當前,數(shù)字化的轉型是目前一個關鍵的熱門詞匯,在數(shù)字化的轉型過程當中,安全肯定是首當其沖最最重要的一個基礎環(huán)節(jié)。可以看一個典型的場景,比如說在社交化的辦公,我們看到的是要對用戶的身份包括端點的準入有嚴格的要求。
對于在移動互聯(lián)網(wǎng)的場景下,除了對性能的影響之外,更多的可能是要關心互聯(lián)網(wǎng)用戶上網(wǎng)的用戶行為分析、包括安全審計的內容。當然在云和虛擬化的時代,虛擬化所產(chǎn)生的信息安全風險。從這個安全的運維外包的角度來看,在新的時代,我們現(xiàn)在需要考慮的是,怎么樣基于云計算的技術,通過遠程的云安全增值業(yè)務,來提供安全的運維外包交互。這樣一方面可以降低成本,另外一方面也能夠給客戶、給中小客戶一個更好的體驗。
另外,大數(shù)據(jù)和安全情報也是在安全領域最熱門的詞匯。面對當前的形勢,面對那么多的安全情報,怎么辦?怎么樣從海量的安全情報當中,收集出那么幾條有價值的高危安全風險?這是要關注的問題。所以,安全的風險無外乎兩個方面:一是我們希望做到對安全風險持續(xù)化的監(jiān)控和可視化的分析,另外一個是從防御的角度,要轉被動防御為主動防御的一個云安全的架構。
針對這種主動防御的云安全架構,首先看幾個關鍵的信息。第一,安全的本質就是要發(fā)現(xiàn)安全風險,尤其是對現(xiàn)階段很多潛在的通過本地化的檢測感覺不到的安全風險,針對這些安全風險怎么辦?要把它發(fā)現(xiàn)出來,要可視化地呈現(xiàn)。針對這個安全風險做到可視化的呈現(xiàn)之后,才能夠有更好的針對安全風險有針對性的安全匹配策略,這是我可控,安全要可視、可控。
同時,從用戶的角度來看,現(xiàn)在在云安全的時代,安全是作為一個服務來交互的。租戶要租用安全服務,這個服務怎么能夠布點,服務和別人的服務有什么差別?所以安全需要做到云的安全,需要做到可控。注冊完之后,用戶的ERP系統(tǒng),已經(jīng)購買了安全服務1.0,安全服務是不是起到了應有的效果,怎么樣來評價我買安全服務是足夠有價值的,是足夠價廉物美的?這個時候就涉及到對云安全服務的有效性評估。
從運營的角度來看,當一個用戶針對他的不同業(yè)務系統(tǒng),因為用戶的業(yè)務系統(tǒng)要上云,需要針對不同的租戶、不同的業(yè)務系統(tǒng),要有差異化的安全防護策略。那么當一個用戶、十個用戶、百個用戶、千個用戶同時開展這種服務的時候,運維怎么辦?所以在這個過程中,對于租戶的安全服務,第一要做到可靈活的可定義和可編排,同時在不同的角度一定要做到可運維。
另外我,安全本身就是在一個包羅萬象的知識點非常分散的環(huán)境,在這種情況下,包括現(xiàn)在我們看到的云安全等級保護的條例里面也提到了很多種安全服務標準。那么安全服務標準光靠一家廠商是比較難做到的,所以在這個時候云安全的架構、云安全的系統(tǒng)里面的開放性和可信是我們需要考慮的一個問題。
所以,針對云安全的這些關鍵需求點,新華三云安全2.0在設計的時候,主要關注以下幾方面。首先是云安全方案,因為不是每個客戶都是從0開始建設的,一定有自身現(xiàn)有的業(yè)務系統(tǒng)、現(xiàn)有的網(wǎng)絡。那么怎么樣來構造你的云安全解決方案有足夠的普適性、有足夠的開放性?同時,等級保護里面其實定義了多種多樣的安全服務,如何在云化的環(huán)境里面提供更多樣化的安全業(yè)務交互是需要關心的一個問題。當然在提供安全交互的時候,產(chǎn)品可擴展的資源池一定是非常重要的點,它應對性能的擴張是有絕對幫助的。
當然,面對云計算和云安全,如果要運維的話,自動化的部署和可視化的運維一定是很重要的方面。最后強調的是,之所以現(xiàn)在新華三推出云安全2.0,和1.0相比還有一個最大的不同就在于,安全是一個動態(tài)的過程,安全設備本身的防護能力是一個相對隱偏的過程,怎么樣給現(xiàn)有的安全解決方案疊加更多的云端的安全檢測能力,把云端安全的一些情報收集包括安全運行的一些總結拿出來,形成一個全局的聯(lián)動響應,這是后面需要關注的問題。這是云網(wǎng)端的協(xié)同聯(lián)動和立體防御的問題。
首先,在普適性這一塊,很簡單。如果一個云的解決方案要交互、叫實踐,要面臨幾個方面的問題。第一個是和云平臺的配套,因為不是所有的用戶都會用新華三一攬子的解決方案,有自己的云平臺,這是一些第三方的云平臺。那么解決方案是不是有控制性,安全設備是不是能跟第三方的云平臺有一個很好的耦合,安全服務的交互能不能在第三方的云平臺上有一個很好的呈現(xiàn),這是需要考慮的,這里面涉及到很多KPI的印證。
從虛擬機的操作層面來看,當客戶在布局云安全解決方案的時候,必不可免的,可能會用到一些軟件安全的資源池。針對軟件的網(wǎng)關,怎么樣來布局,是只在EMI的環(huán)境,還是在KAT的環(huán)境,還是在KBM的環(huán)境?那么虛擬安全網(wǎng)關對虛擬操作系統(tǒng)的適應性,絕對是一個需要考慮的問題。
網(wǎng)絡安全,網(wǎng)絡和安全是不分家的。用戶當然可以選擇新華三的網(wǎng)絡安全一攬子解決方案,用戶已經(jīng)有現(xiàn)有的網(wǎng)絡,只需要疊加安全的時候,新華三的云安全解決方案可以通過自己的安全控制和安全設備,實現(xiàn)和第三方網(wǎng)絡的統(tǒng)一聯(lián)動,能夠納管。
有些用戶的網(wǎng)絡也不是從終端開始的,有很多網(wǎng)絡,有很多安全設備,怎么樣對現(xiàn)有的安全設備進行一個很好的利就。解決方案是很好,但是安全設備怎么辦?所以華三針對這種情況,新華三的云安全解決方案在跟第三方的安全設備的納管方面,也提出了一些有針對性的手段,包括通過一些服務的技術,保證用戶現(xiàn)有的第三方的安全設備和新華三的整體解決方案能夠統(tǒng)一運行。
再看一看業(yè)務交互這一塊,因為大家很清楚,基于Open Step的插件,其實現(xiàn)在提供的標準安全服務交互是比較少的,比如防火墻、LB,這幾種服務對于現(xiàn)有客戶的需求是遠遠不夠的。尤其是客戶在做云安全等級保護合規(guī)評定的時候,上面會涉及到大量的運用上的安全需求、包括安全審計的需求、包括外部安全的需求。
所以新華三的云安全解決方案,在FBM的控制器和Open Step的云平臺之間,做了很多的插件。插件的目的,希望在云平臺上面能夠呈現(xiàn)更多的安全服務的交互。截止到目前,已經(jīng)有超過十種安全服務在云平臺上可以交互。用戶用第三方的云平臺,能不能夠也把安全服務的交互做得更多一點?答案是可以的,有相應的非常標準的一些API接口,按照這個標準接口直接定義就可以做到。
安全,本身一個場景的資源池是一個很重要的概念。為什么要做場景可控的資源池?其實它要解決幾個方面的問題,首先大家都知道,云計算虛擬化帶來的問題是網(wǎng)絡安全邊界的模糊,在選配安全策略的時候,找不到在哪個設計上來配,這個時候怎么辦。所以場景資源池必須要解決這個問題,安全設備的策略配置與部署和位置有關、和拓撲有關,不需要關心要配到哪個防火墻去。這是要解決的第一個問題,在解決這個問題的時候,需要有相應的技術來進行支撐,包括服務鏈等等。
資源池要解決的第二個問題,在云安全時代性能是一直存在的,必須要做到性能的平滑擴展。那么要做到性能的平滑擴展有很多種方式,比如說有高性能的硬件,也可以用虛擬化的軟件網(wǎng)關,也有機型化的IMG安全網(wǎng)關可以做到。
第三個問題,租戶在選用云安全解決方案的時候,針對不同的業(yè)務系統(tǒng),可能是需要相對資源有保障的安全業(yè)務。這就意味著,要把安全的資源池,第一安全資源要足夠的大,第二安全資源要足夠的可切割成一小塊,每個獨立的小塊可以靈活地調整,把這個資源分配給某個租戶的某個業(yè)務系統(tǒng)。在安全資源池里面,必須要有一個非常良好的虛擬化的途徑,要能夠虛構出很多相對獨立、相對完整的虛擬化途徑。在這一塊可以說新華三的虛擬化解決方案。
另外我,如果想要做云安全運維和云安全部署,這個時候自動化的編排和部署一定是重要的環(huán)節(jié)。用戶在進行頁面的拖拽的時候,針對業(yè)務系統(tǒng),ERP要有防火墻,要買ITM,要自定義。但是這三個業(yè)務系統(tǒng)它的先后關系是什么,把這個任務交給云運維管理員。這是一個,就意味著你針對某個租戶的某個業(yè)務系統(tǒng)的不同安全服務,要具備靈活的可拖拽、可編排的能力,防火墻在前或者是ITM在前,拉動鼠標就行了。
在這個過程中,當一個租戶可能面臨10、20個安全怎么辦?當100個租戶、1000個租戶的時候,這個時候對于安全策略配備的下發(fā)是非常大的工作量,怎么樣做到安全策略的自動化下發(fā),這是需要關心的問題。所以,在對云安全自動化的編排和部署的角度,從用戶的角度需要登錄云平臺,進行要做的安全服務資源的自定義。剩下的安全業(yè)務如何編排,防火墻在前或者ITM在前,交給可編排的單元去做。
同時所有用戶的業(yè)務流量,都需要涉及到流量的牽引。這個流量的牽引,早期很多時候都是通過手動去配合的方式。當一個路徑一條流量流進多個網(wǎng)關的時候,意味著在沿途需要布置密密麻麻的安全策略,這個在運維當中是非常不便的?,F(xiàn)在基于新華三的解決方案,在這一塊可以通過自動化的配套建立制度,直接在三層甚至兩端,在最大的能力的兩端直接打通隧道就可以了,做到后面的安全策略的自動下發(fā)。
這里面也涉及到FBM控制器和Open Step平臺的聯(lián)動,F(xiàn)BM控制器和底下安全設備一個統(tǒng)一的納管,納管能力的體現(xiàn)也是在這里面。只有做到這兩種,安全策略才能夠做到靈活的批量的自動化下發(fā)。在這種過程中,針對第三方的一些安全設備,新華三的FBM控制器它仍然能夠進入相應的解決方案,可以用一些API的接口和你進行一個靈活的聯(lián)動。
前面講到了幾個其實應該說都不是什么新鮮的問題,因為這幾個問題在云安全1.0的時候是必須要做到的,無非是從現(xiàn)在的角度來看,服務做得更多了,開放性做得更好了,部署效率可能更高了。在一個云安全的解決方案過程中,安全的風險是無時無刻不在變化的。安全風險在云安全解決方案里面,安全設備作為執(zhí)行單元、作為安全的檢測單元,它的能力是相對有限的。
那么怎么樣來破解安全界的一個最大的難題,就是能夠相當及時準確地對沒有攻擊特征的一些未知流量,能夠做到一個提前的預警。那么要做到這一點,需要充分地利用云端的安全檢查和查找能力。因為云端后臺有大量的服務進入,大量的業(yè)務單元在進行,包括有大量的樣本。這樣進行一個積極的學習,進行樣板訓練,來判斷現(xiàn)有的攻擊是不是移植攻擊,它的移植度是多少,移植度80%、90%。,所以需要充分的結合利用云端的安全檢查能力。
另外,要變被動為主動的防御策略。那么什么是主動的防御策略?在新華三云安全2.0的解決方案里面,要給云安全解決方案注入更多的云端的主動的安全檢測和查找能力。因為現(xiàn)在現(xiàn)有的,不管是政務、教育、還是醫(yī)療等等行業(yè)的云解決方案里面,都涉及到大量對外提供業(yè)務服務的外部業(yè)務系統(tǒng)。針對這些外部業(yè)務系統(tǒng),可以進行主動的涉及它的病毒、木馬、各級軟件的掛板等等進行檢測,這樣可以把整個的云安全解決方案本地化的一些解決方案,把它和云端的安全能力有一個完整的結合。
當然完整的結合,把安全的風險、把一些未知的比較難查勘的比較難的風險暴露出來怎么辦?需要有兩個方法,要強調的是云端檢測、邊界保護。當一個關鍵的業(yè)務單元把一個攻擊、一個未知漏洞、把相對流量放上來之后,通過云端的安全查勘檢測中心判斷為安全風險之后,要做兩件事情。第一件事情,要把相應的安全風險轉化成安全策略,然后把這個安全策略及時適時地推動到底下的反對上的安全單元。這樣它的1、2、4之間是一個相對臂環(huán)的環(huán)節(jié),實現(xiàn)對于這種安全風險。
什么是安全情報,什么是安全風險?這就是最有價值的安全情報。那么注入A,可能通過注入A的設備,把這個安全攻擊收上來之后,判斷回來之后,上層的業(yè)務系統(tǒng)不是把這個攻擊策略匹配就完事了,它還要做兩件事情。第一件事情,它要把這次發(fā)現(xiàn)的安全中心的安全情報轉變成安全策略,第二件事是把它同步到我們云端的特征部署里面,跟云端安全整體同步。
同步之后做兩件事,第一針對你現(xiàn)有網(wǎng)絡中的一些關鍵節(jié)點,這個是可以用戶自己定義的,比如說用戶底下有10個防火墻節(jié)點,你可以定義其中5個關鍵業(yè)務節(jié)點的防火墻。針對這5個關鍵節(jié)點,當?shù)谝慌_設備把這個攻擊爆出來之后,你需要把相應的安全策略同步到2、3、4、5這幾個上面去。有的人說為什么不全部同步呢?因為當一個網(wǎng)絡大的時候,加入的安全技能足夠多的時候,同步起來,也很費勁,也浪費時間。
針對一些不太重要的安全風險,是分級處理的。針對一些不太重要的安全風險,系統(tǒng)會自動的,因為現(xiàn)有的防火墻、現(xiàn)有的IPF、包括現(xiàn)有的外部,它都會定期到我們的云端進行下一步最新的特征部署。只需要把分析好的特征部署,把一個二級的IP地址和二級的UI鏈接更新到云端特征部署期限就可以了。這是云端協(xié)同聯(lián)動的問題,客觀來說也是闡述了針對目前的安全風險的一些安全情報,在反復的安全態(tài)勢的時候,能不能做一個主動的安全策略下發(fā)。
另外,對于一個安全來說,包括對云安全來說,在云安全解決方案部署完之后,網(wǎng)絡越大,方案部署的節(jié)點越多,安全攻擊、安全事件就會越豐富。在這種情況下,單靠人眼是很難看到哪個是高危安全風險,這個時候需要有相應的可視化的工具來為你服務,新華三在現(xiàn)有的云安全解決方案里面,也提供了一套華三先進的解決方案,它是一個完整的風險可視化的解決方案。
針對這個解決方案,它可以把你現(xiàn)有系統(tǒng)中、現(xiàn)有解決方案中所看到的關鍵安全風險,進行一個紅、黃、藍的標識。標識完之后,針對不同顏色的安全攻擊,可以選擇相應的安全策略。這個安全策略你可以選擇自動化的下發(fā),也選擇通過人工確認的方式進行下發(fā),我們可以提供多種選擇供用戶使用。只有細分了這種風險可視化的工具,對整個的云安全的風險把控才有一個更好的了解。有了了解,才能夠更進一步地對針對未來下一步要做的安全策略進行一個優(yōu)先級的調整,形成一個策略調整和策略優(yōu)化。
基于此,在部署的時候,就很簡單,現(xiàn)在的部署模型,第一很多用戶已經(jīng)有現(xiàn)有的數(shù)據(jù)中心,針對現(xiàn)有數(shù)據(jù)中心的改造怎么做?現(xiàn)有這套云安全解決方案,比如承載需要用一個OA網(wǎng)絡承載。新華三可以通過解決方案、通過在里面部署一些網(wǎng)關,幫你重新構造一個OA網(wǎng)絡,把現(xiàn)有的解決方案給納進來。所以這個是以數(shù)據(jù)中心信息化改造給用戶的,對于很多用戶來說,如果新建的數(shù)據(jù)中心或者新建的云數(shù)據(jù)中心是一攬子解決方案,這樣是最簡單的。新華三可以提供從云平臺到控制系統(tǒng)到網(wǎng)絡到安全一攬子的解決方案,這個解決方案已經(jīng)經(jīng)過了實踐的落地,是非常穩(wěn)定可靠的。
另外一個,部分網(wǎng)絡在現(xiàn)有網(wǎng)絡改造的時候,可能現(xiàn)有的網(wǎng)絡撮合著也能用。但是在這個情況下,我們希望疊加更多的安全能力。在這種情況下,新華三的解決方案是通過我們的FBM的安全控制器,把我們的安全設備進行一個良好的納管。同時如果你有第三方的云平臺,可以通過FBM控制器,和云平臺有一個很好的聯(lián)動,這樣也能實現(xiàn)和第三方云環(huán)境的一個綜合部署。
針對安全來說,包括針對云安全來說,其實是兩個最重要的問題。第一,你要盡可能地發(fā)現(xiàn)風險,你要盡可能及時地發(fā)現(xiàn)一些未知的潛在的惡意的風險,這種分析是需要做的。有了發(fā)現(xiàn)風險之后,還有一些相應的可實施性的單元。
從整體的架構來說,新華三未來安全的整體架構基本上分為三個層次:第一會在底層這一塊依托新華三的新一代安全產(chǎn)品和解決方案,包括我們的一些終端安全產(chǎn)品、包括合作伙伴一些終端產(chǎn)品、包括采集器、流量探偵等等,這都是我們的駐地采集的源泉。這是我們發(fā)現(xiàn)安全風險的原始數(shù)據(jù)流量,這個也是未來與安全云網(wǎng)關的時候它的一個執(zhí)行單元。這一塊是新華三的一個基石。
在這個基礎之上,面對這么多用戶的流量、面對這么多的安全攻擊的事件,新華三有一套非常好的大數(shù)據(jù)分析平臺?;谛氯A三在大數(shù)據(jù)方面的積累,通過自身在數(shù)據(jù)中心、在人工智能、包括在一些引擎優(yōu)化方面的績效,可以搭建一個非常好的大數(shù)據(jù)安全分析中心,這是整個整體架構的核心。有了這個之后,對用戶才有各種相應靈活的呈現(xiàn)。
第一,可以從中構造一個、搭建一個全球的安全情報中心,它可以和我們的合作伙伴有一個很好的安全情報的共享平臺。另外一方面,基于這一套大數(shù)據(jù)安全分析平臺的整理,包括在云端的主動病毒檢測、網(wǎng)站安全風險檢測能力,可以給用戶呈現(xiàn)一個更豐富的安全能力服務中心,對網(wǎng)絡的檢測、抗病毒等等都可以做到統(tǒng)一的交互。
新華三的安全,未來將以大數(shù)據(jù)的安全分析平臺為核心,強調的是云網(wǎng)端的協(xié)同聯(lián)動,最后的目標是要實現(xiàn)在全業(yè)務安全能力的一個整體交互。因為這一套的架構、這一套2.0的方案,已經(jīng)經(jīng)過了長達半年多的實際驗證,也希望后續(xù)有更多的機會和我們的行業(yè)伙伴、和VIP客戶一起,能夠把這個解決方案實踐落地,共同地來提升國內信息安全建設的新的水平。
(本文來自于新華三大安全的首席架構師孫松兒在2017年H3C Navigate 領航者峰會上的演講)