微隔离(Identity-Based Segmentation),亦称为微分段、软件定义分段、基于身份的分段、零信任分段、逻辑分段等;
定义:基于工作负载身份,通过访问控制策略或加密规则,对位于本地或云端数据中心的工作负载(物理机/虚拟机/容器等)、应用、程序进行细粒度隔离和精细化访控,从而实现缩减暴露面、阻止攻击横向侧移的安全目的。
微隔离是面向新型基础设施的基础安全能力,一方面新型基础设施架构和持续恶化的威胁环境催生了微隔离需求的爆发,微隔离是云工作负载保护、容器安全等的基础能力;另一方面从安全能力叠加演进的视角来看,微隔离提供了最为基础的“架构安全”和“被动防御” 安全能力。此外,微隔离被认为是零信任架构中的核心结构性要求,用于对数据中心东西向流量进行管理。
目前市面上微隔离有三种主流的技术路线:一种是云平台原生组件,其可以与云平台管理结合紧密,可实现统一管理,但仅适用于自身云平台与其他平台的兼容性较差,对于混合架构不合适;一种是虚拟化防火墙路线,可提供完整的防火墙安全功能,但是其安全虚机的资源占用较高、性能压力集中,延迟较大、受虚拟化架构兼容性制约;最后一种为基于主机代理(利用主机防火墙)的模式,其基础架构无关,可支持各类云架构。可实现虚机、容器统一纳管且角色化访控,精细度高、灵活性强,分布式策略执行,性能压力较小。虽然需要在工作负载安装客户端但是因为其在混合环境下具有明显的优势,目前已经成为微隔离的最主流技术。
国内专业网安行业加速器机构斯元商业咨询正式发布了2022第1版「网络安全科技供应链报告:厂商成分分析及国产化替代指南」,报告分析了当前在国内有业务开展、已为国内甲方企事业单位采购使用的全球及中国港澳台地区的主流网络安全科技供应链厂商,并基于这些厂商所涉及的产品技术分类,提供相应的国产化替代厂商指南。
报告显示,在“基于身份的隔离”产品(即“微隔离”)技术分类栏,已在国内开展业务的国际厂商包括Illumio、Akamai、Microsoft、Cisco、Palo Alto、ColorTokens、Zscaler,而蔷薇灵动则成为在该领域唯一的国产化替代选项。
前言:本文翻译自A16Z,作者为 Sarah Wang 和 Martin Casado。本文提出了一个很重要的观点,即 「尽管云计算明显能够在公司的早期发展中实现其(节约成本的)承诺,但随着公司规模的扩大和增长的放缓,它对利润率造成的压力可能会开始超过收益。云计算庞大的开销将会逐渐成为公司的负担,成为公司决策层不得不考虑的一个问题。 」
实际上,在国内这样的话题也开始逐渐讨论起来了,对于创业公司而言,在基础云方面的开支还稍微可以承受,但越来越多的 PaaS 和 SaaS 服务的开支已经成为一个问题,当云的开支逐渐超过公司利润所能承受的阶段,就会发现企业这时候已经进退为难,已经陷入云计算的泥潭而无法自拔了。
本文也给出了一些建议,在企业上云的时候就考虑到云遣返的问题,也就是给自己留一条后路,而且将云计算的支出列为重要的KPI考核指标,公司的CEO-CFO-CTO要综合考虑在All-in云计算的同时保留着清醒的头脑。
当然不同的企业有不同的目标,云计算无论如何都是不可阻挡的趋势,那么译者有个问题,当成本逐渐成为云计算时代的痛点时,这只是计算时代不可避免的阵痛,还是云计算本身就存在的弱点?
毫无疑问,云计算是计算平台 历史 上最重要的转变之一。虽然还处在起步阶段,云计算已经影响了数千亿美元的企业 IT 支出,并且公共云的支出还在以每年超过 1000 亿美元的速度上快速增长。这种转变是由一个非常强大的价值观念驱动的——即基础设施即买即用,正好符合业务大规模发展的需要——提高了企业运营和经济方面的效率。另外云计算还有助于培养创新,因为公司可以释放资源专注于新产品和增长,而无需在IT设施和技术投入上投入太多精力。
然而,随着云计算行业经验的成熟,以及我们从公司的经济状况中看到更全面的云计算生命周期,越来越明显的是, 尽管云计算明显能够在公司的早期发展中实现其(节约成本的)承诺,但随着公司规模的扩大和增长的放缓,它对利润率造成的压力可能会开始超过收益。 由于这种转变发生在公司发展的后期,因此很难逆转,因为这是多年来专注于新功能开发的结果,而不是基础设施的优化。因此,为了显著提高效率而进行的重写或重大重组可能需要数年时间,而且通常被认为是不可能的。
现在,人们越来越意识到云计算的长期成本影响。随着云计算的成本的增加,总收入成本 (COR) 或销售商品成本 (COGS) 也很明显地开始增加,一些公司采取了「戏剧性」的选择,「遣返(repatriating)」大部分工作量 (例如 Dropbox) ,把本来部署在云上的负载回归到本地,或者在某种情况下采用混合云 (例如 CrowdStrike 和 Zscaler)。 那些已经这样做的公司在财报里发布了很明显的成本节约报告 : 2017 年,Dropbox 在其 S-1 文件中详细说明,由于其基础设施的优化改造,在上市前的两年中,累计节省了 7500 万美元的巨额资金,其中大部分需要从公共云中调回工作负载。
然而,考虑到此类行为的工作量规模之大,以及“云计算很棒(Cloud is great)”这一占主导地位、有些独特的行业主流说法,大多数公司发现很难证明将工作负载从云上转移出去是合理的。(的确如此,但我们还需要考虑更广泛的影响。)因为当相对于潜在失去的市场资本的规模进行评估时——我们在这篇文章中提出——计算方法会发生变化。 收入增长(通常)随着规模的增长而放缓,短期效率越来越成为公开市场价值的关键决定因素。 随着规模的增长(通常)放缓,近期效率成为公开市场价值的一个越来越关键的决定因素。云计算的超额成本通过压低利润率,严重影响了市值。
尽管如此,这篇文章的意义并不是要讨论遣返问题,这是一个非常复杂的决定,而且因公司而异,并影响广泛。相反,我们首先要了解云计算压低了多少市值,这样我们才能随着公司规模的扩大的同时,帮助制定决策框架,管理基础设施。
我们的分析强调了通过云优化可以获得多少价值——无论是通过系统设计和实现、重新架构、第三方云效率解决方案,还是将工作负载转移到专用硬件。这是一个非常违反直觉的假设,在这个行业中给出了流行的关于云PK本地部署的说法。然而,很明显,除了短期的节省,当你考虑到对市值的影响时,规模公司可以证明几乎任何水平的工作都可以帮助保持云成本较低。
当 Dropbox 在 2016 年启动其基础设施优化计划时,他们在两年时间里节省了近 7500 万美元,他们通过将大部分工作负载从公共云转移到直接由 Dropbox 租赁和运营的「低成本、定制基础设施」 (“lower cost, custom-built infrastructure in co-location facilities”) ,而且。Dropbox 的毛利率从 2015 年的 33%增长到了 2017 年的 67%,他们指出,这「主要是由于我们的基础设施优化和营收的增加。」 (“primarily due to our Infrastructure Optimization and an… increase in our revenue during the period”)
但这只是 Dropbox。因此,为了将云遣返的潜在节约推广到更广泛的公司,云计算优化公司 Optimyze 的前 Google 工程师、联合创始人托马斯·杜林 (Thomas Dullien) 说,据估计,每年可以遣返 1 亿美元的公共云支出,相当于每年总拥有成本 (total cost of ownership, TCO) 的一半左右,包括服务器机架、房地产和冷却,以及网络和工程成本。
确切的节省数字显然各不相同,但我们采访的几位专家都认同这个「公式」: 遣返结果是在云中运行等效工作负载的成本的三分之一到一半。 此外,一家大型消费互联网公司的工程总监发现,公共云列表的价格可能是运营自己数据中心成本的 10 到 12 倍。由使用承诺和数量驱动的折扣在行业中很常见,并且可以将这个倍数降低到个位数,因为云计算通常会在承诺使用时下降 30-50% 。但是 AWS 的运营成本仍然是这些折扣的 30% 左右的混合营运利润率,以及激进的研发预算, 这意味着由于资金回流,潜在的公司节省成本更大。管理自己的硬件带来的性能提升可能会带来更大的收益。
在我们所有与不同从业者的谈话中,这种模式非常一致: 如果你在规模上运营,云的成本至少可以让你的基础设施成本翻一番。
考虑到云计算花费在总收入成本 (total cost of revenue, COR) 中所占的百分比,云计算带来的 50% 的节省是非常有意义的。基于对公共软件公司 (那些公开其云基础设施支出的公司) 的基准测试,我们发现合同承诺的支出平均占 COR 的 50% 。
实际支出占 COR 的百分比通常甚至高于承诺支出: 一家价值 10 亿美元的私营软件公司告诉我们,他们的公共云支出占 COR 的 81% ,「云支出占收入成本的 75% 至 80% 在软件公司中很常见」。杜林(从他在 Google 和现在的 Optimyze 工作时就注意到) , 公司在估算云计算规模时往往比较保守,因为担心花费过多, 所以他们只承诺基线负载。因此,根据经验法则,承诺的支出通常比实际支出低 20% 弹性是双向的。 我们采访过的一些公司报告说,他们的云支出超出了承诺的预测至少 2 倍。
如果我们将这些基准外推到更广泛的使用公共云来进行基础设施建设的软件公司中,我们粗略估计,50 家顶级上市软件公司的云账单总计达到 80 亿美元 (这在它们的年度文件中显示了一定程度的云支出)。虽然其中一些公司采取混合云方式ーー公共云和本地部署(这意味着相对于我们的基准,云支出在 COR 中所占的比例可能更低)ーー但我们的分析平衡了这一点,假设承诺的支出等于全面的实际支出。 根据我们与专家们的交谈,我们假设云遣返可以减少 50% 的云支出,从而节省 40 亿美元的回收利润。 对于使用云基础设施的大规模公共软件和消费互联网公司来说,这个数字可能要高得多。
虽然 40 亿美元的预计净节省额本身就是惊人的,但是如果换算成解锁的市值,这个数字就更让人大开眼界了。由于所有公司在概念上都是以其未来现金流的现值来估值的,因此实现这些年度总体净储蓄可以创造远远超过 40 亿美元的市值。
还有多少?一个粗略的指标是,看看公开市场对额外毛利润的估值: 仍在烧钱的高增长软件公司,往往是按照毛利倍数来估值的,这反映了对公司长期增长和盈利边际结构的假设。(通常所参考的收入倍数也反映了公司的长期利润率,这就是为什么即使在经过增长率调整的基础上,毛利率较高的业务,收入倍数也往往会增加)。然而,这两种资本化倍数都可以作为一种启发式方法,用于估计公司未来现金流的市场贴现。
在我们分析的 50 家上市软件公司中,企业总价值到 2021 年毛利润的平均倍数 (基于 CapIQ 发布时的资料) 是 24-25X。 换句话说:每节省一美元的毛利润,市值平均就会增加 24-25 倍的净成本。(假设节省的资金是扣除增加的资本支出所产生的折旧成本(如果相关的话))。
这意味着,仅在这 50 家公司中,估计额外 40 亿美元的毛利润就能产生额外 1000 亿美元的市值。此外,由于使用毛利润倍数(相对于自由现金流倍数)假定增加的毛利润也与某些增加的经营支出相关,这种方法可能低估了每年 40 亿美元净节省对市值的影响。
对于一家特定的公司,其影响可能会更高,这取决于它的具体估值。要说明这种现象,我们以服务公司 Datadog 的基础设施监控为例。该公司在发布财报时的交易价格接近 2021 年 40 倍的预估毛利润,并在其 S-1 中披露了对亚马逊云服务的总计三年 225 亿美元的消费承诺。如果我们每年承诺的亚马逊云服务支出达到 7500 万美元---- 并假设其中 50% 或 3750 万美元可以通过云遣返收回---- 这意味着仅在承诺的削减支出上,该公司每年就可获得约 150 亿美元的市值!
虽然这些粗略的分析从来都不是十全十美的, 但方向性的趋势很清晰: 规模较大的上市软件公司的市场资本化受到云计算成本和数千亿美元的拖累。 如果我们扩展到更广泛的企业软件和消费互联网公司领域,这个数字可能超过 5000 亿美元——假设总体云支出的50%是由规模技术公司消费的,这些公司有望从云遣返中获益。
对于商业领袖、行业分析师和建筑商来说,在做出长期甚至短期的基础设施建设决策时,忽视对市值的影响实在代价太过昂贵。
我们接下来该怎么办?一方面,开始将工作负载从云中移除是一个重大决定。对于那些没有提前计划的人来说,必要的重写看起来是不切实际的,因此是不可能的。任何这样的工作都需要一个强大的基础设施团队,而这个团队可能还没有完全建立起来。所有这一切都需要建立一个超越自身核心体系以外的专业知识能力,这不仅会分散注意力,也会降低增长的速度。况且云计算也保留了许多优势,比如随需应变的能力,以及支持创新项目和新地理区域的大量现有服务。
但另一方面,我们在这篇文章中概述了一种现象,即云计算的成本在某个时刻「占了上风」,锁定了数千亿美元的市值,而这些市值现在陷入了这种悖论: 如果你还没开始用云计算,你就是疯了;如果你还在继续使用云计算,你就是疯了 (You’re crazy if you don’t start in the cloud; you’re crazy if you stay on it) 。
那么,公司能做些什么才能摆脱这种悖论呢?正如前面所提到的,我们并不是在为云遣返提供任何理由,相反,我们指出基础设施支出应该是一个一流的衡量标准。这是什么意思? 公司需要尽早、经常、有时甚至是在云之外进行优化。
虽然在思维方式的转变和最佳实践方面还有很多要说的ーー尤其是最近才出现了全貌ーー但这里有一些因素可能有助于企业应对云计算成本不断上升的问题。
把云花费作为 KPI。 让基础设施成为一流衡量标准的一部分,就是确保它成为企业的 KPI 指标。以 Spotify 的 Cost Insights 为例,这是一个自己开发追踪云支出的工具。通过追踪云支出,该公司的工程师能够获得云支出的所有权限,而不仅仅是财务团队的专利。Ben Schaechter 曾在 Digital Ocean 工作,现在是 Vantage 的联合创始人和首席执行官,他观察到,他们不仅看到整个行业的公司在业务生命周期的早期将云成本指标与核心性能和可靠性指标放在一起,同时, 「那些意外被云计算账单困扰的开发人员变得越来越精明,并期望他们的团队在云计算支出方面更加严格。」
激励正确的行为。 用基础设施的 KPI 数据赋予工程师权力,这样的激励因素可以帮助团队提高意识,但不会考虑改变工作方式。一位著名的行业首席技术官告诉我们,在他的一家公司,他们提供类似于销售(SPIFFs)的短期激励措施, 这样,任何通过优化或关闭工作负载从而节省出一定数量云开支的工程师都会得到一笔现金 (虽然节省出来的资金不断出现,但是公司的投资回报率仍然很高)。 他补充说,这种方法——基本上是“将制造出问题的人与能够解决问题的人联系起来”——实际上成本更低,因为它能够为整个公司带来 10% 的回报,并在短短 6 个月内将总支出减少了 300 万美元。值得注意的是,公司 CFO 是支持这种非传统模式的关键人物。
优化,优化,优化。 在评估任何企业的价值时,最重要的因素之一是所售商品的成本或销货成本——企业每赚一美元,交付的成本是多少?客户数据平台公司 Segment 最近分享了他们如何通过增量优化基础设施决策,将基础设施成本降低了30% (同时在同一时期内增加了 25% 的流量)。有许多第三方优化工具可以为现有系统提供快速增益,根据我们的经验,范围在 10-40% 不等。
考虑一下提前遣返。 云在公司发展的早期更便宜更好,而在后期更昂贵,这条云悖论的存在并不意味着公司必须被动地接受它而不做计划。 确保您的系统架构师及早意识到遣返的可能性,因为到云成本开始赶上甚至超过收入增长的时候,就太晚了。 即使在早期进行适度的或更模块化的架构投资——包括能够将工作负载转移到最佳位置而不被锁定的架构——也会减少将来将工作负载迁移回来所需的工作。Kubernetes 的流行和使工作负载更便携的软件容器化,在一定程度上是对公司不希望被锁定在特定的云的反应。
增量遣返。 也没有理由不能以增量的方式、混合云的方式进行遣返 (如果对于您的业务是正确的选择)。在这里,我们需要更多的细微差别,而不是非分之想:例如,遣返可能只对最资源密集的工作负载的子集有意义。它不需要是全部上云或者全部遣返。事实上,在我们采访过的许多公司中,即使是最激进的收回工作量的公司,仍有 10% 到 30% 甚至更多是在云计算中。
虽然这些建议主要针对 SaaS 公司,但人们还可以做其他事情,例如,如果你是一个基础设施供应商,你可能想要考虑传递成本的选项——比如使用客户的云积分——这样成本就不会出现在你的账上。整个生态系统都需要考虑云计算的成本。
这个行业是如何走到这一步的很容易理解:云是优化创新、敏捷性和增长的完美平台。而在一个由私人资本推动的行业,利润率往往是次要的问题。 这就是为什么新的项目倾向于在云中开始,因为公司优先考虑特性开发的速度而不是效率。
但现在,我们知道了。长期的影响还没有被很好地理解——这是具有讽刺意味的,因为超过 60% 的公司把节省成本作为迁移到云计算的首要原因!对于一个新的初创公司或一个新的项目,云是显而易见的选择。当然,为云提供的灵活性支付哪怕是适度的「灵活性税」也是值得的。
问题是,大公司——包括创业时达到一定的规模规模的公司——已经深陷入云中无法自拔(以及陷入泥潭后解救自己的能力)。有趣的是,早期移动云计算最常被引用的原因之一——一大笔预付资本支出 (CapEx)——不再需要汇回国内。在过去几年中,公共云基础设施的替代方案有了显著的发展,可以完全通过运营费用(OpEx)而不是资本支出来构建、部署和管理。
请注意,尽管我们在这里分享的一些数字似乎很大,但我们的假设实际上是保守的。实际支出往往高于承诺支出,我们没有考虑基于时间的弹性定价。对整个行业市值的实际拖累可能远高于预期。
云服务提供商目前享有的 30% 的利润最终会通过竞争而改变问题的严重性吗?不太可能,因为目前大部分的云计算支出都被三家公司垄断了。这里有一个戏剧性的讽刺:亚马逊、谷歌和微软,他们代表了这个行业 5 万亿美元的庞大市场,在竞争中受到冲击的是, 它们的高利润率在一定程度上是由运营自己的基础设施驱动的,这使得它们能够对产品和人才进行更大的再投资,同时支撑自己的股价。
因此,在数千亿美元的平衡下,这个悖论可能会以这样或那样的方式解决:公共云要么开始放弃利润,要么开始放弃工作量。无论如何,也许目前基础设施中最大的机会就在云硬件和运行在云硬件上的未优化代码之间。
Zscaler云管理软件中已修复的XSS漏洞,这个缺陷可能被攻击者利用,从而攻击云环境中的其它用户。Zscaler Cloud管理软件中存在严重跨站脚本(XSS)缺陷,可能会被黑客利用。
zscaler是什么
Zscaler是一家全球云安全公司,提供互联网安全、 web 安全、 下一代防火墙、 沙盒,SSL 检验、 防病毒、 漏洞管理及颗粒控制,业务在云计算、 移动和互联网领域均有涉及。
总部位于加州圣何塞市的Zscaler已为5000多家企业和机构的云应用提供安全保障。2015年,获得Google旗下Google Capital的2500万美元投资。
Zscaler云管理软件中的跨站攻击漏洞,一旦被攻击者利用,在用户访问管理界面的时候,其浏览器就会被注入恶意的HTML和javascript。之后,只要攻击者需要登录到这个网站,就可以接管其它用户的账户,并以该用户的身份实施攻击行为。
Zscaler强调,缺陷会暴露同一组织内的黑客用户,因为攻击者只能在他们访问Zscaler的管理门户时,才可以将代码注入网页。“Zscaler已经解决了在adminzscaler [X] net和mobilezscaler [X] net门户中的XSS漏洞。这个漏洞,允许通过身份验证的管理员用户将恶意内容注入某些管理UI页面,这可能会影响同一公司的其他管理员用户。“Zscaler安全建议 , “Zscaler感谢Alex Haynes报告问题,并与Zscaler合作,确保他们得到适当的补救。
跨站攻击是什么
跨站攻击,即Cross Site script Execution(通常简写为XSS) ,是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而**用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
跨站攻击形式时常容易被忽视,但带来的危害却不小。
先下载windows清理助手绿化版,无需安装直接查杀木马病毒,查杀完之后重启电脑,然后下载360顽固木马专杀工具,用这两个软件同时再杀一遍,查杀完之后重启
以上是我碰到电脑问题的解决方法,一般都能解决!你试试
以上就是关于什么是微隔离微隔离的作用是什么全部的内容,包括:什么是微隔离微隔离的作用是什么、「节约成本」的云计算将成为企业不能承受的负担、zscaler security是什么软件等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
