年度最高级别线下网络安全盛会在深圳举行2020年11月28日,湾区首届创见网安以“新基建新安全”为主题的大会在深圳国际会展中心隆重开幕。公安部副部长林锐,中央网信办网络安全协调局副局长郜林,国家密码管理局副局长刘平,广东省密码办副秘书长杨鹏飞省政府、深圳市政府副市长聂新平出席并作重要发言。众所周知,受疫情影响,2020年一向热闹的网络安全行业大型活动基本都改为线上举办。本次发布会堪称年度最盛大的线下盛会。网络安全行业人才济济,星光璀璨。(创见湾区网络安全大会主会场)2020年堪称零信任崛起之年。作为本年度最高级别的网络安全事件,零信任话题自然不会缺席。不仅不会缺席,零信任分论坛反而成为最受关注的分论坛。(湾区创见·网络安全大会零信任安全专场)中国电子标准化研究院带来了零信任标准的最新进展;本次大会的三大赞助商分别来自深圳三大本土巨头企业,华为、腾讯、深信服分别带来了各自的零信任解决方案;全球网络安全领导者PaloAltoNetworks也带来了自己的零信任解决方案。除了这些大企业之外,零信任细分技术领域的两家创新企业强微灵动和筑云也颇为抢眼。总的来说,零信任已经从概念走向了落地。无论是完整的解决方案提供商,还是细分技术领域的产品技术创新者,在中国都已经形成了非常强大的产业阵容。RoseSmart是业界公认的微隔离细分市场领导者,是国内最早也是目前唯一专注于微隔离技术的厂商。正如其创始人颜雷先生所言,我们只做这一件事。一方面是因为这项技术难度大,门槛很高。我们必须全力以赴,给用户一个好用的产品。另一方面,我们想向行业和我们的客户发出一个信号——微隔离就是我们的全部,我们把生命放在了承诺上,我们将永远保持领先,除了胜利,我们别无选择。(玫瑰智能CEO颜磊在湾区超越网络安全大会零信任安全发表演讲)正是因为专业和卓越的成绩,玫瑰智能在本次论坛中被选为零信任的核心技术模块-微信零信任分论坛邀请隔离技术代表企业与行业巨头同场竞技,向全行业介绍微隔离技术。而颜磊老师也不负众望,在论坛中对微分段和零信任技术提出了非常新颖深刻的见解,言辞诙谐,引起了专家和业内人士的热烈反响和高度共鸣。微隔离到底应该叫什么?颜磊表示,从直译的角度来看,“微分段”应该是比更广为人知的“微分段”更贴切的译法。因为它其实很直观地指出了这个技术最简单的一个含义,就是把一个非结构化、无边界的网络划分成很多逻辑上很小的网段,保证每个网段上只有一个计算资源,而所有需要的流量进出该微网段需要通过门禁设备。但是,不知为何,微分段的名字并没有流传开来,而是不太准确的微分段流传开来。按照颜雷的说法,似乎也可以这么理解。与直译的“微分”相比,从意译的角度看,微分更为准确。因为它准确地反映了这项技术的目的和价值,即在没有任何访问控制能力的网络中创建一个完全可控的零信任网络,使每个资源都可以在逻辑上连接到其他资源。孤立。谈及此,颜磊指出,其实网络安全产品一直有两种命名方式。比如漏洞扫描、杀毒软件、网页防篡改等名称,都是对这款产品功能的非常准确的描述。但还有一类,如防火墙、下一代防火墙、堡垒机等,虽然没有直接描述技术,但同时非常形象地反映了产品的价值和用途,因此也得到了认可和广泛的应用用过的。因此,虽然微隔离这个名字并不完全准确,但不妨碍它成为一个更被认可和接受的名字。微分段如何颠覆防火墙?业界一直有一种说法,微隔离将会并且正在颠覆防火墙。那么这句话反映了什么样的技术判断和发展趋势呢?颜雷先生指出,颠覆防火墙的不是微隔离,而是云计算。防火墙有其历史背景。设计防火墙时,网络是静态的,IP地址具有稳定的身份属性,即IP地址与资产之间存在稳定的一一对应关系。以IP地址为基本表现形式的防火墙技术。但是,随着云计算、物联网等基础设施的广泛部署,IP地址不再是一个静态配置的常量,而是变成了一个池化的、动态分配的变量。也就是说,IP地址不再具有资源标识信息的价值,而是作为通信的临时变量存在。这带来了一个非常重大的影响,就是以IP地址为基本语言的防火墙失去了核心表达能力。相反,它是以逻辑标识为基本原语的新一代网络安全技术,包括微分段。为什么微隔离技术比以往任何时候都更加复杂?很多人刚开始接触微隔离技术的时候,都认为这是一个简单的技术。从其部署方式来看,它只是一种宿主软件。针对这一观点,颜磊从软件产品计算复杂度的角度解释了微隔离技术的计算特性。颜磊将安全产品分为三种计算复杂度。第一类称为O(1)型产品。也就是说,不管部署规模有多大,这个产品的计算复杂度是不变的。比如传统的杀毒软件等主机安全产品,基本都属于这一类。当然,这并不是说这类产品的难度低,而是说它的难度不会随着经营规模的扩大而改变。在一台机器上部署和在10000台机器上部署的软件复杂度都不会改变。第二类产品,称为O(n)型产品,其计算复杂度随着管理规模的增长而线性增加。最典型的O(n)类型产品是防火墙。为了管理一个小型网络,我们需要一个吞吐量为100M的防火墙。为了管理一个大型网络,我们需要一个吞吐量为1000M的防火墙。对于更大的网络,我们需要10G防火墙甚至T级防火墙。O(n)型产品的复杂度随着其管理规模的增长而线性增加。越是高端的防火墙越难做,需要的计算资源也越多,当然也越贵。微偏析代表第三种类型。因为微隔离是解决数据中心内部任意两点之间的业务关系和访问控制问题,所以它的计算复杂度和它的管理规模是一个平方关系,准确的说是(n^2)/2。但云计算的动态特性引入了时间复杂度,因此微隔离产品的计算复杂度可以表示为O(t*(n^2)/2)。这种复杂程度可以说是我们以往从未遇到过的。它是一种由零信任的引入带来的全网关系不可避免的复杂性。随着管理规模的增长,其计算复杂度迅速增加,管理1000个虚拟机的难度是管理100个虚拟机的100倍而不是10倍。但是,我们可以使用的计算能力不可能呈指数级增长。所以基本上管理规模每增加十倍,产品都要重构一次。颜雷先生感慨地说,这几年,强威凌动的管理能力从300台到3000台,再到现在的15000台。看着,也是满满的成就感。为什么微分段是零信任的核心技术模块在介绍微分段与零信任的关系时,闫磊引用了Forester、Gartner、NIST的相关资料进行解释。可以看出,在各个权威机构的理论体系中,微隔离都处于核心位置,与IAM技术、SDP技术一起构成了零信任领域的三大技术基石。对于这三种技术之间的关系,颜磊给出了简单而形象的回答。IAM技术主要是回答网络中存在哪些物理和逻辑资源实体,并对这些资源之间的访问关系进行授权。由于零信任技术的特点是直接面向资源而不是面向网络,因此需要一个全局生效的IAM系统为SDP和微分段技术提供政策依据。SDP与微隔离技术的区别在于,SDP是用来解决从数据中心外部(不区分办公网络和互联网)安全访问数据中心的服务和数据的问题。微隔离技术用于解决数据中心内部流量的识别和访问控制问题。这两项技术管理着数据中心内的所有流量(南北向、东西向)。微隔离实践五步法谈及微隔离五步法时,颜雷老师风趣地指出,现在做零信任有五步,微隔离就是五步,而SDP也是五步。每个公司都有五步,不是五步就不是正宗的。事实上,即使是每一步的主要工作目标都是相似的,只是结合具体的技术场景在实现上会有一些差异。就微隔离而言,主要分为定义、分析、设计、保护和持续监控五个步骤。本质上是对具体业务系统进行全面的业务分析,基于业务设计适合企业环境和需求的零信任网络架构,并在此基础上实施全面的白名单访问控制的过程。谈及白名单访问控制,颜雷热情地说,切换到白名单保护状态的那一刻,就是见证奇迹的时刻,也是您的网络迎来新生的时刻。我们所有的管理其实一直在朝三个方向努力,就是尽可能的建立解释力、预测力和控制力。过去,我们对我们的网络知之甚少,完全没有能力预测它在特定任务上的表现,也很少有有效的干预。当我们用微隔离技术将网络置于完全零信任的白名单访问控制之下,网络从此进入稳定状态!也就是说,我们可以准确地知道我们网络中发生的一切,我们也可以自信地说,这个网络现在是这个样子,以后也一直是这个样子。只要我不允许,它就不会有任何改变。而且,我们拥有细粒度的网络访问控制能力,细化到每一个容器,甚至每一个进程,我们将真正成为网络的主人。颜磊先生的演讲深入浅出,无愧于国内微隔离技术第一人的称号。他的演讲让大家对微隔离乃至零信任技术有了全新的深入理解和思考。演讲结束后,玫瑰智能展台前人山人海。人们争先恐后地与玫瑰智能的技术专家们交流探讨这项全新的网络安全技术。具有隔离技术的零信任网络。(蔷薇灵动展台)蔷薇灵动表示,他们已经预见到,“十四五”期间,随着零信任概念的盛行,云计算和大数据平台的大规模部署,以及数字化转型的布景,微隔离市场必将迎来爆发式发展。为此,除了北京总部外,他们还新成立了上海分公司和深圳分公司,分别覆盖京津冀、江浙沪和大湾区。他们相信,他们的产品会像他们的名字一样,在中华大地上绽放出鲜艳的红玫瑰。
