“蔷薇灵动微隔离技术保证东西向流量安全”

本篇文章2446字，读完约6分钟

玫瑰灵动作为云的互联网安全企业玫瑰灵动通过微隔离技术手段帮助许多企业在云时代实现了数据中心的安全管理。

在云时代，企业为了实现功能而需要调用的数据越来越多，变得越来越复杂。 玫瑰认为，传统防火墙难以重复使用南北流量，即处理数据中心外部客户与内部服务器之间交流的流量的安全手段。 那么，如何确保东西方通信量(即数据中心内部的服务器之间的通信量)的安全性成为了一个新的话题。

微隔离(微分段)定义

微隔离( micro-segmentation )的定义是一种适应虚拟化部署环境，识别和管理云平台内部流量的隔离技术。 玫瑰创始人严雷解释说，微隔离应实现的是东西向流量的防御，是对东西向流量的点对点访问控制。

玫瑰起作用

微隔离的作用

玫瑰的灵魂严雷曾经举例说明了微隔离的作用，例如，一个顾客进行简单的互联网访问时，系统内部会进行非常多的操作。 客户点击页面后，后台系统必须进行从外部页面到内部系统的转换。 此过程可能会要求数据，要求数据之间在多个数据库中协作，并以原始方式查看结果。 整个过程对客户来说只是一次访问，但在数据中心内会发生数十次呼叫。 虽然这些数据(点和点)以正交的方式连接，但由于没有明确的关键路径，因此无法以防火墙的方式设置所有签名。 此外，基于防火墙的安全策略的管理和隔离是在防火墙设备上进行的。 这些策略通常在防火墙在线部署时设置在一起，并且在防火墙的整个生命周期中很少协调。 但是，在云计算时代，很多分布式独立业务的控制点非常难以维持，云招聘者只能在安全和业务之间选择，微隔离技术基于应对这些问题。

蔷薇灵魂图2

基于白名单的微隔离战略实施方法

玫瑰灵魂创始人严雷说，微隔离是市场用语，更准确的技术表达应该是软件定义隔离。 这是因为该技术和所有软件定义的技术都有相似性集中的策略管理和分布式的策略执行。

在玫瑰灵魂工作的微隔离场景中，集中的战略管理是通过代理人的自我学习功能，在战略管理平台上形成云计算业务拓扑，设定白名单战略。 具体来说，这种战略管理不是以资产为导向进行的，而是根据业务拓扑设计共同的战略基准，每个资产根据自己的现实情况评估自己是否适用这一基准，然后进行计算。 分布式策略的执行是指控制点可以分布在各云中的资产上，并将两者结合起来构成一种软件定义隔离的形式。

可见，玫瑰灵魂微隔离使用的战略是白名单，白名单比黑名单安全性更高，但白名单战略只能在高度明确的场合采用。 例如，公司的办公互联网是不明确的情况，因为办公互联网连接了多个独立的设备，设备上安装了无法控制的独立软件 但是，与办公室互联网不同，数据中心的每台服务器都有固定的采用方向，因此基于数据中心的云计算是一种高度清晰的方案，可以采用白名单这样的高安全策略

但是，下一个问题是，黑名单战略可以用已知的恶意行为来设计，但东西流量白名单战略难以设计。 这是因为整个数据中心的业务经常由多个团队分散开发，彼此之间存在不同的呼叫，因此在公司内部也经常无法了解自己的数据中心内部呼叫关系。 过去有一种方法是将数据中心中的服务器划分为几个区域，然后进行区域间的检测，但无法实现更精细的隔离措施。

移动玫瑰的方法是首先处理业务解体的问题。 该企业的业务分解基于分布在各虚拟机或容器主机上的代理，全球收集新闻，依赖计算引擎创建完美的内部业务拓扑，生成基于业务学习的白名单战略。

玫瑰的灵动拓扑

从玫瑰的灵魂来看，除了后期学习生成业务拓扑外，另一种方法安全左移，意味着公司正在研发，也考虑到了网络隔离的问题。 这需要安全策略的设计者是业务开发人员。 因为只有业务开发者知道软件APP的业务呼叫关系，所以可以用策略管理语言注明业务隔离要求。 这种情况下，业务可以安全交货。

另外，由于安全策略的生成基于业务标签而不是服务器ip等特定资产，因此如果云数据中心环境发生变化，偏差的动态也会根据该策略自动调整，从而导致新的互联网参数变化。

并且为了确保策略的比较有效性，玫瑰的灵魂将策略分为测试状态和防护状态。 在测试状态下，策略没有实际部署在节点上，模拟的策略计算显示出了可能的结果。 只有经过真正的验证，真正的战略才能上线，以确保效果而不破坏业务。 防护中，玫瑰的灵魂会持续记录物品的访问，成为必要时的追踪工具。

微隔离服务能力

蔷薇动严雷认为，目前利用微隔离技术管理东西流量的难点在于计算量。 由于数据中心中点之间存在正交结构，因此计算量较大，噪声会随着管理的体量的增加而呈指数级变化。 最初只能管理数百个点的偏差，现在可以通过回复数据调整、数据库分类存储等方法单独管理2000个点，集群部署方法可以支撑偏差为数万个点的微隔离服务能力。

目前，玫瑰最服务于金融、能源、运营商等领域的龙头客户。 其理由首先是小顾客由于业务不多、复杂等原因，对基于业务进行微隔离的安全战略的诉求还不明确。 但是，由于大客户的内部业务多而复杂，所以他们首要要求在多而复杂的情况下拆除业务流、运输海量的安全战略、统一的混合架构安全管理等。 玫瑰的灵魂可以通过基于业务的战略制定、适应性的安全战略和统一架构的管理来帮助顾客满足这些诉求。 其次，微隔离的实现难点在于计算量，为大客户服务有助于玫瑰灵魂积累大规模的线登场景。

玫瑰大规模登场的场景

玫瑰在年开始商业化探索，2019年的收益达到了上千的水平。 为了宣传年前积累的成功经验，玫瑰在深圳、上海设立了新事务所为各行各业的大客户服务。

从玫瑰魂动严雷来看，这也是企业市场的特征之一。 玫瑰魂动是第一家将微隔离理念引入国内的公司，率先的技术特点有助于获得越来越多的大型顾客，大型顾客有助于玫瑰灵动不断优化计算方法，积累服务大场景的经验。

在团队方面，玫瑰灵魂ceo严雷曾任juniper北京研发中心高级工程师、网康科技产品市场总导演、远江盛邦cmo，cto陈天航担任网康ngfw设计师，曾是国内最早的x86万兆防火墙主要开发者。 现在，团队约有50人，很多员工此前都有网络安全领域的背景。