什么是零信任,什么不是?零信任作为一种安全管理理念,近年来逐渐占据主导地位。安全行业在零信任问题上已经基本达成共识。不信你可以去读一下等级保护2.0的原文,你会发现零信任的光芒无处不在。什么是零信任,网上已经有很多资料,这里就不赘述了。不过,我们也注意到,“零信任”一词不仅是一个技术名词,更是一个市场名词,各家安全公司都从自己的角度进行解读。在这个过程中,难免会包含一些私货,造成一些困惑和误解,所以今天就来聊聊零信任不是什么,说不定对帮助大家更好的理解零信任起到积极的作用。首先,零信任是一种定义安全管理新视角的方法论。它不是产品或技术。也就是说,你不能买一个叫做零信任的产品,你只能买一个帮助你达到零信任某些要求的产品。第二,零信任是一个过程,或者说是一个方向。它不是静态标准或状态。也就是说,你不能说我们今天做的是零信任项目,做了之后就是零信任。哪有这回事。只能说,通过一期项目,我们在一定范围、一定层次上实现了一定的零信任能力。比如我们可以说我们可以在网络层面实现数据中心流量的完全可视可控,但是在网络层之上还有一个应用层。你已经看到了网络层面的主体和通信关系,但是你还没有了解应用层。层级的服务主体和应用访问关系。在应用层之上,还有更深层次的业务层面的分析和控制问题。因此,零信任的建设应该是一个持续、逐步深化、逐步优化的过程,也是一个平衡安全与业务的过程。第三,零信任是一种广泛适用的方法论,这意味着它可以应用到整个计算架构的各个方面。在每一个细分环境,每一个具体维度,都可以利用零信任进行管理。并不是说零信任只能像谷歌一样应用于办公网络,可以针对员工的身份进行管理。我们可以看一下Forrester的这张图:正如你所见,零信任可以应用于所有有数据流的主体,比如人、设备、网络和工作负载。事实上,数据中心相对于办公网络来说,是一个更简单的零信任场景,也是核心业务和关键数据较多的地方,可以作为我们零信任建设的起点。微隔离在零信任网络中的地位和价值下面说说微隔离技术。前面我们提到,与办公网络相比,数据中心网络更适合作为零信任建设的起点。那么数据中心网络具体有哪些产品技术呢?对此,业内有共识。目前可以实现的技术有两种,一种是SDP,一种是微隔离。事实上,微隔离技术是零信任概念最早的具体技术实现。我们来看看Forrester2019年第四季度的报告:报告中的开场白大概意思是:零信任是一项非常费力的工作。甲方没有机会自己动手。您必须找到可以帮助您做到这一点的供应商。那么如何评价那么多天天围在你家门口的乙方呢?有几个标准:第一,你的态度要端正,一定要让他对天发誓。他们认为零信任是人民的救星。信任是拯救网络安全的力量。而且他们一定是有真本事,他们的产品确实能在零信任架构上有独特的价值,而不是来碰瓷(交付真正的零信任能力),看来这不仅是我们国内的特色。除了端正的态度,第一个具体的安全能力需求就是支持微隔离!以下需求本文不做讨论,只是让大家感受微隔离在零信任技术体系中的地位。让我们再看看这份报告中的图表:这是Forrester观察到的市场上有效的供应商。越往右越先进的策略,越往上技术越好。从这张图可以很明显的看出illumio是目前最好的技术,那么illumio是做什么的呢?业内人士都知道他是做微隔离的,全球有十三个安全独角兽。其中之一是微隔离市场的领导者。通过Forrester报告的分析,大家不难理解微隔离在零信任中的价值。那么从理论上分析,为什么微偏析如此重要呢?因为微隔离要实现的核心能力有两个,数据中心工作负载之间的流量可见性和访问控制。大家可以回头看看上一张图,零信任能力到底是什么?本质上是两种能力,一种是能看的尽量多,一种是能管的尽量多。而这正是微分段的主要作用。领先的微分段产品可以实现10万点数据中心容器间的流量识别和访问控制,甚至是基于进程的访问控制。这种细粒度级别正是零信任所需要的。微隔离技术的现在与未来作为国内微隔离技术的积极倡导者,也是一家只做微隔离的厂商。强微智能做了很多微隔离项目,服务的客户包括三桶油、五大行业、三大运营商、平安、京东等云计算领域的龙头企业。在这个过程中,一方面,我们见证了微隔离技术如何帮助用户清晰地看到和管理高度复杂的虚拟化网络。另一方面,我们也深刻认识到,微隔离技术面临的挑战仍然非常巨大。具体来说,我可以用“多、快、好、省”四个字来概括:1.更多:跟上用户计算密度扩张的步伐。计算密度扩展这件事给我们留下了非常深刻的印象。当我们的一个客户第一次试用我们的产品时,他们的量在4,000到5,000点的水平,今年他们的计划是扩展到20,000点。另一位顾客更夸张。当他们购买我们的产品时,他们的规模大约是100,000点。但是当我们今年推出该产品时,他们告诉我们他们刚刚做出了全面容器化的战略决策。目前的总估算量是100万点左右!至于微观分离这件事,需要回答的是点与点之间的关系。从算法复杂度来看,它与管理点数的关系是n的平方。考虑到点对点通信是时时刻刻都在发生的事情,而微隔离需要记录和分析每一次访问,然后随着时间的推移积累,这个数量级接近n的三次方。这是什么意思?如果管理规模扩大一倍,对算力的需求将扩大8倍。因此,支持大规模网络是微隔离最重要的技术难点。这里大家一定要注意一个区别,不是你能部署安装多少个点,而是你能不能完整、准确、实时的分析出这些点之间的关系。目前我们可以用三台云主机作为算力来支持万点级别的场景,但是根据Illumio的公开资料,他们要支持15000点的时候,需要6台专用的高频物理服务器,现在,你可以想象一下,要取得进一步的进展将是多么困难。但是这个能力相对于我们用户的扩张速度来计算体量还是不够的。所以我可以在这里给大家一个判断标准。以往评价防火墙最重要的指标是吞吐量,包括延迟、每秒新建、并发等指标。微分段技术的核心指标在于它能够管理的工作负载规模。2、快:跟上微服务架构的飘渺动作。可以看到,容器在计算密度扩展的过程中扮演着非常重要的角色。一方面,K8S的成熟和便捷,以及对DEVOPS理念的良好支持,让越来越多的客户快速拥抱容器。但是,从另一个方面来说,这也对各种运维技术提出了严峻的挑战。就微隔离技术而言,一个非常大的挑战就是策略计算的速度。微分段是典型的软件定义安全结构。其策略由统一的计算平台计算,需要根据虚拟化环境的变化进行实时的自适应策略重新计算。这就是问题。对于私有云环境,虚拟机的生命周期非常长,从几周到几个月甚至几年不等。这个时候其实对policy的计算速度没有特别高的要求。但是在K8S环境下,情况就发生了翻天覆地的变化。因为容器的创建和销毁都非常方便,所以容器的生命周期往往很短,甚至只有几分钟。这对策略计算的速度提出了非常严格的要求。另外,容器环境的体积通常都非常大,这使得这个策略计算难度更大。怎么形容这种酸溜溜的感觉,大概意思就是:给你一袋沙子,然后问你每粒沙子叫什么名字?他们之间是什么关系?做空石油,没想到你知道。好吧,现在把袋子放在地板上五六次。然后问你,他们叫什么名字?他们之间是什么关系?你有5秒、5、4、3...3。好:企业级的产品一定要有企业级的特性。冰山模型。我们看得见、摸得着的功能只占整个产品功能的10%左右,90%的功能都是表层以下的非功能性特征,也就是我们所说的企业级特征。说到这里,再来说说80/20吧。这不愧是魔法法则,似乎在各个领域都有用处。从产品开发的角度来看,我们只需要用别人20%的工作量,就可以实现别人产品80%的功能。事实上,这是长期以来指导我国产品开发的原则。问题是,最重要的是要快,你要什么样的自行车,不是你过不了……而是企业级产品的本质要求恰恰相反。我们必须把大部分的工作量都用来解决剩下的20%,因为正是这20%决定了一个产品能否真正部署在核心业务系统中。.更严峻的挑战是,很多时候直到在客户现场见到他,你才知道自己缺少的企业级特性是什么!例如,我们可以在实验室中模拟出一个拥有数百个点的真实环境,或者通过流量生成器构建一个拥有数万个点的虚假环境。但不管怎么说,你无法创造一个真实的10000分等级的生产环境,就像你无法在你的实验室里重现淘宝的所有交易,哪怕只是一秒的交易。所以有很多问题是在很大的压力下才会出现的,等到你的产品真正上线的时候才会隐藏起来。就好像有一把达摩克利斯之剑时刻悬在头顶,让人如履薄冰,如履薄冰。所以,一方面,我们一直在这方面投入很大的精力,尽最大努力去完善我们企业级的特性。另一方面,大家在评估微隔离产品的时候,一定要关注他们是否有大规模场景的交付经验,以及大规模现网稳定运行案例,评估他们是否真的能够支撑你的云计算发展。战略。4、节约:在产品开发过程中保持克制,不仅是我们想与大家分享的产品设计指导原则,也是对自己的警醒。首先,我们要提出一个方法论,即“产品研发不可能三角”。这个方法论应该是我们独家提出的(当然,这篇文章的方法论基本上都是我们独家提出的)。什么是不可能三角:在产品功能的丰富性、产品功能的专业性、计算开销之间,最多只能二选一。比如你可以选择一款功能丰富,计算开销比较低的产品,那么你的每一个功能的实现层次一定是比较初级的。比如面向中小客户市场的产品,往往会选择这种产品策略。或者,你也可以选择产品的功能很多,而且每个功能的实现水平也很高,那么你肯定需要大量的计算资源。比如我们过去的边界型安防产品,一个数据中心,只需要两台,每台设备都是4U,两台就可以装满一个机柜。对于微隔离,主要限制之一是计算开销。由于微隔离需要在整个数据中心内进行点对点的访问控制,因此其控制点的分布应该尽可能广。正如我们之前所说,我们可以为每个容器设置一个控制点。但是,如此庞大的部署量要求单个控制点的计算开销必须尽可能小。例如,现代云计算数据中心的造价从二三亿元到十余亿元不等。就说2亿吧,那么如果单个控制点的计算成本增加1%,就意味着数据中心要多花费200万的计算资源!因此,根据不可能三角形,我们必须在增加功能的数量和功能的完备性之间做出选择,结合我们之前对微细分所面临的技术挑战的描述,那么其实,我们只能选择一种方式,那就是少而精,而不是厚而厚。道理很明显,但要去做,实在是太考验人性了。作为一家高科技创业公司,无论是从客户的需求,还是我们对新技术的偏好,我们都有很大的冲动去做更多的安全能力。但是这个时候,我们要时刻牢记我们的产品边界,时刻牢记我们是超大规模生产环境下交付的企业级产品!电影里,小金猪在天上飞,看着独角兽从我们身边飞过,但我们只能拂去飞扬的尘土,回去做下一个版本的迭代。
