“微隔离做什么，如何做？蔷薇灵动：”微隔离“是这样实现的”

本篇文章3115字，读完约8分钟

对于关心云安全的公司来说，我相信不是大家不知道的微隔离这个词，微隔离是什么技术呢？ 其目的和价值在哪里？ 对公司来说为什么要引入微隔离？ 接下来，让我们来听听云安全专家玫瑰灵魂创始人严雷关于微隔离的科普和细节。

年末，以新基础设施新安保为主题的首届湾区创见网络安全大会在深圳国际会展中心隆重开幕。 会议上，严雷作为零信任细分技术行业的创新型企业代表，在零信任分科会上与领域巨头进行了同样的比赛，并邀请其向所有领域介绍微隔离技术。

玫瑰创始人严雷

微隔离更合适的翻译是微段

严雷说，从直译的角度来说，比起更为人熟知的微隔离，微段应该是更合适的翻译。 这是因为事实上直观地指出了这项技术最朴素的意义之一。 也就是说，将一个没有结构、没有边界的互联网划分为多个逻辑微小的网络段，使得每个网络段只有一个计算资源，进出该微小网络段的流量都经由接入控制装置 但是，不知为什么，微段的名称并未传播，反而传播着不太准确的微隔离。 严雷认为，正如我们可以这样理解的那样，从意译的角度看，微隔离比直译的微段更为准确。 因为它准确地反映了这项技术的目的和价值。 那就是，在没有访问控制能力的互联网中，创建全面可控的零信任互联网，使各个资源能够从逻辑上与其他资源隔离。

玫瑰的灵动微隔离

在这里，严雷先生指出，互联网安全产品有两种命名方法。 漏洞扫描、杀毒软件、网页防篡改等名称是对该产品功能的准确说明。 但是，像防火墙、新一代防火墙、巴格兰纳这样的名字并没有直接说明技术，而是形象地反映了产品的价值和目的。 因为这也为人们所接受，被广泛采用。 因为这个微隔离这个名字虽然不完全准确，但并不妨碍它成为被更多人接受的命名。

微隔离推翻了防火墙

微隔离是必然的，迫切需要防火墙。 业界流传着这句话，这句话到底反映了什么样的技术评价和迅速的发展趋势呢？ 严雷指出，瞄准防火墙的其实不是微隔离，而是云计算。 有防火墙诞生的历史背景，防火墙设计时，互联网是静态的，ip地址具有稳定的身份属性。 也就是说，ip地址和资产之间具备了稳定的一对一对应关系。 因为这个时候出现了以ip地址为基本表现方法的防火墙技术。

微隔离，防火墙关系

但是，随着云计算和物联网等基础设施的广泛部署，ip地址不再是静态配置的常量，而是池化动态分配的变量。 换言之，ip地址不再具有资源的标识新闻价值，而是作为通信的临时变量存在。 这产生了一个非常大的影响，那就是以ip地址为基本元语的防火墙失去了最中心的表达方式。 相反，采用了以包含微隔离的逻辑标识为基本中介语的下一代网络安全技术。

基于微隔离的技术很多，复杂性是前所未有的

刚接触微隔离技术的时候，很多人认为这是简单的技术，但从其导入方法来看就是主机软件。 从这一角度出发，严雷从软件产品计算多、复杂度高的角度说明了微隔离技术的计算优势。

严雷先生把安全产品分为三种计算多、复杂度类型。

第一个是被称为o(1)型产品。 也就是说，无论引进规模有多大，这个产品的计算都很多，复杂度都是常数，比如以前流传下来的杀毒软件等主机安全产品基本上都是这个类型。 当然，这并不是说这种产品的难度低，而是说难度不会随着管理规模的扩大而变化，导入一台机器和导入一万台机器，软件多且复杂是没有变化的。

二是被称为o(n )型产品，计算量大，随着管理规模的增大，噪声直线增加。 最典型的o(n )型产品是防火墙，要管理小规模的互联网，需要100米吞吐量的防火墙。 另一方面，要管理规模的互联网，需要1000m的防火墙。 更大的互联网需要1000兆防火墙或叔防火墙。 O(N )型产品的数量和复杂性随着其管理规模的增大而线性增加，越是高端防火墙越难做，所需的计算资源越多，当然价格也越高。

微隔离的中心课题

微隔离代表了第三种类型。 由于微隔离处理数据中心内部任意两点之间的业务关系和访问控制问题，因此其计算较多，复杂度与其管理规模呈平方关系，准确地说是( n )2)/ 2。 但是，由于云计算的动态特征又在时间上引入了很多复杂度，微隔离产品的计算很多，复杂度可以表示为o(t* ) ) n^2)/2 )。 可以说，这样的复杂度是面向我们以前从未遇到过的、由零信任的引入带来的整个网络关系必然带来的复杂度。 随着管理规模的增大，计算量增加，复杂度迅速增加。 管理1000台虚拟机比管理100台虚拟机要难100倍而不是10倍。 由于我们可用的计算能力无法通过指数累积增长，因此基本上每增加10倍的管理规模就需要重新构建产品。 严雷感慨地说，这几年来，我们玫瑰从300辆的管理能力，到3000辆，再到现在的15000辆，经过多次重构，一步步变得困难起来，但回顾起来，充满了成就感和自豪感。

微隔离是零信任的核心技术模块

在介绍微隔离与零信任的关系时，严雷引用了forrester、gartner、nist的相关资料加以证明。 可见，在各种权威机构的理论体系中，将微隔离置于一个核心位置，与iam技术、sdp技术共同构成了零信任行业的三大技术基础。 然后，对于这三种技术的相互关系，严雷给出了简单生动的解答。

零托拉斯

iam技术的首要任务是回答互联网上的物理和逻辑资源实体以及这些资源之间相互访问关系的授权。 零信任技术的优点是直接面向资源而不是网络，因此需要全球有效的iam系统来提供sdp和微隔离技术的战略基础。 另一方面，sdp和微隔离技术的区别在于，sdp用于解决从数据中心外部安全访问数据中心服务和数据的问题，而不区分办公室网络和网络。 微隔离技术用于解决数据中心中的通信量识别和访问控制问题。 这两种技术管理数据中心的所有流量(南北、东西)。

微隔离实践离不开五步实务法

关于微隔离的五步工作人员法，严雷先生指出很没意思。 今天，做零信任的，都分五步，微隔离是五步，sdp也是五步，各企业是五步，不五步就不是真正的。 实际上，每一步的首要目标也很相似，但结合具体的技术场景，会有一些实现上的差异。

就微隔离而言，首要分为定义、分解、设计、防护、持续监控五个步骤。 本质上是对特定业务系统进行全面业务分解，基于业务设计适合本企业环境和要求的零信任互联网体系结构，并在此基础上实现全面白名单访问控制的过程。

玫瑰灵魂-五步就业法

关于白名单的访问控制，严雷充满热情地表示，切换到白名单保护状态的瞬间是见证奇迹的瞬间，也是互联网迎来新生的瞬间。 我们所有的管理实际上都围绕三个方向进行了努力。 就是尽量构筑说明力、预测力、控制力。 迄今为止，我们对自己的互联网知之甚少，对在特定任务中的性能完全无法预见，也很少有有效的干预手段。 如果用微隔离技术将互联网置于完全零信任白名单的访问控制之下，那么从那时起，互联网将进入稳定状态，也就是说，我们将能够准确地了解我们互联网上发生的所有事件。 我们也有信心，这个互联网就像现在一样，将来也会一直如此。 只要我不允许，那一定不会有什么变化。 而且，我们拥有细分为所有集装箱，甚至所有进程的互联网访问控制能力，我们将真正成为互联网的所有者。

从玫瑰的灵魂来看，他们已经预见到了随着零信任理念的盛行，云计算和大数据平台的广泛布局以及国家14、5年间数字化转型的步伐，微隔离市场将迎来爆炸式的快速发展。 为此，玫瑰灵动除北京总部外，还新成立了上海分企业和深圳分企业，分别覆盖京津冀、江浙沪、大湾区。

作为中国网络安全领域的技术创新领导者制造商，玫瑰灵魂历来是零信任理念和微隔离技术的倡导者和领导者，始终以推动中国云安全技术的快速发展为己任。 未来，玫瑰的灵魂也会继续为客户提供各方面更聪明的安全处理方案。 今后期待吧！