作為云安全的重要基礎(chǔ)構(gòu)件，微隔離技術(shù)最早由VMware提出，這是眾所周知的事實(shí)。然而作為國內(nèi)微隔離領(lǐng)域的領(lǐng)導(dǎo)廠商，薔薇靈動(dòng)的誕生卻與等保2.0有著密不可分的關(guān)系。等保2.0的技術(shù)標(biāo)準(zhǔn)研究工作從2015年已經(jīng)開始，薔薇靈動(dòng)的兩位創(chuàng)始人作為安全領(lǐng)域的技術(shù)專家，很早就了解到了相關(guān)的技術(shù)內(nèi)容。根據(jù)對等保2.0的安全理念和具體技術(shù)要求的研究，他們深刻地認(rèn)識到，現(xiàn)有的防火墻技術(shù)在等保2.0時(shí)代將面臨巨大挑戰(zhàn)，尤其是在云環(huán)境下將變得完全不可用。從那時(shí)起他們就在思考如何解決這個(gè)問題，并把握這樣一個(gè)市場機(jī)遇。

經(jīng)過長期的思考與技術(shù)預(yù)研，他們認(rèn)為微隔離技術(shù)必將作為一項(xiàng)顛覆性技術(shù)，成為未來數(shù)據(jù)中心尤其是云化數(shù)據(jù)中心東西向網(wǎng)絡(luò)安全的基石，幫助用戶滿足等級保護(hù)2.0關(guān)于內(nèi)部安全的一系列要求。在薔薇靈動(dòng)的第一版商業(yè)計(jì)劃書中就明確將等保2.0列為其首要市場驅(qū)動(dòng)因素，并于2017年年初正式成立公司，開始了產(chǎn)品研發(fā)工作。從這個(gè)角度來說，中國的微隔離技術(shù)就是由等保2.0催生而出的科技創(chuàng)新。

雖然等保2.0的正式發(fā)布比他們預(yù)計(jì)的要晚了一些，但是這也給了薔薇靈動(dòng)以足夠的時(shí)間來磨煉產(chǎn)品，打造標(biāo)桿。迄今為止，薔薇靈動(dòng)已經(jīng)為海淀區(qū)電子政務(wù)云，通州區(qū)電子政務(wù)云，中國移動(dòng)，中國電信，中國人壽等多家政企客戶提供了微隔離產(chǎn)品和服務(wù)，部署的環(huán)境覆蓋了VMware，OpenStack，阿里云，騰訊云，華為云，華三云，天翼云，青云，K8s等各種云計(jì)算和虛擬化系統(tǒng)，操作系統(tǒng)覆蓋了包括windows的全線服務(wù)器版本，所有的主流linux版本以及部分國產(chǎn)化操作系統(tǒng)。

2019年5月13日，等級保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布，這將成為中國網(wǎng)絡(luò)安全行業(yè)發(fā)展歷史中的重要里程碑事件，也將成為薔薇靈動(dòng)發(fā)展歷史中的關(guān)鍵節(jié)點(diǎn)。
 

以等級保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布為分水嶺，可以把微隔離產(chǎn)品的發(fā)展化為兩個(gè)時(shí)期。

在等保2.0以前，微隔離技術(shù)屬于高配技術(shù)，他的核心驅(qū)動(dòng)是兩個(gè)，一個(gè)是零信任的安全管理邏輯，一個(gè)是大規(guī)模云計(jì)算系統(tǒng)的安全運(yùn)維需求。這時(shí)候主要部署微隔離技術(shù)的用戶包括：

    1）大型行業(yè)用戶：

例如央企制造業(yè)，金融行業(yè)等，這些用戶一直以來都極為重視安全，他們的業(yè)務(wù)系統(tǒng)從來都是按照白名單方式來進(jìn)行網(wǎng)絡(luò)策略管理的，但是在云計(jì)算時(shí)代，過去的技術(shù)手段遇到了問題，使得他們開始考慮采納微隔離技術(shù)作為替換性技術(shù)來在云計(jì)算環(huán)境下繼續(xù)提供白名單的管理能力。

    2）大型云計(jì)算用戶：

即使不做白名單，而只是在業(yè)務(wù)系統(tǒng)間進(jìn)行隔離，在大規(guī)模云計(jì)算環(huán)境下也變得非常困難，云基礎(chǔ)架構(gòu)提供的安全組，VPC等能力隨著體量的增長和變化頻度的加快變得極為不可用，此時(shí)他們也考慮采用更專業(yè)的微隔離技術(shù)來在云計(jì)算環(huán)境，尤其是多云，混合云條件下完成其業(yè)務(wù)隔離，區(qū)域隔離需求。

    3）高安全需求用戶：

隨著APT越來越引起重視，以及勒索病毒的泛濫，網(wǎng)絡(luò)安全管理者越來越重視內(nèi)部威脅的防御工作。現(xiàn)有的安全技術(shù)主要是南北向技術(shù)，防御對象是外部攻擊，這些技術(shù)應(yīng)用于內(nèi)部的時(shí)候往往有各種不適應(yīng)，此時(shí)，用戶會考慮部署微隔離技術(shù)來發(fā)現(xiàn)內(nèi)部的威脅，并對網(wǎng)絡(luò)攻擊在內(nèi)部的橫向行走進(jìn)行防御。
 
而隨著等級保護(hù)2.0技術(shù)標(biāo)準(zhǔn)正式發(fā)布，微隔離技術(shù)將從過去的高配變成標(biāo)配。

關(guān)于等級保護(hù)2.0對內(nèi)部安全的要求及其帶來的挑戰(zhàn)，在我們?nèi)ツ甑囊黄恼轮凶隽松羁痰募夹g(shù)分析，大家可以參考這篇文章：

《東西向加白名單，等保2.0挖了個(gè)天坑》

值得再強(qiáng)調(diào)一下的地方是，對于內(nèi)部安全的重視不僅僅是在云環(huán)境，而是在全部計(jì)算環(huán)境，因?yàn)檫@些要求是出現(xiàn)在等級保護(hù)的通用安全要求部分。也就是說不管你是不是已經(jīng)進(jìn)行了云化或者虛擬化，你都必須要對你的數(shù)據(jù)中心進(jìn)行白名單化管理。當(dāng)然，在非云環(huán)境下，除了微隔離，還是有其他手段的，比如說，過去的銀行系統(tǒng)就通過部署大量的隔離防火墻來解決這個(gè)問題，不過這個(gè)開銷真不是普通用戶能承擔(dān)的了的。相較而言，更加輕量級的微隔離技術(shù)即使在傳統(tǒng)環(huán)境下也有著更好的可行性。

在等保2.0時(shí)代，以下用戶和場景應(yīng)該盡快考慮部署微隔離技術(shù)以實(shí)現(xiàn)對內(nèi)網(wǎng)流量的可視化管理與全面可控的策略設(shè)計(jì)。

1） 各級電子政務(wù)云

2） 企業(yè)私有云和數(shù)據(jù)中心

3） 政府部委部署的數(shù)據(jù)中心，私有云和行業(yè)云

4） 各種大數(shù)據(jù)計(jì)算平臺

5） 政企用戶沒有部署過內(nèi)部安全措施的數(shù)據(jù)中心

   

微隔離技術(shù)要管理的是由數(shù)千甚至數(shù)萬臺機(jī)器構(gòu)成的大型計(jì)算環(huán)境，在部署這一技術(shù)時(shí)必然有一定的復(fù)雜性，通過長期的實(shí)踐，薔薇靈動(dòng)總結(jié)出了一套自己的方法論：

   

 

第一步，對東西向業(yè)務(wù)進(jìn)行學(xué)習(xí)，繪制云內(nèi)業(yè)務(wù)拓?fù)洹?/div>