网络安全 频道

应用安全综合考验集成安全网关(NISG)

  目前的集成安全网关或是UTM在信息安全领域已经不是什么新鲜的概念。毕竟早先的安全网关,包括防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种类型的产品,经过市场需求的千锤百炼,已经呈现出集中、和谐统一的趋势,如此就诞生了集成安全网关的概念。

  集成安全网关如何处理应用难题?一位信息安全专家认为:“我们有必要对安全集成网关进行一次大规模的重新审视和理性思考。”

  传统UTM存在瓶颈

  网络攻击数量的不断攀升,致使各机构核心业务面临的风险越来越大。为了有效地防范风险,部署集成安全网关的企业越来越多。这类产品在企业内的管辖范围不但涉及企业网与公共互联网对接的传统网络边界,还涉及内部关键位置的整个企业网络,以及分支机构网络的广域网边界。

  UTM概念的普及,很好地印证了集成安全网关的生命力。可以说UTM只是集成安全网关的一个子集。然而,由于UTM背负着太多的使命,同时在出现伊始就被赋予了“功能较多”的光环,导致该产品在一种非正常的环境下“努力”成长的状态。

  通过几年来的市场应用,UTM也逐渐暴露出一些弊端。首先,UTM最大的问题就是在所有功能全开时UTM的性能会大幅下降,降幅超过50%。这是很多企业尤其是大型企业排斥UTM的主要原因。

  其次, UTM在一个产品中有多个安全功能模块,而一个安全厂商往往只在一两个方面具有自己独特的技术长处,大多数厂商往往采取OEM其他厂商产品的方法来增强各个模块的功能。这就造成,虽然UTM的管理界面是统一的,但是底层跑的各个引擎还是独立的,采用的技术都不同,对于流量的处理依然是一个引擎处理完了,再到另一个引擎的串行处理方式。各安全模块不能有效地互动,互相的兼容性和协作性会有很大影响,也不可避免地会对产品性能造成不良的影响。

  最后,目前UTM普遍采用的还是X86、NP架构,能用到ASIC芯片和多核技术的厂商,寥寥无几。采用ASIC芯片,可以从一定程度上提升UTM的性能,但是不能从根本上解决UTM的问题,UTM产品还没有很好的办法来实现应用可视化。

  未来应用安全的重点

  所谓应用层防护,包括针对Web服务、电子邮件、数据服务器、电子商务、VoIP和视频会议的抗DDoS攻击、P2P的监控、IM的监控,内容审计等,这些都会是未来应用安全防护的重点,而相对于TCP/IP协议的整齐划一,应用协议最大特点是应用协议多样性、多变性。

  而有针对性的功能策略,则是指根据特定的用户环境,根据多变的应用协议,在成本控制(包括资金投入、管理难易度、性能需求)的前提下,提供相应的功能需求解决方案,最大程度地保障用户的业务应用。

  由此可以看出,人们赖以生存的网络,将会从以“路由器为核心”的转发型网络向以“服务和数据为核心”的应用网络转变,因此未来网络攻击会有一些明显的需求特征:

  1. 传统4层防火墙的普遍应用,使得攻击技术会转而面向传统安全网关的盲区——应用安全,针对某些应用的专项攻击,或者利用某些应用作为攻击通道将会成为主流;

  2. 视频、语音等大数据业务会推动网络带宽继续扩大,对安全网关转发性能的需求是持续的;

  3. 电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力,攻击频率会加大,攻击方式也会多样化;

  4. 传统局域网内网的扩大和复杂化,使网络内部攻击和数据泄密更加严重;

  5. 3G的普及指日可待,对应的移动终端应用需求的网关安全问题也将爆发。

  在这5大需求的引导下,网络和应用会逐渐深化,信息安全设备处理能力的瓶颈问题逐渐突出。虽然一些用户不得不牺牲网络的安全性以满足业务连续性的需求,但是这一矛盾也成为摆在安全厂商面前的新挑战。而用户在应用层与物理层对于网络安全敏感性的把握,也左右着集成安全网关未来的发展方向。

  应用安全占据主导

  随着信息技术的不断发展,网络攻击已经由过去的DoS/DDoS攻击转向更为复杂的应用层攻击,这类攻击会夹杂着病毒、垃圾邮件、危险的URL等,对其防护的难度也非常大。此时,传统的安全网关已经无法有效地起到网络安全防护作用。

  业内人士通常都清楚,银行、电信、电力等大型行业用户的数据中心通常部署着数十台甚至数百台网络服务器,分属于数十个不同的业务部门。这些服务器都有安全防护的需求,在部署安全网关对服务器进行安全防护时,每个业务部门都会有一些个性化需求,而且随着业务系统的建设和调整也需要安全网关的安全策略相应调整。

  因此,采用以前单一安全网关对整个内部服务器群进行防护,很难同时满足不同业务部门服务器的实际安全需求,并且一个部门的安全策略的改变可能导致整体的网络安全策略和网络结构都要进行相应的调整,增加了管理维护的复杂性和难度。如果为每个部门采购独立的安全网关设备,又会带来安全投资的增加,占用紧张的机架空间,使网络中的故障点增多。

  如果用简单的堆叠手段将反垃圾邮件网关、WAF网关、IPS等产品一并部署到用户网络中,则既增加用户的投资,同时更会极大降低网络的稳定性。

  试想,如果同时开启UTM的几个功能,带来的是性能的大幅下降,势必会影响到各个引擎对流量的扫描和检测,使其没有办法对所有的实时流量进行的深度和细粒度的检测和识别,系统的稳定性和可用性仍然无法满足用户对应用安全的需求。

  在这种情况下,采用多核技术加专用芯片能够从一定程度上解决性能的瓶颈问题。因为专用芯片可以很好地处理网络层的流量,可以大大减轻设备的负载,而多核对应用的发展有很好的支撑性。

  多核的发展,主要源自于用户对应用安全和性能问题的需要,因为在七层应用处理中,多核处理器比NP更有优势。只要自身的并行处理机制与协调机制做得好,就可以获得数倍的性能提升。理论上,一个优秀的16核处理平台可以获得16倍的性能提升。

  但如今,通过性能提升解决应用安全的问题已经很普遍,所以说性能已经不是考量一个UTM或者集成安全网关的最大障碍性指标了。在新一代集成安全网关的产品研发中,厂商们希望从用户业务应用的实际需求出发,通过相应的功能,真正保障用户各种各样的业务应用安全,而不是一味地比拼性能、比拼功能种类,而是有的放矢。

0
相关文章