摘要:微隔离技术还是存在一些其自身的限制因素,因为在南北向流量的安全,微隔离技术还是无法进行完全的颠覆。

ISC 2018大会云安全高峰论坛会议现场现场火爆,专家学者共聚一堂热烈讨论云安全技术领域新的技术和研究成果。会上,北京蔷薇灵动科技有限公司CEO严雷做了关于《微隔离如何颠覆防火墙》的主题讲演,提出了“微隔离将颠覆防火墙”的新观点。

第一、其从云的规模庞大、极其复杂、快速变化的特点出发设计产品,提出云安全产品设计理念。

1.  设计云安全产品要充分考虑规模庞大因素;

设计云安全产品要考虑云规模非常庞大的情况下,量变引起质变,传统的资源池引流方案将出现瓶颈,东西向流量将是南北向流量的20倍以上的流量,这对于防火墙将出现性能瓶颈。

2.  设计云安全产品要充分考虑环境极其复杂因素:

对于规模庞大、环境极其复杂、产品部署及运维将是一个极其重要的内容,部署成本和运维成本,决定着项目的成败。

3.  计云安全产品要充分考虑快速变化因素:

云环境的快速变化要求安全策略能够与快速变化的业务跟随。

第二、未来的云安全产品要做到可视化、要能够进行负载控制、要足够便宜且要能够软件定义:

1.  云安全产品要能够可视化,云安全产品要能够看到云内东西向流量,因为可视化的东西向流量是云安全策略的依据;

2.  云安全产品要能够负载控制,以往产品大多是检测、感知设备,不具有控制能力,但是云安全产品要能够进行工作负载控制(可以理解为一个业务实例,例如一个虚机、一个容器)

3.  云安全产品的控制点要足够的便宜,云安全产品的控制点在规模庞大的情况下,一定要足够的便宜,包括价格和资源开销,否则将是一笔巨额的成本。

4.  云安全产品一定要可以软件定义,可以通过自动化的软件定义,提高策略维护效率,能够自动化的根据业务随时变化,避免效率低下的人工配置。

第三、微隔离从如下几个方面对防火墙进行颠覆

1.  微隔离控制改变以往防火墙基于五元组的策略,改为以非IP化的业务为控制点,控制更加精准,安全能力大幅提升;

2.  摒弃以安全域为控制对象的管控,改为以点对点的控制,控制粒度更细;

3.  大幅减少安全策略,降低安全开销;

4.  安全运维完全自动化,做到安全策略与业务同步跟随,

通过以上观点,结合项目实际情况,可以发现云安全在引流方式解决东西向流量时确实存在一些瓶颈问题,但是要颠覆防火墙,鄙人认为,微隔离技术还是存在一些其自身的限制因素,因为在南北向流量的安全,微隔离技术还是无法进行完全的颠覆。但是瑕不掩瑜,其在东西向流量上的安全隔离技术确实存在着很大的创新,在对于传统的引流解决方案,做到安全策略完全自动跟随业务、并且做到安全策略自动调整还是很困难的,而微隔离可以做到件定义安全、实现环境隔离、域间隔离、端到端隔离、根据环境变化自动实现策略调整,为云安全的发展将作出很大的贡献。

(本文作者:360企业安全技术专家 高强)