問(wèn)題。這兩個(gè)技術(shù)就把數(shù)據(jù)中心全部流量(南北向,東西向)都管理起來(lái)了。

微隔離實(shí)踐離不開(kāi)五步工作法

當(dāng)談到微隔離的五步工作法時(shí),嚴(yán)雷先生風(fēng)趣地指出,當(dāng)今做零信任,都是分五步,微隔離是五步,SDP也是五步,每個(gè)公司都是五步,不是五步就不正宗了。事實(shí)上,就連每一步的主要工作目標(biāo)也都是相近的,只不過(guò)在于具體技術(shù)場(chǎng)景相結(jié)合時(shí)會(huì)有一些實(shí)現(xiàn)上的差異。

就微隔離而言,主要分為定義、分析、設(shè)計(jì)、防護(hù)和持續(xù)監(jiān)控五個(gè)步驟。本質(zhì)上就是一個(gè)對(duì)特定業(yè)務(wù)系統(tǒng)進(jìn)行全面業(yè)務(wù)分析,并基于業(yè)務(wù)設(shè)計(jì)出一個(gè)適合本企業(yè)環(huán)境和要求的零信任網(wǎng)絡(luò)架構(gòu),并基于此實(shí)現(xiàn)全面的白名單訪問(wèn)控制的過(guò)程。

當(dāng)談到白名單訪問(wèn)控制時(shí),薔薇靈動(dòng)嚴(yán)雷充滿激情地講到,當(dāng)你切換到白名單防護(hù)狀態(tài)的那一刻,就是見(jiàn)證奇跡的時(shí)刻,就是你的網(wǎng)絡(luò)迎來(lái)新生的時(shí)刻。我們一切的管理,實(shí)際上一直圍繞著三個(gè)方向去努力,就是盡可能構(gòu)建解釋力,預(yù)測(cè)力和控制力。過(guò)去,我們對(duì)自己的網(wǎng)絡(luò)所知甚少,對(duì)它在特定任務(wù)下的表現(xiàn)完全沒(méi)有預(yù)見(jiàn)能力,而且也基本沒(méi)有有效的干預(yù)手段。當(dāng)我們以微隔離技術(shù)將網(wǎng)絡(luò)置于徹底的零信任白名單訪問(wèn)控制之下后,從此網(wǎng)絡(luò)就將進(jìn)入穩(wěn)態(tài)!也就是我們可以準(zhǔn)確的知道我們的網(wǎng)絡(luò)中發(fā)生的每一件事情,我們也可以很自信的說(shuō),這個(gè)網(wǎng)絡(luò)現(xiàn)在這樣,將來(lái)也將一直這樣,只要我不允許,它一定不會(huì)發(fā)生任何改變。而且我們擁有細(xì)粒度到每一個(gè)容器乃至每一個(gè)進(jìn)程的網(wǎng)絡(luò)訪問(wèn)控制能力,我們將真正成為網(wǎng)絡(luò)的主人。

在薔薇靈動(dòng)看來(lái),他們已經(jīng)預(yù)見(jiàn)到隨著零信任理念的盛行,云計(jì)算與大數(shù)據(jù)平臺(tái)的大范圍部署以及國(guó)家十四五期間關(guān)于數(shù)字化轉(zhuǎn)型的定調(diào),微隔離市場(chǎng)必將迎來(lái)一個(gè)爆發(fā)式的發(fā)展。為此他們除了在北京的總部之外,又新設(shè)立了上海分公司和深圳分公司,分別覆蓋京津冀、江浙滬和大灣區(qū)。

作為中國(guó)網(wǎng)絡(luò)安全行業(yè)的技術(shù)創(chuàng)新領(lǐng)導(dǎo)廠商,薔薇靈動(dòng)一直以來(lái)都是“零信任”理念和“微隔離”技術(shù)的倡導(dǎo)者和領(lǐng)軍者,始終以推動(dòng)中國(guó)云安全技術(shù)發(fā)展為己任。未來(lái),薔薇靈動(dòng)也將繼續(xù)為用戶提供全方位、更智能的安全解決方案。