講解零信任核心技術微隔離
零信任作為一種安全管理哲學,近年來漸漸有了一統江山之勢,作為在此領域頗有研究的專業人士,薔薇靈動創始人嚴雷用新的視角,從零信任不是什么的角度給大家闡述這一話題。
在薔薇靈動嚴雷看來,首先,零信任是一種方法論,它定義了一種安全管理的新的視角。它不是一個產品或者說一個技術。也就是說您買不到一個叫零信任的產品,您只能買到幫您實現零信任的某種要求的產品。
其次,零信任是一個過程,或者說是一個方向。它不是一個靜態的標準,或者說狀態。零信任的建設應該是一個持續的,逐漸深入,逐漸優化的過程,也是一個在安全與業務之間的一個平衡的過程。
最后,零信任是個廣泛適用的方法論,也就是說它可以應用于整個計算架構的各個方面,在每一個細分的環境,每一個具體維度上都可以利用零信任的方式來做管理,而不是像谷歌那樣將之應用于辦公網,面向員工的身份進行管理。
從圖中可以看到,零信任可以作用于人,設備,網絡,工作負載等所有有數據流動的主體上。事實上,相較于辦公網而言,數據中心是更容易實現零信任的場景,也是有著更多核心業務和關鍵數據的地方,因此可以成為我們開展零信任建設的起點。
微隔離在零信任網絡中的地位和價值
對于數據中心網絡而言,具體的產品技術是什么呢?一個是SDP,一個就是微隔離。事實上微隔離技術是最早的一種對零信任這個概念的具體技術實現。Forrester在2019年Q4的報告中對此也有分析。
通過對Forrester報告的分析,大家不難理解微隔離之于零信任的價值。因為微隔離要實現的核心能力就是兩條,數據中心內工作負載之間的流量可視以及訪問控制。大家可以回頭再看看前面那張圖,零信任能力本質上就是倆能力,一個是看得盡量多,一個是管得盡量細。而恰恰這就是微隔離主要在做的事情。領先的微隔離產品,能夠做在十萬點級別的數據中心內做到容器間流量的識別與訪問控制,甚至能做到基于進程的訪問控制,這個細粒度正是零信任所要求的。
微隔離技術的當下和遠方
作為微隔離技術在國內最為積極的倡導者,也是目前唯一一家只做微隔離這一件事的廠商,薔薇靈動做了很多的微隔離項目,服務的客戶包括三桶油,五大行,三大運營商,平安、京東等等云計算領域最領先的行業領導者。關于微隔離的具體應用,薔薇靈動可以用“多快好省”來概括:
多:跟得上用戶計算密度膨脹的腳步。薔薇靈動嚴雷曾表示,微隔離就是要跟得上用戶計算密度膨脹的腳步。微隔離要回答的是點和點之間的關系問題。從算法復雜度的角度講,他與所管理的點數之間是個n的平方的關系。然后再隨著時間的累積,這個數量級就接近了n的3次方了。這意味著什么呢,如果管理規模擴大一倍,那么對算力的要求會擴大8倍。所以對于大規模網絡的支撐是微隔離最重要的一個技術難點。
這里一定要注意一個區別,不是說你能夠部署安裝多少點,而是說你能不能把這些點之間的關系完整、準確、實時地分析出來。目前,薔薇靈動的微隔離技術可以實現用三臺云主機作為算力,來支撐萬點級別的場景,根據Illumio的公開資料,他們要支持一萬五千點的時候,就需要6臺專用的高主頻物理服務器。可以想象百尺竿頭更進一步會有多難。而這個能力,相較于我們用戶計算體量的膨脹速度而言還是不夠。
過去評估防火墻的最主要指標是吞吐量,包括延遲,每秒新建,并發等等指標。而微隔離技術的核心指標就在于它能夠管理的工作負載的規模。
快:跟得上微服務架構飄渺的跑位。薔薇靈動認為,容器在計算密度膨脹這個過程中扮演了非常重要的角色。一個方面,K8S的成熟和便捷,以及對于DEVOPS理念的良好支撐,使得越來越的客戶在快速的擁抱容器。但是,從另一個方面,這也對各種運維技術提出了很嚴峻的挑戰。就微隔離技術而言,一個非常大的挑戰是策略計算速度問題。
微隔離是一種典型的軟件定義安全結構。在K8S的環境下,由于容器的創建和銷毀非常方便,使得容器的生命周期往往非常短,甚至只有幾分鐘。這就對策略計算的速度提出了很嚴格的要求,再加上往往容器環境的體量都非常巨大,就讓這個策略計算的難度更高了。
好:企業級產品必須具備企業級特性
企業級產品的功能特性,符合冰山模型。我們能夠看得見摸得著的功能大概只占整個產品功能的10%,90%的功能都是水面之下的非功能特性,或者我們稱之為企業級特性。
薔薇靈動嚴雷認為,很多時候你并不知道你缺失的企業級特性是什么,直到你在客戶現場遇到他!這要求企業一個方面要始終投入最大的精力在這個方面,盡全力去提升企業級特性。另一個方面,大家在評估微隔離產品的時候,一定要關注他們是否有大規模場景的交付經驗和大規模的現網穩定運轉的案例,要評估他們是否真的能夠支撐你的云計算發展戰略。
省:在產品發展的過程中保持克制
薔薇靈動曾提出 “產品研發的不可能三角“這個方法論:就是在產品功能的豐富性,產品功能的專業性,以及計算開銷這三者之間,你最多只能選擇兩者。
比如,你可以選擇產品功能很豐富,計算開銷也比較低,那么你的每一項功能的實現水平勢必比較初級。比如面向中小客戶市場的產品,往往選擇這種產品戰略。
或者,你也可以選擇產品功能很豐富,而且每一項功能的實現水平也很高,那么你勢必需要很多的計算資源。比如我們過去的邊界型安全產品,一個數據中心,只需要兩臺,每臺設備都是4U,兩臺就能裝滿一個機柜。對于微隔離而言,一個最主要的限制就是計算開銷問題。由于微隔離需要對整個數據中心內部做點到點的訪問控制,所以他的控制點的分布應該是盡可能的廣。
根據不可能三角,我們就必須在功能豐富性與功能的完善性之間做個二選一的選擇,再結合我們前面對微隔離所面臨的技術挑戰的描述,那么其實我們能選擇的路就只有一條,那就是選擇少而精,而不是多而粗。
作為一家高科技創業企業,薔薇靈動無論是從客戶的要求來說,還是從對新技術的偏好來說,都有極大沖動去做更多的安全能力,但這個時候必須始終牢記產品邊界,即要在超大規模生產環境下交付的企業級產品,專注于產品本身的性能優化。
