網(wǎng)絡(luò)安全等級(jí)保護(hù)已經(jīng)成為我國的基本網(wǎng)絡(luò)安全制度、基本國策,面對(duì)這樣一套網(wǎng)絡(luò)安全管理體系,企業(yè)應(yīng)該如何去做?
在國內(nèi)微隔離領(lǐng)域的領(lǐng)導(dǎo)廠商薔薇靈動(dòng)看來,網(wǎng)絡(luò)安全等級(jí)保護(hù)與微隔離密不可分
薔薇靈動(dòng)的兩位創(chuàng)始人作為安全領(lǐng)域的技術(shù)專家,面對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)的理念和具體技術(shù),他們深刻地認(rèn)識(shí)到,現(xiàn)有的防火墻技術(shù)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度下,將面臨巨大挑戰(zhàn),尤其是在云環(huán)境下將變得完全不可用。
經(jīng)過長期的思考與技術(shù)預(yù)研,他們認(rèn)為微隔離技術(shù)必將作為一項(xiàng)顛覆性技術(shù),成為未來數(shù)據(jù)中心尤其是云化數(shù)據(jù)中心東西向網(wǎng)絡(luò)安全的基石,幫助用戶滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)中關(guān)于內(nèi)部安全的一系列要求。
網(wǎng)絡(luò)安全等級(jí)保護(hù)讓微隔離從高配變成標(biāo)配
以網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布為分水嶺,可以把微隔離產(chǎn)品的發(fā)展化為兩個(gè)時(shí)期。
在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0以前,微隔離技術(shù)屬于高配技術(shù),他的核心驅(qū)動(dòng)是兩個(gè),一個(gè)是零信任的安全管理邏輯,一個(gè)是大規(guī)模云計(jì)算系統(tǒng)的安全運(yùn)維需求。這時(shí)候主要部署微隔離技術(shù)的用戶包括:大型行業(yè)用戶、大型云計(jì)算用戶、以及高安全需求用戶。
而隨著等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布,微隔離技術(shù)已經(jīng)從過去的高配變成標(biāo)配。內(nèi)部安全的重視不僅僅是在云環(huán)境,而是在全部計(jì)算環(huán)境,因?yàn)檫@些要求是出現(xiàn)在等級(jí)保護(hù)的通用安全要求部分。也就是說不管你是不是已經(jīng)進(jìn)行了云化或者虛擬化,你都必須要對(duì)你的數(shù)據(jù)中心進(jìn)行白名單化管理。當(dāng)然,在非云環(huán)境下,除了微隔離,還是有其他手段的,比如說,過去的銀行系統(tǒng)就通過部署大量的隔離防火墻來解決這個(gè)問題,不過這個(gè)開銷真不是普通用戶能承擔(dān)的了的。相較而言,更加輕量級(jí)的微隔離技術(shù)即使在傳統(tǒng)環(huán)境下也有著更好的可行性。
網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0時(shí)代,以下用戶和場景應(yīng)該盡快考慮部署微隔離技術(shù)以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)流量的可視化管理與全面可控的策略設(shè)計(jì)。
1)各級(jí)電子政務(wù)云
2)企業(yè)私有云和數(shù)據(jù)中心
3)政府部委部署的數(shù)據(jù)中心,私有云和行業(yè)云
4)各種大數(shù)據(jù)計(jì)算平臺(tái)
5)政企用戶沒有部署過內(nèi)部安全措施的數(shù)據(jù)中心
網(wǎng)絡(luò)安全等級(jí)保護(hù)中微隔離的部署方式
面對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù),微隔離技術(shù)要管理的是由數(shù)千甚至數(shù)萬臺(tái)機(jī)器構(gòu)成的大型計(jì)算環(huán)境,在部署這一技術(shù)時(shí)必然有一定的復(fù)雜性,通過長期的實(shí)踐,薔薇靈動(dòng)總結(jié)出了一套自己的方法論:
薔薇靈動(dòng)微隔離方法論
第一步,對(duì)東西向業(yè)務(wù)進(jìn)行學(xué)習(xí),繪制云內(nèi)業(yè)務(wù)拓?fù)?/p>
薔薇靈動(dòng)微隔離云內(nèi)業(yè)務(wù)拓?fù)?/p>
第二步,業(yè)務(wù)梳理(確認(rèn))
這一步,在不同的用戶處不太一樣,有的用戶過去沒有完善的資產(chǎn)、業(yè)務(wù)與配置管理體系,這就需要首先建立起一套業(yè)務(wù)模型出來。這一步的工作量就變得比較大了,而且往往需要調(diào)度多個(gè)部門進(jìn)行協(xié)作。不過,既然網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0已經(jīng)來了,這是早晚都要做的一步,用我們的技術(shù)已經(jīng)把工作量縮減了好幾個(gè)數(shù)量級(jí)了。
第三步,策略設(shè)計(jì)
面對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù),好的微隔離產(chǎn)品,一定能夠根據(jù)業(yè)務(wù)情況自動(dòng)生成安全策略,否則,如果讓用戶自己去逐臺(tái)機(jī)器進(jìn)行配置,那根本就是一場災(zāi)難。
薔薇靈動(dòng)微隔離業(yè)務(wù)網(wǎng)
而且策略最好是IP無關(guān)的,比如薔薇靈動(dòng)可以直接根據(jù)虛擬機(jī)的業(yè)務(wù)標(biāo)簽來配置策略。因?yàn)镮P地址在云內(nèi)是個(gè)非常不穩(wěn)定的參數(shù),一旦策略是用IP來配置的,那么后面的運(yùn)維就非常痛苦了。
第四步,自適應(yīng)運(yùn)維
網(wǎng)絡(luò)安全等級(jí)保護(hù)中,好的微隔離產(chǎn)品,一定能夠進(jìn)行自適應(yīng)的策略運(yùn)維,也就是當(dāng)云計(jì)算環(huán)境發(fā)生,遷移,擴(kuò)容,升級(jí)等變化時(shí),系統(tǒng)可以對(duì)安全策略進(jìn)行自適應(yīng)調(diào)整。沒有這個(gè)能力,策略運(yùn)維將變得非常困難,甚至是難以完成的。比如一個(gè)客戶,如果每天都有新業(yè)務(wù)上線,隨時(shí)都有可能進(jìn)行業(yè)務(wù)架構(gòu)調(diào)整,此時(shí)如果策略運(yùn)維不是自動(dòng)完成的,那么他們的業(yè)務(wù)交付必將被安全所拖累。
第五步,自動(dòng)化編排
云計(jì)算環(huán)境下,一切都是軟件定義的,這當(dāng)然也包括安全。不同的安全產(chǎn)品,需要被進(jìn)行統(tǒng)一的管理和調(diào)度。微隔離從設(shè)計(jì)之初就采用了微服務(wù)架構(gòu),每一個(gè)點(diǎn)擊,每一個(gè)查詢背后都有對(duì)應(yīng)的API可以使用,這使得我們可以被整合到云管理系統(tǒng)中,或者被SOC/SIEM等安全管理平臺(tái)所調(diào)用。
東西向安全是新的安全建設(shè)熱點(diǎn),難度非常大。幸運(yùn)的是,薔薇靈動(dòng)已經(jīng)打磨出了一款非常好用的東西向安全產(chǎn)品,并積累了豐富的部署經(jīng)驗(yàn),幫助企業(yè)順利通過網(wǎng)絡(luò)安全等級(jí)保護(hù)。
