訪談︱這家安全初創公司專注自適應微隔離技術

雲計算技術正在顛覆整個社會的IT基礎架構，新的威脅，新的環境，新的基礎技術將共同重新塑造網絡安全體係，而網絡安全產業也一定將會圍繞著雲計算發生巨大變革。

自適應與微隔離，均為近年來新興的網絡安全技術，國內專注這兩個領域的安全公司非常少。就在最近，安全牛獲悉一家剛剛成立的安全公司——薔薇靈動，被IDC選入其安全創新者報告，而其被選入的原因，正是由於其專注於微隔離技術的技術創新。於是，記者近期走訪了這家公司的創始人，嚴雷。

個人簡介

嚴雷，擁有北京郵電大學計算機網絡碩士位和工商管理碩士學位。先後曆任JUNIPER北京研發中心高級工程師，網康科技產品市場總監，遠江盛邦產品市場副總裁。

基於豐富的安全產品營銷與規劃經驗，以及深厚的技術功底和敏銳的行業洞察眼光，嚴雷於2017年創辦了以自適應微隔離技術為核心技術，以雲計算安全為主要目標市場的北京薔薇靈動科技有限公司。

一、雲時代催生自適應

安全牛：自適應安全的概念已經提出了幾年的時間，你是如何看待自適應安全的？

嚴雷：當業務係統的體量非常大，上麵的應用足夠複雜時，網絡安全工作的難度就會呈指數級增長，變得極度臃腫並導致寸步難行。這就是“自適應”這個概念出現的背景。

其實基本的安全理念，在業界很早就已經形成，隻是缺乏基礎技術來更好的支撐。比如說安全域，都知道越小越好，但實際上不能太細，因為太複雜管不過來。再比如都知道白名單的好處，但業務多的話管理任務會過於繁重，反過來又影響業務。

在今天的虛擬化、雲時代，借助於自動化、大數據、微隔離等技術，可以很好地實現這些安全理念。比如我們的產品可實現持續監聽、持續計算和持續調整。要知道在一個大型網絡裏，變化幾乎每時每刻都在發生。通過持續監聽了解係統所有的變化，再通過持續計算做出調整策略，最後根據策略不斷地實施調整。讓安全跟的上雲和虛擬化的彈性，自動適應業務的發展，即自適應安全。

二、“原子”級別的安全技術：微隔離

安全牛：你們的技術叫做自適應微隔離技術，實際上國內也有一些一定規模的廠商在做東西流量的防護，你們又想如何進入這個領域呢？

嚴雷：是這樣，目前的微隔離技術有三種實現形態。一種是基於雲架構來做，比如VMWare或阿裏雲，另一種是基於傳統防火牆技術在物理設備上做虛擬化。我們則是基於主機或虛機上來做，安裝Agent，以實現自適應安全的理念。

安全牛：提到自適應和Agent，之前一些做主機安全的公司已經都在提倡並且實踐了，你們與這些公司的技術又有什麼不同呢？

嚴雷：區別哪種類型的技術，並不取決於設備或軟件部署在哪裏或說部署方式有何差異，比如部署在主機上的軟件，即可以是針對主機安全也可以是針對數據安全，甚至是網絡安全。因此，要判斷一個技術屬於哪種安全產品還是要看它的保護對象是什麼。

一些裝在主機或虛機上的自適應安全產品，如果是在做配置核查、漏洞管理、係統保護之類的工作，那就是主機安全。我們的產品則是網絡安全產品，保護或處理對象是網絡流量。而且你也知道，與傳統防火牆不同，針對的不是南北而是東西流量。

這裏麵非常關鍵的一件事情就是可視化。傳統的防火牆，處於網關位置，所有的流量都要經過。因此，是對“看得見”的流量進行控製。但如果在內網中，或者在雲中，很難找到一個類似“網關的位置”來部署設備做到把其全部東西向流量都看到。所以，隻有直接部署在虛機上，才能解決這個“流量看得見”的問題。

談到這裏說一個微隔離理念的問題。我認為，一定能夠覆蓋到最細微最基礎的網絡節點上才能稱之為微隔離。最早的隔離技術，是把網絡分域，如DMZ，然後用防火牆來實現隔離。但在雲時代，網絡是動態的，攻擊方式各種各樣，所謂的“邊界模煳”或消失，這種非常粗的劃分方法就不適用了。比如，WannaCry的爆發就是典型的突破邊界後，病毒在內網一馬平川。

那麼既然網絡分域太粗，按網段劃分呢？按工作組劃分？或者幹脆按物理主機劃分，這樣是不是就到了基本節點呢？如果在傳統數據中心的環境下，的確是這樣。但在雲計算環境中，有時連虛擬機都算不上基本節點，因為在虛擬機上還有容器。因此，在我看來，基本節點即不是主機也不是虛擬機，甚至也不是容器，準確的講應該是Workload（工作負載），是一個有著自己的CPU、內存進程空間的計算實體。這個實體才能稱之為真正的微隔離，未來的安全一定是對最基礎的實體進行保護。

安全牛：實際上，梆梆安全的闞總也曾經講過一個“微邊界”的概念，隻是他指的是物聯網環境下最小的設備安全，你這裏是指虛擬化形態的最小實體。但無論微邊界還是微隔離，二者的本質理念是一樣的，即安全的縱深防禦，層層防禦，一直到基本單位。

嚴雷：沒錯，是這樣。實際上我把這種理念稱之為“原子”級別的安全。

微服務等下一代數據中心架構技術正在使數據中心東西向流量日益增長，因為微服務的本質就是把過去內存中交換的東西放到網絡上去交換。用技術語言來講，就是進程與進程之間在內存中的交換，拆成微服務之後，成為一個獨立的工作負載（workload）。而工作負載與工作負載之間的，就是網絡交換。Gartner最近推出的11大安全技術之首，CWPP（雲工作負載保護平台）就是基於工作負載的概念。

回到公司層麵上來，薔薇靈動目前是國內唯一能夠提供對Docker進行安全隔離的公司。

安全牛：是支持所有的容器還隻是Docker？

嚴雷：所有的容器，因為我們麵向的是操作係統，與何種物理設備或是容器技術無關。舉個實例，我們的產品目前至少運行在三種測試環境下，第一個是阿裏雲上運行CentOS，第二個是Azure雲上運行Ubuntu，第三個是VMWare上麵跑Windows。

這正反映出我們支持混合雲架構的優勢所在，而混合雲目前是主流架構。反觀其他一些微隔離產品，則需要和不同雲基礎架構的廠商談適配、談對接、談分成，然後測試、聯調，周期會非常長，成本自然也會大。

三、用專業的工具做專業的事情

安全牛：但是國內的重點行業用戶普遍對Agent形式的部署有所抵觸，這一點你是如何看待的？

嚴雷：其實大多數用戶之所以不願意部署Agent，主要有幾個擔心，比如資源占用、安裝麻煩等，最擔心的是影響現有業務。

我們的技術在資源占用方麵，計算巔峰開銷都不會超過0.2%，可以說用戶無感。然後安裝過程也極其簡單，十幾分鍾去喝杯咖啡回來就完成了。然後是兼容性的問題。我們的微隔離產品隻做流量監控，本質上就是防火牆的策略管理，工作在用戶態，相對來說對係統的影響較小，不像傳統的主機安全，需要和係統層驅動掛勾，屬於內核級的技術，發生問題的風險較大。

實際上，我們一開始就考慮過安裝Agent在用戶方麵的阻力，因此才會在這方麵做了非常大的努力，以把對用戶帶來的不良影響降到最低。

安全牛：既然要裝Agent，有沒考慮過把主機安全功能結合進來？或者像一些做主機安全的廠商把流量這塊的安全也做進來？

嚴雷：考慮是考慮過，但這種做法也會有一些問題。當廠商選擇做更多功能的時候，其實對於客戶來講可能意味著一些不好的事情。比如，你的東西越多就越有可能跟用戶現有的產品衝突。而從產品本身來講，一個軟件想兼顧多個功能，一定會下降軟件的工作效率，不管是內存還是CPU的處理能力。簡而言之，兼顧更多就意味著每一項都比較平庸。

對於大型用戶來說，實際上更傾向於使用專業產品做專業的事情。如同UTM和下代牆，前者雖然集成了各種安全功能，補充了企業的安全短板，但對於大型用戶來說，還是選擇更加專業的NGFW，它能夠為企業提供更高級別的安全能力。因此，至少在公司發展的早期，我們的微隔離技術隻做流量的安全。

四、雲的高速增長需要安全來做保證

安全牛：既然選擇了微隔離這個細分領域，你們一定對這個市場的預期有著自己的理解，能否談談未來的市場需求？

嚴雷：采訪一開始，你就問到了，我們為什麼要做這個細分領域。剛才主要談的是技術，現在補充一些大的背景。

我認為，促進安全技術與產業發展有三個變化為關鍵驅動力。第一個是網絡攻擊，攻防對抗是一個交替上升的過程，攻擊的發展會帶來安全的發展。第二個是基礎技術，如大數據。第三個是應用場景，如移動安全、工控安全、物聯網安全、雲安全。

微隔離技術上述三者兼而有之。

第一個攻擊手段的多樣化、複雜化和高端化，決定了縱深防禦的必要性。東西流量或說內網的防護自然是重要的一部分。第二從基礎技術層麵來看，想要保護好雲，就必需和雲一樣動態、彈性，自適應的理念就出自於此。

最後一個就是雲的應用場景。在這裏說幾個數字，國內某大型電商，它的金融雲體量有5萬多個虛機，電商雲將近15萬虛擬機。這還隻是一家電商，如果把像餓了嗎、ofo等各大互聯網公司，以及各大銀行、運營商、能源等重點行業都統計進來，是何等的一個體量？

而且這個數字每年還在以非常快的速度膨脹，因為其背後是互聯網+的強大推動力。這個大趨勢，令越來越多的傳統行業把業務轉移到雲端，更多的依賴大數據、計算。還有物聯網，必須依賴於雲計算能力做支撐。企業業務和人們生活的雲化，是一個長期的大趨勢。微隔離這個技術的市場規模，與雲計算總體部署量的規模是線性相關的，雲的飛速發展是我們對這個市場最大的信心來源。

五、企業發展與資本的關係

安全牛：技術、市場和資本，是創業公司的“三個基本點”，前兩者剛才已經談過了，最後你是如何看待企業和資本二者之間的關係？

嚴雷：創業是有套路的，第一個階段是產品創造。我們的天使輪就做兩件事情，第一把產品做出來，第二在客戶那裏測試得到產品驗證，證明產品的技術適用性。這個階段基本已經完成。

現在是第二個階段，即市場創造，要在幾個典型客戶處做幾個成功案例，同時做A輪融資。這個階段是有明確目標的，兩年左右的時間做十個客戶，這十個客戶分布在三四個重點行業。

第三個階段是市場成熟，證明你的產品的確有市場需求之後，需要新一輪的融資來快速複製。最後是多元化擴張，進入更多的行業，研發更多的技術產品。

安全牛：既然你們現在處於A輪融資階段，你對公司未來的發展預期是怎樣的？

嚴雷：我們的計劃是用五年左右的時間做到年營收兩三個億，大約200家客戶，其包括中國最頂尖的幾個大型行業客戶。對這個預期我很有信心，因為它非常的理性。而且目前的發展現狀也反映出我們的商業假設，各地政務雲、行業雲等一個又一個的大項目頻繁出現，動輒幾個億。

另外，網絡安全法的關鍵抓手等保2.0，它的即將出台也是一個重大利好。2.0中明確了對微隔離的需求，即要求“識別虛機到虛機之間的流量，能夠繪製與運行狀態一致的網絡拓撲”，也就是說對於東西向的流量要有可視化的監控。不管是阿裏還是金山、華為、華三，這種技術目前在國內很少有人在做，可想而知它的需求風口，這就是我們的市場背景和商業預期。

安全牛：聽說你們現在還不到10個人，能否簡單介紹一下核心成員？

嚴雷：我們人員雖少，但個個都是精英。聯合創始人陳天航之前是網康NGFW的架構師，再往前是國內最早的X86萬兆防火牆的主要開發者，還有之前來自京東雲寫了三年SDN的技術大牛，人人網做了八年的前端交互，還有具備多年外企市場經驗背景的人員，總之各個能力補的比較齊，沒有明顯短板，這也是我們產品研發速度和測試客戶推進速度非常快的主要原因。

安全牛評

薔薇靈動的特點在於以Agent的方式避開了之前微隔離技術的一些弊端，如防火牆廠商對於底層架構綁定過緊，部署和運維成本高，雲架構廠商隻支持自己的雲係統等。同時，較好的打消了安裝Agent給用戶帶來的顧慮。

此外，非常重要的一點是其切入市場的時機。目前，國內的雲計算已經開始爆發，在這個時間點下進入企業安全市場，的確是非常好的一個機遇。

原文發布時間為：2017年10月26日

本文來自雲棲社區合作夥伴至頂網，了解相關信息可以關注至頂網。