新闻动态

36氪:提供微隔离软件定义安全产品,「蔷薇灵动」想帮企业管理东西向流量

作者:真梓

在云时代,企业在实现功能时所需调用的数据越来越多,以往防火墙解决南北向流量(即数据中心外部用户和内部服务器之间交互的流量)的安全手段难以复用,如何保障东西向流量(即数据中心内部服务器之间交互的流量)的安全成为一个新话题。36氪日前接触到的一家网络安全公司——蔷薇灵动希望通过微隔离的手段帮助企业在云时代实现对数据中心的安全管理。

微隔离(Micro-segmentation)的定义是一种能够适应虚拟化部署环境,识别和管理云平台内部流量的隔离技术。通俗地理解,微隔离要实现的是东西向流量的防御,对东西向的流量进行点到点的访问控制。

以往的防火墙技术是在南北向流量之间的路径关键点上去做防御,但在云计算场景之下,内部的访问关系是网状结构,有多条可达路径,这带来的后果是关键路径无法被找到,所以过去的防火墙技术无法解决云环境下的东西向流量的安全管理问题。

举个例子,当一个用户做一次简单的互联网访问时,系统内部会进行非常多操作。当用户点击页面,系统需要进行从外部页面到内部系统的转化,这个过程会产生对数据的请求,数据之间也许还需在多个数据库中协同工作,然后再原路返回呈现结果。整个过程对于用户来说只是进行了一次访问,但会在数据中心内部产生数十次调用。这些数据(点和点)是以正交的方式相连,但由于没有确定的关键路径,所以无法通过防火墙的方式完成安全部署。并且基于防火墙的安全策略管理和隔离都发生在防火墙设备上,这些策略一般在防火墙上线部署时随之一起配置,在整个防火墙的生命周期内基本不做调整。但在云计算时代,大量分散且独立工作的控制点非常难以维护,导致了云使用者只能在安全和业务之间做出二选一的选择,而微隔离可以解决这些问题。

在蔷薇灵动创始人严雷看来,微隔离是一个市场用语,更精准地技术表达应该是软件定义隔离。这是因为这种技术和一切软件定义的技术都有一个相似性——集中的策略管理和分散的策略执行。

在蔷薇灵动的微隔离场景下,集中的策略管理是通过Agent的自学习功能,在策略管理平台形成云计算业务拓扑,设置白名单策略。再具体点,这个策略管理不是面向资产来做,而是基于业务拓扑设计一个通用的策略准则,每一个资产根据自己的情况来判断自身是不是适用这个准则,然后再进行计算。分散的策略执行是说控制点可以分散到每一个云内的资产上,二者结合构成一个软件定义隔离的形态。

可以看出,微隔离所采用的策略是白名单,白名单相比黑名单安全性更高,但白名单策略只能在高度确定化的场景下使用。举例而言,企业的办公网络是一个不确定的场景,因为办公网络上会连接许多个人设备,而设备上会安装一些无法被掌控的个人软件,这造成了办公网络的不确定性。但和办公网络不同,数据中心的每一台服务器都有明确的使用方向,所以基于数据中心的云计算是一个高度确定化的场景,在此情况下使用白名单这种高安全性策略是可行的。

但接下来的问题是,黑名单的策略可以通过已知的恶意行为设计,但东西向流量的白名单策略往往难以设计。这是由于整个数据中心的业务经常由许多团队分布式开发,彼此之间也会存在各种各样的调用,所以企业内部常常也无法了解自己数据中心的内部调用关系。以往大家的一些做法是进行区域隔离,即把数据中心内部的服务器划分成几个大区,进行一些跨大区的检查,但更精细的隔离手段无法实现。

蔷薇灵动的方式是先解决业务分析的问题。该公司的业务分析是基于分散在每一个虚拟机或容器宿主机上的Agent,全局收集信息,依靠计算引擎绘制出完整的内部业务拓扑,从而生成基于业务学习的白名单策略。

在后期学习生成业务拓扑之外还有另外一种方法——安全左移,指的是企业在研发的同时一并考虑网络隔离的问题。这需要安全策略的设计者是业务研发人员,因为只有业务的研发人员了解软件应用的业务调用关系,他们可以用策略管理语言写明业务隔离要求,这种情况下业务可以和安全同时交付。

并且,由于安全策略的生成基于业务标签而非具体资产(如服务器IP等),所以当云数据中心环境发生变化时时,蔷薇灵动也可以根据这套策略自动调整,识别新的网络参数变化(角色靠配置),自动配置安全策略,避免管理员手动配置。

而且为了确保策略的有效性,蔷薇灵动将策略分为测试状态和防护状态。在测试状态中,策略并没有真实的部署在节点上,而是模拟策略计算展现可能的结果。只有真正验证过后才会上线真正的策略,以避免破坏业务同时又保证效果真实。在防护过程中,蔷薇灵动还会持续记录东西向访问,作为必要时的溯源工具。

严雷认为,目前使用微隔离技术管理东西向流量的难点在于计算量。由于数据中心内部的点和点之间呈现正交结构,所以计算的复杂度会随着管理的体量增长而呈现指数性变化。一开始蔷薇灵动只能管理数百点,现在通过回传数据调整、数据库分类存储等方式可以达到单机管理2000点的水平,而通过集群部署方式,蔷薇灵动可以支撑数万点的微隔离服务能力。

目前,该公司主要服务于金融、能源、运营商等行业的头部客户。原因有二,首先小客户由于业务并不复杂等原因,对基于业务进行微隔离的安全策略需求暂时还不明显。然而大型客户由于内部业务复杂,需求主要包括复杂场景下的业务流分析、海量的安全策略运维、混合架构的统一安全管理等。蔷薇灵动可以通过基于业务的策略制定、自适应的安全策略以及统一架构的管理,帮助客户满足这些需求。第二,微隔离的实现难点在于计算量,服务大型客户有利于帮助蔷薇灵动积累大规模线上场景。在严雷看来这也是公司在市场中的一个优势——蔷薇灵动是首批将微隔离理念引进国内的企业,先发的技术优势可以帮助其拿下更多的大型客户,而大型客户又能帮助蔷薇灵动不断优化计算方式,积累服务大规模场景的经验,

该公司于2017年开始商业化探索,2019年营收达到千万级别。由于产品的标准化打磨已完成,2020年的重点是推广之前积累的成功经验,为此公司今年会在深圳、上海设立新办事处服务各行各业的大型客户,计划比去年增长200%的营收。

团队方面,CEO 严雷先后历任JUNIPER北京研发中心高级工程师、网康科技产品市场总监、远江盛邦CMO,CTO陈天航曾任网康NGFW架构师,曾是国内最早的X86万兆防火墙的主要开发者。团队目前约有30人,员工此前大多拥有网络安全行业背景。

在国外提供类似服务的还有美国公司Illumio。这家公司成立于2013年,在2019年已完成6500万美元E轮融资,是全球13家安全行业独角兽公司之一。客户包括Salesforce、摩根士丹利、法国巴黎银行和Oracle NetSuite等。