云計算時代的洶涌而至,讓“云安全”一詞在近年來變得炙手可熱。隨著“邊界防御已死”的觀點在業(yè)界廣為流傳,有人甚至將云安全與傳統(tǒng)邊界安全劃為壁壘分明的兩大“門派”。邊界安全在云時代是否真的已過時?
?多年來,邊界防御在網(wǎng)絡(luò)安全中一直扮演著重要的角色,它既是進入內(nèi)網(wǎng)的第一道也是最后一道防線。然而,云計算與虛擬化的興起,極大地改變了IT基礎(chǔ)設(shè)施和業(yè)務(wù)架構(gòu),在高隱蔽、多樣性攻擊愈發(fā)頻繁的網(wǎng)絡(luò)環(huán)境中,傳統(tǒng)以邊界防護為核心的安全措施開始顯得捉襟見肘,出現(xiàn)眾人眼中的“邊界防御已死”也就不足為奇。
那么,云時代的網(wǎng)絡(luò)安全建設(shè)是否就應(yīng)該完全拋棄邊界防御,用所謂“無邊界”的云安全理念取而代之?在這個問題上,山石網(wǎng)科可以說是相當(dāng)有發(fā)言權(quán)的一家網(wǎng)絡(luò)安全企業(yè)。
作為中國信息安全行業(yè)的領(lǐng)軍企業(yè),山石網(wǎng)科從創(chuàng)立的十幾年間,已經(jīng)從一家單一的防火墻廠商,一步步發(fā)展為可提供邊界安全、數(shù)據(jù)安全、內(nèi)網(wǎng)安全在內(nèi)的綜合網(wǎng)絡(luò)安全廠商,直至到今天成為技術(shù)領(lǐng)先的云計算安全廠商之一,目前山石網(wǎng)科的全線產(chǎn)品已經(jīng)能夠為云計算數(shù)據(jù)中心,提供最全面和系統(tǒng)的安全防護。
此次科技云報道專訪山石網(wǎng)科高級副總裁兼首席技術(shù)專家楊慶華,就傳統(tǒng)邊界安全與云安全的不同特征,云安全的技術(shù)難點,以及目前企業(yè)用戶安全建設(shè)與運營等問題進行了深入探討。
?山石網(wǎng)科高級副總裁兼首席技術(shù)專家楊慶華
網(wǎng)絡(luò)安全永遠需要邊界防護
云時代的安全邊界顯然非常模糊,如果依靠傳統(tǒng)的硬件堆疊的安全防御方式,很難解決云上的安全問題。因此,很多人開始拋棄邊界防御理念,認(rèn)為邊界防護不再有效。
但楊慶華對此卻持有不同觀點:“任何時候都需要邊界,這就好像一個家不能沒有大門,首先要守住大門,大門安全了,家里才能有安全?!?/p>
楊慶華認(rèn)為,安全的第一道大門就是邊界,而這也是山石網(wǎng)科最早起家的地方。眾所周知,山石網(wǎng)科以防火墻見長,連續(xù)五年進入Gartner企業(yè)級防火墻與UTM兩個魔力象限,是國內(nèi)此領(lǐng)域的佼佼者。
在山石網(wǎng)科的邊界安全解決方案中,提供了防火墻、入侵防御系統(tǒng)、入侵檢測系統(tǒng)、負(fù)載均衡、應(yīng)用交付、云沙箱等多種產(chǎn)品和功能,以幫助企業(yè)用戶應(yīng)對數(shù)據(jù)中心、互聯(lián)網(wǎng)出口、網(wǎng)絡(luò)隔離、多服務(wù)器、VPN接入等多種應(yīng)用場景的邊界安全。
在十幾年的技術(shù)積累和產(chǎn)品打磨過程中,山石網(wǎng)科的邊界安全產(chǎn)品從曾經(jīng)的一個“盒子”實現(xiàn)多種功能,發(fā)展為如今多條產(chǎn)品線共同組成的邊界安全矩陣,將產(chǎn)品的安全可靠做到了極致。
據(jù)楊慶華介紹,山石網(wǎng)科在線運行時間最長的防火墻,已經(jīng)有連續(xù)3000多天,即八年時間沒有重啟過,而五年沒有重啟過的設(shè)備大概超過500臺,這幾乎是安全領(lǐng)域的最高紀(jì)錄。
在楊慶華看來,一個產(chǎn)品的好壞,除了看功能和性能,更重要的就是穩(wěn)定性。技術(shù)人員開發(fā)新功能,解決性能瓶頸,其實都不難,難的是穩(wěn)定性,而這種穩(wěn)定性在實踐中得以證明,一定是來源于廠商的歷史積累。
“做防火墻的是安全廠商里最多的,但是真正做得特別好的,能一直堅持十年、二十年的屈指可數(shù)。在2000年左右,中國大概有180多家,如今快20年過去了,剩下的企業(yè)都是經(jīng)過殘酷市場錘煉后的堅持者。”
楊慶華表示,在產(chǎn)品的安全性上,山石網(wǎng)科也是國內(nèi)少有的特別重視研發(fā)的領(lǐng)先安全廠商之一。從自研硬件和操作系統(tǒng),到自采器件,再到自己組裝整機,山石網(wǎng)科力爭在上下游鏈條中保證產(chǎn)品的國產(chǎn)化和安全可靠。
正如“山石”其名,山石網(wǎng)科將“堅如磐石”的安全理念寫在了企業(yè)基因中。
云安全對傳統(tǒng)邊界安全的顛覆
2011年左右,云計算概念在中國開始生根發(fā)芽,山石網(wǎng)科也開啟了云計算安全防護的研究。
傳統(tǒng)的安全部署方式,是根據(jù)每個計算環(huán)境的邊界去劃分安全域,在這種場景下,防護的對象十分清楚,都是獨立的物理服務(wù)器。
然而云計算虛擬化的出現(xiàn),卻徹底顛覆了傳統(tǒng)的邊界概念,虛擬機替代了以往的物理服務(wù)器,一個物理服務(wù)器中可能有幾個不同租戶的虛擬機,而同一租戶的虛擬機又有可能分布在不同的物理服務(wù)器中,這就造成了無法用傳統(tǒng)的安全區(qū)域劃分方法來定義邊界。
首當(dāng)其沖的問題是,如何給沒有邊界的虛擬化資源部署安全產(chǎn)品?
當(dāng)年的山石網(wǎng)科對虛擬化還沒有任何經(jīng)驗,在云安全產(chǎn)品的研發(fā)上走過不少彎路。楊慶華隨手舉了幾個例子:“比如每個物理服務(wù)器有一個虛擬機,我們最初設(shè)計是為每一個虛擬機裝一個安全模塊,和對物理服務(wù)器做安全防護的方式一樣。但是我們從來沒想過,管理員會把這個虛擬機刪掉,或者把這個虛擬機遷移到別的物理服務(wù)器上。在遷移的過程中,安全模塊引擎也被遷走了,遷到了其他的物理服務(wù)器上,這個業(yè)務(wù)線就亂了。這是在物理環(huán)境下絕對不可能發(fā)生的,但是在虛擬化環(huán)境里就會成為問題?!?/p>
當(dāng)山石網(wǎng)科在云安全上積累了多個項目之后,才發(fā)現(xiàn)云安全不是原來想象的那么簡單?!霸瓢踩粗孟窈苋菀?,進了門之后,其實就深了”,楊慶華笑稱:“如果當(dāng)時我們提前就知道做云安全會這么難,可能當(dāng)時就不會輕易進入這個領(lǐng)域了。”
這個技術(shù)難度不僅體現(xiàn)在云安全與傳統(tǒng)邊界安全的研發(fā)思路完全不一樣,在公有云和私有云的安全需求重點上也不一樣,不同行業(yè)的安全訴求更是不一樣。
比如,公有云面向的主要是云上的租戶,每一個租戶并不關(guān)心虛擬機是否安全,而是關(guān)心租用的虛擬環(huán)境是否安全。因此對于公有云平臺而言,山石網(wǎng)科提供云安全的做法在于將業(yè)務(wù)范圍內(nèi)的虛擬機組成一個個安全域,在安全域的邊界設(shè)立安全網(wǎng)關(guān),與傳統(tǒng)安全的安全域概念非常類似。
對于私有云來說,山石網(wǎng)科將每個虛擬機作為最小安全域,為每個虛擬機提供單獨的防護,而這個安全云的范圍可以由用戶來自定義。當(dāng)管理員去集中管理這些云上的“防火墻”,安全策略會自動跟隨虛擬機進行遷移,遷移過程不會影響業(yè)務(wù)的持續(xù)性。
楊慶華所說的公有云和私有云的安全能力,正是來自于2015年山石網(wǎng)科推出的兩款云計算安全軟件產(chǎn)品——“山石云·格”和“山石云·界”,分別針對東西向和南北向流量的安全防護,實現(xiàn)虛擬機微隔離和虛擬化防火墻的功能。
據(jù)楊慶華介紹,在研發(fā)過程中,除了要面對虛擬機的靈活多變,云平臺的操作系統(tǒng)也在隨時發(fā)生著變化,作為軟件定義的安全產(chǎn)品也就需要針對不同的云操作系統(tǒng)進行適配,甚至同一套開源代碼下的云操作系統(tǒng)會產(chǎn)生的多個不同的版本,山石網(wǎng)科也要頂著巨大的工作量去完成適配。
正是這樣艱苦卓絕的研發(fā)之路,如今山石網(wǎng)科已經(jīng)與AWS,阿里云,Azure,騰訊云,華為云等各大公有云廠商,以及VMware,Citrix,浪潮,有云,九州云、云杉網(wǎng)絡(luò)、移動云、聯(lián)通沃云等多個私有云廠商,完成了云平臺的適配工作,可以說是目前國內(nèi)適配云平臺最為全面的安全廠商。
在解決了適配性的問題之后,山石網(wǎng)科持續(xù)提升云安全產(chǎn)品的性能和穩(wěn)定性。隨著用戶對云產(chǎn)品的運維要求越來越高,山石網(wǎng)科開始重點關(guān)注云安全產(chǎn)品自動運維和策略自動編排的問題。
在從傳統(tǒng)邊界安全到云安全的探索路徑中,山石網(wǎng)科逐漸完成了對基礎(chǔ)設(shè)施層、虛擬化層和運維層的全面防護,構(gòu)建出立體的網(wǎng)絡(luò)安全體系。
?智能化解決企業(yè)安全運維之痛
在楊慶華看來,云安全的出現(xiàn),不僅沒有取代傳統(tǒng)網(wǎng)絡(luò)安全防護的作用,反而是一種安全能力的疊加。換句話說,如今企業(yè)的安全防護需要兼顧傳統(tǒng)邊界安全和云安全,安全建設(shè)的投入需要進一步加大。
然而,比安全建設(shè)更為嚴(yán)峻的現(xiàn)實,是企業(yè)的安全運維。中國IT建設(shè)長期以來有一個特殊的現(xiàn)象,楊慶華稱之為三句話:重建設(shè),輕運維;重應(yīng)用,輕安全;重制度,輕應(yīng)急響應(yīng)。無論安全產(chǎn)品如何強大,安全建設(shè)如何完善,如果得不到很好的應(yīng)用和運維,安全不過是一句空談。
大多數(shù)國內(nèi)企業(yè)安全意識和安全運維能力非常薄弱,卻是一個骨感的現(xiàn)實。楊慶華認(rèn)為,最好的方法就是提高安全產(chǎn)品運維的智能化,這其中涉及兩個指標(biāo):一是減少誤報,二是減少漏報。但是為了減少漏報,可能會增加很多誤報,如何去平衡這兩者,其實是非常難的。對此,楊慶華也談到了山石網(wǎng)科的研究觀點。
例如,當(dāng)流量從企業(yè)網(wǎng)、數(shù)據(jù)中心、內(nèi)部不同安全域的“大邊界”,到云內(nèi)租戶的“小”邊界,再到虛擬機邊緣的“微”邊界,不同的安全產(chǎn)品都有各自的安全報警,到底以哪個報警為準(zhǔn)上報給管理員?
?楊慶華認(rèn)為,經(jīng)過不同數(shù)據(jù)源頭的對比分析,以及歷史數(shù)據(jù)同類對比,才能判斷出這個流量是否屬于異常行為。綜合多維度數(shù)據(jù)的分析比對,能夠盡量減少誤報和漏報,從而在安全運維上提供更加智能化的解決方案。
同時,楊慶華也表示,這種智能化的大數(shù)據(jù)分析能力因廠商而異,非常考驗廠商的經(jīng)驗積累和技術(shù)能力。如果只做到發(fā)生安全事件后報警,企業(yè)損失已經(jīng)發(fā)生,安全防護也就失去了意義。因此智能化的安全運維要盡量加大事中報警,報警的時間越往前越好。
通過本次采訪,我們可以看到“邊界防御已死”的說法其實并不準(zhǔn)確。邊界并未消失,也永遠不會消失,只是發(fā)生了變化,變得更加層次化和體系化。
安全的未來不在于邊界或內(nèi)部,而是多層面立體化的防御。只有通過安全能力的疊加和安全運維水平的提升,才能為企業(yè)的網(wǎng)絡(luò)安全真正筑建起銅墻鐵壁。
【科技云報道原創(chuàng)】
微信公眾賬號:科技云報道
來源:科技云報道
免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關(guān)。文章僅供讀者參考,并請自行核實相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 100億美元史上最大融資的背后,國內(nèi)外巨頭齊瞄準(zhǔn)Data+AI
- 有一種羨慕叫“別人家的年終獎”:京東采銷平均23薪,全網(wǎng)熱議“人的價值”
- 行業(yè)首個“人機大戰(zhàn)”對壘!AI翻譯已媲美人工
- 蘋果開啟年終大促,降價1200元,被國產(chǎn)手機嚇怕了?
- 1999 元起,OPPO A5 Pro 超防水、超抗摔、超耐用
- 長三角,如何把數(shù)據(jù)要素變成新長江?
- 大模型,在內(nèi)卷中尋找出口
- 比亞迪“天神之眼”重磅升級:無圖城市領(lǐng)航功能全國開通
- 不愿成為微信的支付寶,注定失敗
- 大廠年終獎全靠猜?京東帶頭透明化
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。