微隔离:云工作负载安全及数据中心内部安全的标配
↑ 点击上方“安全狗”关注我们
防火墙是用来干什么的?
通俗地来讲,防火墙是用来阻止不允许通过的数据包通过的。
在网络结构还没有那么复杂、业务变化没有那么频繁的时代,依靠固定的防火墙设备来阻止非法的访问是最基本的操作。
不过,防火墙一旦配置好,再想改就不太容易了。特别是进入云时代后,信息系统正在变得日益庞大,过去几百台服务器的数据中心规模已经算是比较大,而如今几千台虚拟机的私有云已经不再稀奇,几万甚至十几万虚拟机容量的大型云数据中心也不在少数,总之,为这种体量的云设计东西向的流量控制安全策略,已经不是人力所能及的了。更麻烦的地方在于,云环境下节点数量庞大又分散,迅速发展的业务让节点之间的关系也经常变动——业务与安全往往只能二选一,对于隔离网络这件事来讲,一个字:
虽然技术发展带来了问题的小土堆,但同时也带来了可以铲掉问题的铁锹:
软件定义防御的时代,自然也有软件定义隔离的解决方案——微隔离。
区别于过去的安全域间的安全访问控制,微隔离主要用于提供云工作负载间的安全访问机制,并对东西向流量进行可视化管理,是云安全的核心技术之一。这项技术已经被Gartner引入到其云安全发展曲线中,成为了业界公认的一项云安全技术。
微隔离将隔离从网络层面提升到业务层面,隔离的细粒度也提升到了云工作负载的层次,可以为包括容器在内的各种负载提供有效隔离。对于管理者而言,网络层面的安全不需要在这个层面上进行考虑,可以把注意力集中在云工作负载之间的访问关系上。
总体来说,由于传统的防火墙策略在相当长的时间、相当广泛的行业内,还是比较有效的策略,所以微隔离更多地被高安全需求的大型用户所采用。这些用户的共同特点是规模庞大、业务系统复杂,在安全防护和合规方面有极高的需求,在云计算时代也往往是“上云”的先行者,有动力也有需求寻找更有效、更能适应快速变动的业务系统的解决方案。
特别是对于一些对安全有极高要求的用户,对内部防护有着超乎一般用户的重视(毕竟勒索病毒/APT攻击越来越泛滥),传统的解决方案往往是针对边界的,对于内部安全较为乏力,因此微隔离作为一种能有效约束东西向流量的解决方案得到了他们的重视。
当然,随着等保2.0的出台和即将开始的推行,今后对于数据中心的“白名单化管理”就将成为基本配置,做好隔离就成为了绝大多数信息系统的管理者的必要工作,而相对于采购配置大量的防火墙,还是轻量化的微隔离方案更为友好。
在今年的BCS 2019大会上,安全狗携云工作负载安全产品矩阵亮相,云隙自适应微隔离平台就是其中的重要组成部分之一。
云隙是面向云化数据中心的跨平台统一安全管理软件,能够对数据中心的内部流量进行全面精细的可视化分析,和细粒度的安全策略管理。能够帮助用户快速便捷地实现环境隔离、域间隔离以及端到端隔离。
云隙可以带来多样化的安全价值,流量可视化可协助进行业务分析,使得业务分析更加灵活和简便,同时辅助规则策略的设计,帮助用户自动生成策略。
而在流量访问控制方面,云隙也具备大量优良特性
·Agent代理软件,足够轻量级
·可控制的范围足够广泛
·能够对应急事件做出合理的、迅速的处理
·集中性的管理策略,分散性的控制流量
·自动化下发策略
·策略的自适应能力
云计算应用的深化是必然的趋势,未来各行业的用户的信息系统会向云端持续转移,并且架构愈发复杂,采用新型的安全解决方案是必由之路。我们相信,包括微隔离在内的云工作负载安全平台类型的产品将逐渐成为企业选择安全产品的标配,安全狗也会在云安全领域持续发力,输出专业可靠的安全产品和能力!
往期精彩文章
我们正在守护
中央部委及央企
公安部 | 网信办 | 教育部 | 招商局集团 | 国家电网 | 南方电网 | 航天科工 | 国药集团
地方政府及国企
北京政务云 | 厦门政务云 | 嘉兴政务云 | 一汽集团 | 建发集团 | 象屿集团
证券金融
中国银行 | 建设银行 | 兴业银行 | 厦门银行 | 万达金融 | 广州证券 | 恒生电子
教育科研
中国科学院 | 中国社会科学院 | 厦门大学 | 上海交通大学 | 国家会计学院 | 厦门市教育局
大型企业
京东 | 联想集团 | 一加手机 | 复星集团 | 禹州集团 | 碧桂园 | 皖江物流