在會上，來自東方富海的投資總監(jiān)楊震東先生，和數(shù)說安全創(chuàng)始人于江先生，分別從各自的專業(yè)角度對零信任在國內的進展進行了闡述和分析，并對薔薇靈動的革命性創(chuàng)新進行了深度點評。

什么是統(tǒng)一微隔離

統(tǒng)一微隔離，是一種在微隔離與ZTNA技術基礎上發(fā)展出來的，可以打通辦公網(wǎng)和數(shù)據(jù)中心網(wǎng)絡，為用戶提供端到端業(yè)務可視化分析與身份訪問控制的新一代零信任產(chǎn)品。

所謂統(tǒng)一，包含五個方面：

首先是辦公網(wǎng)與數(shù)據(jù)中心的統(tǒng)一。統(tǒng)一微隔離將辦公網(wǎng)與數(shù)據(jù)中心的邊界打開，將整個園區(qū)網(wǎng)，甚至是用戶的全部基礎設施（包括公有云和遠程辦公地點）視為一張統(tǒng)一的網(wǎng)絡，然后對這個統(tǒng)一網(wǎng)絡做統(tǒng)一策略管理。這將使用戶歷史上第一次能夠獲得一張覆蓋全局的具有身份和業(yè)務屬性的統(tǒng)一零信任網(wǎng)絡和統(tǒng)一可視化業(yè)務視圖，這徹底改變了用戶過去一直以來做“拼圖”（很多時候還拼不起來）建“孤島”的安全管理窘境，讓網(wǎng)絡安全走進了寰宇一統(tǒng)、金甌無缺的大統(tǒng)一時代。

其次是身份空間的統(tǒng)一。統(tǒng)一微隔離將人、設備、網(wǎng)絡、業(yè)務、數(shù)據(jù)的身份空間完全打通，并進行統(tǒng)一管理，讓用戶基礎設施中的每一個要素，都能夠不受位置、環(huán)境、網(wǎng)絡的約束，擁有一個全局唯一且持續(xù)生效的身份標識。這種對全要素進行身份化網(wǎng)絡策略標識與管理的能力，使得統(tǒng)一微隔離可以構建覆蓋全要素的統(tǒng)一零信任網(wǎng)絡。

第三是網(wǎng)絡策略統(tǒng)一。統(tǒng)一微隔離允許用戶對整個基礎設施做軟件定義策略管理，通過一套單一的微隔離策略，對全部網(wǎng)絡流量作統(tǒng)一管理，用戶可以用一條策略直接描述某部門某用戶到某業(yè)務中的某工作負載的業(yè)務訪問權限，而這樣的跨基礎設施跨網(wǎng)絡的訪問控制要求，在過去要在若干分散的安全產(chǎn)品上通過多條組合策略才能近似達成。

第四是安全數(shù)據(jù)統(tǒng)一。對全局安全數(shù)據(jù)做統(tǒng)一分析是當代安全體系的必然要求，也是等級保護2.0標準體系中的重要組成部分，但是實際情況卻不容樂觀，來自不同產(chǎn)品的不同格式的、零碎的、片段的、重疊的海量數(shù)據(jù)要清洗干凈并整合拼接起來實際上是非常困難的，而且這些數(shù)據(jù)基本都是基于IP的，這樣的數(shù)據(jù)沒有身份和業(yè)務信息，因此也很難進行訪問意圖分析。而統(tǒng)一微隔離，基于其統(tǒng)一微隔離網(wǎng)絡和統(tǒng)一身份空間、統(tǒng)一策略空間的框架能力加持，能夠對全部流量建立起一份全局關聯(lián)、全局索引，并且是按照用戶身份和業(yè)務信息進行整理和呈現(xiàn)的統(tǒng)一安全數(shù)據(jù)，這將使安全運營走向一個全新的時代。

最后也是最重要的，是零信任平臺統(tǒng)一。一直以來，ZTNA與微隔離被認為是零信任的兩個技術基石，ZTNA用于解決業(yè)務外部訪問安全接入問題，微隔離用于解決業(yè)務內部流量安全交互問題，也就是一般所謂的，ZTNA管南北，微隔離管東西的架構體系。這種結構是目前常見的零信任架構，但也是一種缺陷明顯的架構，在這種架構下，ZTNA與微隔離之間存在著一個巨大的策略與數(shù)據(jù)鴻溝，攻擊者可以利用這個鴻溝同時繞過微隔離與ZTNA的防御。統(tǒng)一微隔離在一個統(tǒng)一平臺上同時解決了外部業(yè)務安全接入與內部流量安全訪問兩個問題，徹底弭平了現(xiàn)有架構下的各種縫隙，真正做到全局統(tǒng)一業(yè)務分析和全局統(tǒng)一精細化策略編排，這是對零信任技術的一次重大創(chuàng)新，也是零信任技術發(fā)展的必然方向。

零信任的理想與現(xiàn)實

要深入的理解統(tǒng)一微隔離這個全新技術品類的革命性意義，有必要回顧下零信任的發(fā)展歷程與現(xiàn)狀。零信任究竟要解決什么問題和零信任如何解決這些問題一直都是兩件獨立的事情。

先說理想。零信任一直以來要嘗試解決的其實就是一件事，那就是網(wǎng)絡邊界消失問題。虛擬化技術因為計算資源的池化隨機分配，帶來了數(shù)據(jù)中心內部邊界消失。云計算（特指公有云）由于多云架構，以及云內多資源池架構，帶來了數(shù)據(jù)中心外部邊界消失。而移動設備的廣泛使用帶來了辦公網(wǎng)內部邊界的消失，而遠程辦公的盛行又帶來了辦公網(wǎng)外部邊界的消失。所謂消失，不是形容詞，就是物理意義上的消失，意思是沒有一個（或幾個）固定的物理位置可以確定地獲取所需管理的網(wǎng)絡流量并進行訪問控制。邊界消失，對于安全行業(yè)一直以來沿用的邊界防御理念以及防火墻產(chǎn)品構成了顛覆性打擊。

零信任概念的提出就是希望建立起一個全局統(tǒng)一的，網(wǎng)絡無關的分析與控制體系，從而實現(xiàn)在整個基礎設施范圍內，對全部流量進行統(tǒng)一分析和控制，對全部安全能力進行按需的交付和編排。所以，零信任自始至終一直是個網(wǎng)絡問題，就是希望搭建一個精細化的網(wǎng)絡位置無關的邏輯結構，對全網(wǎng)流量進行精細化控制和按需的安全防御。

零信任的理想是一回事，實現(xiàn)又是另一回事。2010年Forrester提出零信任概念時，實際上就給出過一個解決方案，他當時的設想是，引入一個全局統(tǒng)一的交換機，上面有全部安全板卡，然后所有流量通過這個交換機，通過策略配置安全能力的作用。事實上，2010年的時候這本來就是很多大型數(shù)通廠商的常見方案，在之后也出了一些產(chǎn)品，不過這種物理上的流量與安全能力集中，顯然是一種過于沉重的解決方案，根本無法在大規(guī)模網(wǎng)絡中使用，因此2010年之后，零信任概念并也沒有真正流行起來，一直到2020年，NIST零信任草案的提出。在這個草案里，零信任有了新的解決方案，那就是通過IAM，SDP，和微隔離這三個技術基石構建起的零信任框架。SDP與IAM是兩種不同但又有交集的ZTNA技術，可以面向用戶身份設計訪問策略，從而解決外部邊界消失問題。微隔離可以面向業(yè)務和工作負載身份設計訪問策略，從而解決內部邊界消失問題。這個結構是具有真正可行性的架構，因此得以在全世界廣泛部署，帶來了零信任的真正繁榮。

但這個框架也有其自身的問題，那就是ZTNA與微隔離的割裂。ZTNA對于公有云以及SAAS訪問解決得很好，但是對于本地數(shù)據(jù)中心的防護就差了很多。暴露在公網(wǎng)的業(yè)務相對來說有限且比較標準，基本都是通過HTTP協(xié)議來訪問的，而那些只能被本地訪問的私有業(yè)務從流量類型到訪問途徑都五花八門，甚至他們的存在都不被管理員所了解，這種情況下，對于要求具備明確訪問關系才能部署的ZTNA方案來說就變得非常困難。而與此同時，微隔離也面臨著自身的挑戰(zhàn)。微隔離與工作負載和業(yè)務部署在一起，因此它天生能夠看到全部訪問流量，并且具備最完整的控制能力，但是因為微隔離只擁有業(yè)務和工作負載身份，對于來自外部的訪問（南北向）流量則沒有理解，它看到的還是普通的IP流量，這就使得面對這些流量的時候，微隔離就只能退回到過去的基于IP網(wǎng)段的粗粒度訪問控制邏輯上。微隔離和ZTNA各自負責南北和東西，實際上為網(wǎng)絡攻擊留下了一個可以被利用的“縫隙”。而這就是零信任架構在統(tǒng)一微隔離之前所面臨的技術現(xiàn)實，它比過去要好，但還不夠好！

統(tǒng)一是零信任的必然趨勢

零信任基礎技術架構從分裂走向統(tǒng)一是大勢所趨。在Gartner 2022年2月發(fā)布的最新的ZTNA報告《Market Guide for Zero Trust Network Access》（ZTNA市場指南）中，有這樣一段話：

Vendors continue to expand offerings into the data center with identity-based segmentation as separate products or combined with ZTNA offerings — blurring the lines between segmentation technologies.

譯文：

ZTNA供應商都在想辦法為數(shù)據(jù)中心提供微隔離技術，微隔離可能被當作獨立的產(chǎn)品提供，也可能直接和ZTNA產(chǎn)品整合在一起，從而打破兩種分段技術的區(qū)隔。

這里先講幾個背景知識。在Gartner的話語體系中，微隔離一共改過三次名字，現(xiàn)在最新的叫法是 identity-based segmentation。在garnter看來，微隔離最本質的價值就是可以利用身份來組建網(wǎng)絡分段。另外，在Gartner2022年更新的另一篇報告《What Are Practical Projects for Implementing Zero Trust?》（靠譜的零信任項目究竟是啥？）中，有這么一段話：

Organizations looking to move to practical implementation should focus on two primary projects: user-to-application segmentation (ZTNA) and workload-to-workload segmentation (identity-based segmentation).

這段話核心就是說，真正的零信任項目就兩個， 一個ZTNA，一個微隔離。ZTNA解決的是人到業(yè)務（南北向）的網(wǎng)絡分段問題，微隔離解決的是工作負載間（東西向）網(wǎng)絡分段問題。這其實就是我們前文提到的，零信任問題自始至終是個網(wǎng)絡問題，ZTNA是南北向網(wǎng)絡分段問題，微隔離是東西向網(wǎng)絡分段問題。

了解了以上背景知識，我們再來看《Market Guide for Zero Trust Network Access》中的那段話，就很好理解了，Gartner就是說，根據(jù)他的觀察，ZTNA正在嘗試打通和微隔離之間的邊界，從而構建統(tǒng)一的零信任網(wǎng)絡，這就是我們?yōu)槭裁凑f，一切分裂都是暫時的，統(tǒng)一才是大勢所趨。

作為佐證，大家可以看一下ZTNA領域典型代表企業(yè)zscaler的產(chǎn)品線，他就是通過一款獨立的微隔離產(chǎn)品來實現(xiàn)的（雖然這樣做不完美）。

而除了ZTNA廠商在向微隔離領域發(fā)展，微隔離廠商也在努力向ZTNA領域拓展。近日，全球微隔離市場領導者illumio更新了他的產(chǎn)品線，正式發(fā)布了illumio endpoint（南北向ZTNA），從而和illumio core（東西向微隔離）以及 illumio CloudSecure（云原生微隔離）一起構成了其完整的零信任網(wǎng)絡框架。

無論從業(yè)界的發(fā)展趨勢看，還是從Gartner的分析看，兩種分段技術的融合是一個不可阻擋的趨勢，而這也就是薔薇靈動發(fā)布統(tǒng)一微隔離的原因。

薔薇靈動的微隔離之路

對于中國的網(wǎng)絡安全行業(yè)來說，薔薇靈動和微隔離基本上是劃等號的。但是薔薇靈動一直拒絕使用”領導者“、”領先者“一類的稱呼，按照薔薇靈動自己的話說，這種自我標榜的宣傳口徑，不符合其企業(yè)文化。薔薇靈動對自己的定位是，零信任領域的長期主義者。這不是一種自我標榜，而是一種自我鞭策，和自我約束，同時也是一種品牌承諾。而就微隔離這件事而言，薔薇靈動也確實對得起”長期主義者“這樣的稱呼。薔薇靈動創(chuàng)建于2017年一月，最早將基于主機代理軟件的微隔離技術引入中國，并編寫了中國第一個也是目前為止唯一的一個微隔離技術標準，從而親手開啟了中國的微隔離市場。薔薇靈動的產(chǎn)品目前在國內的大型數(shù)據(jù)中心已經(jīng)擁有了很高的市占率，其技術水平已經(jīng)與其海外對標達到相同能力甚至在某些領域還有所領先。而正是由于其產(chǎn)品在大型數(shù)據(jù)中心生產(chǎn)網(wǎng)的廣泛使用，才讓薔薇靈動領先于國內同行，與全球零信任領導者們幾乎同步意識到了微隔離技術基因里就存在的問題。

“我們只能解決70%的問題”，這就是薔薇靈動做統(tǒng)一微隔離的直接原因。70%這個數(shù)據(jù)來自于其大量的客戶現(xiàn)場的真實業(yè)務統(tǒng)計。零信任要保護的是數(shù)據(jù)中心（辦公網(wǎng)在零信任的技術體系里和互聯(lián)網(wǎng)基本上是等同的，不是被保護對象而是要防御的對象），而數(shù)據(jù)中心的流量分為兩份，一份是南北向流量（占比約30%），一份是東西向流量（占比約70%）。微隔離可以將全部東西向流量零信任化（基于ID的最小權限訪問），但是對于南北向流量就束手無策了。國內數(shù)據(jù)中心的入口事實上非常多樣，通過微隔離產(chǎn)品，能夠看到來自各種入口的南北向流量，有來自本地辦公網(wǎng)的，來自遠程分支的，來自互聯(lián)網(wǎng)的，以及來自堡壘機的等等。而這些流量都是非零信任的！也就是說從微隔離看來，至多只能分辨（其實是猜測）出這是來自哪個地理空間的流量，在這種情況下，微隔離能做的就只能是基于IP地址段，給與一個非常寬泛的訪問權限。因為沒有具體的身份信息，微隔離無法對其來源做進一步驗證，更無法基于其角色給出細粒度的訪問權限。有人說，ZTNA是可以保證從ZTNA網(wǎng)關進入的流量都是安全的，微隔離就都放開就行了。但事實上，當下的ZTNA往往只能覆蓋極其有限的一小部分業(yè)務訪問，還有大量的業(yè)務不是通過ZTNA進入的，甚至很多用戶根本就沒有部署ZTNA。而就算是對于那些通過ZTNA接入的流量，微隔離也不應該就直接予以放行，而是應該根據(jù)其訪問的業(yè)務訴求，嚴格限制其在內部的訪問空間，這就避免了ZTNA成為新的攻擊點，一旦ZTNA被突破乃至被控制，微隔離還可以構建起縱深防御體系，從而和ZTNA網(wǎng)關形成異構，但由于ZTNA網(wǎng)關過來的流量就是完全丟失了身份信息甚至都丟失了源地址信息的無差別訪問流量，讓微隔離的縱深防御能力也等于被廢掉了。

這些情況是薔薇靈動在用戶現(xiàn)場真實遇到的問題。在歷次攻防演練中，在有微隔離的環(huán)境下，想通過拿下數(shù)據(jù)中心內部主機，再進行橫向掃描和平移基本上沒有機會了。但是，拿著泄露了的用戶名密碼，或者利用業(yè)務系統(tǒng)漏洞，從辦公網(wǎng)直接進來的攻擊流量卻防不勝防，這就是因為微隔離無法判斷這些來自辦公網(wǎng)的流量究竟是誰發(fā)起的，以及是否有權利有必要訪問那些業(yè)務系統(tǒng)。

無論從技術發(fā)展趨勢以及零信任理論研究的角度，還是從微隔離業(yè)務實踐以及一線攻防實戰(zhàn)的經(jīng)驗出發(fā)，薔薇靈動都堅定了要做一款能夠覆蓋全部基礎設施，對全部流量進行身份化統(tǒng)一零信任管理的全新零信任產(chǎn)品的決心，這就是統(tǒng)一微隔離！

通過統(tǒng)一微隔離，薔薇靈動可以實現(xiàn)對數(shù)據(jù)中心100%流量的零信任管理，實現(xiàn)全網(wǎng)上帝視角，和全網(wǎng)精細化策略編排。這是薔薇靈動在其微隔離創(chuàng)新之路上的一小步，但絕對是零信任歷史上的一大步。他把國內的零信任水平帶到了一個全新的高度，他讓國內用戶第一次有機會，在一個平臺上，通過一套統(tǒng)一的身份空間和策略空間，對全部流量做到100%的零信任覆蓋。

薔薇靈動的微隔離之路走到今天，已經(jīng)到達了一個前所未有的新高度，但是我們相信這仍然不是這條路的終點，在長期主義的精神引領下，薔薇靈動必將不斷做出真正有世界領先水平的原生性創(chuàng)新，讓我們拭目以待。

songjy