访谈︱这家安全初创公司专注自适应微隔离技术

云计算技术正在颠覆整个社会的IT基础架构，新的威胁，新的环境，新的基础技术将共同重新塑造网络安全体系，而网络安全产业也一定将会围绕着云计算发生巨大变革。

自适应与微隔离，均为近年来新兴的网络安全技术，国内专注这两个领域的安全公司非常少。就在最近，安全牛获悉一家刚刚成立的安全公司——蔷薇灵动，被IDC选入其安全创新者报告，而其被选入的原因，正是由于其专注于微隔离技术的技术创新。于是，记者近期走访了这家公司的创始人，严雷。

个人简介

严雷，拥有北京邮电大学计算机网络硕士位和工商管理硕士学位。先后历任JUNIPER北京研发中心高级工程师，网康科技产品市场总监，远江盛邦产品市场副总裁。

基于丰富的安全产品营销与规划经验，以及深厚的技术功底和敏锐的行业洞察眼光，严雷于2017年创办了以自适应微隔离技术为核心技术，以云计算安全为主要目标市场的北京蔷薇灵动科技有限公司。

一、云时代催生自适应

安全牛：自适应安全的概念已经提出了几年的时间，你是如何看待自适应安全的？

严雷：当业务系统的体量非常大，上面的应用足够复杂时，网络安全工作的难度就会呈指数级增长，变得极度臃肿并导致寸步难行。这就是“自适应”这个概念出现的背景。

其实基本的安全理念，在业界很早就已经形成，只是缺乏基础技术来更好的支撑。比如说安全域，都知道越小越好，但实际上不能太细，因为太复杂管不过来。再比如都知道白名单的好处，但业务多的话管理任务会过于繁重，反过来又影响业务。

在今天的虚拟化、云时代，借助于自动化、大数据、微隔离等技术，可以很好地实现这些安全理念。比如我们的产品可实现持续监听、持续计算和持续调整。要知道在一个大型网络里，变化几乎每时每刻都在发生。通过持续监听了解系统所有的变化，再通过持续计算做出调整策略，最后根据策略不断地实施调整。让安全跟的上云和虚拟化的弹性，自动适应业务的发展，即自适应安全。

二、“原子”级别的安全技术：微隔离

安全牛：你们的技术叫做自适应微隔离技术，实际上国内也有一些一定规模的厂商在做东西流量的防护，你们又想如何进入这个领域呢？

严雷：是这样，目前的微隔离技术有三种实现形态。一种是基于云架构来做，比如VMWare或阿里云，另一种是基于传统防火墙技术在物理设备上做虚拟化。我们则是基于主机或虚机上来做，安装Agent，以实现自适应安全的理念。

安全牛：提到自适应和Agent，之前一些做主机安全的公司已经都在提倡并且实践了，你们与这些公司的技术又有什么不同呢？

严雷：区别哪种类型的技术，并不取决于设备或软件部署在哪里或说部署方式有何差异，比如部署在主机上的软件，即可以是针对主机安全也可以是针对数据安全，甚至是网络安全。因此，要判断一个技术属于哪种安全产品还是要看它的保护对象是什么。

一些装在主机或虚机上的自适应安全产品，如果是在做配置核查、漏洞管理、系统保护之类的工作，那就是主机安全。我们的产品则是网络安全产品，保护或处理对象是网络流量。而且你也知道，与传统防火墙不同，针对的不是南北而是东西流量。

这里面非常关键的一件事情就是可视化。传统的防火墙，处于网关位置，所有的流量都要经过。因此，是对“看得见”的流量进行控制。但如果在内网中，或者在云中，很难找到一个类似“网关的位置”来部署设备做到把其全部东西向流量都看到。所以，只有直接部署在虚机上，才能解决这个“流量看得见”的问题。

谈到这里说一个微隔离理念的问题。我认为，一定能够覆盖到最细微最基础的网络节点上才能称之为微隔离。最早的隔离技术，是把网络分域，如DMZ，然后用防火墙来实现隔离。但在云时代，网络是动态的，攻击方式各种各样，所谓的“边界模糊”或消失，这种非常粗的划分方法就不适用了。比如，WannaCry的爆发就是典型的突破边界后，病毒在内网一马平川。

那么既然网络分域太粗，按网段划分呢？按工作组划分？或者干脆按物理主机划分，这样是不是就到了基本节点呢？如果在传统数据中心的环境下，的确是这样。但在云计算环境中，有时连虚拟机都算不上基本节点，因为在虚拟机上还有容器。因此，在我看来，基本节点即不是主机也不是虚拟机，甚至也不是容器，准确的讲应该是Workload（工作负载），是一个有着自己的CPU、内存进程空间的计算实体。这个实体才能称之为真正的微隔离，未来的安全一定是对最基础的实体进行保护。

安全牛：实际上，梆梆安全的阚总也曾经讲过一个“微边界”的概念，只是他指的是物联网环境下最小的设备安全，你这里是指虚拟化形态的最小实体。但无论微边界还是微隔离，二者的本质理念是一样的，即安全的纵深防御，层层防御，一直到基本单位。

严雷：没错，是这样。实际上我把这种理念称之为“原子”级别的安全。

微服务等下一代数据中心架构技术正在使数据中心东西向流量日益增长，因为微服务的本质就是把过去内存中交换的东西放到网络上去交换。用技术语言来讲，就是进程与进程之间在内存中的交换，拆成微服务之后，成为一个独立的工作负载（workload）。而工作负载与工作负载之间的，就是网络交换。Gartner最近推出的11大安全技术之首，CWPP（云工作负载保护平台）就是基于工作负载的概念。

回到公司层面上来，蔷薇灵动目前是国内唯一能够提供对Docker进行安全隔离的公司。

安全牛：是支持所有的容器还只是Docker？

严雷：所有的容器，因为我们面向的是操作系统，与何种物理设备或是容器技术无关。举个实例，我们的产品目前至少运行在三种测试环境下，第一个是阿里云上运行CentOS，第二个是Azure云上运行Ubuntu，第三个是VMWare上面跑Windows。

这正反映出我们支持混合云架构的优势所在，而混合云目前是主流架构。反观其他一些微隔离产品，则需要和不同云基础架构的厂商谈适配、谈对接、谈分成，然后测试、联调，周期会非常长，成本自然也会大。

三、用专业的工具做专业的事情

安全牛：但是国内的重点行业用户普遍对Agent形式的部署有所抵触，这一点你是如何看待的？

严雷：其实大多数用户之所以不愿意部署Agent，主要有几个担心，比如资源占用、安装麻烦等，最担心的是影响现有业务。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!