云計算技術(shù)正在顛覆整個社會的IT基礎(chǔ)架構(gòu)，新的威脅，新的環(huán)境，新的基礎(chǔ)技術(shù)將共同重新塑造網(wǎng)絡(luò)安全體系，而網(wǎng)絡(luò)安全產(chǎn)業(yè)也一定將會圍繞著云計算發(fā)生巨大變革。

自適應與微隔離，均為近年來新興的網(wǎng)絡(luò)安全技術(shù)，國內(nèi)專注這兩個領(lǐng)域的安全公司非常少。就在最近，安全牛獲悉一家剛剛成立的安全公司——薔薇靈動，被IDC選入其安全創(chuàng)新者報告，而其被選入的原因，正是由于其專注于微隔離技術(shù)的技術(shù)創(chuàng)新。于是，記者近期走訪了這家公司的創(chuàng)始人，嚴雷。

個人簡介

嚴雷，擁有北京郵電大學計算機網(wǎng)絡(luò)碩士位和工商管理碩士學位。先后歷任JUNIPER北京研發(fā)中心高級工程師，網(wǎng)康科技產(chǎn)品市場總監(jiān)，遠江盛邦產(chǎn)品市場副總裁。

基于豐富的安全產(chǎn)品營銷與規(guī)劃經(jīng)驗，以及深厚的技術(shù)功底和敏銳的行業(yè)洞察眼光，嚴雷于2017年創(chuàng)辦了以自適應微隔離技術(shù)為核心技術(shù)，以云計算安全為主要目標市場的北京薔薇靈動科技有限公司。

一、云時代催生自適應

安全牛：自適應安全的概念已經(jīng)提出了幾年的時間，你是如何看待自適應安全的？

嚴雷：當業(yè)務(wù)系統(tǒng)的體量非常大，上面的應用足夠復雜時，網(wǎng)絡(luò)安全工作的難度就會呈指數(shù)級增長，變得極度臃腫并導致寸步難行。這就是“自適應”這個概念出現(xiàn)的背景。

其實基本的安全理念，在業(yè)界很早就已經(jīng)形成，只是缺乏基礎(chǔ)技術(shù)來更好的支撐。比如說安全域，都知道越小越好，但實際上不能太細，因為太復雜管不過來。再比如都知道白名單的好處，但業(yè)務(wù)多的話管理任務(wù)會過于繁重，反過來又影響業(yè)務(wù)。

在今天的虛擬化、云時代，借助于自動化、大數(shù)據(jù)、微隔離等技術(shù)，可以很好地實現(xiàn)這些安全理念。比如我們的產(chǎn)品可實現(xiàn)持續(xù)監(jiān)聽、持續(xù)計算和持續(xù)調(diào)整。要知道在一個大型網(wǎng)絡(luò)里，變化幾乎每時每刻都在發(fā)生。通過持續(xù)監(jiān)聽了解系統(tǒng)所有的變化，再通過持續(xù)計算做出調(diào)整策略，最后根據(jù)策略不斷地實施調(diào)整。讓安全跟的上云和虛擬化的彈性，自動適應業(yè)務(wù)的發(fā)展，即自適應安全。

二、“原子”級別的安全技術(shù)：微隔離

安全牛：你們的技術(shù)叫做自適應微隔離技術(shù)，實際上國內(nèi)也有一些一定規(guī)模的廠商在做東西流量的防護，你們又想如何進入這個領(lǐng)域呢？

嚴雷：是這樣，目前的微隔離技術(shù)有三種實現(xiàn)形態(tài)。一種是基于云架構(gòu)來做，比如VMWare或阿里云，另一種是基于傳統(tǒng)防火墻技術(shù)在物理設(shè)備上做虛擬化。我們則是基于主機或虛機上來做，安裝Agent，以實現(xiàn)自適應安全的理念。

安全牛：提到自適應和Agent，之前一些做主機安全的公司已經(jīng)都在提倡并且實踐了，你們與這些公司的技術(shù)又有什么不同呢？

嚴雷：區(qū)別哪種類型的技術(shù)，并不取決于設(shè)備或軟件部署在哪里或說部署方式有何差異，比如部署在主機上的軟件，即可以是針對主機安全也可以是針對數(shù)據(jù)安全，甚至是網(wǎng)絡(luò)安全。因此，要判斷一個技術(shù)屬于哪種安全產(chǎn)品還是要看它的保護對象是什么。

一些裝在主機或虛機上的自適應安全產(chǎn)品，如果是在做配置核查、漏洞管理、系統(tǒng)保護之類的工作，那就是主機安全。我們的產(chǎn)品則是網(wǎng)絡(luò)安全產(chǎn)品，保護或處理對象是網(wǎng)絡(luò)流量。而且你也知道，與傳統(tǒng)防火墻不同，針對的不是南北而是東西流量。

這里面非常關(guān)鍵的一件事情就是可視化。傳統(tǒng)的防火墻，處于網(wǎng)關(guān)位置，所有的流量都要經(jīng)過。因此，是對“看得見”的流量進行控制。但如果在內(nèi)網(wǎng)中，或者在云中，很難找到一個類似“網(wǎng)關(guān)的位置”來部署設(shè)備做到把其全部東西向流量都看到。所以，只有直接部署在虛機上，才能解決這個“流量看得見”的問題。

談到這里說一個微隔離理念的問題。我認為，一定能夠覆蓋到最細微最基礎(chǔ)的網(wǎng)絡(luò)節(jié)點上才能稱之為微隔離。最早的隔離技術(shù)，是把網(wǎng)絡(luò)分域，如DMZ，然后用防火墻來實現(xiàn)隔離。但在云時代，網(wǎng)絡(luò)是動態(tài)的，攻擊方式各種各樣，所謂的“邊界模糊”或消失，這種非常粗的劃分方法就不適用了。比如，WannaCry的爆發(fā)就是典型的突破邊界后，病毒在內(nèi)網(wǎng)一馬平川。

那么既然網(wǎng)絡(luò)分域太粗，按網(wǎng)段劃分呢？按工作組劃分？或者干脆按物理主機劃分，這樣是不是就到了基本節(jié)點呢？如果在傳統(tǒng)數(shù)據(jù)中心的環(huán)境下，的確是這樣。但在云計算環(huán)境中，有時連虛擬機都算不上基本節(jié)點，因為在虛擬機上還有容器。因此，在我看來，基本節(jié)點即不是主機也不是虛擬機，甚至也不是容器，準確的講應該是Workload（工作負載），是一個有著自己的CPU、內(nèi)存進程空間的計算實體。這個實體才能稱之為真正的微隔離，未來的安全一定是對最基礎(chǔ)的實體進行保護。