【IT168选型指南】随着云计算、移动互联网技术对企业IT架构的一步步“侵蚀”,企业的安全边界被彻底打破。海量的数据以及越来越多的未知威胁使得企业的安全架构不得不发生着潜移默化的改变。另一方面,安全领域近几年也出现了很多革命性的技术和产品,如下一代防火墙、沙箱技术以及大数据安全,但面对如今复杂的安全形势,一个网关抵挡80%的安全威胁早已成为传说,安全不再是一个产品或者几个产品的组合,而是一整套的思路、方法论以及认知。
一、信息安全威胁趋势变化
近两年来,企业的安全架构发生了根本性的变化,企业越来越多的对云和移动互联网的依赖让安全边界趋于消失,传统安全网关、防火墙的部署逐渐无法发挥其应有的作用。另外一个层面,黑客也不在满足于对技术的炫耀,更多的开始以经济利益为目的,由此衍生出了越来越犀利的攻击手法,越来越多的未知威胁、APT、大流量攻击让人眼花缭乱。知己知彼,才能百战百胜,只有对这些威胁变化趋势了然于胸,才能最终赢得这场“战争”。
1、针对云端企业和个人数据的攻击越来越多
经过几年来的沉淀,公有云逐渐得到了人们的认可,企业和个人越来越多的数据开始存储于云端,然而针对云端的攻击、以及个人终端的攻击越来越多,黑客的攻击手段无所不用其极,而且这种游离于企业内网安全之外的云和个人终端也更容易被黑客攻破。我们也很难预测黑客会使用什么样的攻击形式,因此,传统被动的防御方案显然是不行了。
2、移动设备将成为更具有吸引力的目标
移动设备的价值正在逐渐增高,其一是大部分企业对于BYOD办公的认可,让员工个人的移动设备存储有大量的企业核心数据,这对于黑客来说显然具有非常大的吸引力。其二我们个人的日常生活越来越离不开移动设备,社交网络、移动支付,甚至于越来越多更贴近我们生活的应用如叫车、医院挂号、网购、GPS定位等个人隐私同样成为了黑客感兴趣的信息。
3、针对未知威胁的防御成为企业安全的一个短板
记得业界一位安全专家总结企业目前面临的安全形势只有三种,一是企业受到攻击但数据还未泄露,二是企业受到攻击数据也大量外泄,三是企业受到攻击但你却不知道。显然第三种才是最可怕的,目前地下黑产也正在进行着规模化、产业化的转型,越来越多的攻击手法和未知威胁让企业防不胜防,针对未知威胁的防御不单单是安全产品和技术就可以解决的问题,这需要企业能从上至下建立一套完整、科学的安全防御策略,并且所有的员工都有有力的贯彻执行才能有效应对。
4、APT攻击已经成为常态,企业是否已经做好了准备?
根据Ponemon研究所在2014上半年做的名为“高级持续性攻击的现状”报告显示,在过去12个月中,企业平均遭遇了9起这种有针对性的攻击。近一半的企业称,攻击者成功地从他们的内部网络窃取了机密或者敏感信息。另据CN-CERT发布的《2012年我国互联网网络安全态势综述》显示,2012年我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。
经过了过一年多的发展,APT攻击已经成为困扰企业最主要的安全威胁,而随着移动互联网、云计算等技术的发展,新型攻击技术也同时出现,针对社交网络、移动终端、工控系统的攻击无时无刻在进行,企业对于APT攻击的检测和防范变得越来越困难。
5、更大流量规模的DDoS攻击,企业还扛的住吗?
2013年3月,欧洲反垃圾邮件机构Spamhaus遭遇到了300G的DDoS攻击流量。2014年2月份,美国一家提供云安全服务的公司Cloudflare受到了400G攻击DDoS攻击流量。同年12月,阿里云计算称部署在阿里云上的一家知名游戏公司遭遇了全球互联网史上最大的一次DDoS攻击,攻击时长14个小时,攻击峰值流量达到每秒453.8G。越来越大的DDoS攻击规模让企业心有余悸,单靠企业自身或是一家安全厂商的产品和技术也已经不能防御住这样的攻击了。
二、企业安全架构选型专家建议
上面我们总结了企业目前面临的安全威胁变化,可以看到安全架构的升级已经成为趋势,正如我们在一开始谈到的,安全不再是一个产品或者几个产品的组合,而是一整套的思路、方法论以及认知。除了更加先进的产品和技术,企业自身的安全管理策略和流程的建设也是重中之重。
华为交换机与企业通信产品线首席安全架构师钱晓斌认为,企业面临的安全风险与其业务数据特点及其IT安全治理能力强相关。一般来说,企业的关键信息资产关键设施与关键人员最容易出现安全问题,这些位置对于攻击者来说具有更大的利益诱惑。因此,企业首先要转变对威胁的认识,仔细梳理自身的IT架构、业务状态与信息资产,形成系统的安全规划。另外,一个完整的安全架构是由安全产品解决方案及企业自身的IT安全管理体系组成,要考虑两者动态发展过程中的匹配度。有必要的话,可以请专业的安全咨询团队帮助制定安全体系。最终,企业还需持续评价自己的安全状态并持续改进,保证整体体系处于较高的安全水平。
迈克菲北亚区技术总监郑林表示,下一代安全架构的核心是需要灵活有效地对新出现的威胁进行快速响应和处理。我们认为下一代安全架构需要建立在一个统一的威胁信息交换层之上,构建能够对新兴威胁进行快速响应的统一安全架构。在这个统一框架之下,安全产品能够共享信息、共同识别威胁,并构成统一威胁防御系统,从而提供安全恢复和威胁防御能力,从而将从遭遇攻击到将其完全控制之间的时间由数天、数周和数月缩短至几毫秒,从而优化威胁防御过程。
Fortinet产品市场经理岑义涛表示,目前的安全产品成熟度已经很高,只要合理并正确部署,已经能够帮助用户抵挡绝大多数攻击,不幸被命中的“惨案”其实都与业务与安全设计耦合度、人员安全意识有直接的关系。因此,人在整个安全系统建设中永远是最短的那一块板子。
赛门铁克华北/华西区安全解决方案技术支持部经理马蔚彦谈到,下一代的安全架构需要从两个角度去考虑,首先下一代的安全架构的视角会更以信息和应用为核心,覆盖信息和应用的端到端,安全的策略需要适应“软件定义”特性的网络环境及现代数据中心;二是在下一代的安全架构中,企业需要的是高集成度的整合型技术,准确定位威胁的技术,快速确定威胁优先级并提供企业应对和弥补手段的技术。
山石网科资深技术市场经理贾彬谈到,企业面临的威胁有来外部的如针对web服务器的攻击,也有来自内部的如移动设备、U盘带入,因此下一代安全架构不仅需要提供边界威胁防护,还需要对内部威胁进行安全防护。另外,下一代安全架构还需要能够在特征检测基础上引入新的威胁检测手段,能够通过流量的行为进行数据分析,及时对新型的威胁进行有效检测。三是下一代安全架构还需要能帮助企业实时掌握网络中健康状况,快速有效发现异常并解决。
三、企业安全架构选型产品推荐
1、华为下一代智能安全架构
华为下一代智能安全架构包括了华为NGFW、华为Anti-DDoS、华为APT检测沙箱、华为终端安全套件、华为eSight安全管理产品、华为云端安全智能服务。可以为企业提供四个方面的安全能力:
(1) 企业级精细化应用管控能力:华为NGFW基于长期的积累,为用户提供了业界一流的应用识别能力,使得用户可以轻松地面向应用、面向用户、面向位置等多种维度制定安全策略,实现卓越的精细化管制能力,达成高质量的IT治理水平。
(2) APT威胁检测与数据安全能力:华为NGFW、APT检测沙箱、云端安全智能中心形成增强型APT威胁检测方案,并将进一步推出体贴企业用户隐私保护的一站式企业信息安全高级解决方案,以切实保证企业的数据安全。这部分的安全能力得益于华为安全智能中心300余安全专家多年来在多个安全研究领域的持续积累成果。
(3) 基于安全智能的策略自动化与全网协同能力:安全策略的正确性、策略实施的自动化与策略的持续优化是防火墙管理的三个挑战问题,华为NGFW的SmartPolicy特性创新性地提供了“基于策略模板快速部署”、“主动流量学习智能策略优化”、“定期策略分析与精简建议”等解决方案,极大地提升了IT的管理效率。另外,安全设备之间的策略联动及云端安全信誉可以为用户构建全网安全协同能力。
(4) 适应下一代网络架构的虚拟化安全与SDN安全能力:华为在业界首倡敏捷网络的概念,而华为的安全业务也紧密地与敏捷网络架构融合在一起,与客户的网络结构一起演进,面向虚拟化与SDN构建全新的安全防御体系。
2、McAfee Threat Intelligence Exchange
McAfee Threat Intelligence Exchange 提供了一个统一的框架,在这个框架中,安全产品共同识别威胁并构成统一威胁防御系统,从而提供安全恢复和感染防御能力。Threat Intelligence Exchange 通过将从遭遇攻击到将其完全控制之间的时间由数天、数周和数月缩短至几毫秒,从而显著优化了威胁防御过程。
Threat Intelligence Exchange 使管理员能够根据多个威胁信息数据源轻松定制全面的威胁信息感知。此定制功能使管理员能够组合、覆盖和优化威胁信息源,以便修改对环境和企业的保护功能。
Threat Intelligence Exchange 是第一款使用迈克菲数据交换层的解决方案。迈克菲数据交换层是一个双向通信结构,通过简化产品集成和上下文共享来实现威胁智能感知和适应性安全防护。数据交换层支持自动产品配置,从而减少错误,并轻松降低集成的实施和运营成本。
Threat Intelligence Exchange 通过使用 McAfee企业防病毒软件( VirusScan Enterprise) 来制定准确的文件执行决策,从而提供突破性终端保护功能。它还将根据网关检测到的恶意软件来保护终端,同时网关还会根据在终端确认的威胁来阻止访问。
3、赛门铁克基于Intelligence的集成化端到端安全架构
下一代安全架构应当覆盖泛终端及现代数据中心,以及贯穿端到端的网络关键节点——网关。信息和数据的保护是贯穿在端-网关-端的每个部分,是未来安全防护的核心。在泛终端侧是更加整合的、自动化的管理和安全保护,是安全威胁和风险更加可视化。在数据中心侧的安全体现在对Hadoop、Openstack等新型IT基础设施的适应性,以及提供安全策略的动态化及自动化的安全交付。网关则对企业使用的云应用和企业传统应用都能提供保护的,并且可以防御APT威胁的网关安全解决方案。三个方面,通过丰富和实时的安全智能情报的关联、分析、虚拟执行,提供快速、准确的威胁定位,安全事件的优先级响应及处置措施建议。
4、山石网科下一代智能防火墙
山石网科下一代智能安全架构采用多核安全处理器与Intel x86处理器并行处理,同时为数据转发、安全防护、数据分析、设备管理及可视化提供强大的性能保证。同时,基于多核安全处理器实现对数据转发的高性能加速,保证低延时;基于x86的智能安全引擎结合大数据分析,提供强大的智能安全分析能力,管理引擎负责设备管理和安全管理,通过全新的管理系统全面提升可视化展现,极大增强产品易用性。
山石网科下一代智能安全架构解决了数据转发性能和数据分析的资源平衡,避免大数据分析资源占用影响了防火墙最基础的数据包转发,保障用户既有很好的网络处理能力,又享受了智能带来的全新管理思路和深度的高级威胁防护。
5、深信服面向应用化、移动化、无线化的新一代安全架构
深信服面向应用化、移动化、无线化的新一代安全架构包括了应用安全防护、有线无线一体化行为管理和统一移动安全接入平台。
深信服下一代防火墙NGAF,通过多核并行处理技术、单次解析架构、跳跃式扫描技术等技术创新,让NGAF在开启所有应用层安全功能时,安全防护性能仍然可以达到最高40G的性能。同时,融合L2-7层完整的安全防护功能,通过各个模块间的联动,为APT攻击防护提供从主机层(恶意代码防护、僵尸网络隔离)、网络层(访问控制、边界隔离、入侵防护、漏洞扫描、内网嗅探)、应用层(恶意网址识别、OWASP TOP应用协议攻击、管理认证登陆、DLP)的 L2-L7层一体化安全防护。
由于无线网络和移动终端的普及,企业上网行为管理不但需要针对传统PC在有线环境下进行封堵、流控、审计,还需要更多的考虑针对无线环境下的PC和移动终端进行管控,解决访客便捷认证、移动APP管控、非法AP/随身WiFi拦截、基于位置/终端类型的权限管控等问题。深信服上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。
深信服SSL VPN 致力于为用户提供安全、快速、易用的远程接入解决方案,可以面向Windows、iOS、安卓等不同终端类型,C/S、B/S、移动APP等应用类型,提供统一安全接入平。 深信服SSL VPN除了提供传统面向PC的SSL VPN的功能外,针对各种移动终端的安全接入场景,提供整套包括EasyConnect应用虚拟化、L3 VPN、EasyAPP SDK包等全面的移动终端安全接入方式,从而能够帮助用户在任何时间、任何地点使用任何终端,更轻松的实现移动办公、移动业务、云计算安全接入、分支互联、第三方远程接入、智能终端应用发布等需求。
四、总结
安全边界的消亡让很多企业感到不适应,新的安全架构选型也让企业一片茫然。下一代安全已经成为安全领域厂商的竞争热点。NGFW、NGIPS已陆续面世,新一代的SOC、SIEM也正开始兴起。究其原因,云计算、移动计算、SDN等网络技术的演进,推动企业IT架构云化发展、企业BYOD办公模式流行,与此同时,攻防对抗正在逐步升级,APT给各行各业组织结构带来巨大的安全威胁,所有这些,都驱动着安全技术的变革。
总体来说,企业用户对于安全的投资力度在加大,这反映了企业在当今安全威胁态势日益复杂化的环境下不断加强自我保护意识、提升防御与应急能力的需求。钱晓斌总结了下一代安全架构的几个关键特征:企业级精细化应用管控能力、APT威胁检测与数据安全能力、基于安全智能的策略自动化与全网协同能力、以及适应下一代网络架构的虚拟化安全与SDN安全能力。