近日，中国信息通信研究院（以下简称“中国信通院”）发布了面向云原生安全领域的“先进网络安全能力验证评估计划”第六期评估结果，蔷薇灵动蜂巢自适应微隔离安全平台V2.0经过严苛测试，顺利获得网络安全卓越验证示范中心和泰尔实验室联名颁发的“云（原生）安全产品检验证书”，成为业界首个通过“先进网络安全能力验证评估计划”的微隔离产品（项目序号：CCCoE-2022-CN-MS-001）。

本次先进网安能力验证首次采用了《网络安全产品能力评价体系 微隔离系统评价方法》（以下简称"《标准》"）进行检测，该项标准由中国信通院牵头编制，提出了针对微隔离关键能力的系统性测评方法，目前已通过中国通信标准化协会的立项审批，未来将成为我国通信行业的微隔离技术标准。

《标准》为中国信通院主导的“网络安全产品能力评价体系”系列标准之一，该项工作旨在通过科学、先进、可行的标准研究和推广，促进网络安全产业高质量发展，推动先进网络安全产品技术创新和应用，引导网络安全企业以产品质量和技术实力为发展导向，提高网络安全产品技术能力与服务质量。

那么，《标准》究竟从哪些方面评价一款安全产品的能力呢？

通过对系列标准的研究，其从功能性、性能效率、兼容性、易用性、可靠性、信息安全性、可维护性共7个方面，在统一框架下对不同类型的安全产品进行能力评估。

对于产品管理者来说，上述的几个考量维度不禁让人眼前一亮，相较过往熟悉的产品标准内容框架，《标准》在诸多方面都显示出了标新立异的创新性。

例如，在功能性的要求中，包括对功能完备性、正确性、适合性和对其他规范依从性的具体考虑。又如，在兼容性中，不但包括与其他系统的共存性，还明确提出与外部系统的互操作性。此外，将易用性、可维护性等相关要求写入产品标准的做法，在过去也并不常见。

作为产品首次送检该项标准并全项通过的厂商，蔷薇灵动在此结合自身的产品实践，分享对关键测评指标的理解，供用户选型及行业同仁参考。

功能指标始终是产品测评的重要考量，《标准》提出微隔离系统应具备工作负载管理、连接关系分析、隔离与访问控制和策略自适应计算四大核心功能，涉及14项测试用例，全面覆盖了用户对微隔离系统的基本预期。

在功能测试中，有如下几处给我们留下了深刻印象。

首先，在工作负载管理方面，重点考量了微隔离系统对工作负载进行分组和标签化管理的能力。在我们看来，这项能力是微隔离区别于传统访问控制手段的显著特征，基于此微隔离实现了脱离IP地址的访问控制，并且标签管理的灵活性则决定了微隔离控制的精细度。

（基于多维标签刻画工作负载业务属性）

其次，在连接关系分析方面则重点考量了微隔离系统对连接关系的可视化展现能力。事实上，很多用户认为，被厂商“神化”了多年的“可视化”技术，在过去很多年更像是个“花瓶”。而如今，可视化成了微隔离一项关键能力，要想“可控”首先必须“可视”，这也是我们常讲的“策略辅助设计”的具体体现。

（业务拓扑可视化视图）

另外，在策略管理方面，测评要求安全策略能够同平台纳管容器、虚拟机、实体服务器等多类工作负载，并灵活设置任何工作负载间的黑白名单策略，针对不同工作负载实现能力无差别的访问控制。我们认为，这项要求充分考虑了微隔离运用场景的实际，毕竟不同类型的工作负载一定会长期并存。

策略自适应计算是逢微隔离必谈的指标，测评也分别模拟了工作负载IP、分组、标签变化的情况验证策略是否可自适应更新。当然，从实际经验来看，我们认为比自适应计算功能更为重要的是在规模化场景下的性能表现。云原生环境工作负载规模庞大、连接关系更为复杂，频繁的容器上下线将给自适应计算带来极大的性能挑战，此方面的真实表现目前还只能在真实的用户场景中进行验证，是用户选型需着重评估考量的指标。

如果说功能性测试是对微隔离系统的基本要求，在《标准》中非功能性验证用例数量却超过了总用例数的2/3，在这些方面同样有几点令我们记忆深刻。

首先，在系统的兼容性评估方面，要求微隔离系统能够适应不同架构的云环境、容器环境，并能够兼容各类操作系统、硬件平台以及常用的应用软件。在我们看来，这些指标要求均指向一个目标，即微隔离应实现应管尽管、应控尽控，这个目标对“零信任”理念是极好的呼应，既然“谁都不信”便意味着“谁都要管”。

此外，测评中还要求微隔离系统应提供丰富的API接口，与外部系统实现联动。尽管《标准》无法限定具体的联动方案，但经验告诉我们，此方面的能力对微隔离系统现网落地至关重要。尤其是在云原生环境中，安全功能要适应DevOps流程的敏捷，必须通过高度可编排自动化应对云平台运维中的各类场景，而原生于微隔离系统的API接口是否丰富，很大程度上影响着微隔离能否快步规模化运用。

本文开篇提到，将易用性作为一项考量指标提出，在产品标准中体现了创新。易用性指标包括系统的操作友好性、配置易学性、批量化操作和误配置提示几方面，尽管这些看起来是一款优秀产品均应具备的能力，但对于尚处创新赛道的微隔离产品，能够更加客观的反映出产品的成熟度。根据很多用户的现身说法，当微隔离的纳管规模达到一定程度后，操作体验层面的问题将成为方案落地的关键问题。以一个具体的场景为例，如果微隔离系统无法实现批量的策略生成，那么依靠用户对海量东西向流量手工、逐条配置，恐怕没有几个方案能够真正落地。

（利用策略生成器批量生成安全策略）

当然，作为一款部署于核心场景、保护核心业务的安全产品，微隔离系统自身的可靠性、安全性重要程度自然无需多讲，测试中也围绕这些方面进行了充分的验证评估。

由此看来，“先进网安能力”评估确实并非定位于对安全产品提出必须满足的“基线”要求，而是从成熟度、先进性的角度提出了更为全面的考量维度，视角不仅仅局限于基础功能指标的满足，也同步考虑了产品方案落地和运行的切实需求，充分体现了开展该项目工作的初衷。

作为微隔离领域的长期实践着，蔷薇灵动近期发布面向云原生环境的微隔离新品，采用创新的守护容器方式，以“无代理”形态实现了专业微隔离能力在容器平台的原生化部署和运行。本次率先通过该项评估，既是对我们技术创新成果和产品能力的肯定，更代表着权威机构对微隔离市场强势发展趋势的认同。