前言.微隔离概念发源自美国,代表厂商是VMware和Illumio,跟其他热门赛道不同,微隔离赛道是没有开源软件的,而且极其复杂,所以市场上真正专业的玩家不多。在国内,成立于2017年的蔷薇灵动是该领域主要参与者,该公司从诞生之初就是要做微隔离,公司名片上印着“蔷薇灵动就是自适应微隔离”。蔷薇灵动创业前两年一直是个小团队,十几个人整天闷头写代码是他们的日常工作,公司在2019年迎来转折点,成熟的产品拿到了第一批订单,主要客户包括中海油、京东、中国平安、中国石油、中国人寿等行业巨头。在此之后,蔷薇灵动进入快速发展期,时逢零信任东风的吹响,到今天,蔷薇灵动已经发展为国内零信任领域的代表性企业之一,并且在头部客户群中拥有广泛的支持者。
蔷薇灵动已成立七年时间,在此前蔷薇灵动的年会上,蔷薇灵动CEO严雷先生接受了我们的专访,回答了包括微隔离市场现状,蔷薇灵动当前发展及未来战略等我们感兴趣的话题。
蔷薇灵动CEO严雷
问:微隔离究竟是个怎样的市场?
严雷:用户购买微隔离的理由很多,首要驱动因素其实是基础设施的变迁,尤其是云原生的广泛应用给传统的访问控制需求带来的挑战。比如说,K8S集群有一个特点,就是POD的IP地址只在集群内有效,这对于用户而言,最大的挑战在于无法在边界上做面向POD的有效访问控制,只能放开大的地址段。而微隔离就能比较好的解决这个问题,我们的很多用户都是基于类似的原因购买的我们的产品。
另外,勒索病毒带来的严重风险,是用户考虑部署微隔离的另外一个重要理由。勒索病毒的特点是横向传播,一个内部服务器的感染往往带来全网主机都被控制。而用户过去的防护主要是面向外部的边界防护,内部侦测能力很弱,更别提东西向访问控制能力了。一旦被勒索病毒攻击,用户往往要付出巨额赎金,而带来的业务、商誉和其他损失更是无法衡量。所以,现在用户普遍都开始加强自己的内部流量侦测与访问控制能力,而微隔离就是被广泛采用的一种勒索病毒防御产品。
除此之外,安全理念的变革也推动着微隔离市场的快速发展。这几年,零信任思想渐渐成为了行业共识,零信任是一种以数据为中心的安全思想,用户做零信任的第一步是要明确数据资产的位置,然后就是要分析究竟什么主体可以访问数据,他们又该如何访问数据,如何标识这些主体,如何控制这些访问以及如何进行审计和行为分析,在尝试解决这些重要但又非常复杂的问题的时候,微隔离这种面向业务的分布式东西向数据分析与访问控制产品很自然的成为了用户首选的解决方案。
问:都谁在用微隔离,他们为什么要用该技术?
严雷:随着蔷薇灵动对中国微隔离市场的教育和深耕,迄今为止,微隔离的市场已经遍布各行各业。比如说银行、能源,运营商、交通、制造业等等。用户购买产品的原因很多,但最主要的还是云计算以及云原生带来的影响,这些大客户过去都有着严格网络安全要求,但是到云计算的时候,很多过去能做到的事情现在做不到了,这样一来,在业务的云计算迁移过程中就遇到了合规困境,所以就需要找到新的技术,这是主要的原因。从这个角度说,也可以认为微隔离市场也是一个合规市场,是如何在新的环境下,满足过去那些能够被满足但现在无法满足的合规需求所带来的市场。
除此之外还有一些其他的原因,比如说由规模巨大导致的管理困境和成本困境。随着数字化转型在行业客户的逐渐深入,用户的数字化底座规模越来越大,传统的基于硬件的管理手段无论从购买成本还是从管理成本上看都难以为继。另外,用户业务逐渐敏态,云原生让业务的生命周期来到了数以“秒”计。在这个时候过去那种静态的、手工的策略管理方法正在成为制约业务快速迭代的瓶颈。此时,微隔离这种全新的纯软件的、软件定义安全解决方案就显得魅力十足了。举个例子,我们在某大型股份制银行部署量超过四万点,但是运维人员只有两个人,而管理的精细度和敏捷程度远超过去,综合成本更是比过去的物理防火墙有着数量级的下降。我们觉得,专有硬件的时代已经过去了,未来肯定是通用硬件算力底座,加上专有软件。
问:用户使用微隔离最困难的地方在哪?
严雷:主要就是交付上的复杂。微隔离跟用户的环境绑得太紧,涉及到的事情较多。我们这几年在这方面下了挺大的功夫,蔷薇灵动的核心竞争力一半在产品上,一半在服务上。微隔离到底该咋部署,咋维护,咋运营,跟其他系统是啥关系又该如何联动,这些问题在过去其实都没人知道。因为这个领域实在太新了,我们也是和我们的用户一起摸索,反复尝试,解决了大量的细节问题,到现在算是探索出了一条路来。今年我们也是打算出一本微隔离运营与运维最佳实践的白皮书,算是我们送给全行业的一个礼物,大家按我们的经验去干,微隔离就一定能干成。
另外,规模问题也是一大挑战。现在的计算密度膨胀的太快了,动不动就好几万点,对于微隔离而言,这是个极其巨大的挑战,因为规模的放大,将带来策略计算量的指数级增长,如果策略计算速度遇到瓶颈,就会导致策略更新变慢从而带来业务的阻断。所以,微隔离的策略计算速度应该如何评估,在多大规模应用下应该是个什么样的指标就变得非常重要。再比如说,微隔离系统的计算资源需求到底应该多大,可靠性又应该如何度量等等,类似这样的指标,我们手里掌握了很多,这些都是中国广大行业客户在引入我们产品的过程中对我们进行评估的方法,也是我们自己内部做质量保障所使用的数据。今年我们还打算出一本《微隔离测试方法与关键指标基线》的白皮书,希望能够建立起微隔离产品的技术评价标准,为用户引入微隔离技术提供数据和方法的参考。
问:成立七年时间,蔷薇灵动当前的发展状态如何?
严雷:在过去几年,蔷薇灵动一直保持了翻倍的增长,即使是疫情防控的特殊时期也是如此,而2023年更是取得了大爆发,随着市场进入了快速发展期,在多数企业都在裁员降薪的时候,我们今年甚至逆势开始了扩张,年会和年终获奖更是一个也不能少,我们对未来还是挺有信心的。
过去,我们的业务主要是以直销为主。而随着产品的日益成熟,标杆案例的广泛建设,公司品牌逐渐被市场认可,产品资料和企业赋能水平的提升,我们正在和越来越多的渠道伙伴开始合作。所谓众人拾柴火焰高,越来越多的伙伴和我们共同努力,我们相信未来会更好。
问:蔷薇灵动的创新战略是怎样的?
严雷:在很多人眼里,微隔离只是一款普通的网络安全产品,但是我们对这个款产品的理解要更深一层。事实上,我们把微隔离看作一种零信任基础设施,他为用户提供了一张身份网络。我们都知道TCP/IP网络,一切通信都是在这个网络上开展的,但是在云计算和物联网时代,这个网络正在变得越来越自由,也越来越无序。随着资源物理位置和IP地址的随机性以及随意性日益严重,网络流量正在变得难以解读,访问控制也正在变得难以实现。于是,我们通过微隔离,在IP网络之上构建了一个新的身份网络,从而通过面向ID而不是IP的方法,把“访问控制”这个最核心的网络安全基础能力给重建了回来。那么,这个身份网络除了能够进行访问控制之外还能做啥呢?我们说,能做的太多了。
举个例子,我们去年做了个新产品叫“知心数据分析平台”,这是一个东西向网络访问关系数据分析平台,如果说微隔离能够把面向身份的策略翻译成面向IP的策略,那么“知心”就可以把面向IP的访问关系翻译为面向ID的访问关系。我们都知道,在云计算以及云原生环境下,IP是不稳定的,所以直接的IP流量就很难被理解,但如果把IP流量映射为面向ID的访问关系,那这些数据就又可以被分析了。这就是身份网络的力量。它其实是一个沟通媒介,通过这个媒介,可以把身份空间和IP空间映射起来。从“知心”开始,我们会把越来越多的IP空间信息和安全能力向身份空间进行映射。可以透露一下,我们最近会发布一款新品,这次我们要带入零信任领域的东西叫“漏洞”。具体怎么搞我们卖个关子,到时候再跟大家说,我们相信那将是零信任领域又一个见证奇迹的时刻。
类似于微隔离这样的身份网络基础设施,我们2022年还发布了一款叫统一微隔离的产品,它能帮助我们的用户把办公网和数据中心网络打通,从而帮用户构建一张完整的,没有任何割裂和缝隙的,覆盖全部基础设施的零信任网络。至此,在网络层可以说已经完成了零信任身份网络能力的基本构建。但是,我们仍然缺乏应用层的理解,比如说Web安全,API安全,数据安全等问题,都还不是我们能够回答的。所以我们也在研发应用层的零信任技术,也许在今年晚些时候会和大家见面,到时候我们将对API安全以及数据安全提出全新的零信任解决方案。
我们的自我定位是零信任领域的长期主义者,因为这里面确实可以做的事情非常多,我们感觉自己站在阿里巴巴的宝藏门口,我们的微隔离只是这个宝库的钥匙而已,还有大量的宝藏等待我们去探索和发现,每每想到这些,就觉得很兴奋。零信任对网络安全的变革,才刚刚开始。
END
✦
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...