蔷薇灵动知心——专注东西向安全分析的态势感知平台

日益失衡得安全中心

很多安全专业人士都熟悉这句话：“一个中心，三重防护”。这句话代表了等级保护2.0的核心技术要求。表面上看，这是一个并列句，一个中心和三重防护各自发挥作用。然而，从等级保护技术理念的演变和发展逻辑来看，一个中心才是等级保护2.0的核心特征。在等级保护1.0时代，虽然没有明确提出三重防护的概念，但主机安全、网络安全和边界访问控制等具体要求已经明确存在，并在等级保护2.0中得到了继承和发展。安全管理中心的引入真正标志着等级保护2.0在技术理念上的巨大进步。

目前，在国内的网络安全实践中，一个中心的重点主要集中在“态势感知产品”。等级保护2.0在2019年正式发布后，“态势感知”在国内迎来了一波建设热潮。到目前为止，几乎所有政企客户都已经部署了“态势感知”平台。这不仅是满足等级保护合规要求的必然结果，也代表了安全管理和安全运营技术发展的行业趋势。

然而，随着云计算的广泛建设和使用，传统的态势感知平台面临着严重的困境。态势感知平台本质上是安全数据分析平台，其有效运行的前提是能够获取必要且充分的安全数据。然而，态势感知平台的数据来源是部署在用户网络中的网络安全产品，而这些产品通常部署在用户的网络边界上，对来自互联网的网络攻击具有强大的分析能力，但对于内部流量却无能为力。由于内部流量不会经过网络边界，这些安全产品无法捕捉到这些流量，从而失去了进行分析的可能性。过去，这个问题并不突出，但随着云计算的广泛建设和使用，这个问题变得非常关键。

云计算的特点是多租户混合部署、多应用混合部署，或者更简单来说，就是“集中”。一般来说，企业的云计算建设遵循三个步骤：资源集中、业务集中和数据集中。目前，资源集中已经基本完成，政企用户普遍正在向业务集中和数据集中迈进。这种集中不仅带来了IT基础设施的根本变革，也带来了网络安全的重大变化。最主要的挑战是，以前在专网或VPN上的流量现在都在内网中运行，大量的南北向访问转变为东西向访问，而这些访问都不经过网络边界。据统计，目前大约80%的流量属于东西向流量，而南北向流量只占总流量的20%。换句话说，传统的安全设备以及基于其数据工作的态势感知平台只能感知和防护20%的流量，而80%的流量完全在黑洞中运行。随着数字化转型的快速推进，云计算在政企用户的基础设施中所占比例越来越大，而态势感知作为安全中心，却随着东西向流量占比的快速提升而日显能力失衡。

东西向流量分析的技术难度远超想象

态势感知的工作流程大致可以分为数据捕捉、数据传输与存储、数据分析等三个主要模块。我们可以从这三个方面来探讨东西向流量对态势感知的挑战。

首先是数据捕捉。东西向安全分析面临的第一个挑战是无法捕捉到数据。传统的边界安全产品可以通过在网关位置进行流量镜像来方便地捕捉数据，然而在东西向流量上执行流量镜像的方法却很困难。这是因为东西向流量并不存在一个一定会经过的关键位置，例如同一宿主机上的流量访问就无法在交换机上被捕捉到。没有数据的捕捉，后续的工作就无从谈起。

即使能够捕捉到数据，数据的传输与存储也是一个大问题。东西向流量的规模比南北向流量大了数倍以上，要复制如此大规模的流量，首先对于网络来说会造成巨大的吞吐压力。虽然我们在实践中见过一些客户专门建立了全流量捕捉专网，这种做法确实令人惊叹，但对于绝大多数客户而言，显然无法承受如此奢侈的成本。即使能够导出流量，如何进行存储也是一个大问题，我们还没有见过有哪个用户能够长时间留存全量的东西向流量。

数据捕捉、数据传输与存储等问题都属于“量变”问题。假设一个用户非常富有，他可以为每个容器部署独立的探针，并建立独立的全流量数据捕捉专网（吞吐量至少是现有内网规模的5倍），同时拥有海量的存储资源和超大规模的大数据集群，这样就能够处理如此大规模的数据并进行分析。在这种情况下，以上问题都不再是问题。然而，数据分析不再是一个量的问题，而是一个质的问题，它从根本上颠覆了过去的基本假设，成为一个具有致命挑战的问题。

这个被颠覆的基本假设是：“IP地址的身份属性是可知且稳定的”。换句话说，我们可以知道一个IP地址属于哪台服务器，并且这种映射关系是稳定不变的。为什么这个假设很重要呢？因为IP地址本身只是一个通信地址，在网络分析中并没有实际意义，真正有意义的是IP所代表的业务含义。在过去，IP地址是由网络工程师进行规划和分配的，IP的业务含义是可知且保持稳定的，这个假设是可以满足的。事实上，在那个时候，我们甚至没有意识到这个假设的存在，我们认为这是理所当然的事情。然而，云计算的出现打破了这个假设。云计算中的IP地址不是由管理员预先设计和分配的，而是由云计算的网络模块根据需求随机分配和回收的。这给网络分析带来了巨大的困扰，因为IP地址的含义是不确定且不可预知的，你无法确定一个IP代表着什么，甚至在一个较长时间段内收集到的流量日志中，同一个IP很可能代表不同的业务。这使得网络分析变得极其困难，即使你拿到了所有数据，仍然无法解读它们的意义。

可见，从数据捕捉到数据传输存储再到数据分析，传统的态势感知平台在云计算时代面临全方位的挑战，可以简单概括为“拿不到，存不下，看不懂”。传统的南北向态势感知平台无法简单地通过技术平移来解决东西向流量分析所面临的问题，我们需要全新的理念和技术来应对。

以微隔离技术为基础的知心东西向网络数据分析平台

作为专注于微隔离技术的安全厂商，蔷薇灵动在解决东西向数据分析难题上展现出独特的技术优势。首先，让我们解读数据捕捉的奥秘。微隔离的精髓在于能够精准识别并控制任意两个工作负载间的流量，这要求在所有工作负载部署微代理。蔷薇灵动的微代理技术经过多年淬炼，稳定性出众，资源开销极低，适应性广泛。这个微代理，既是策略执行的关键，也是数据采集的重要环节。在实现全网微隔离的同时，蔷薇灵动已经实现了全量东西向数据的无死角可视。

紧接着，我们探讨传输和存储的问题。蔷薇灵动的微隔离技术，作为防火墙类产品，其核心在于构建基于网络层和传输层参数的访问控制策略。其微代理并不简单地复制网络流量，而是根据网络情况，记录下基于五元组信息的网络访问日志。日志传输与存储机制采用的是增量机制，而非全量机制，对于任意一组特定的访问关系只存储一套地址信息，然后进行基于时序的访问量计数。这种方式极大地降低了日志传输与存储的计算开销，使得蔷薇灵动具备了对巨量东西向网络数据进行全量捕捉和长周期存储的强大能力。


最后，我们来探讨数据分析，这是蔷薇灵动最核心的技术能力所在。如同前文所述，IP地址的不稳定性对网络安全领域造成了全方位的冲击，微隔离早早地就遇到了这个挑战。如果不能依赖IP来编写访问控制策略，那应如何构建起坚实的网络结构呢？答案是身份（ID）。蔷薇灵动的微隔离策略本质上是面向ID而非IP，从而使得微隔离的策略变得稳定且可理解。

在这个过程中，最核心的技术组件是蔷薇灵动的自适应策略计算引擎，它肩负着将面向ID的策略计算为面向IP的策略，并配置到每一个工作负载的访问控制模块的重任。而在态势感知的场景下，自适应策略计算引擎依然能够发挥其独特的作用，只不过其计算方向恰恰相反，它需要将基于IP的网络日志映射为面向ID的业务访问关系。这样一来，不仅将无意义的IP数据转化为可理解的ID数据，更重要的是，它屏蔽了IP地址变化带来的数据幻影。无论IP如何变化，映射到ID之后，业务关系都会回归本质。这个神奇的计算引擎，让网络访问关系在长周期保持稳定，从而使我们能够建立起有意义的网络访问基线，这就是“知心”的真正内涵。
 
微隔离是云计算时代的网络安全基础设施。其核心技术是允许用户面向身份编写稳定的网络访问控制策略，并通过一个实时计算的策略计算引擎，根据云计算的IP分配情况，将ID策略计算为恰当的IP策略。这套基础设施在成功地为云计算环境构建基于身份的内部网络结构的同时，客观上获得了两个极其强大的数据能力，一个是对全量东西向数据的捕捉能力，另一个是基于ID的数据理解能力。以这两个能力为基础，用户就有机会构建起一个基于微隔离数据的东西向态势感知平台，从而让用户的安全管理中心在云计算时代重新找回平衡。