幾乎在我和首席信息官們的每一次對(duì)話中,都會(huì)出現(xiàn)一個(gè)共同的主題:如何讓IT內(nèi)部的孤島一起工作。不同群體之間的關(guān)系各不相同,但似乎最緊張的是網(wǎng)絡(luò)和安全運(yùn)營(yíng)之間的關(guān)系。
大多數(shù)公司的網(wǎng)絡(luò)和安全性之間一直存在并將繼續(xù)存在敵意已經(jīng)不是什么秘密了。我當(dāng)分析師之前是一名網(wǎng)絡(luò)工程師,處理SecOps,內(nèi)部審計(jì)或任何與安全性有關(guān)的人都引起了我的極大的焦慮。對(duì)我來(lái)說(shuō),似乎SecOps總是和NetOps對(duì)著干,這是因?yàn)樗麄兊娜蝿?wù)不同。對(duì)于網(wǎng)絡(luò)工程師來(lái)說(shuō),目標(biāo)是盡可能快地獲得所有數(shù)據(jù)包,而SecOps則阻止所有不良流量,即使這意味著減慢速度。
一種可以幫助網(wǎng)絡(luò)和安全運(yùn)營(yíng)更好地相處的技術(shù)就是所謂的安全交付平臺(tái)(security delivery platform ,SDP)。如果你還不熟悉SDP的話,它是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包代理(network packet broker ,NPB),它具有專門用于安全性的功能。有一個(gè)很好的類比可以說(shuō)明NPB和SDP之間的區(qū)別,即考慮負(fù)載均衡器和應(yīng)用交付控制器(application delivery controller,ADC)之間的區(qū)別。負(fù)載均衡器是商品并執(zhí)行一項(xiàng)任務(wù)。雖然ADC執(zhí)行負(fù)載均衡,但它還包括其它一些功能,包括Web應(yīng)用程序防火墻(WAF)、VPN和SSL卸載(offload)。類似地,NPB提供了網(wǎng)絡(luò)的分流和聚合,但是SDP確實(shí)提升了一些東西,比如查看內(nèi)部數(shù)據(jù)包,聚合和去除重復(fù)。
為了解決如何使用SDP來(lái)緩解網(wǎng)絡(luò)和安全操作之間的緊張關(guān)系,我采訪了SDP的市場(chǎng)領(lǐng)導(dǎo)者Gigamon的安全架構(gòu)師Simon Gibson。Gibson還是Bloomberg的首席信息安全官,所以他實(shí)際上親身經(jīng)歷了與網(wǎng)絡(luò)集團(tuán)的沖突。
Zeus:Simon,謝謝你接受采訪。為什么網(wǎng)絡(luò)和安全運(yùn)營(yíng)之間存在這種緊張關(guān)系?
Gibson:在我以前的職位上,我負(fù)責(zé)安全性工作,并與網(wǎng)絡(luò)負(fù)責(zé)人緊密合作,我認(rèn)為他是一個(gè)超級(jí)聰明的人。我在這份工作中學(xué)到的一件事是,由于安全形勢(shì)的不斷變化,安全性問(wèn)題讓網(wǎng)絡(luò)很難制定計(jì)劃并堅(jiān)持下去。這對(duì)人員、預(yù)算和其它資源有影響。安全性必須對(duì)不斷變化的市場(chǎng)狀況做出反應(yīng),這可能會(huì)破壞網(wǎng)絡(luò)運(yùn)營(yíng)的最佳計(jì)劃。
例如,今年早些時(shí)候,國(guó)土安全部發(fā)布了一項(xiàng)指令,要求從成千上萬(wàn)的軍事端點(diǎn)中刪除卡巴斯基安全產(chǎn)品。這不是人們計(jì)劃中的事情,但現(xiàn)在這成了很多人的首要任務(wù),不管以前的工作重點(diǎn)是什么。在安全性方面,第一重要的東西很快就會(huì)成為第二重要的東西,這與網(wǎng)絡(luò)運(yùn)營(yíng)的方式是不一致的。
此外,安全部門希望進(jìn)行預(yù)防性控制,這往往妨礙人們工作。把網(wǎng)絡(luò)想象成高速公路,安全性就是要讓人們放慢速度,使一切變得安全。但有一點(diǎn)需要考慮:車上沒(méi)有剎車的話,人們的時(shí)速就不能超過(guò)3英里,所以如果做得好,安全性可能會(huì)成為一個(gè)推動(dòng)者。
安全交付平臺(tái)(SDP)如何幫助解決這種緊張局勢(shì)?
Gibson:大多數(shù)安全性工具都必須部署在網(wǎng)絡(luò)中,所以每當(dāng)SecOps希望實(shí)施一個(gè)新工具時(shí),網(wǎng)絡(luò)團(tuán)隊(duì)往往不得不停止他們手頭上的工作,并提供一個(gè)SPAN端口來(lái)供它接入。如果SPAN端口已滿,則必須移除或移動(dòng)某個(gè)端口。通過(guò)SDP,SDP通過(guò)一系列TAP接入網(wǎng)絡(luò),并將所有安全性工具接入網(wǎng)絡(luò)?,F(xiàn)在SecOps可以接入盡可能多的工具,因?yàn)樗麄冇锌捎玫腟DP端口。網(wǎng)絡(luò)管理員只要打開(kāi)端口,使流量流向它。
更重要的是,安全團(tuán)隊(duì)可以在流量到達(dá)每個(gè)安全性工具之前做其他事情,比如解密SSL和預(yù)先過(guò)濾不需要的流量(如YouTube視頻),所有這一切都減輕了安全工具的負(fù)擔(dān),并允許更多功能在無(wú)需過(guò)載的情況下即可打開(kāi)。
如果沒(méi)有SDP,15個(gè)安全工具將需要在15個(gè)不同的地方挖掘網(wǎng)絡(luò)。使用SDP只要在一個(gè)地方分流就能連接15個(gè)地方。安全團(tuán)隊(duì)非常高興,因?yàn)樗麄兛梢愿斓貙?shí)施他們的工具,網(wǎng)絡(luò)工程師也很高興,因?yàn)樗枰墓ぷ髁恐皇窃贕UI上點(diǎn)擊幾下鼠標(biāo)。
“SDP的使用是雙贏的,因?yàn)榘踩π嵘耍⑶揖W(wǎng)絡(luò)運(yùn)營(yíng)的可視性越來(lái)越高。”
另一個(gè)用例是確保非對(duì)稱流量。很多網(wǎng)絡(luò)團(tuán)隊(duì)希望轉(zhuǎn)向這樣一個(gè)網(wǎng)絡(luò)架構(gòu),在這里流量并不對(duì)稱(進(jìn)出分支的流量在獨(dú)立的網(wǎng)絡(luò)路徑上移動(dòng)),流量由SD / WAN部署驅(qū)動(dòng)。這種模式面臨的挑戰(zhàn)是大多數(shù)安全工具需要同時(shí)看到入站和出站流量才能正常工作,所以很多安全團(tuán)隊(duì)試圖阻止網(wǎng)絡(luò)工程師重新設(shè)計(jì)網(wǎng)絡(luò)。SDP可以將兩個(gè)流縫合在一起,因此網(wǎng)絡(luò)可以轉(zhuǎn)向到非對(duì)稱模型,仍然可以使用安全工具。
SDP的使用是雙贏的,因?yàn)榘踩π嵘?,并且網(wǎng)絡(luò)運(yùn)營(yíng)的可見(jiàn)度越來(lái)越高。
有沒(méi)有辦法用SDP使安全運(yùn)營(yíng)就可以轉(zhuǎn)向自助服務(wù)模式,在這里網(wǎng)絡(luò)運(yùn)營(yíng)根本不需要介入?
Gibson:這是另一個(gè)有趣的用例。網(wǎng)絡(luò)運(yùn)營(yíng)可以配置SDP的鏡像,以供安全團(tuán)隊(duì)使用,對(duì)生產(chǎn)并無(wú)影響。這就是我們?cè)贕igamon所擁有的配置,在該配置中,通信被復(fù)制到安全性賴以運(yùn)行和運(yùn)營(yíng)的獨(dú)立的HC2設(shè)備。所有配置和測(cè)試都可以在部署到生產(chǎn)網(wǎng)絡(luò)之前完成。這使得安全團(tuán)隊(duì)能夠在需要的時(shí)候做他們想做的事情,而不必要求網(wǎng)絡(luò)運(yùn)營(yíng)放棄一切。
你還有什么其它的好處要提及嗎?
Gibson:還有一個(gè)好處,這是首席信息官們應(yīng)該始終關(guān)注的事情:SDP可以在不降低組織的安全性的情況下顯著降低安全性成本。如果沒(méi)有SDP,安全團(tuán)隊(duì)會(huì)購(gòu)買昂貴的高性能安全工具來(lái)部署網(wǎng)絡(luò)中的每個(gè)關(guān)鍵點(diǎn)。例如,如果有6個(gè)入口點(diǎn),該組織可能會(huì)購(gòu)買12個(gè)新一代防火墻(每個(gè)防火墻要兩個(gè)冗余)。一旦SDP到位,來(lái)自每個(gè)點(diǎn)的流量可以聚合到一個(gè)點(diǎn)上。所以,他們不用買12個(gè)防火墻,只需要買一對(duì)就夠了。
另外,SDP僅將流量發(fā)送到其實(shí)際需要的安全工具,從而顯著降低了對(duì)性能的要求。常規(guī)的做法是花大價(jià)錢買安全工具,但是SDP可以讓企業(yè)按需購(gòu)買,并且具有會(huì)話負(fù)載平衡,因此在需要時(shí)可以添加額外的安全工具,而不是使用傳統(tǒng)的拆分和替換方法。
有關(guān)公司如何開(kāi)始部署SDP的建議?
Gibson:我可以提供的最好的指導(dǎo)是退一步,看看你的整體安全性要求。想想需要多少工具,需要多少常備工具,然后再將這些工具的部署結(jié)合到SDP的實(shí)施中。SDP的成本很容易被更少安全工具和更快的部署速度所節(jié)省的成本所抵消。
SDP為安全性工具創(chuàng)建了即插即用的模型,通過(guò)將控制權(quán)交給安全人員來(lái)減輕網(wǎng)絡(luò)運(yùn)營(yíng)的負(fù)擔(dān)。如果企業(yè)要變成敏捷,充滿活力的組織,安全和網(wǎng)絡(luò)團(tuán)隊(duì)之間的緊張關(guān)系必須消解。但是如果他們的目標(biāo)截然相反,這是不可能發(fā)生的。SDP有助于團(tuán)隊(duì)協(xié)調(diào)一致。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)