網絡安全等級保護已經成為我國的基本網絡安全制度、基本國策,面對這樣一套網絡安全管理體系,企業應該如何去做?
在國內微隔離領域的領導廠商薔薇靈動看來,網絡安全等級保護與微隔離密不可分
薔薇靈動的兩位創始人作為安全領域的技術專家,面對網絡安全等級保護的理念和具體技術,他們深刻地認識到,現有的防火墻技術在網絡安全等級保護制度下,將面臨巨大挑戰,尤其是在云環境下將變得完全不可用。
經過長期的思考與技術預研,他們認為微隔離技術必將作為一項顛覆性技術,成為未來數據中心尤其是云化數據中心東西向網絡安全的基石,幫助用戶滿足網絡安全等級保護中關于內部安全的一系列要求。
網絡安全等級保護讓微隔離從高配變成標配
以網絡安全等級保護2.0技術標準正式發布為分水嶺,可以把微隔離產品的發展化為兩個時期。
在網絡安全等級保護2.0以前,微隔離技術屬于高配技術,他的核心驅動是兩個,一個是零信任的安全管理邏輯,一個是大規模云計算系統的安全運維需求。這時候主要部署微隔離技術的用戶包括:大型行業用戶、大型云計算用戶、以及高安全需求用戶。
而隨著等級保護2.0技術標準正式發布,微隔離技術已經從過去的高配變成標配。內部安全的重視不僅僅是在云環境,而是在全部計算環境,因為這些要求是出現在等級保護的通用安全要求部分。也就是說不管你是不是已經進行了云化或者虛擬化,你都必須要對你的數據中心進行白名單化管理。當然,在非云環境下,除了微隔離,還是有其他手段的,比如說,過去的銀行系統就通過部署大量的隔離防火墻來解決這個問題,不過這個開銷真不是普通用戶能承擔的了的。相較而言,更加輕量級的微隔離技術即使在傳統環境下也有著更好的可行性。
網絡安全等級保護2.0時代,以下用戶和場景應該盡快考慮部署微隔離技術以實現對內網流量的可視化管理與全面可控的策略設計。
1)各級電子政務云
2)企業私有云和數據中心
3)政府部委部署的數據中心,私有云和行業云
4)各種大數據計算平臺
5)政企用戶沒有部署過內部安全措施的數據中心
網絡安全等級保護中微隔離的部署方式
面對網絡安全等級保護,微隔離技術要管理的是由數千甚至數萬臺機器構成的大型計算環境,在部署這一技術時必然有一定的復雜性,通過長期的實踐,薔薇靈動總結出了一套自己的方法論:
薔薇靈動微隔離方法論
第一步,對東西向業務進行學習,繪制云內業務拓撲
薔薇靈動微隔離云內業務拓撲
第二步,業務梳理(確認)
這一步,在不同的用戶處不太一樣,有的用戶過去沒有完善的資產、業務與配置管理體系,這就需要首先建立起一套業務模型出來。這一步的工作量就變得比較大了,而且往往需要調度多個部門進行協作。不過,既然網絡安全等級保護2.0已經來了,這是早晚都要做的一步,用我們的技術已經把工作量縮減了好幾個數量級了。
第三步,策略設計
面對網絡安全等級保護,好的微隔離產品,一定能夠根據業務情況自動生成安全策略,否則,如果讓用戶自己去逐臺機器進行配置,那根本就是一場災難。
薔薇靈動微隔離業務網
而且策略最好是IP無關的,比如薔薇靈動可以直接根據虛擬機的業務標簽來配置策略。因為IP地址在云內是個非常不穩定的參數,一旦策略是用IP來配置的,那么后面的運維就非常痛苦了。
第四步,自適應運維
網絡安全等級保護中,好的微隔離產品,一定能夠進行自適應的策略運維,也就是當云計算環境發生,遷移,擴容,升級等變化時,系統可以對安全策略進行自適應調整。沒有這個能力,策略運維將變得非常困難,甚至是難以完成的。比如一個客戶,如果每天都有新業務上線,隨時都有可能進行業務架構調整,此時如果策略運維不是自動完成的,那么他們的業務交付必將被安全所拖累。
第五步,自動化編排
云計算環境下,一切都是軟件定義的,這當然也包括安全。不同的安全產品,需要被進行統一的管理和調度。微隔離從設計之初就采用了微服務架構,每一個點擊,每一個查詢背后都有對應的API可以使用,這使得我們可以被整合到云管理系統中,或者被SOC/SIEM等安全管理平臺所調用。
東西向安全是新的安全建設熱點,難度非常大。幸運的是,薔薇靈動已經打磨出了一款非常好用的東西向安全產品,并積累了豐富的部署經驗,幫助企業順利通過網絡安全等級保護。
