第二步,業(yè)務(wù)梳理(確認(rèn))
這一步�����,在不同的用戶處不太一樣���,有的用戶過去沒有完善的資產(chǎn)�����、業(yè)務(wù)與配置管理體系���,這就需要首先建立起一套業(yè)務(wù)模型出來���。無論如何,在你根本不理解業(yè)務(wù)的情況下�,是不可能進(jìn)行有效的東西向安全策略設(shè)計(jì)的。這種情況下����,這一步的工作量就變得比較大了,而且往往需要調(diào)度多個(gè)部門進(jìn)行協(xié)作��。不過���,既然等保2.0已經(jīng)來了�,這是早晚都要做的一步���,用我們的技術(shù)已經(jīng)把工作量縮減了好幾個(gè)數(shù)量級(jí)了。
而如果是用戶過去就有很好的類似于CMDB的資產(chǎn)與業(yè)務(wù)管理系統(tǒng)����,那么我們就只需要做業(yè)務(wù)確認(rèn)即可,因?yàn)閷?shí)際的業(yè)務(wù)情況可能會(huì)與系統(tǒng)中的不一樣,或者系統(tǒng)中缺少一些信息�����。
第三步����,策略設(shè)計(jì)
好的微隔離產(chǎn)品,一定能夠根據(jù)業(yè)務(wù)情況自動(dòng)生成安全策略(當(dāng)然��,好的安全產(chǎn)品一定能看得見業(yè)務(wù))����,否則,如果讓用戶自己去逐臺(tái)機(jī)器進(jìn)行配置���,那根本就是一場災(zāi)難����。比如我們的一個(gè)客戶���,有兩萬臺(tái)虛擬機(jī)���,隨便一個(gè)業(yè)務(wù)系統(tǒng)就有超復(fù)雜的內(nèi)部業(yè)務(wù)關(guān)系,給張圖你們自己體會(huì)下(這還不是虛機(jī)間關(guān)系,只是業(yè)務(wù)間關(guān)系)�。
而且策略最好是IP無關(guān)的,比如薔薇靈動(dòng)可以直接根據(jù)虛擬機(jī)的業(yè)務(wù)標(biāo)簽來配置策略�。因?yàn)镮P地址在云內(nèi)是個(gè)非常不穩(wěn)定的參數(shù),一旦策略是用IP配置的��,那么后面的運(yùn)維就非常痛苦了�����。
第四步���,自適應(yīng)運(yùn)維
好的微隔離產(chǎn)品��,一定能夠進(jìn)行自適應(yīng)的策略運(yùn)維���,也就是當(dāng)云計(jì)算環(huán)境發(fā)生,遷移�����,擴(kuò)容����,升級(jí)等變化時(shí),系統(tǒng)可以對(duì)安全策略進(jìn)行自適應(yīng)調(diào)整�����。沒有這個(gè)能力���,策略運(yùn)維將變得非常困難�����,甚至是難以完成的����。比如我們的另一個(gè)客戶,每天都有新業(yè)務(wù)上線�����,隨時(shí)都有可能進(jìn)行業(yè)務(wù)架構(gòu)調(diào)整,此時(shí)如果策略運(yùn)維不是自動(dòng)完成的�,那么他們的業(yè)務(wù)交付必將被安全所拖累�。
第五步���,自動(dòng)化編排
云計(jì)算環(huán)境下�,一切都是軟件定義的��,這當(dāng)然也包括安全����。不同的安全產(chǎn)品���,需要被進(jìn)行統(tǒng)一的管理和調(diào)度�����。我們的產(chǎn)品從設(shè)計(jì)之初就采用了微服務(wù)架構(gòu)��,每一個(gè)點(diǎn)擊�,每一個(gè)查詢背后都有對(duì)應(yīng)的API可以使用�,這使得我們可以被整合到云管理系統(tǒng)中���,或者被SOC/SIEM等安全管理平臺(tái)所調(diào)用����。
東西向安全是新的安全建設(shè)熱點(diǎn)��,難度非常大。幸運(yùn)的是�����,薔薇靈動(dòng)已經(jīng)打磨出了一款非常好用的東西向安全產(chǎn)品,并積累了豐富的部署經(jīng)驗(yàn)��。等保2.0來了���,我們準(zhǔn)備好了��!
