微隔离从高配到标配的转变
时间:2022-03-22 10:30:01 | 来源:行业动态
时间:2022-03-22 10:30:01 来源:行业动态
以等级保护2.0技术标准正式发布为分水岭,可以把微隔离产品的发展化为两个时期。
在等保2.0以前,微隔离技术属于高配技术,他的核心驱动是两个,一个是零信任的安全管理逻辑,一个是大规模云计算系统的安全运维需求。这时候主要部署微隔离技术的用户包括:
1)大型行业用户:
例如央企制造业,金融行业等,这些用户一直以来都极为重视安全,他们的业务系统从来都是按照白名单方式来进行网络策略管理的,但是在云计算时代,过去的技术手段遇到了问题,使得他们开始考虑采纳微隔离技术作为替换性技术来在云计算环境下继续提供白名单的管理能力。
2)大型云计算用户:
即使不做白名单,而只是在业务系统间进行隔离,在大规模云计算环境下也变得非常困难,云基础架构提供的安全组,VPC等能力随着体量的增长和变化频度的加快变得极为不可用,此时他们也考虑采用更专业的微隔离技术来在云计算环境,尤其是多云,混合云条件下完成其业务隔离,区域隔离需求。
3)高安全需求用户:
随着APT越来越引起重视,以及勒索病毒的泛滥,网络安全管理者越来越重视内部威胁的防御工作。现有的安全技术主要是南北向技术,防御对象是外部攻击,这些技术应用于内部的时候往往有各种不适应,此时,用户会考虑部署微隔离技术来发现内部的威胁,并对网络攻击在内部的横向行走进行防御。
而随着等级保护2.0技术标准正式发布,微隔离技术将从过去的高配变成标配。
关于等级保护2.0对内部安全的要求及其带来的挑战,在我们去年的一篇文章中做了深刻的技术分析,大家可以参考这篇文章:
《东西向加白名单,等保2.0挖了个天坑》
值得再强调一下的地方是,对于内部安全的重视不仅仅是在云环境,而是在全部计算环境,因为这些要求是出现在等级保护的通用安全要求部分。也就是说不管你是不是已经进行了云化或者虚拟化,你都必须要对你的数据中心进行白名单化管理。当然,在非云环境下,除了微隔离,还是有其他手段的,比如说,过去的银行系统就通过部署大量的隔离防火墙来解决这个问题,不过这个开销真不是普通用户能承担的了的。相较而言,更加轻量级的微隔离技术即使在传统环境下也有着更好的可行性。
在等保2.0时代,以下用户和场景应该尽快考虑部署微隔离技术以实现对内网流量的可视化管理与全面可控的策略设计。
1)各级电子政务云
2)企业私有云和数据中心
3)政府部委部署的数据中心,私有云和行业云
4)各种大数据计算平台
5)政企用户没有部署过内部安全措施的数据中心