薔薇靈動釋出統一微隔離，零信任迎來新進化

2022年9月8日，薔薇靈動新品釋出會在北京舉行。會上，薔薇靈動釋出了新產品——統一微隔離。在會上，薔薇靈動向現場嘉賓以及網路觀眾，介紹了統一微隔離產品的核心功能和在典型網路場景下的解決方案，並透過現場產品演示，向大家揭開了這款劃時代產品的神秘面紗。在會上，東方富海投資總監楊震東先生，和數說安全創始人於江先生，分別從各自的專業角度對零信任在國內的進展進行了闡述和分析，並對薔薇靈動的革命性創新進行了深度點評。

什麼是統一微隔離

統一微隔離，是一種在微隔離與ZTNA技術基礎上發展出來的，可以打通辦公網和資料中心網路，為使用者提供端到端業務視覺化分析與身份訪問控制的新一代零信任產品。

所謂統一，包含五個方面：

首先是辦公網與資料中心的統一。統一微隔離將辦公網與資料中心的邊界開啟，將整個園區網，甚至是使用者的全部基礎設施(包括公有云和遠端辦公地點)視為一張統一的網路，然後對這個統一網路做統一策略管理。這將使使用者歷史上第一次能夠獲得一張覆蓋全域性的具有身份和業務屬性的統一零信任網路和統一視覺化業務檢視，這徹底改變了使用者過去一直以來做“拼圖”(很多時候還拼不起來)建“孤島”的安全管理窘境，讓網路安全走進了寰宇一統、金甌無缺的大統一時代。

其次是身份空間的統一。統一微隔離將人、裝置、網路、業務、資料的身份空間完全打通，並進行統一管理，讓使用者基礎設施中的每一個要素，都能夠不受位置、環境、網路的約束，擁有一個全域性唯一且持續生效的身份標識。這種對全要素進行身份化網路策略標識與管理的能力，使得統一微隔離可以構建覆蓋全要素的統一零信任網路。

第三是網路策略統一。統一微隔離允許使用者對整個基礎設施做軟體定義策略管理，透過一套單一的微隔離策略，對全部網路流量作統一管理，使用者可以用一條策略直接描述某部門某使用者到某業務中的某工作負載的業務訪問許可權，而這樣的跨基礎設施跨網路的訪問控制要求，在過去要在若干分散的安全產品上透過多條組合策略才能近似達成。

第四是安全資料統一。對全域性安全資料做統一分析是當代安全體系的必然要求，也是等級保護2.0標準體系中的重要組成部分，但是實際情況卻不容樂觀，來自不同產品的不同格式的、零碎的、片段的、重疊的海量資料要清洗乾淨並整合拼接起來實際上是非常困難的，而且這些資料基本都是基於IP的，這樣的資料沒有身份和業務資訊，因此也很難進行訪問意圖分析。而統一微隔離，基於其統一微隔離網路和統一身份空間、統一策略空間的框架能力加持，能夠對全部流量建立起一份全域性關聯、全域性索引，並且是按照使用者身份和業務資訊進行整理和呈現的統一安全資料，這將使安全運營走向一個全新的時代。

最後也是最重要的，是零信任平臺統一。一直以來，ZTNA與微隔離被認為是零信任的兩個技術基石，ZTNA用於解決業務外部訪問安全接入問題，微隔離用於解決業務內部流量安全互動問題，也就是一般所謂的，ZTNA管南北，微隔離管東西的架構體系。這種結構是目前常見的零信任架構，但也是一種缺陷明顯的架構，在這種架構下，ZTNA與微隔離之間存在著一個巨大的策略與資料鴻溝，攻擊者可以利用這個鴻溝同時繞過微隔離與ZTNA的防禦。統一微隔離在一個統一平臺上同時解決了外部業務安全接入與內部流量安全訪問兩個問題，徹底弭平了現有架構下的各種縫隙，真正做到全域性統一業務分析和全域性統一精細化策略編排，這是對零信任技術的一次重大創新，也是零信任技術發展的必然方向。

零信任的理想與現實

要深入的理解統一微隔離這個全新技術品類的革命性意義，有必要回顧下零信任的發展歷程與現狀。零信任究竟要解決什麼問題和零信任如何解決這些問題一直都是兩件獨立的事情。

先說理想。零信任一直以來要嘗試解決的其實就是一件事，那就是網路邊界消失問題。虛擬化技術因為計算資源的池化隨機分配，帶來了資料中心內部邊界消失。雲端計算(特指公有云)由於多雲架構，以及雲內多資源池架構，帶來了資料中心外部邊界消失。而移動裝置的廣泛使用帶來了辦公網內部邊界的消失，而遠端辦公的盛行又帶來了辦公網外部邊界的消失。所謂消失，不是形容詞，就是物理意義上的消失，意思是沒有一個(或幾個)固定的物理位置可以確定地獲取所需管理的網路流量並進行訪問控制。邊界消失，對於安全行業一直以來沿用的邊界防禦理念以及防火牆產品構成了顛覆性打擊。

零信任概念的提出就是希望建立起一個全域性統一的，網路無關的分析與控制體系，從而實現在整個基礎設施範圍內，對全部流量進行統一分析和控制，對全部安全能力進行按需的交付和編排。所以，零信任自始至終一直是個網路問題，就是希望搭建一個精細化的網路位置無關的邏輯結構，對全網流量進行精細化控制和按需的安全防禦。

零信任的理想是一回事，實現又是另一回事。2010年Forrester提出零信任概念時，實際上就給出過一個解決方案，他當時的設想是，引入一個全域性統一的交換機，上面有全部安全板卡，然後所有流量透過這個交換機，透過策略配置安全能力的作用。事實上，2010年的時候這本來就是很多大型數通廠商的常見方案，在之後也出了一些產品，不過這種物理上的流量與安全能力集中，顯然是一種過於沉重的解決方案，根本無法在大規模網路中使用，因此2010年之後，零信任概念並也沒有真正流行起來，一直到2020年，NIST零信任草案的提出。在這個草案裡，零信任有了新的解決方案，那就是透過IAM，SDP，和微隔離這三個技術基石構建起的零信任框架。SDP與IAM是兩種不同但又有交集的ZTNA技術，可以面向使用者身份設計訪問策略，從而解決外部邊界消失問題。微隔離可以面向業務和工作負載身份設計訪問策略，從而解決內部邊界消失問題。這個結構是具有真正可行性的架構，因此得以在全世界廣泛部署，帶來了零信任的真正繁榮。

但這個框架也有其自身的問題，那就是ZTNA與微隔離的割裂。ZTNA對於公有云以及SAAS訪問解決得很好，但是對於本地資料中心的防護就差了很多。暴露在公網的業務相對來說有限且比較標準，基本都是透過HTTP協議來訪問的，而那些只能被本地訪問的私有業務從流量型別到訪問途徑都五花八門，甚至他們的存在都不被管理員所瞭解，這種情況下，對於要求具備明確訪問關係才能部署的ZTNA方案來說就變得非常困難。而與此同時，微隔離也面臨著自身的挑戰。微隔離與工作負載和業務部署在一起，因此它天生能夠看到全部訪問流量，並且具備最完整的控制能力，但是因為微隔離只擁有業務和工作負載身份，對於來自外部的訪問(南北向)流量則沒有理解，它看到的還是普通的IP流量，這就使得面對這些流量的時候，微隔離就只能退回到過去的基於IP網段的粗粒度訪問控制邏輯上。微隔離和ZTNA各自負責南北和東西，實際上為網路攻擊留下了一個可以被利用的”縫隙“。而這就是零信任架構在統一微隔離之前所面臨的技術現實，它比過去要好，但還不夠好!

統一是零信任的必然趨勢

零信任基礎技術架構從分裂走向統一是大勢所趨。在Gartner 2022年2月釋出的最新的ZTNA報告《Market Guide for Zero Trust Network Access》(ZTNA市場指南)中，有這樣一段話：

Vendors continue to expand offerings into the data center with identity-based segmentation as separate products or combined with ZTNA offerings — blurring the lines between segmentation technologies.

譯文：

ZTNA供應商都在想辦法為資料中心提供微隔離技術，微隔離可能被當作獨立的產品提供，也可能直接和ZTNA產品整合在一起，從而打破兩種分段技術的區隔。

這裡先講幾個背景知識。在Gartner的話語體系中，微隔離一共改過三次名字，現在最新的叫法是 identity-based segmentation。在garnter看來，微隔離最本質的價值就是可以利用身份來組建網路分段。另外，在Gartner2022年更新的另一篇報告《What Are Practical Projects for Implementing ZeroTrust?》(靠譜的零信任專案究竟是啥?)中，有這麼一段話：

Organizations looking to move to practical implementation should focus on two primary projects: user-to-application segmentation (ZTNA) and workload-to-workload segmentation (identity-based segmentation).

這段話核心就是說，真正的零信任專案就兩個， 一個ZTNA，一個微隔離。ZTNA解決的是人到業務(南北向)的網路分段問題，微隔離解決的是工作負載間(東西向)網路分段問題。這其實就是我們前文提到的，零信任問題自始至終是個網路問題，ZTNA是南北向網路分段問題，微隔離是東西向網路分段問題。

瞭解了以上背景知識，我們再來看《Market Guide for Zero Trust Network Access》中的那段話，就很好理解了，Gartner就是說，根據他的觀察，ZTNA正在嘗試打通和微隔離之間的邊界，從而構建統一的零信任網路，這就是我們為什麼說，一切分裂都是暫時的，統一才是大勢所趨。

作為佐證，大家可以看一下ZTNA領域典型代表企業zscaler的產品線，他就是透過一款獨立的微隔離產品來實現的(雖然這樣做不完美)。

而除了ZTNA廠商在向微隔離領域發展，微隔離廠商也在努力向ZTNA領域擴充。近日，全球微隔離市場領導者illumio更新了他的產品線，正式釋出了illumio endpoint(南北向ZTNA)，從而和illumio core(東西向微隔離)以及 illumio CloudSecure(雲原生微隔離)一起構成了其完整的零信任網路框架。

無論從業界的發展趨勢看，還是從Gartner的分析看，兩種分段技術的融合是一個不可阻擋的趨勢，而這也就是薔薇靈動釋出統一微隔離的原因。

薔薇靈動的微隔離之路

對於中國的網路安全行業來說，薔薇靈動和微隔離基本上是劃等號的。但是薔薇靈動一直拒絕使用”領導者“、”領先者“一類的稱呼，按照薔薇靈動自己的話說，這種自我標榜的宣傳口徑，不符合其企業文化。薔薇靈動對自己的定位是，零信任領域的長期主義者。這不是一種自我標榜，而是一種自我鞭策，和自我約束，同時也是一種品牌承諾。而就微隔離這件事而言，薔薇靈動也確實對得起”長期主義者“這樣的稱呼。薔薇靈動建立於2017年一月，最早將基於主機代理軟體的微隔離技術引入中國，並編寫了中國第一個也是目前為止唯一的一個微隔離技術標準，從而親手開啟了中國的微隔離市場。薔薇靈動的產品目前在國內的大型資料中心已經擁有了很高的市佔率，其技術水平已經與其海外對標達到相同能力甚至在某些領域還有所領先。而正是由於其產品在大型資料中心生產網的廣泛使用，才讓薔薇靈動領先於國內同行，與全球零信任領導者們幾乎同步意識到了微隔離技術基因裡就存在的問題。

”我們只能解決70%的問題“，這就是薔薇靈動做統一微隔離的直接原因。70%這個資料來自於其大量的客戶現場的真實業務統計。零信任要保護的是資料中心(辦公網在零信任的技術體系裡和網際網路基本上是等同的，不是被保護物件而是要防禦的物件)，而資料中心的流量分為兩份，一份是南北向流量(佔比約30%)，一份是東西向流量(佔比約70%)。微隔離可以將全部東西向流量零信任化(基於ID的最小許可權訪問)，但是對於南北向流量就束手無策了。國內資料中心的入口事實上非常多樣，透過微隔離產品，能夠看到來自各種入口的南北向流量，有來自本地辦公網的，來自遠端分支的，來自網際網路VPN的，以及來自堡壘機的等等。而這些流量都是非零信任的!也就是說從微隔離看來，至多隻能分辨(其實是猜測)出這是來自哪個地理空間的流量，在這種情況下，微隔離能做的就只能是基於IP地址段，給與一個非常寬泛的訪問許可權。因為沒有具體的身份資訊，微隔離無法對其來源做進一步驗證，更無法基於其角色給出細粒度的訪問許可權。有人說，ZTNA是可以保證從ZTNA閘道器進入的流量都是安全的，微隔離就都放開就行了。但事實上，當下的ZTNA往往只能覆蓋極其有限的一小部分業務訪問，還有大量的業務不是透過ZTNA進入的，甚至很多使用者根本就沒有部署ZTNA。而就算是對於那些透過ZTNA接入的流量，微隔離也不應該就直接予以放行，而是應該根據其訪問的業務訴求，嚴格限制其在內部的訪問空間，這就避免了ZTNA成為新的攻擊點，一旦ZTNA被突破乃至被控制，微隔離還可以構建起縱深防禦體系，從而和ZTNA閘道器形成異構，但由於ZTNA閘道器過來的流量就是完全丟失了身份資訊甚至都丟失了源地址資訊的無差別訪問流量，讓微隔離的縱深防禦能力也等於被廢掉了。

這些情況是薔薇靈動在使用者現場真實遇到的問題。在歷次攻防演練中，在有微隔離的環境下，想透過拿下資料中心內部主機，再進行橫向掃描和平移基本上沒有機會了。但是，拿著洩露了的使用者名稱密碼，或者利用業務系統漏洞，從辦公網直接進來的攻擊流量卻防不勝防，這就是因為微隔離無法判斷這些來自辦公網的流量究竟是誰發起的，以及是否有權利有必要訪問那些業務系統。

無論從技術發展趨勢以及零信任理論研究的角度，還是從微隔離業務實踐以及一線攻防實戰的經驗出發，薔薇靈動都堅定了要做一款能夠覆蓋全部基礎設施，對全部流量進行身份化統一零信任管理的全新零信任產品的決心，這就是統一微隔離!

透過統一微隔離，薔薇靈動可以實現對資料中心100%流量的零信任管理，實現全網上帝視角，和全網精細化策略編排。這是薔薇靈動在其微隔離創新之路上的一小步，但絕對是零信任歷史上的一大步。他把國內的零信任水平帶到了一個全新的高度，他讓國內使用者第一次有機會，在一個平臺上，透過一套統一的身份空間和策略空間，對全部流量做到100%的零信任覆蓋。

薔薇靈動的微隔離之路走到今天，已經到達了一個前所未有的新高度，但是我們相信這仍然不是這條路的終點，在長期主義的精神引領下，薔薇靈動必將不斷做出真正有世界領先水平的原生性創新，讓我們拭目以待。