第二步��,業(yè)務(wù)梳理(確認(rèn))
這一步��,在不同的用戶處不太一樣�,有的用戶過去沒有完善的資產(chǎn)、業(yè)務(wù)與配置管理體系��,這就需要首先建立起一套業(yè)務(wù)模型出來����。無論如何,在你根本不理解業(yè)務(wù)的情況下�,是不可能進(jìn)行有效的東西向安全策略設(shè)計(jì)的。這種情況下���,這一步的工作量就變得比較大了��,而且往往需要調(diào)度多個(gè)部門進(jìn)行協(xié)作����。不過,既然等保2.0已經(jīng)來了�,這是早晚都要做的一步,用我們的技術(shù)已經(jīng)把工作量縮減了好幾個(gè)數(shù)量級了��。
而如果是用戶過去就有很好的類似于CMDB的資產(chǎn)與業(yè)務(wù)管理系統(tǒng)���,那么我們就只需要做業(yè)務(wù)確認(rèn)即可��,因?yàn)閷?shí)際的業(yè)務(wù)情況可能會與系統(tǒng)中的不一樣���,或者系統(tǒng)中缺少一些信息。
第三步����,策略設(shè)計(jì)
好的微隔離產(chǎn)品,一定能夠根據(jù)業(yè)務(wù)情況自動生成安全策略(當(dāng)然����,好的安全產(chǎn)品一定能看得見業(yè)務(wù)),否則���,如果讓用戶自己去逐臺機(jī)器進(jìn)行配置�����,那根本就是一場災(zāi)難���。比如我們的一個(gè)客戶,有兩萬臺虛擬機(jī)����,隨便一個(gè)業(yè)務(wù)系統(tǒng)就有超復(fù)雜的內(nèi)部業(yè)務(wù)關(guān)系,給張圖你們自己體會下(這還不是虛機(jī)間關(guān)系�����,只是業(yè)務(wù)間關(guān)系)���。
而且策略最好是IP無關(guān)的�,比如薔薇靈動可以直接根據(jù)虛擬機(jī)的業(yè)務(wù)標(biāo)簽來配置策略�����。因?yàn)镮P地址在云內(nèi)是個(gè)非常不穩(wěn)定的參數(shù)�,一旦策略是用IP配置的�,那么后面的運(yùn)維就非常痛苦了�����。
第四步��,自適應(yīng)運(yùn)維
好的微隔離產(chǎn)品���,一定能夠進(jìn)行自適應(yīng)的策略運(yùn)維��,也就是當(dāng)云計(jì)算環(huán)境發(fā)生����,遷移���,擴(kuò)容����,升級等變化時(shí)���,系統(tǒng)可以對安全策略進(jìn)行自適應(yīng)調(diào)整���。沒有這個(gè)能力�����,策略運(yùn)維將變得非常困難,甚至是難以完成的�����。比如我們的另一個(gè)客戶��,每天都有新業(yè)務(wù)上線�,隨時(shí)都有可能進(jìn)行業(yè)務(wù)架構(gòu)調(diào)整,此時(shí)如果策略運(yùn)維不是自動完成的���,那么他們的業(yè)務(wù)交付必將被安全所拖累����。
第五步���,自動化編排
云計(jì)算環(huán)境下�����,一切都是軟件定義的�,這當(dāng)然也包括安全。不同的安全產(chǎn)品�,需要被進(jìn)行統(tǒng)一的管理和調(diào)度。我們的產(chǎn)品從設(shè)計(jì)之初就采用了微服務(wù)架構(gòu)����,每一個(gè)點(diǎn)擊,每一個(gè)查詢背后都有對應(yīng)的API可以使用��,這使得我們可以被整合到云管理系統(tǒng)中���,或者被SOC/SIEM等安全管理平臺所調(diào)用����。
東西向安全是新的安全建設(shè)熱點(diǎn)����,難度非常大。幸運(yùn)的是�����,薔薇靈動已經(jīng)打磨出了一款非常好用的東西向安全產(chǎn)品�,并積累了豐富的部署經(jīng)驗(yàn)��。等保2.0來了��,我們準(zhǔn)備好了����!
