新闻动态
「国产化替代指南」蔷薇灵动何以成为微隔离领域的唯一可选项
发布时间:
2022-07-04 10:20
来源:
作者:
访问量:
近日,国内专业网安行业加速器机构斯元商业咨询正式发布了2022第1版「网络安全科技供应链报告:厂商成分分析及国产化替代指南」,在“基于身份的隔离”产品(即“微隔离”)技术分类栏,已在国内开展业务的国际厂商包括Illumio、Akamai、Microsoft、Cisco、Palo Alto、ColorTokens、Zscaler,而蔷薇灵动则成为在该领域唯一的国产化替代选项。

近日,国内专业网安行业加速器机构斯元商业咨询正式发布了2022第1版「网络安全科技供应链报告:厂商成分分析及国产化替代指南」,报告分析了当前在国内有业务开展、已为国内甲方企事业单位采购使用的全球及中国港澳台地区的主流网络安全科技供应链厂商,并基于这些厂商所涉及的产品技术分类,提供相应的国产化替代厂商指南。
报告显示,在“基于身份的隔离”产品(即“微隔离”)技术分类栏,已在国内开展业务的国际厂商包括Illumio、Akamai、Microsoft、Cisco、Palo Alto、ColorTokens、Zscaler,而蔷薇灵动则成为在该领域唯一的国产化替代选项。
本报告尽管并非限制性的供应商短名单,但却从第三方中立机构的立场体现出了独特的视角。回归到报告本身,其提到分析和考量厂商时重点考虑了两个标准,一个是在国内已有业务开展,另一个则是已在甲方企事业单位采购并使用。朴素的理解,一是必须要有成熟的产品,二是一定要有实际的应用案例。我们认为,从产品和市场实践的角度来检验评判一个创新产品的应用成熟度,是客观、务实、再合适不过的。
从产品实践方面来讲,我们还是需要再谈一谈做微隔离这件事到底有多“难”。与很多基于开源组件深度开发的创新产品不同,微隔离并没有开源的系统或组件可以直接利用,这就需要产品研发必须攻克一系列的技术难题。尽管“访问控制”是一件用户做了几十年的事情,但区别于过去长期实践的南北向流量访问控制,微隔离的系统架构是不一样的,访问控制模式是不一样的,策略管理框架也是不一样的。
顾名思义“微”隔离就是要做到更细粒度的分段控制,而不是像南北向的“内”与“外”之分,这意味着微隔离必须能够实现全部东西向流量的统一管理,因此微隔离的系统架构必须从独立部署、分散决策走向软件定义架构,就像Gartner在2015年首次提出这项技术的时候那样,直接给他取了个在当时看更加形象的名字“软件定义隔离(Software-defined segmentation)”。软件定义的系统架构,使得微隔离的策略可以集中决策、分布执行,即全局的策略均由计算中心统一控制、计算和更新,然后针对性的分发到位于工作负载运行环境的策略控制点各自执行,基于这样的架构才实现了微隔离既要统管全局,又要精细控制的基本要求。
众所周之,在云化环境中IP地址已经不再可信,微隔离要做出的另一项重大改变,便是必须实现安全策略“去IP化”,只有这样才能实现“IP随时飘、策略同步变”的自适应效果。这意味着微隔离访问控制模型的设计上需要从传统实践中的IP地址变成了工作负载身份,换言之,微隔离实际上是利用工作负载的身份,构建起一个Overlay的管理体系。同时,微隔离策略跟传统的南北向策略从设置的出发点上也有很大不同,基于零信任的思想和东西向流量的实际特点,安全策略的模式已经彻底从过去我们熟悉的“黑名单”,转变成了最小特权的“白名单”。
基于上述变化,微隔离系统在概念模型上必须做出对应的创新设计,来满足全新的架构、策略体系和管理运行逻辑的实现,从0到1的研发难度是极大的。
与微隔离技术无开源实现可利用一样,由于东西向管理这件事在过去几乎是所有用户的建设空白,这也就意味着在微隔离的项目交付上并没有太多的成功经验可以借鉴。
因此,有产品≠能落地。大量实践经验表明,一个在测试环境功能完善的微隔离产品,到了现网环境中依然需要面临诸多挑战,一个解决不了就有可能导致全盘受阻。
首当其冲的,是微隔离系统对架构和环境的适应性。在传统的边界控制领域,考验的是防火墙对网络协议的兼容程度,而经过多年沉淀,在此方面已形成一系列成熟、标准、固定的范式,只要支持标准的协议,数据的转发就不会受到影响,“盒子”可以很容易部署进系统内。而在微隔离领域,则需要系统适应不同的云架构和数据中心环境,纳管虚拟机、容器等各类工作负载,兼容不同的操作系统和硬件平台。对于多数用户的选型,满足了这项条件,才可称之为“能用”。
其次,云环境具有天然的高度可编排能力,使得其内部环境更加复杂,比如经常会出现一个工作负载配置多个接口、多个IP的情况,又比如在东西向的连接中出现了复杂的地址转换、代理访问的情况等。在落地实施过程中,这些“预料之外”的问题都会接踵而至。因此,微隔离系统对于复杂环境下的需求满足度,完全可以决定系统交付成功与否。
最后,由于微隔离始终是个“深入业务”的系统,因此其部署安装必须满足用户的管理规范,其运行管理则必须与用户的运维流程紧密契合。事实上,在实际的运用中,微隔离系统或多或少的需要面临一些“非功能”类的验证,比如产品部署安装的方式、所需要的依赖库、所需分配的系统权限等,均会被提出具体的要求,不满足则必须进行优化整改。此外,微隔离项目的实施和日后运行,也需要基于用户的实际情况做出针对性的方案设计。
蔷薇灵动早在2017年即进行微隔离相关技术研究,2018年发布了基于主机代理形态的微隔离产品,正式将基于主机Agent形态的微隔离技术引入中国,是国内市场基于主机代理技术路线的首创者。

由于基于主机Agent路线,与基础架构无关的特性,利用Agent与操作系统的广泛兼容性,规避了适应各类云环境架构的难度,实现了跨数据中心、跨平台的东西向流量统一管理,得到了客户的广泛认同,得以迅速推广,该路线现已成为实现微隔离主流技术路线,蔷薇灵动产品实践完整经历了微隔离由泡沫谷底走向主流应用的全周期过程。
在这个过程中,蔷薇灵动基于自身产品创新实践,也积极推动行业标准的编制,2018年,公司即支撑中国网络安全审查技术与认证中心发布国内首个、目前唯一的微隔离技术标准(ISCCC-TR-076-2018 微隔离产品安全技术要求),先后参与了《零信任实战白皮书》、《零信任系统技术规范》团体标准及《零信任接口应用白皮书(2021)》的编写工作。事实上推动了微隔离产品品类在国内市场的建立。蔷薇灵动蜂巢自适应微隔离安全平台也成为业内首个获得可信云零信任安全能力评估认证,首个通过“先进网络安全能力验证评估计划”的微隔离产品。
蔷薇灵动微隔离产品已在政府、金融、军工、能源、运营商、互联网等多领域的头部客户核心场景处得到成功运用,标杆用户包括中石油、中海油、国能集团、华润集团等。经过长期的产品打磨,公司产品不但满足了金融级客户的需求,同时也在诸多的客户中总结出了一套固定的方法论--基于“五步法”通过循序渐进的方式逐步实现微隔离策略从规划设计、到定义分发、再到执行优化的管理闭环,是面向云计算、云原生环境实施微隔离的最佳实践。2021年,公司在国内某大型互联网金融企业完成超3万点的超大规模微隔离系统部署,是当前国内市场可观察的最大规模微隔离部署案例。
中国企业在过去数十年的科技发展中已高度嵌入全球供应链体系,技术竞争与经济博弈,导致了中断风险的客观存在。如何构建安全可控的网络安全科技供应链,逐步打造并完善“内外双供应链”,是中国众多关键基础设施企业有效防范全球网络安全科技供应链中断的必然选择。此次入选「国产化替代指南」,是业界对蔷薇灵动技术先进性、产品可靠性和服务专业性的重要认可与肯定,充分证明蔷薇灵动的技术、产品与服务在满足市场需求、引领行业发展方面处于行业领先水平。
未来,蔷薇灵动将继续紧跟零信任前沿技术步伐,持续创新,保持产品与技术的领先优势,不断更新产品体系和解决方案,加速技术、产品和复杂多变的业务场景深度融合,提升用户的网络安全防护能力,为中国的信息化和智能化安全保驾护航。
微隔离,蔷薇灵动