2022年9月8日,薔薇靈動新品發布會在北京舉行。會上,薔薇靈動發布了新產品——統一微隔離。在會上,薔薇靈動向現場嘉賓以及網絡觀眾,介紹了統一微隔離產品的核心功能和在典型網絡場景下的解決方案,并通過現場產品演示,向大家揭開了這款劃時代產品的神秘面紗。在會上,東方富海投資總監楊震東先生,和數說安全創始人于江先生,分別從各自的專業角度對零信任在國內的進展進行了闡述和分析,并對薔薇靈動的革命性創新進行了深度點評。
什么是統一微隔離
統一微隔離,是一種在微隔離與ZTNA技術基礎上發展出來的,可以打通辦公網和數據中心網絡,為用戶提供端到端業務可視化分析與身份訪問控制的新一代零信任產品。
所謂統一,包含五個方面:
首先是辦公網與數據中心的統一。統一微隔離將辦公網與數據中心的邊界打開,將整個園區網,甚至是用戶的全部基礎設施(包括公有云和遠程辦公地點)視為一張統一的網絡,然后對這個統一網絡做統一策略管理。這將使用戶歷史上第一次能夠獲得一張覆蓋全局的具有身份和業務屬性的統一零信任網絡和統一可視化業務視圖,這徹底改變了用戶過去一直以來做“拼圖”(很多時候還拼不起來)建“孤島”的安全管理窘境,讓網絡安全走進了寰宇一統、金甌無缺的大統一時代。
其次是身份空間的統一。統一微隔離將人、設備、網絡、業務、數據的身份空間完全打通,并進行統一管理,讓用戶基礎設施中的每一個要素,都能夠不受位置、環境、網絡的約束,擁有一個全局唯一且持續生效的身份標識。這種對全要素進行身份化網絡策略標識與管理的能力,使得統一微隔離可以構建覆蓋全要素的統一零信任網絡。
第三是網絡策略統一。統一微隔離允許用戶對整個基礎設施做軟件定義策略管理,通過一套單一的微隔離策略,對全部網絡流量作統一管理,用戶可以用一條策略直接描述某部門某用戶到某業務中的某工作負載的業務訪問權限,而這樣的跨基礎設施跨網絡的訪問控制要求,在過去要在若干分散的安全產品上通過多條組合策略才能近似達成。
第四是安全數據統一。對全局安全數據做統一分析是當代安全體系的必然要求,也是等級保護2.0標準體系中的重要組成部分,但是實際情況卻不容樂觀,來自不同產品的不同格式的、零碎的、片段的、重疊的海量數據要清洗干凈并整合拼接起來實際上是非常困難的,而且這些數據基本都是基于IP的,這樣的數據沒有身份和業務信息,因此也很難進行訪問意圖分析。而統一微隔離,基于其統一微隔離網絡和統一身份空間、統一策略空間的框架能力加持,能夠對全部流量建立起一份全局關聯、全局索引,并且是按照用戶身份和業務信息進行整理和呈現的統一安全數據,這將使安全運營走向一個全新的時代。
最后也是最重要的,是零信任平臺統一。一直以來,ZTNA與微隔離被認為是零信任的兩個技術基石,ZTNA用于解決業務外部訪問安全接入問題,微隔離用于解決業務內部流量安全交互問題,也就是一般所謂的,ZTNA管南北,微隔離管東西的架構體系。這種結構是目前常見的零信任架構,但也是一種缺陷明顯的架構,在這種架構下,ZTNA與微隔離之間存在著一個巨大的策略與數據鴻溝,攻擊者可以利用這個鴻溝同時繞過微隔離與ZTNA的防御。統一微隔離在一個統一平臺上同時解決了外部業務安全接入與內部流量安全訪問兩個問題,徹底弭平了現有架構下的各種縫隙,真正做到全局統一業務分析和全局統一精細化策略編排,這是對零信任技術的一次重大創新,也是零信任技術發展的必然方向。
零信任的理想與現實
要深入的理解統一微隔離這個全新技術品類的革命性意義,有必要回顧下零信任的發展歷程與現狀。零信任究竟要解決什么問題和零信任如何解決這些問題一直都是兩件獨立的事情。
先說理想。零信任一直以來要嘗試解決的其實就是一件事,那就是網絡邊界消失問題。虛擬化技術因為計算資源的池化隨機分配,帶來了數據中心內部邊界消失。云計算(特指公有云)由于多云架構,以及云內多資源池架構,帶來了數據中心外部邊界消失。而移動設備的廣泛使用帶來了辦公網內部邊界的消失,而遠程辦公的盛行又帶來了辦公網外部邊界的消失。所謂消失,不是形容詞,就是物理意義上的消失,意思是沒有一個(或幾個)固定的物理位置可以確定地獲取所需管理的網絡流量并進行訪問控制。邊界消失,對于安全行業一直以來沿用的邊界防御理念以及防火墻產品構成了顛覆性打擊。
零信任概念的提出就是希望建立起一個全局統一的,網絡無關的分析與控制體系,從而實現在整個基礎設施范圍內,對全部流量進行統一分析和控制,對全部安全能力進行按需的交付和編排。所以,零信任自始至終一直是個網絡問題,就是希望搭建一個精細化的網絡位置無關的邏輯結構,對全網流量進行精細化控制和按需的安全防御。
零信任的理想是一回事,實現又是另一回事。2010年Forrester提出零信任概念時,實際上就給出過一個解決方案,他當時的設想是,引入一個全局統一的交換機,上面有全部安全板卡,然后所有流量通過這個交換機,通過策略配置安全能力的作用。事實上,2010年的時候這本來就是很多大型數通廠商的常見方案,在之后也出了一些產品,不過這種物理上的流量與安全能力集中,顯然是一種過于沉重的解決方案,根本無法在大規模網絡中使用,因此2010年之后,零信任概念并也沒有真正流行起來,一直到2020年,NIST零信任草案的提出。在這個草案里,零信任有了新的解決方案,那就是通過IAM,SDP,和微隔離這三個技術基石構建起的零信任框架。SDP與IAM是兩種不同但又有交集的ZTNA技術,可以面向用戶身份設計訪問策略,從而解決外部邊界消失問題。微隔離可以面向業務和工作負載身份設計訪問策略,從而解決內部邊界消失問題。這個結構是具有真正可行性的架構,因此得以在全世界廣泛部署,帶來了零信任的真正繁榮。
但這個框架也有其自身的問題,那就是ZTNA與微隔離的割裂。ZTNA對于公有云以及SAAS訪問解決得很好,但是對于本地數據中心的防護就差了很多。暴露在公網的業務相對來說有限且比較標準,基本都是通過HTTP協議來訪問的,而那些只能被本地訪問的私有業務從流量類型到訪問途徑都五花八門,甚至他們的存在都不被管理員所了解,這種情況下,對于要求具備明確訪問關系才能部署的ZTNA方案來說就變得非常困難。而與此同時,微隔離也面臨著自身的挑戰。微隔離與工作負載和業務部署在一起,因此它天生能夠看到全部訪問流量,并且具備最完整的控制能力,但是因為微隔離只擁有業務和工作負載身份,對于來自外部的訪問(南北向)流量則沒有理解,它看到的還是普通的IP流量,這就使得面對這些流量的時候,微隔離就只能退回到過去的基于IP網段的粗粒度訪問控制邏輯上。微隔離和ZTNA各自負責南北和東西,實際上為網絡攻擊留下了一個可以被利用的”縫隙“。而這就是零信任架構在統一微隔離之前所面臨的技術現實,它比過去要好,但還不夠好!
統一是零信任的必然趨勢
零信任基礎技術架構從分裂走向統一是大勢所趨。在Gartner 2022年2月發布的最新的ZTNA報告《Market Guide for Zero Trust Network Access》(ZTNA市場指南)中,有這樣一段話:
Vendors continue to expand offerings into the data center with identity-based segmentation as separate products or combined with ZTNA offerings — blurring the lines between segmentation technologies.
譯文:
ZTNA供應商都在想辦法為數據中心提供微隔離技術,微隔離可能被當作獨立的產品提供,也可能直接和ZTNA產品整合在一起,從而打破兩種分段技術的區隔。
這里先講幾個背景知識。在Gartner的話語體系中,微隔離一共改過三次名字,現在最新的叫法是 identity-based segmentation。在garnter看來,微隔離最本質的價值就是可以利用身份來組建網絡分段。另外,在Gartner2022年更新的另一篇報告《What Are Practical Projects for Implementing ZeroTrust?》(靠譜的零信任項目究竟是啥?)中,有這么一段話:
Organizations looking to move to practical implementation should focus on two primary projects: user-to-application segmentation (ZTNA) and workload-to-workload segmentation (identity-based segmentation).
這段話核心就是說,真正的零信任項目就兩個, 一個ZTNA,一個微隔離。ZTNA解決的是人到業務(南北向)的網絡分段問題,微隔離解決的是工作負載間(東西向)網絡分段問題。這其實就是我們前文提到的,零信任問題自始至終是個網絡問題,ZTNA是南北向網絡分段問題,微隔離是東西向網絡分段問題。
了解了以上背景知識,我們再來看《Market Guide for Zero Trust Network Access》中的那段話,就很好理解了,Gartner就是說,根據他的觀察,ZTNA正在嘗試打通和微隔離之間的邊界,從而構建統一的零信任網絡,這就是我們為什么說,一切分裂都是暫時的,統一才是大勢所趨。
作為佐證,大家可以看一下ZTNA領域典型代表企業zscaler的產品線,他就是通過一款獨立的微隔離產品來實現的(雖然這樣做不完美)。
而除了ZTNA廠商在向微隔離領域發展,微隔離廠商也在努力向ZTNA領域拓展。近日,全球微隔離市場領導者illumio更新了他的產品線,正式發布了illumio endpoint(南北向ZTNA),從而和illumio core(東西向微隔離)以及 illumio CloudSecure(云原生微隔離)一起構成了其完整的零信任網絡框架。
無論從業界的發展趨勢看,還是從Gartner的分析看,兩種分段技術的融合是一個不可阻擋的趨勢,而這也就是薔薇靈動發布統一微隔離的原因。
薔薇靈動的微隔離之路
對于中國的網絡安全行業來說,薔薇靈動和微隔離基本上是劃等號的。但是薔薇靈動一直拒絕使用”領導者“、”領先者“一類的稱呼,按照薔薇靈動自己的話說,這種自我標榜的宣傳口徑,不符合其企業文化。薔薇靈動對自己的定位是,零信任領域的長期主義者。這不是一種自我標榜,而是一種自我鞭策,和自我約束,同時也是一種品牌承諾。而就微隔離這件事而言,薔薇靈動也確實對得起”長期主義者“這樣的稱呼。薔薇靈動創建于2017年一月,最早將基于主機代理軟件的微隔離技術引入中國,并編寫了中國第一個也是目前為止唯一的一個微隔離技術標準,從而親手開啟了中國的微隔離市場。薔薇靈動的產品目前在國內的大型數據中心已經擁有了很高的市占率,其技術水平已經與其海外對標達到相同能力甚至在某些領域還有所領先。而正是由于其產品在大型數據中心生產網的廣泛使用,才讓薔薇靈動領先于國內同行,與全球零信任領導者們幾乎同步意識到了微隔離技術基因里就存在的問題。
”我們只能解決70%的問題“,這就是薔薇靈動做統一微隔離的直接原因。70%這個數據來自于其大量的客戶現場的真實業務統計。零信任要保護的是數據中心(辦公網在零信任的技術體系里和互聯網基本上是等同的,不是被保護對象而是要防御的對象),而數據中心的流量分為兩份,一份是南北向流量(占比約30%),一份是東西向流量(占比約70%)。微隔離可以將全部東西向流量零信任化(基于ID的最小權限訪問),但是對于南北向流量就束手無策了。國內數據中心的入口事實上非常多樣,通過微隔離產品,能夠看到來自各種入口的南北向流量,有來自本地辦公網的,來自遠程分支的,來自互聯網VPN的,以及來自堡壘機的等等。而這些流量都是非零信任的!也就是說從微隔離看來,至多只能分辨(其實是猜測)出這是來自哪個地理空間的流量,在這種情況下,微隔離能做的就只能是基于IP地址段,給與一個非常寬泛的訪問權限。因為沒有具體的身份信息,微隔離無法對其來源做進一步驗證,更無法基于其角色給出細粒度的訪問權限。有人說,ZTNA是可以保證從ZTNA網關進入的流量都是安全的,微隔離就都放開就行了。但事實上,當下的ZTNA往往只能覆蓋極其有限的一小部分業務訪問,還有大量的業務不是通過ZTNA進入的,甚至很多用戶根本就沒有部署ZTNA。而就算是對于那些通過ZTNA接入的流量,微隔離也不應該就直接予以放行,而是應該根據其訪問的業務訴求,嚴格限制其在內部的訪問空間,這就避免了ZTNA成為新的攻擊點,一旦ZTNA被突破乃至被控制,微隔離還可以構建起縱深防御體系,從而和ZTNA網關形成異構,但由于ZTNA網關過來的流量就是完全丟失了身份信息甚至都丟失了源地址信息的無差別訪問流量,讓微隔離的縱深防御能力也等于被廢掉了。
這些情況是薔薇靈動在用戶現場真實遇到的問題。在歷次攻防演練中,在有微隔離的環境下,想通過拿下數據中心內部主機,再進行橫向掃描和平移基本上沒有機會了。但是,拿著泄露了的用戶名密碼,或者利用業務系統漏洞,從辦公網直接進來的攻擊流量卻防不勝防,這就是因為微隔離無法判斷這些來自辦公網的流量究竟是誰發起的,以及是否有權利有必要訪問那些業務系統。
無論從技術發展趨勢以及零信任理論研究的角度,還是從微隔離業務實踐以及一線攻防實戰的經驗出發,薔薇靈動都堅定了要做一款能夠覆蓋全部基礎設施,對全部流量進行身份化統一零信任管理的全新零信任產品的決心,這就是統一微隔離!
通過統一微隔離,薔薇靈動可以實現對數據中心100%流量的零信任管理,實現全網上帝視角,和全網精細化策略編排。這是薔薇靈動在其微隔離創新之路上的一小步,但絕對是零信任歷史上的一大步。他把國內的零信任水平帶到了一個全新的高度,他讓國內用戶第一次有機會,在一個平臺上,通過一套統一的身份空間和策略空間,對全部流量做到100%的零信任覆蓋。
薔薇靈動的微隔離之路走到今天,已經到達了一個前所未有的新高度,但是我們相信這仍然不是這條路的終點,在長期主義的精神引領下,薔薇靈動必將不斷做出真正有世界領先水平的原生性創新,讓我們拭目以待。
