云計算技術正在顛覆整個社會的IT基礎架構，新的威脅，新的環境，新的基礎技術將共同重新塑造網絡安全體系，而網絡安全產業也一定將會圍繞著云計算發生巨大變革。

自適應與微隔離，均為近年來新興的網絡安全技術，國內專注這兩個領域的安全公司非常少。就在最近，安全牛獲悉一家剛剛成立的安全公司——薔薇靈動，被IDC選入其安全創新者報告，而其被選入的原因，正是由于其專注于微隔離技術的技術創新。于是，記者近期走訪了這家公司的創始人，嚴雷。

個人簡介

嚴雷，擁有北京郵電大學計算機網絡碩士位和工商管理碩士學位。先后歷任JUNIPER北京研發中心高級工程師，網康科技產品市場總監，遠江盛邦產品市場副總裁。

基于豐富的安全產品營銷與規劃經驗，以及深厚的技術功底和敏銳的行業洞察眼光，嚴雷于2017年創辦了以自適應微隔離技術為核心技術，以云計算安全為主要目標市場的北京薔薇靈動科技有限公司。

一、云時代催生自適應

安全牛：自適應安全的概念已經提出了幾年的時間，你是如何看待自適應安全的？

嚴雷：當業務系統的體量非常大，上面的應用足夠復雜時，網絡安全工作的難度就會呈指數級增長，變得極度臃腫并導致寸步難行。這就是“自適應”這個概念出現的背景。

其實基本的安全理念，在業界很早就已經形成，只是缺乏基礎技術來更好的支撐。比如說安全域，都知道越小越好，但實際上不能太細，因為太復雜管不過來。再比如都知道白名單的好處，但業務多的話管理任務會過于繁重，反過來又影響業務。

在今天的虛擬化、云時代，借助于自動化、大數據、微隔離等技術，可以很好地實現這些安全理念。比如我們的產品可實現持續監聽、持續計算和持續調整。要知道在一個大型網絡里，變化幾乎每時每刻都在發生。通過持續監聽了解系統所有的變化，再通過持續計算做出調整策略，最后根據策略不斷地實施調整。讓安全跟的上云和虛擬化的彈性，自動適應業務的發展，即自適應安全。

二、“原子”級別的安全技術：微隔離

安全牛：你們的技術叫做自適應微隔離技術，實際上國內也有一些一定規模的廠商在做東西流量的防護，你們又想如何進入這個領域呢？

嚴雷：是這樣，目前的微隔離技術有三種實現形態。一種是基于云架構來做，比如VMWare或阿里云，另一種是基于傳統防火墻技術在物理設備上做虛擬化。我們則是基于主機或虛機上來做，安裝Agent，以實現自適應安全的理念。

安全牛：提到自適應和Agent，之前一些做主機安全的公司已經都在提倡并且實踐了，你們與這些公司的技術又有什么不同呢？

嚴雷：區別哪種類型的技術，并不取決于設備或軟件部署在哪里或說部署方式有何差異，比如部署在主機上的軟件，即可以是針對主機安全也可以是針對數據安全，甚至是網絡安全。因此，要判斷一個技術屬于哪種安全產品還是要看它的保護對象是什么。

一些裝在主機或虛機上的自適應安全產品，如果是在做配置核查、漏洞管理、系統保護之類的工作，那就是主機安全。我們的產品則是網絡安全產品，保護或處理對象是網絡流量。而且你也知道，與傳統防火墻不同，針對的不是南北而是東西流量。

這里面非常關鍵的一件事情就是可視化。傳統的防火墻，處于網關位置，所有的流量都要經過。因此，是對“看得見”的流量進行控制。但如果在內網中，或者在云中，很難找到一個類似“網關的位置”來部署設備做到把其全部東西向流量都看到。所以，只有直接部署在虛機上，才能解決這個“流量看得見”的問題。

談到這里說一個微隔離理念的問題。我認為，一定能夠覆蓋到最細微最基礎的網絡節點上才能稱之為微隔離。最早的隔離技術，是把網絡分域，如DMZ，然后用防火墻來實現隔離。但在云時代，網絡是動態的，攻擊方式各種各樣，所謂的“邊界模糊”或消失，這種非常粗的劃分方法就不適用了。比如，WannaCry的爆發就是典型的突破邊界后，病毒在內網一馬平川。

那么既然網絡分域太粗，按網段劃分呢？按工作組劃分？或者干脆按物理主機劃分，這樣是不是就到了基本節點呢？如果在傳統數據中心的環境下，的確是這樣。但在云計算環境中，有時連虛擬機都算不上基本節點，因為在虛擬機上還有容器。因此，在我看來，基本節點即不是主機也不是虛擬機，甚至也不是容器，準確的講應該是Workload（工作負載），是一個有著自己的CPU、內存進程空間的計算實體。這個實體才能稱之為真正的微隔離，未來的安全一定是對最基礎的實體進行保護。