這一步,在不同的用戶處不太一樣,有的用戶過去沒有完善的資產(chǎn)、業(yè)務與配置管理體系,這就需要首先建立起一套業(yè)務模型出來。無論如何,在你根本不理解業(yè)務的情況下,是不可能進行有效的東西向安全策略設(shè)計的。這種情況下,這一步的工作量就變得比較大了,而且往往需要調(diào)度多個部門進行協(xié)作。不過,既然等保2.0已經(jīng)來了,這是早晚都要做的一步,用我們的技術(shù)已經(jīng)把工作量縮減了好幾個數(shù)量級了。
而如果是用戶過去就有很好的類似于CMDB的資產(chǎn)與業(yè)務管理系統(tǒng),那么我們就只需要做業(yè)務確認即可,因為實際的業(yè)務情況可能會與系統(tǒng)中的不一樣,或者系統(tǒng)中缺少一些信息。
第三步,策略設(shè)計
好的微隔離產(chǎn)品,一定能夠根據(jù)業(yè)務情況自動生成安全策略(當然,好的安全產(chǎn)品一定能看得見業(yè)務),否則,如果讓用戶自己去逐臺機器進行配置,那根本就是一場災難。比如我們的一個客戶,有兩萬臺虛擬機,隨便一個業(yè)務系統(tǒng)就有超復雜的內(nèi)部業(yè)務關(guān)系,給張圖你們自己體會下(這還不是虛機間關(guān)系,只是業(yè)務間關(guān)系)。
第四步,自適應運維
好的微隔離產(chǎn)品,一定能夠進行自適應的策略運維,也就是當云計算環(huán)境發(fā)生,遷移,擴容,升級等變化時,系統(tǒng)可以對安全策略進行自適應調(diào)整。沒有這個能力,策略運維將變得非常困難,甚至是難以完成的。比如我們的另一個客戶,每天都有新業(yè)務上線,隨時都有可能進行業(yè)務架構(gòu)調(diào)整,此時如果策略運維不是自動完成的,那么他們的業(yè)務交付必將被安全所拖累。
第五步,自動化編排
云計算環(huán)境下,一切都是軟件定義的,這當然也包括安全。不同的安全產(chǎn)品,需要被進行統(tǒng)一的管理和調(diào)度。我們的產(chǎn)品從設(shè)計之初就采用了微服務架構(gòu),每一個點擊,每一個查詢背后都有對應的API可以使用,這使得我們可以被整合到云管理系統(tǒng)中,或者被SOC/SIEM等安全管理平臺所調(diào)用。
東西向安全是新的安全建設(shè)熱點,難度非常大。幸運的是,薔薇靈動已經(jīng)打磨出了一款非常好用的東西向安全產(chǎn)品,并積累了豐富的部署經(jīng)驗。等保2.0來了,我們準備好了!