微隔离部署方式
时间:2022-03-22 10:39:02 | 来源:行业动态
时间:2022-03-22 10:39:02 来源:行业动态
微隔离技术要管理的是由数千甚至数万台机器构成的大型计算环境,在部署这一技术时必然有一定的复杂性,通过长期的实践,蔷薇灵动总结出了一套自己的方法论:
第一步,对东西向业务进行学习,绘制云内业务拓扑。
第二步,业务梳理(确认)
这一步,在不同的用户处不太一样,有的用户过去没有完善的资产、业务与配置管理体系,这就需要首先建立起一套业务模型出来。无论如何,在你根本不理解业务的情况下,是不可能进行有效的东西向安全策略设计的。这种情况下,这一步的工作量就变得比较大了,而且往往需要调度多个部门进行协作。不过,既然等保2.0已经来了,这是早晚都要做的一步,用我们的技术已经把工作量缩减了好几个数量级了。
而如果是用户过去就有很好的类似于CMDB的资产与业务管理系统,那么我们就只需要做业务确认即可,因为实际的业务情况可能会与系统中的不一样,或者系统中缺少一些信息。
第三步,策略设计
好的微隔离产品,一定能够根据业务情况自动生成安全策略(当然,好的安全产品一定能看得见业务),否则,如果让用户自己去逐台机器进行配置,那根本就是一场灾难。比如我们的一个客户,有两万台虚拟机,随便一个业务系统就有超复杂的内部业务关系,给张图你们自己体会下(这还不是虚机间关系,只是业务间关系)。
而且策略最好是IP无关的,比如蔷薇灵动可以直接根据虚拟机的业务标签来配置策略。因为IP地址在云内是个非常不稳定的参数,一旦策略是用IP配置的,那么后面的运维就非常痛苦了。
第四步,自适应运维
好的微隔离产品,一定能够进行自适应的策略运维,也就是当云计算环境发生,迁移,扩容,升级等变化时,系统可以对安全策略进行自适应调整。没有这个能力,策略运维将变得非常困难,甚至是难以完成的。比如我们的另一个客户,每天都有新业务上线,随时都有可能进行业务架构调整,此时如果策略运维不是自动完成的,那么他们的业务交付必将被安全所拖累。
第五步,自动化编排
云计算环境下,一切都是软件定义的,这当然也包括安全。不同的安全产品,需要被进行统一的管理和调度。我们的产品从设计之初就采用了微服务架构,每一个点击,每一个查询背后都有对应的API可以使用,这使得我们可以被整合到云管理系统中,或者被SOC/SIEM等安全管理平台所调用。
东西向安全是新的安全建设热点,难度非常大。幸运的是,蔷薇灵动已经打磨出了一款非常好用的东西向安全产品,并积累了丰富的部署经验。等保2.0来了,我们准备好了!
在线咨询
