微隔离的红蔷薇在湾区创见的舞台绽放

2020年11月28日，以“新基建 新安全”为主题的首届湾区创见网络安全大会在深圳国际会展中心盛大开幕。公安部副部长林锐，中央网信办网络安全协调局副局长、一级巡视员高林，国家密码管理局副局长刘平，广东省政府副秘书长杨鹏飞，深圳市政府副市长聂新平出席开幕式并发表致辞。众所周知，受疫情影响，2020年一向热闹的网络安全行业大型活动基本都转为了线上进行，本次大会堪称年度最盛大的线下活动，网络安全行业群贤毕至，星光闪耀。

（湾区创见·网络安全大会主会场）

2020年堪称零信任崛起之年，作为年内最高规格的网络安全盛会，零信任的话题自然不会缺席。不仅不会缺席，零信任分论坛俨然成为最受瞩目的分论坛。

（湾区创见·网络安全大会零信任安全专场）

中国电子技术标准化研究院带来了关于零信任标准的最新动态；本次大会的三个主要承办厂商，来自深圳本地的三家巨头公司，华为、腾讯、深信服分别带来了自己的零信任解决方案；而全球网络安全领导企业Palo Alto Networks也带来了自己的零信任方案。除了这些大型企业之外，两家零信任细分技术领域的创新型公司蔷薇灵动和竹云也颇为引人注目。整体来看，零信任已经从概念走向落地，无论是完整的解决方案供应商，还是细分技术领域的产品技术创新者，国内都已经形成了非常强大的产业阵容。

蔷薇灵动是行业内公认的微隔离细分市场领头羊，是中国最早也是目前唯一一家专注于微隔离技术的厂商。正如其创始人严雷先生所言，我们只做这一件事情，一方面确实是因为这个技术很难，它的门槛非常高，我们必须全力以赴，才能给用户一个可用的产品。而另一方面，我们要向业界、向我们的客户传递一个信号——微隔离就是我们的全部，是一个我们压上身家性命的承诺，我们必将永远保持领先，除了胜利，我们别无选择。

（蔷薇灵动CEO严雷在湾区创见·网络安全大会零信任安全专场发表演讲）

正是由于专业的精神和取得的卓越成绩，在这次论坛上，蔷薇灵动作为零信任核心技术模块——微隔离技术的代表企业，被邀请在零信任分论坛上与行业巨头同台竞技，向全行业介绍微隔离技术。而严雷先生也不负众望，在论坛上妙语连珠，给出了关于微隔离与零信任技术非常新颖与深刻的洞见，引起现场专家与行业人士的热烈反响与高度共鸣。

微隔离究竟应该叫什么名字

严雷谈到，如果从直译的角度说，相较于更被大家所熟知的“微隔离”而言，“微分段”应该是更恰当的翻译。因为它事实上很直观的指出了这个技术最朴素的一个含义，那就是把一个无结构无边界的网络分成好多逻辑上的微小网段，以确保每一个网段上只有一个计算资源，而所有需要进出这个微网段的流量都需要经过访问控制设备。但是，不知道什么原因，微分段的名字没有流传开，反倒是不那么准确的微隔离流传开了。严雷认为，似乎可以这样理解，相较于直译的“微分段”，从意译的角度看，微隔离则更加准确。因为它准确地反映了这个技术的目的和价值，那就是在一个没有任何访问控制能力的网络中，创造出一个全面可控的零信任网络，从而让每一个资源都可以被逻辑地与其他资源隔离开。谈到这里，严雷指出，事实上网络安全产品一直就有两种命名方式。比如说漏洞扫描、杀毒软件、网页防篡改一类的名字就是很准确地阐述这个产品的功能。但是还有一类，比如防火墙、下一代防火墙、堡垒机这样的名字就没有直接对技术进行描述，但同时又很形象的反映了产品的价值和目的，因此也被人们认可和广泛使用。因此微隔离这个名字，虽然不是完全的准确，但也不妨碍其成为更加被大家所认可所接受的命名。

微隔离究竟是怎样颠覆防火墙的

业界一直流传一句话，微隔离必将而且正在颠覆防火墙，那么这句话究竟反映了什么样的技术判断和发展趋势呢。严雷先生指出，颠覆防火墙的其实不是微隔离，而是云计算。防火墙有其诞生的历史背景，在防火墙被设计的时候，网络是静态的，IP地址具备稳定的身份属性，也就是说IP地址与资产之间具备稳定的一一对应关系，因此这个时候就出现了以IP地址作为基本表达方式的防火墙技术。但是随着云计算、物联网等基础设施的广泛部署，IP地址不再是一个被静态配置的常数，而是变成了一种池化的，动态分配的变量。换言之，IP地址不再具备资源的标识信息价值，而是作为一个通信用的临时性变量而存在。这带来一个非常重大的影响，那就是以IP地址为基本元语的防火墙失去了最核心的表达方式。取而代之的则是包括微隔离在内的以逻辑标识为基本元语的新一代网络安全技术。

为什么说微隔离技术的复杂度前所未有

许多人刚刚接触微隔离技术的时候会认为这是一种简单的技术，从其部署方式看就是一种主机软件而已。针对这样的观点，严雷从软件产品计算复杂度的角度出发对微隔离技术的计算特点进行了阐释。

严雷将安全产品分为三类计算复杂度类型。

第一类，称为O(1)型产品。也就是说不管部署规模有多大，这个产品的计算复杂度都是一个常量，比如传统的杀毒软件等主机安全产品基本都属于这个类型。当然，这不是说这类产品的难度就低，而只是说它的难度不会随着其管理规模的扩大而变化，在一台机器上部署和在一万台机器上部署，其软件复杂度不会有什么变化。

第二类产品，被称为O(n)型产品，它的计算复杂度随着管理规模的增长呈现线性增长。最典型的O(n)型产品就是防火墙，管理一个小规模网络，我们需要一台100M吞吐的防火墙，而管理一个规模网络，我们就需要一台1000M的防火墙，更大的网络则需要万兆防火墙甚至T级防火墙。O(n)型产品的复杂度，随着其管理规模的增长出现线性增长，越是高端的防火墙越难做，需要的计算资源越多，当然价格也越贵。

而微隔离代表的则是第三种类型。因为微隔离要解决的是数据中心内部，任意两个点之间的业务关系与访问控制问题，因此其计算复杂度与其管理规模呈现为平方的关系，准确地说是（n^2）/ 2。然而，云计算的动态特征又引入了时间上的复杂度，所以微隔离产品的计算复杂度可以表达为O（t*（n^2）/2）。这样的复杂度可以说是我们过去不曾遇到的，是因为零信任的引入而带来的一种面向全网络关系所必然导致的一种复杂度。随着管理规模的增长，其计算复杂度极快增长，管理1000台虚拟机的难度是管理100台虚拟机的100倍而不是十倍。而我们能够利用的算力是不可能以指数形式堆叠增长的，所以，基本上管理规模每放大十倍，产品就必须重构一次了。严雷先生不无感慨地说，蔷薇灵动这几年，就是这样从300台的管理能力，到3000台，再到现在的15000台，无数次地重构，堪称步步艰辛，但回过头看，也充满了成就感。

为什么说微隔离是零信任的核心技术模块

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!