信创云环境下的微隔离效用及实践分享

随风飘扬

当前，以信息技术作为关键要素的数字化正在席卷全球。为解决核心技术“卡脖子”问题，同时也为抓紧发展机遇，以信息技术应用创新（简称“信创”）为抓手的产业生态建设，已经成为驱动我国数字化转型发展的关键力量。其中，信创云是信创生态的核心组成部分之一，在信创产业发展中起重要支撑作用。
信创云发展现状及面临的安全风险

信创云，即在信创背景下，以国产化CPU、操作系统为底座自主研发的云平台，其对下承接芯片、整机、操作系统等软硬件基础设施，对上支撑大数据、人工智能、物联网等新一代企业级应用，作为新型基础设施建设及信创产业发展的关键要素，起到承上启下的重要作用。
当前，信创云正迎来蓬勃发展。从技术层面，得益于新型基础设施建设的推进和信创产业应用场景、解决方案的完善，信创云建设的核心基础关键技术正在不断优化升级，同时芯片、操作系统、数据库等核心构件的适配能力也在不断提升，为信创云应用提供了底层技术保障。从应用层面，基于国家出台的“2+8+N”相关政策引导，信创云需求迎来爆发，以国资云、城市云、电子政务云为重要热点，逐步扩展至更多行业及关键领域。
发展信创是为了实现对IT产品和技术的自主可控，然而在信创云构建过程中，受技术水平、发展成熟度、人才储备等客观因素影响，其本身往往存在更多未知安全风险。同时，在信创云安全建设方面，当前主要通过将各种传统安全产品进行兼容适配来实现，例如，基于国产硬件平台的防火墙、入侵检测等硬件产品，适配国产操作系统的安全软件等。但此类信创安全产品大多用于传统环境，并不适合云环境的部署和防护。加之，现今多数信创相关行业用户正处于改造过渡阶段，数据中心多为“传统云+信创云”的多云混合环境，多种技术栈造成统一规划、统一管控、统一防护更加困难。在多重因素影响下，信创云平台的安全防护实效往往不达预期。
此外，从“云”属性角度分析，信创云与通用云平台并无本质区别，通用架构下的安全问题在信创环境同样存在。伴随网络开放性不断增强，边界被打破，网络暴露面增大，与此同时新攻击手段发展带来外部威胁逐步提升，一旦威胁入侵将造成严重后果，在内外风险的双向夹击下，针对数据中心内部的安全防御正在逐渐成为保障云平台安全的重要环节。
在云化环境下，由于工作负载横向调用而产生的东西向流量急剧攀升，并伴随业务变化动态迁移，传统基于静态网络进行域间隔离、域内全通的粗放管控方式已然无法发挥效用。受安全技术更新及应用推广等因素影响，当前多数企业云平台内部仍缺乏有效防护手段。而鉴于信创云环境的独特性，其安全建设相较通用云平台往往具有一定滞后性，故信创云内网防护面临更加严峻的风险。
基于微隔离技术的信创云安全防护

隔离是最基础、最有效的安全技术手段之一，为适应敏捷灵活、弹性多变的云化环境，微隔离技术应运而生。作为面向数据中心进行东西向流量精细化访控的创新安全技术，微隔离可通过网络逻辑边界重构实现内网安全防御体系的加固。其基于身份、面向业务的策略设计，自动化的策略运维模式极大满足了当前云数据中心安全管理需求，在发展历程中，作为基础能力及关键构件，被陆续纳入云工作负载保护平台及零信任架构体系范畴，逐渐成为主流新技术。
信创环境下的内网安全建设相对薄弱，而微隔离提供的是最直接的隔离能力，可有效解决内部流量不可视、不可控，关键暴露面难以收敛等通用难点问题，通过内网安全能力补齐，可大幅提升整网的健壮性。当前，针对微隔离产品的应用主要集中于信息化及数字化程度较高的大型企业，覆盖信创应用的全行业。基于大型企业在监管合规、实战化防护等方面的刚性需求，微隔离一方面可凭借在虚拟化场景下的应用优势，助力用户满足等级保护的相关能力要求，另一方面在实战化防护场景中，可利用流量学习和访问控制能力，通过端口暴露面计算、白名单策略执行、异常连接检测、隔离和全局封禁等措施，实现从战前、到临战再到决战的全流程闭环式管理，切实提升安全团队业绩水平。此外，针对进行零信任实践探索的企业，微隔离作为数据中心服务间调用场景实现零信任的基座能力，通过实施微隔离可使用户的数据中心网络完成向零信任的演进。基于实际效用及应用行业的高度契合，以微隔离的基础能力作为信创云安全能力加固的抓手，将有利于促进整体安全体系的构建及完善。
安全产品在信创云环境中的应用一般应满足两个基本条件，即本身满足国产化要求，同时其应充分适应用户信创云环境，保障兼容可用性。
蔷薇灵动微隔离产品在规划研发初期，便充分考虑了微隔离系统高计算复杂度对数据运算、程序调用的要求，同时也始终秉承尽可能摆脱对第三方核心组件依赖的原则，采用了技术难度更大的代码级嵌入式数据库、中间件，充分保障了产品的全栈自主可控，满足了信创云环境下微隔离产品应用的基本条件。
而在兼容适配性上，由于蔷薇灵动微隔离产品采用了Agent技术路线，因此通过软件代码的适配编译即可快速支持新型操作系统，再一次吃到了“与基础架构无关”的技术红利。截止目前，蔷薇灵动已在通用架构常见操作系统兼容基础上，相继获得中科曙光、统信UOS、麒麟软件、中标软件、华为HCS鲲鹏平台、中科方德等主流信创系统的互兼容认证，充分满足了产品在各种环境下的可用性。
凭借丰富的实践经验，蔷薇灵动微隔离产品已在政企、金融、能源等多行业头部用户的信创云环境成功落地运行。在近日斯元商业咨询发布的2023首版「网络安全科技供应链报告：厂商成分分析及国产化替代指南」报告“微隔离”产品技术分类栏中，蔷薇灵动再次入选该技术领域的国产化替代主力，有力说明了蔷薇灵动国产化微隔离产品在实际应用中的竞争力。

O集团信创云环境下的微隔离实践

当前，围绕信创云的建设正在如火如荼开展，下面我们将以O集团在信创云环境下的微隔离实施为例进行实践分享。
作为国内大型能源企业，O集团紧跟国家能源安全战略，在当前信创相关政策的要求及推动下开始加快信创合规建设步伐。
在数字化转型初期，面对日益增长的业务上云需求，O集团对其数据中心安全防护要求也在不断提升。为补齐内网东西向流量访控能力，缩减风险暴露面，进一步提升安全防护水平，其于2020年通过部署微隔离产品，实现了对数据中心近5000点工作负载的纳管及精细化访控。而按照后期信创合规建设要求及规划，O集团在新的云平台扩建中重点采用国产化系统、硬件平台及技术。结合用户当前云平台架构及运维管理规范，O集团计划将关键系统批量迁移至信创平台，同时通过微隔离产品的二期部署，兼顾原通用平台的统一纳管。
为满足O集团用户的项目要求，我们针对其信创云环境提供了国产化微隔离版本，而为满足用户在同一微隔离控制平面对原云平台及信创云平台工作负载统一纳管的需求，我们进行了针对性方案设计，并最终通过微隔离系统迁移替代方式进行了实现，具体方案分为四步执行：

✅ 第一步：在用户信创云环境部署国产化微隔离控制台集群并将原微隔离系统控制台集群的数据同步至新控制台；
✅ 第二步：通过统一运维管理平台，将原云平台工作负载上安装的微隔离客户端接入路径统一切换至新国产化微隔离控制台，从而完成新国产化控制台对原云平台工作负载的管控。
✅ 第三步：针对信创云平台新增业务的工作负载纳管，可在业务新建的同时通过镜像方式进行国产化微隔离客户端的同步部署，并在业务运行的开始切至防护状态，默认任何主机都不互通，由业务管理人员在运维系统基于业务访问需求提交工单至安全部门，并由安全部门依据工单内容完成分组、标签设计及策略配置生效，以实现新增业务在白名单最小特权访问控制下的正常运行。
✅ 第四步：针对原云平台迁移至信创云平台的已纳管业务，一方面在业务迁移至信创云平台的同时部署国产化微隔离客户端，另一方面在微隔离系统配套工具协同作用下，将原平台业务分组和标签信息复制到信创云对应的工作负载和系统上，并在微隔离自适应策略计算引擎的作用下，实现策略的自动匹配及同步迁移。
通过此方案不仅满足了O集团当前多云环境下的管控需求，还可充分支撑其后续信创化改造及业务迁移，在不影响业务运行的情况下，实现安全能力向信创云环境的平滑过渡。
伴随信创云的快速发展及应用深化，内网安全问题日益突出。微隔离作为云平台保护的基础能力，不仅可帮助用户完善信创云安全能力建设，同时可有效助力用户满足等保2.0相关标准要求。而在信创云环境进行微隔离实践时，除满足兼容性、稳定性等性能要求外，还需制定合理的部署实施方案。本文中O集团的云平台建设发展具有普遍性，故其基于“通用云+信创云”多云混合环境的微隔离部署迁移将对其他相似用户进行微隔离建设部署具有较强借鉴意义。

来源：
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！