访谈︱这家安全初创公司专注自适应微隔离技术
2017-10-25 安全牛 编辑:王小瑞
云计算技术正在颠覆整个社会的IT基础架构,新的威胁,新的环境,新的基础技术将共同重新塑造网络安全体系,而网络安全产业也一定将会围绕着云计算发生巨大变革。
自适应与微隔离,均为近年来新兴的网络安全技术,国内专注这两个领域的安全公司非常少。就在最近,安全牛获悉一家刚刚成立的安全公司——蔷薇灵动,被IDC选入其安全创新者报告,而其被选入的原因,正是由于其专注于微隔离技术的技术创新。于是,记者近期走访了这家公司的创始人,严雷。
个人简介
严雷,拥有北京邮电大学计算机网络硕士位和工商管理硕士学位。先后历任JUNIPER北京研发中心高级工程师,网康科技产品市场总监,远江盛邦产品市场副总裁。
基于丰富的安全产品营销与规划经验,以及深厚的技术功底和敏锐的行业洞察眼光,严雷于2017年创办了以自适应微隔离技术为核心技术,以云计算安全为主要目标市场的北京蔷薇灵动科技有限公司。
一、云时代催生自适应
安全牛:自适应安全的概念已经提出了几年的时间,你是如何看待自适应安全的?
严雷:当业务系统的体量非常大,上面的应用足够复杂时,网络安全工作的难度就会呈指数级增长,变得极度臃肿并导致寸步难行。这就是“自适应”这个概念出现的背景。
其实基本的安全理念,在业界很早就已经形成,只是缺乏基础技术来更好的支撑。比如说安全域,都知道越小越好,但实际上不能太细,因为太复杂管不过来。再比如都知道白名单的好处,但业务多的话管理任务会过于繁重,反过来又影响业务。
在今天的虚拟化、云时代,借助于自动化、大数据、微隔离等技术,可以很好地实现这些安全理念。比如我们的产品可实现持续监听、持续计算和持续调整。要知道在一个大型网络里,变化几乎每时每刻都在发生。通过持续监听了解系统所有的变化,再通过持续计算做出调整策略,最后根据策略不断地实施调整。让安全跟的上云和虚拟化的弹性,自动适应业务的发展,即自适应安全。
二、“原子”级别的安全技术:微隔离
安全牛:你们的技术叫做自适应微隔离技术,实际上国内也有一些一定规模的厂商在做东西流量的防护,你们又想如何进入这个领域呢?
严雷:是这样,目前的微隔离技术有三种实现形态。一种是基于云架构来做,比如VMWare或阿里云,另一种是基于传统防火墙技术在物理设备上做虚拟化。我们则是基于主机或虚机上来做,安装Agent,以实现自适应安全的理念。
安全牛:提到自适应和Agent,之前一些做主机安全的公司已经都在提倡并且实践了,你们与这些公司的技术又有什么不同呢?
严雷:区别哪种类型的技术,并不取决于设备或软件部署在哪里或说部署方式有何差异,比如部署在主机上的软件,即可以是针对主机安全也可以是针对数据安全,甚至是网络安全。因此,要判断一个技术属于哪种安全产品还是要看它的保护对象是什么。
一些装在主机或虚机上的自适应安全产品,如果是在做配置核查、漏洞管理、系统保护之类的工作,那就是主机安全。我们的产品则是网络安全产品,保护或处理对象是网络流量。而且你也知道,与传统防火墙不同,针对的不是南北而是东西流量。
这里面非常关键的一件事情就是可视化。传统的防火墙,处于网关位置,所有的流量都要经过。因此,是对“看得见”的流量进行控制。但如果在内网中,或者在云中,很难找到一个类似“网关的位置”来部署设备做到把其全部东西向流量都看到。所以,只有直接部署在虚机上,才能解决这个“流量看得见”的问题。
谈到这里说一个微隔离理念的问题。我认为,一定能够覆盖到最细微最基础的网络节点上才能称之为微隔离。最早的隔离技术,是把网络分域,如DMZ,然后用防火墙来实现隔离。但在云时代,网络是动态的,攻击方式各种各样,所谓的“边界模糊”或消失,这种非常粗的划分方法就不适用了。比如,WannaCry的爆发就是典型的突破边界后,病毒在内网一马平川。
那么既然网络分域太粗,按网段划分呢?按工作组划分?或者干脆按物理主机划分,这样是不是就到了基本节点呢?如果在传统数据中心的环境下,的确是这样。但在云计算环境中,有时连虚拟机都算不上基本节点,因为在虚拟机上还有容器。因此,在我看来,基本节点即不是主机也不是虚拟机,甚至也不是容器,准确的讲应该是Workload(工作负载),是一个有着自己的CPU、内存进程空间的计算实体。这个实体才能称之为真正的微隔离,未来的安全一定是对最基础的实体进行保护。
安全牛:实际上,梆梆安全的阚总也曾经讲过一个“微边界”的概念,只是他指的是物联网环境下最小的设备安全,你这里是指虚拟化形态的最小实体。但无论微边界还是微隔离,二者的本质理念是一样的,即安全的纵深防御,层层防御,一直到基本单位。
严雷:没错,是这样。实际上我把这种理念称之为“原子”级别的安全。
微服务等下一代数据中心架构技术正在使数据中心东西向流量日益增长,因为微服务的本质就是把过去内存中交换的东西放到网络上去交换。用技术语言来讲,就是进程与进程之间在内存中的交换,拆成微服务之后,成为一个独立的工作负载(workload)。而工作负载与工作负载之间的,就是网络交换。Gartner最近推出的11大安全技术之首,CWPP(云工作负载保护平台)就是基于工作负载的概念。
回到公司层面上来,蔷薇灵动目前是国内唯一能够提供对Docker进行安全隔离的公司。
安全牛:是支持所有的容器还只是Docker?
严雷:所有的容器,因为我们面向的是操作系统,与何种物理设备或是容器技术无关。举个实例,我们的产品目前至少运行在三种测试环境下,第一个是阿里云上运行CentOS,第二个是Azure云上运行Ubuntu,第三个是VMWare上面跑Windows。
这正反映出我们支持混合云架构的优势所在,而混合云目前是主流架构。反观其他一些微隔离产品,则需要和不同云基础架构的厂商谈适配、谈对接、谈分成,然后测试、联调,周期会非常长,成本自然也会大。
三、用专业的工具做专业的事情
安全牛:但是国内的重点行业用户普遍对Agent形式的部署有所抵触,这一点你是如何看待的?
严雷:其实大多数用户之所以不愿意部署Agent,主要有几个担心,比如资源占用、安装麻烦等,最担心的是影响现有业务。
我们的技术在资源占用方面,计算巅峰开销都不会超过0.2%,可以说用户无感。然后安装过程也极其简单,十几分钟去喝杯咖啡回来就完成了。然后是兼容性的问题。我们的微隔离产品只做流量监控,本质上就是防火墙的策略管理,工作在用户态,相对来说对系统的影响较小,不像传统的主机安全,需要和系统层驱动挂勾,属于内核级的技术,发生问题的风险较大。
实际上,我们一开始就考虑过安装Agent在用户方面的阻力,因此才会在这方面做了非常大的努力,以把对用户带来的不良影响降到最低。
安全牛:既然要装Agent,有没考虑过把主机安全功能结合进来?或者像一些做主机安全的厂商把流量这块的安全也做进来?
严雷:考虑是考虑过,但这种做法也会有一些问题。当厂商选择做更多功能的时候,其实对于客户来讲可能意味着一些不好的事情。比如,你的东西越多就越有可能跟用户现有的产品冲突。而从产品本身来讲,一个软件想兼顾多个功能,一定会下降软件的工作效率,不管是内存还是CPU的处理能力。简而言之,兼顾更多就意味着每一项都比较平庸。
对于大型用户来说,实际上更倾向于使用专业产品做专业的事情。如同UTM和下代墙,前者虽然集成了各种安全功能,补充了企业的安全短板,但对于大型用户来说,还是选择更加专业的NGFW,它能够为企业提供更高级别的安全能力。因此,至少在公司发展的早期,我们的微隔离技术只做流量的安全。
四、云的高速增长需要安全来做保证
安全牛:既然选择了微隔离这个细分领域,你们一定对这个市场的预期有着自己的理解,能否谈谈未来的市场需求?
严雷:采访一开始,你就问到了,我们为什么要做这个细分领域。刚才主要谈的是技术,现在补充一些大的背景。
我认为,促进安全技术与产业发展有三个变化为关键驱动力。第一个是网络攻击,攻防对抗是一个交替上升的过程,攻击的发展会带来安全的发展。第二个是基础技术,如大数据。第三个是应用场景,如移动安全、工控安全、物联网安全、云安全。
微隔离技术上述三者兼而有之。
第一个攻击手段的多样化、复杂化和高端化,决定了纵深防御的必要性。东西流量或说内网的防护自然是重要的一部分。第二从基础技术层面来看,想要保护好云,就必需和云一样动态、弹性,自适应的理念就出自于此。
最后一个就是云的应用场景。在这里说几个数字,国内某大型电商,它的金融云体量有5万多个虚机,电商云将近15万虚拟机。这还只是一家电商,如果把像饿了吗、ofo等各大互联网公司,以及各大银行、运营商、能源等重点行业都统计进来,是何等的一个体量?
而且这个数字每年还在以非常快的速度膨胀,因为其背后是互联网+的强大推动力。这个大趋势,令越来越多的传统行业把业务转移到云端,更多的依赖大数据、计算。还有物联网,必须依赖于云计算能力做支撑。企业业务和人们生活的云化,是一个长期的大趋势。微隔离这个技术的市场规模,与云计算总体部署量的规模是线性相关的,云的飞速发展是我们对这个市场最大的信心来源。
五、企业发展与资本的关系
安全牛:技术、市场和资本,是创业公司的“三个基本点”,前两者刚才已经谈过了,最后你是如何看待企业和资本二者之间的关系?
严雷:创业是有套路的,第一个阶段是产品创造。我们的天使轮就做两件事情,第一把产品做出来,第二在客户那里测试得到产品验证,证明产品的技术适用性。这个阶段基本已经完成。
现在是第二个阶段,即市场创造,要在几个典型客户处做几个成功案例,同时做A轮融资。这个阶段是有明确目标的,两年左右的时间做十个客户,这十个客户分布在三四个重点行业。
第三个阶段是市场成熟,证明你的产品的确有市场需求之后,需要新一轮的融资来快速复制。最后是多元化扩张,进入更多的行业,研发更多的技术产品。
安全牛:既然你们现在处于A轮融资阶段,你对公司未来的发展预期是怎样的?
严雷:我们的计划是用五年左右的时间做到年营收两三个亿,大约200家客户,其包括中国最顶尖的几个大型行业客户。对这个预期我很有信心,因为它非常的理性。而且目前的发展现状也反映出我们的商业假设,各地政务云、行业云等一个又一个的大项目频繁出现,动辄几个亿。
另外,网络安全法的关键抓手等保2.0,它的即将出台也是一个重大利好。2.0中明确了对微隔离的需求,即要求“识别虚机到虚机之间的流量,能够绘制与运行状态一致的网络拓扑”,也就是说对于东西向的流量要有可视化的监控。不管是阿里还是金山、华为、华三,这种技术目前在国内很少有人在做,可想而知它的需求风口,这就是我们的市场背景和商业预期。
安全牛:听说你们现在还不到10个人,能否简单介绍一下核心成员?
严雷:我们人员虽少,但个个都是精英。联合创始人陈天航之前是网康NGFW的架构师,再往前是国内最早的X86万兆防火墙的主要开发者,还有之前来自京东云写了三年SDN的技术大牛,人人网做了八年的前端交互,还有具备多年外企市场经验背景的人员,总之各个能力补的比较齐,没有明显短板,这也是我们产品研发速度和测试客户推进速度非常快的主要原因。
安全牛评
蔷薇灵动的特点在于以Agent的方式避开了之前微隔离技术的一些弊端,如防火墙厂商对于底层架构绑定过紧,部署和运维成本高,云架构厂商只支持自己的云系统等。同时,较好的打消了安装Agent给用户带来的顾虑。
此外,非常重要的一点是其切入市场的时机。目前,国内的云计算已经开始爆发,在这个时间点下进入企业安全市场,的确是非常好的一个机遇。