云計(jì)算時(shí)代的洶涌而至，讓“云安全”一詞在近年來(lái)變得炙手可熱。隨著“邊界防御已死”的觀點(diǎn)在業(yè)界廣為流傳，有人甚至將云安全與傳統(tǒng)邊界安全劃為壁壘分明的兩大“門派”。邊界安全在云時(shí)代是否真的已過(guò)時(shí)？

多年來(lái)，邊界防御在網(wǎng)絡(luò)安全中一直扮演著重要的角色，它既是進(jìn)入內(nèi)網(wǎng)的第一道也是最后一道防線。然而，云計(jì)算與虛擬化的興起，極大地改變了IT基礎(chǔ)設(shè)施和業(yè)務(wù)架構(gòu)，在高隱蔽、多樣性攻擊愈發(fā)頻繁的網(wǎng)絡(luò)環(huán)境中，傳統(tǒng)以邊界防護(hù)為核心的安全措施開(kāi)始顯得捉襟見(jiàn)肘，出現(xiàn)眾人眼中的“邊界防御已死”也就不足為奇。

那么，云時(shí)代的網(wǎng)絡(luò)安全建設(shè)是否就應(yīng)該完全拋棄邊界防御，用所謂“無(wú)邊界”的云安全理念取而代之？在這個(gè)問(wèn)題上，山石網(wǎng)科可以說(shuō)是相當(dāng)有發(fā)言權(quán)的一家網(wǎng)絡(luò)安全企業(yè)。

作為中國(guó)信息安全行業(yè)的領(lǐng)軍企業(yè)，山石網(wǎng)科從創(chuàng)立的十幾年間，已經(jīng)從一家單一的防火墻廠商，一步步發(fā)展為可提供邊界安全、數(shù)據(jù)安全、內(nèi)網(wǎng)安全在內(nèi)的綜合網(wǎng)絡(luò)安全廠商，直至到今天成為技術(shù)領(lǐng)先的云計(jì)算安全廠商之一，目前山石網(wǎng)科的全線產(chǎn)品已經(jīng)能夠?yàn)樵朴?jì)算數(shù)據(jù)中心，提供最全面和系統(tǒng)的安全防護(hù)。

此次科技云報(bào)道專訪山石網(wǎng)科高級(jí)副總裁兼首席技術(shù)專家楊慶華，就傳統(tǒng)邊界安全與云安全的不同特征，云安全的技術(shù)難點(diǎn)，以及目前企業(yè)用戶安全建設(shè)與運(yùn)營(yíng)等問(wèn)題進(jìn)行了深入探討。

山石網(wǎng)科高級(jí)副總裁兼首席技術(shù)專家楊慶華

網(wǎng)絡(luò)安全永遠(yuǎn)需要邊界防護(hù)

云時(shí)代的安全邊界顯然非常模糊，如果依靠傳統(tǒng)的硬件堆疊的安全防御方式，很難解決云上的安全問(wèn)題。因此，很多人開(kāi)始拋棄邊界防御理念，認(rèn)為邊界防護(hù)不再有效。

但楊慶華對(duì)此卻持有不同觀點(diǎn)：“任何時(shí)候都需要邊界，這就好像一個(gè)家不能沒(méi)有大門，首先要守住大門，大門安全了，家里才能有安全?！?/p>

楊慶華認(rèn)為，安全的第一道大門就是邊界，而這也是山石網(wǎng)科最早起家的地方。眾所周知，山石網(wǎng)科以防火墻見(jiàn)長(zhǎng)，連續(xù)五年進(jìn)入Gartner企業(yè)級(jí)防火墻與UTM兩個(gè)魔力象限，是國(guó)內(nèi)此領(lǐng)域的佼佼者。

在山石網(wǎng)科的邊界安全解決方案中，提供了防火墻、入侵防御系統(tǒng)、入侵檢測(cè)系統(tǒng)、負(fù)載均衡、應(yīng)用交付、云沙箱等多種產(chǎn)品和功能，以幫助企業(yè)用戶應(yīng)對(duì)數(shù)據(jù)中心、互聯(lián)網(wǎng)出口、網(wǎng)絡(luò)隔離、多服務(wù)器、VPN接入等多種應(yīng)用場(chǎng)景的邊界安全。

在十幾年的技術(shù)積累和產(chǎn)品打磨過(guò)程中，山石網(wǎng)科的邊界安全產(chǎn)品從曾經(jīng)的一個(gè)“盒子”實(shí)現(xiàn)多種功能，發(fā)展為如今多條產(chǎn)品線共同組成的邊界安全矩陣，將產(chǎn)品的安全可靠做到了極致。

據(jù)楊慶華介紹，山石網(wǎng)科在線運(yùn)行時(shí)間最長(zhǎng)的防火墻，已經(jīng)有連續(xù)3000多天，即八年時(shí)間沒(méi)有重啟過(guò)，而五年沒(méi)有重啟過(guò)的設(shè)備大概超過(guò)500臺(tái)，這幾乎是安全領(lǐng)域的最高紀(jì)錄。

在楊慶華看來(lái)，一個(gè)產(chǎn)品的好壞，除了看功能和性能，更重要的就是穩(wěn)定性。技術(shù)人員開(kāi)發(fā)新功能，解決性能瓶頸，其實(shí)都不難，難的是穩(wěn)定性，而這種穩(wěn)定性在實(shí)踐中得以證明，一定是來(lái)源于廠商的歷史積累。

“做防火墻的是安全廠商里最多的，但是真正做得特別好的，能一直堅(jiān)持十年、二十年的屈指可數(shù)。在2000年左右，中國(guó)大概有180多家，如今快20年過(guò)去了，剩下的企業(yè)都是經(jīng)過(guò)殘酷市場(chǎng)錘煉后的堅(jiān)持者?！?/p>

楊慶華表示，在產(chǎn)品的安全性上，山石網(wǎng)科也是國(guó)內(nèi)少有的特別重視研發(fā)的領(lǐng)先安全廠商之一。從自研硬件和操作系統(tǒng)，到自采器件，再到自己組裝整機(jī)，山石網(wǎng)科力爭(zhēng)在上下游鏈條中保證產(chǎn)品的國(guó)產(chǎn)化和安全可靠。

正如“山石”其名，山石網(wǎng)科將“堅(jiān)如磐石”的安全理念寫(xiě)在了企業(yè)基因中。

云安全對(duì)傳統(tǒng)邊界安全的顛覆

2011年左右，云計(jì)算概念在中國(guó)開(kāi)始生根發(fā)芽，山石網(wǎng)科也開(kāi)啟了云計(jì)算安全防護(hù)的研究。

傳統(tǒng)的安全部署方式，是根據(jù)每個(gè)計(jì)算環(huán)境的邊界去劃分安全域，在這種場(chǎng)景下，防護(hù)的對(duì)象十分清楚，都是獨(dú)立的物理服務(wù)器。

然而云計(jì)算虛擬化的出現(xiàn)，卻徹底顛覆了傳統(tǒng)的邊界概念，虛擬機(jī)替代了以往的物理服務(wù)器，一個(gè)物理服務(wù)器中可能有幾個(gè)不同租戶的虛擬機(jī)，而同一租戶的虛擬機(jī)又有可能分布在不同的物理服務(wù)器中，這就造成了無(wú)法用傳統(tǒng)的安全區(qū)域劃分方法來(lái)定義邊界。

首當(dāng)其沖的問(wèn)題是，如何給沒(méi)有邊界的虛擬化資源部署安全產(chǎn)品？

當(dāng)年的山石網(wǎng)科對(duì)虛擬化還沒(méi)有任何經(jīng)驗(yàn)，在云安全產(chǎn)品的研發(fā)上走過(guò)不少?gòu)澛?。楊慶華隨手舉了幾個(gè)例子：“比如每個(gè)物理服務(wù)器有一個(gè)虛擬機(jī)，我們最初設(shè)計(jì)是為每一個(gè)虛擬機(jī)裝一個(gè)安全模塊，和對(duì)物理服務(wù)器做安全防護(hù)的方式一樣。但是我們從來(lái)沒(méi)想過(guò)，管理員會(huì)把這個(gè)虛擬機(jī)刪掉，或者把這個(gè)虛擬機(jī)遷移到別的物理服務(wù)器上。在遷移的過(guò)程中，安全模塊引擎也被遷走了，遷到了其他的物理服務(wù)器上，這個(gè)業(yè)務(wù)線就亂了。這是在物理環(huán)境下絕對(duì)不可能發(fā)生的，但是在虛擬化環(huán)境里就會(huì)成為問(wèn)題。”

當(dāng)山石網(wǎng)科在云安全上積累了多個(gè)項(xiàng)目之后，才發(fā)現(xiàn)云安全不是原來(lái)想象的那么簡(jiǎn)單?！霸瓢踩粗孟窈苋菀?，進(jìn)了門之后，其實(shí)就深了”，楊慶華笑稱：“如果當(dāng)時(shí)我們提前就知道做云安全會(huì)這么難，可能當(dāng)時(shí)就不會(huì)輕易進(jìn)入這個(gè)領(lǐng)域了?！?/p>

這個(gè)技術(shù)難度不僅體現(xiàn)在云安全與傳統(tǒng)邊界安全的研發(fā)思路完全不一樣，在公有云和私有云的安全需求重點(diǎn)上也不一樣，不同行業(yè)的安全訴求更是不一樣。

比如，公有云面向的主要是云上的租戶，每一個(gè)租戶并不關(guān)心虛擬機(jī)是否安全，而是關(guān)心租用的虛擬環(huán)境是否安全。因此對(duì)于公有云平臺(tái)而言，山石網(wǎng)科提供云安全的做法在于將業(yè)務(wù)范圍內(nèi)的虛擬機(jī)組成一個(gè)個(gè)安全域，在安全域的邊界設(shè)立安全網(wǎng)關(guān)，與傳統(tǒng)安全的安全域概念非常類似。

對(duì)于私有云來(lái)說(shuō)，山石網(wǎng)科將每個(gè)虛擬機(jī)作為最小安全域，為每個(gè)虛擬機(jī)提供單獨(dú)的防護(hù)，而這個(gè)安全云的范圍可以由用戶來(lái)自定義。當(dāng)管理員去集中管理這些云上的“防火墻”，安全策略會(huì)自動(dòng)跟隨虛擬機(jī)進(jìn)行遷移，遷移過(guò)程不會(huì)影響業(yè)務(wù)的持續(xù)性。

楊慶華所說(shuō)的公有云和私有云的安全能力，正是來(lái)自于2015年山石網(wǎng)科推出的兩款云計(jì)算安全軟件產(chǎn)品——“山石云·格”和“山石云·界”，分別針對(duì)東西向和南北向流量的安全防護(hù)，實(shí)現(xiàn)虛擬機(jī)微隔離和虛擬化防火墻的功能。

據(jù)楊慶華介紹，在研發(fā)過(guò)程中，除了要面對(duì)虛擬機(jī)的靈活多變，云平臺(tái)的操作系統(tǒng)也在隨時(shí)發(fā)生著變化，作為軟件定義的安全產(chǎn)品也就需要針對(duì)不同的云操作系統(tǒng)進(jìn)行適配，甚至同一套開(kāi)源代碼下的云操作系統(tǒng)會(huì)產(chǎn)生的多個(gè)不同的版本，山石網(wǎng)科也要頂著巨大的工作量去完成適配。

正是這樣艱苦卓絕的研發(fā)之路，如今山石網(wǎng)科已經(jīng)與AWS，阿里云，Azure，騰訊云，華為云等各大公有云廠商，以及VMware，Citrix，浪潮，有云，九州云、云杉網(wǎng)絡(luò)、移動(dòng)云、聯(lián)通沃云等多個(gè)私有云廠商，完成了云平臺(tái)的適配工作，可以說(shuō)是目前國(guó)內(nèi)適配云平臺(tái)最為全面的安全廠商。

在解決了適配性的問(wèn)題之后，山石網(wǎng)科持續(xù)提升云安全產(chǎn)品的性能和穩(wěn)定性。隨著用戶對(duì)云產(chǎn)品的運(yùn)維要求越來(lái)越高，山石網(wǎng)科開(kāi)始重點(diǎn)關(guān)注云安全產(chǎn)品自動(dòng)運(yùn)維和策略自動(dòng)編排的問(wèn)題。

在從傳統(tǒng)邊界安全到云安全的探索路徑中，山石網(wǎng)科逐漸完成了對(duì)基礎(chǔ)設(shè)施層、虛擬化層和運(yùn)維層的全面防護(hù)，構(gòu)建出立體的網(wǎng)絡(luò)安全體系。

智能化解決企業(yè)安全運(yùn)維之痛

在楊慶華看來(lái)，云安全的出現(xiàn)，不僅沒(méi)有取代傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的作用，反而是一種安全能力的疊加。換句話說(shuō)，如今企業(yè)的安全防護(hù)需要兼顧傳統(tǒng)邊界安全和云安全，安全建設(shè)的投入需要進(jìn)一步加大。

然而，比安全建設(shè)更為嚴(yán)峻的現(xiàn)實(shí)，是企業(yè)的安全運(yùn)維。中國(guó)IT建設(shè)長(zhǎng)期以來(lái)有一個(gè)特殊的現(xiàn)象，楊慶華稱之為三句話：重建設(shè)，輕運(yùn)維；重應(yīng)用，輕安全；重制度，輕應(yīng)急響應(yīng)。無(wú)論安全產(chǎn)品如何強(qiáng)大，安全建設(shè)如何完善，如果得不到很好的應(yīng)用和運(yùn)維，安全不過(guò)是一句空談。

大多數(shù)國(guó)內(nèi)企業(yè)安全意識(shí)和安全運(yùn)維能力非常薄弱，卻是一個(gè)骨感的現(xiàn)實(shí)。楊慶華認(rèn)為，最好的方法就是提高安全產(chǎn)品運(yùn)維的智能化，這其中涉及兩個(gè)指標(biāo)：一是減少誤報(bào)，二是減少漏報(bào)。但是為了減少漏報(bào)，可能會(huì)增加很多誤報(bào)，如何去平衡這兩者，其實(shí)是非常難的。對(duì)此，楊慶華也談到了山石網(wǎng)科的研究觀點(diǎn)。

例如，當(dāng)流量從企業(yè)網(wǎng)、數(shù)據(jù)中心、內(nèi)部不同安全域的“大邊界”，到云內(nèi)租戶的“小”邊界，再到虛擬機(jī)邊緣的“微”邊界，不同的安全產(chǎn)品都有各自的安全報(bào)警，到底以哪個(gè)報(bào)警為準(zhǔn)上報(bào)給管理員？

楊慶華認(rèn)為，經(jīng)過(guò)不同數(shù)據(jù)源頭的對(duì)比分析，以及歷史數(shù)據(jù)同類對(duì)比，才能判斷出這個(gè)流量是否屬于異常行為。綜合多維度數(shù)據(jù)的分析比對(duì)，能夠盡量減少誤報(bào)和漏報(bào)，從而在安全運(yùn)維上提供更加智能化的解決方案。

同時(shí)，楊慶華也表示，這種智能化的大數(shù)據(jù)分析能力因廠商而異，非?？简?yàn)廠商的經(jīng)驗(yàn)積累和技術(shù)能力。如果只做到發(fā)生安全事件后報(bào)警，企業(yè)損失已經(jīng)發(fā)生，安全防護(hù)也就失去了意義。因此智能化的安全運(yùn)維要盡量加大事中報(bào)警，報(bào)警的時(shí)間越往前越好。

通過(guò)本次采訪，我們可以看到“邊界防御已死”的說(shuō)法其實(shí)并不準(zhǔn)確。邊界并未消失，也永遠(yuǎn)不會(huì)消失，只是發(fā)生了變化，變得更加層次化和體系化。

安全的未來(lái)不在于邊界或內(nèi)部，而是多層面立體化的防御。只有通過(guò)安全能力的疊加和安全運(yùn)維水平的提升，才能為企業(yè)的網(wǎng)絡(luò)安全真正筑建起銅墻鐵壁。

【科技云報(bào)道原創(chuàng)】

微信公眾賬號(hào)：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。