<i id="0io7s"></i>
<object id="0io7s"></object>
<i id="0io7s"></i>
<thead id="0io7s"></thead>
  • <optgroup id="0io7s"><del id="0io7s"></del></optgroup><thead id="0io7s"><del id="0io7s"></del></thead>
  • <thead id="0io7s"></thead>
  • 關于薔薇

    薔薇靈動就是自適應微隔離

    全部分類
    資訊分類

    電子政務安全大會|基于微隔離構建數據中心零信任體系

    • 分類:活動
    • 作者:
    • 來源:
    • 發布時間:2021-09-24 17:04
    • 訪問量:

    【概要描述】9月24日,以“激發數據潛能 共襄安全治理”為主題的第三屆中國電子政務安全大會在北京舉行。十四五規劃中明確提出,“加強數字政府建設,提升公共服務、社會治理等數字化智能化水平”。在推動數字政府、數字社會、數字治理的發展過程中,確保數據安全是核心重點之一。薔薇靈動作為微隔離技術代表廠商應邀參與此次活動,并在大會上就如何通過微隔離技術構建數據中心零信任體系,保證核心數據安全做精彩分享。

    電子政務安全大會|基于微隔離構建數據中心零信任體系

    【概要描述】9月24日,以“激發數據潛能 共襄安全治理”為主題的第三屆中國電子政務安全大會在北京舉行。十四五規劃中明確提出,“加強數字政府建設,提升公共服務、社會治理等數字化智能化水平”。在推動數字政府、數字社會、數字治理的發展過程中,確保數據安全是核心重點之一。薔薇靈動作為微隔離技術代表廠商應邀參與此次活動,并在大會上就如何通過微隔離技術構建數據中心零信任體系,保證核心數據安全做精彩分享。

    • 分類:活動
    • 作者:
    • 來源:
    • 發布時間:2021-09-24 17:04
    • 訪問量:
    詳情

    924日,以“激發數據潛能 共襄安全治理”為主題的第三屆中國電子政務安全大會在北京舉行。十四五規劃中明確提出,“加強數字政府建設,提升公共服務、社會治理等數字化智能化水平”。在推動數字政府、數字社會、數字治理的發展過程中,確保數據安全是核心重點之一。薔薇靈動作為微隔離技術代表廠商應邀參與此次活動,并在大會上就如何通過微隔離技術構建數據中心零信任體系,保證核心數據安全做精彩分享。

     

    薔薇靈動產品總監熊瑛在電子政務安全大會發表演講

     

     

    零信任理念是對傳統邊界防護思維的顛覆

     

    當前,零信任作為應對高風險安全形勢和威脅的新技術理念,得到了越來越廣泛的認同。放眼海外,202197日美國管理和預算辦公室(OMB)發布了《聯邦零信任戰略》(Federal Zero Trust Strategy)草案,進一步明確聯邦政府零信任戰略的實施。而自去年疫情發生以來,美國相關機構已經就零信任標準及實施發布過一系列的相關文件。目前其“零信任戰略”實施呈現快馬加鞭,勢不可擋的態勢。

     

    在國內,零信任理念同樣迎來熱潮,備受關注。薔薇靈動產品總監熊瑛解釋道,從技術而言零信任理念其實是對傳統邊界防護思維的顛覆,傳統網絡安全是用攻防對抗的模式去構建安全,在網絡邊界鑄造“銅墻鐵壁”并御敵于城墻之外。伴隨云計算的發展及應用,基礎架構正在發生巨變,與此同時攻擊手段也在不斷演進,網絡不再是靜態的,因此靜態的防御工事在面對網絡中流量劇增、工作負載漂移、克隆、擴展、關閉等情況時將束手無策。

     

    零信任的本質是要面向業務進行全方位可視、全要素納管和細粒度控制。熊瑛指出,零信任本身并不是一種安全產品,而是提供了一套技術框架和方法論,相較于傳統邊界訪控有著非常鮮明的差別。首先,訪控模式由黑轉白,傳統攻防對抗需要識別壞人,而壞人會想法設法躲避,在零信任體系下識別的是好人,好人總會主動配合安全機制的檢測。其次,零信任是面向業務而非面向網絡進行管控,由于業務邏輯本身是確定的,所以無論虛擬化的網絡和基礎設施如何變化,安全策略總會依據本身的業務邏輯做出相應變化,實現策略的自適應調整。零信任實際上是在原來的物理網絡之上構建的一個邏輯的管理網絡,安全控制與基礎設施解耦,重建新的邏輯網絡。另外,攻防對抗主要是由企業的安全團隊負責,而在零信任體系構建中,由于管理控制是面向業務,需要安全部門與業務及運維部門協同配合,從整體上來看可以更好的形成安全管理閉環。

     

     

     

    微隔離是構建數據中心內部零信任的基石

     

    從狹義零信任構建來看,零信任有三大核心能力:IAM、SDP和微隔離,分別回答網絡中有什么,外面的流量如何進來以及內部的流量如何控制的問題。而微隔離在其中的作用就相當于疫情當中我們用到的“口罩”,通過最細粒度的控制,阻斷威脅的傳播,從安全能力疊加演進的能力而言,微隔離解決的是最基礎的“架構安全”問題,是構建數據中心零信任的基石。

     

     

    據統計,當代數據中心75%以上的流量為東西向流量,而隨著云計算的應用,東西向流量進一步劇增,龐大的流量規模就像一團亂麻難以理清,而不能理清就無從管理。從另一方面來看,微隔離系統的計算復雜度隨納管規模的增加呈指數型增長,靜態的安全策略和人工運維方式都不適用于微隔離落地。微隔離技術實施有三項基本要求:第一要面向業務而非面向網絡;第二實現自動化配置,包括初期自動化學習業務連接關系以及后期自適應安全策略計算;第三要從分散決策走向軟件定義,實現安全策略集約計算、分執行。

     

    微隔離從具體技術實現上來講分為三個層次:分析、分段和運維。

     

    分析階段主要指梳理業務之間的連接關系,例如以可視化形式呈現分組、工作負載間的業務連接,生成全網工作負載端口臺賬,發現網內長期無人管理的“幽靈主機”,及時洞察攻擊的橫向側移等,而洞察內網流量關系則是部署微隔離訪控策略的基礎。

     

     

     

    分段階段主要是實現基于標識的策略管理,為了滿足安全策略面向業務而非面向網絡的要求,一組策略要通過四層實體和三次動態映射來實現基于標簽的安全策略與基礎設施解耦。而這是實現策略最小化和運維極簡化的基礎。

     

    運維階段則是要實現策略自適應計算以確保策略實時準確。此處我們將代表工作負載業務角色的標識體系與策略自適應計算引擎相結合, IP可能發生變化,但業務角色及邏輯是確定的,有了不變,才能應對萬變。熊瑛指出,在微隔離管理體系中,自適應策略計算不僅確保策略實時有效,策略隨工作負載漂移而遷移,同時還能夠有效控制策略的數量規模,并避免冗余策略的產生。

     

     

    通過循序漸進、分步實施實現微隔離落地

     

    據有關測試表明,通過微隔離部署,可有效縮減攻擊面積,提升攻擊者的攻擊難度和攻擊成本。作為零信任核心結構性要求之一,微隔離落地部署可分為五步,即定義、分析、設計、防護和運維。

     

    定義階段是指確定需納管的工作負載范圍和對象。分析階段則是基于業務角色,以標簽化的身份標識標定工作負載的虛擬身份。設計階段需要基于業務邏輯梳理互訪需求,形成東西向流量策略的基線。防護階段則需部署并啟用東西向流量的管控策略,實現微分段控制。運維階段是指在微隔離系統運行過程中,基于其產生的東西向流量訪問數據,實時分析異常行為、及時處置攻擊事件。

     

     

    當然零信熱、微隔離的建設本身是有成熟度的,其覆蓋范圍、分段粒度則需要基于業務和安全等多重需求而定。在具體的實施過程中往往采取分步驟實施的方式,基于薔薇靈動長期服務政企客戶并實施微隔離的經驗,以先邊緣、后核心,先新業務、后老業務,先小業務、后大業務,先看、后斷,先組間、再組內為原則,逐漸深入、持續收緊數據中心微分段控制,則可以在業務效率和安全間達到最佳平衡。

     

    政府單位是推動我國數字社會的先鋒,而零信任作為數字化轉型下的新一代安全理念必將迎來高速發展。薔薇靈動作為深耕于數據中心零信任落地研究的廠商,期待能夠與更多政府用戶一起攜手,為推動數字轉型安全發展貢獻力量。

    關鍵詞:

    北京市昌平區回龍觀東大街首開廣場3層309

    版權所有:Copyright 2018 北京薔薇靈動科技有限公司    京ICP備18016518號-1  

    Dunarose