【IT168 评论】作为中国网络安全可视化技术的中坚力量和实践专家,安博通产品经理在2017年RSA大会正式开展第一天着重走访和调研了国际网络安全可视化的主要参展厂商。经过初步整理和分析,在这里为大家奉上网络安全可视化界的第一手新鲜资料,包括三个维度、七个趋势、六家参展厂商以及未来发展预测。
网络安全可视化的三个观察维度
安博通产品经理认为,网络安全可视化产品主要从以下三个维度对业务进行观察:
1 整网路径分析可视
在此维度上,产品重点功能以呈现由大量网络与安全设备构成的企业网络拓扑为基础,以安全域的概念对网络进行划分,通过复杂的计算快速给出安全域到安全域节点到节点的访问路径,并在此基础上叠加策略分析、流量分析、漏洞分析和威胁分析等多种服务。
要进行整网路径分析,需要具备以下两个主要技术能力:首先是兼容多样性,产品需要通过读取网络信息进行路径计算,如果需要完成安全域到安全域的业务路径计算,其中可能包含大量节点间关系,仅读取路由节点的信息是远远不够的,还需要同时具备读取网络设备、安全网关设备、应用层安全设备、负载均衡设备等几乎所有节点信息的能力,这对产品的性能也同时提出了很高要求;第二是产品的图形计算能力,当处理安全域到安全域的业务流,而不是节点到节点简单拓扑计算时,其运算量呈几何级数增加,对数据库和前台呈现能力都带来了极大的考验,一旦出现计算问题将无法快速和直观地进行图形展现。
在所有调研厂商中,提问是否支持安全域到安全域的业务路径分析与展示时,仅有Redseal一家答复支持,而其他厂商人员均直接答复无法支持,仅能支持节点到节点功能,且图形化展示能力和返回时间相比Redseal存在一定差距。由此可见,在大规模跨地域广域网或大型内网的场景下,Redseal适用性非常好的,体现出其技术实力和积累。
2 设备运维管理可视
在此维度上,产品主要关注基于设备及设备组的运维问题,而运维的灵魂就在于策略落地,围绕着单机或全局防火墙设备的安全策略进行各种各样的服务和操作,例如策略评分、策略迁移、策略清理等等,其核心目的还是帮助网络管理员或IT manager进行快速高效可靠的运维工作。
说到组织的运维,自然离不开组织架构的概念,业界顶尖的IT运维工具都绕不开组织架构这个复杂而重要的需求。在运维方面,Tufin具备较强的优势,Tufin产品可根据组织架构方便地创建多级嵌套关系的设备组,并基于不同层次的设备组给与不同的策略动作。面对复杂的组织架构时,“基于架构下策略”要比“基于策略套架构”更加高效,同时前者也比后者的实现难度高许多,可见Tufin在此种场景下的高适应度。尤其通过笔者与会场人员确认,在最新版本中,Tufin与Palo Alto设备组进行联合开发,推出策略组解决方案,可适应庞大组织架构,配合Tufin优势的工作流特性,更能提高两者共同使用时的运维效率。
3 安全策略路径可视
在此维度上,产品似乎稍显远离组织架构和整体网络,而是紧紧抓住安全策略和用户业务这两个灵魂和重点提供服务,更加适合作为专门的策略管理工具出现,处理访问关系特别复杂而且业务经常需要变更的组织。
而说到策略管理维度,FireMon无疑是更加老牌和资深的玩家,在其最新V8版本中,主要新增特性仍然围绕着策略,包括:策略变更管理(全网策略和单一设备策略、策略健康度评分机制、策略评估报表和历史记录查询等)、策略清理(基于安全域/节点的策略查询、策略效率评估等)、策略合规检查(基线检查、策略白名单等)。可以说,从安全策略层面观察,FireMon几乎可以帮助一个IT manager做到所有想做的事情。
而对于安全策略的基本操作和呈现,则在五家参展厂商的产品中均提供类似功能,例如计算和查看路径上的安全策略,或者基于某些安全威胁日志查看对应的安全策略,又或是基于节点查询所有相关的安全策略。在安全策略路径维度大书特书成为了所有人的共识,大家在此处也似乎无法通过一些特性拉开差距,在2017年的RSA大会上没有看到基于策略的突破性技术革新,也不能不说是种遗憾。
网络安全可视化的七个共同趋势
笔者在走访各个厂商的展台时,均向工作人员提问在过去一年的开发工作中有何重大进展,也即在2017年新品种有哪些新增的功能,各厂商的回答存在惊人的相似,可见多家厂商的思路在独创特色的同时,也因为业界必然趋势而逐渐趋同。
1 云服务支持
在2016年,云上服务给世界带来的变革毋庸赘言,云计算环境下的网络安全服务也日渐成熟,网络安全可视化方面也别无二致。所有厂商均提出在新版本中提供对Amazon Web Services(AWS)和其他云计算环境的支持,对Virtual Private Cloud(VPC)的部署和变更进行及时响应,提供基于云环境的可视化分析。
在各厂商的产品中,已经可以支持对VPC的识别和策略分析:
2 虚拟化支持
同样成为各家相同关注点的是虚拟化环境中的vFirewall支持,各家厂商均能有效支持VMWARE NSX平台以及主流虚拟化平台,提供Software Defined Data Center(SDDC)的安全能力,这几乎已经成为网络安全可视化界的入门门槛,中国厂商如果想要进入可视化领域,还需要多多修炼虚拟化功力。
3 安全路径呈现
在2016年的版本中,FireMon、Tufin以及Algosec三家公司没有提供网络路径呈现功能,似乎他们更加关注于单个设备或设备组的安全策略,而非安全路径。但在2017年的版本中,五家攻击均提供了安全路径计算和呈现功能,使其已经成为一种标配,足见此功能的用户需求之迫切。尽管后来者在努力追赶,但基于前文说明,只有Redseal能提供安全域之间的路径分析,而其他厂商依然停留在节点之间的层面。期待在2018年的RSA大会上,我们可以看到各家厂商对安全域路径分析的支持。
4 与大数据领域展开合作
在与厂商沟通中,大家不约而同地提到了与大数据公司或多或少的合作,其中Redseal和Algosec均已经发布与Splunk合作的解决方案,两者彼此调用使用处理漏洞和威胁数据,对发生的威胁做及时响应,再与路径进行关联。这也为中国安全可视化厂商提供了与大数据巨头进行合作的新思路。
5 漏洞引入和比对
Redseal和Skybox两家厂商具备较好的路径计算和呈现能力,两家厂商均将最新的漏洞信息导入到系统中,并与路径上的威胁信息进行并对,从而确认威胁是否正在发生在关键路径上,并能实时查询漏洞的详细信息,以便及时进行补救和处理。同时,Algosec也在其产品中提供漏洞处理功能。
6 Html 5页面化
在最新发布版本中,多家厂商表示在前台对浏览器进行更好的支持,以便于用户使用浏览器代替原有的专用程序进行管理,甚至使用移动终端进行管理。与国内不同的是,网络安全可视化在美国并非新兴领域,几家参展厂商已经有十年的历史,当时还普遍使用JAVA Swing技术,不足以支撑如此复杂的数据和交互。而随着Web技术发展和移动终端的普及,通过浏览器管理软件已经成为现实,网络管理员使用手机躺在沙发上进行策略管理已经是非常容易的事情。
7 功能叠加呈现
在过去几年时间里,各个厂商选择了具有各自特色的方向进行发展:Redseal深耕路径,FireMon精于策略,Tufin关注运维。而在2017年RSA会议上,我们看到Redseal努力在路径上叠加漏洞威胁分析和端点安全监测,FireMon做起了路径呈现,Tulfin在策略迁移上下了大功夫。大家在彼此的优势基础上,不断叠加其他功能并进行统一呈现,未来的安全可视化产品,必将更加高度集成统一化,将运维人员、IT经理或合规管理者统统纳入目标用户群,也必将因为趋同而产生更加直接和激烈的竞争。
六家参展厂商的横向分析
1 Redseal
Redseal在整网路径计算方面具备优势,如果你有复杂的安全域配置和访问关系而又需要经常查询路径是否合规,那么Redseal将是非常好的也可能是唯一的选择。同时Redseal与Splunk、Forescout和Rapid7进行深度合作,在各个领域叠加功能,其产品特性较为丰富。
值得一提的是,在漏洞处理方面,redseal提出了漏洞评级的概念,系统得到漏洞信息后会根据以下维度对漏洞进行重要性评估并给出漏洞评级,以便管理人员可以优先处理那些高优先级漏洞:漏洞主机是否可以从一个不被信任的网络进行利用,漏洞主机是否存在可以通往资产或重要节点的路径,漏洞可达路径上的资产的重要性。例如,当漏洞主机存在路径可以到达核心服务器或互联网出口设备时,尽管此漏洞本身威胁性不高,但其依然应该被判定为高级漏洞,这就是“漏洞再高危与我无关,漏洞出现在我家才与我有关”概念的体现,可以帮助运维者摆脱传统基于漏洞高危程度对海量日志做判定的错误。
2 Skybox
说到Skybox,似乎是Redseal与FireMon的结合,既在整网路径方面和漏洞感知方面提供能力,也可以用于基于策略的运维,但在两个方面均存在些许差距。在界面呈现方面略显粗糙,读取海量日志信息时缺乏有效的窗口工具,对于可视化产品来讲,页面的美观呈现应该是核心竞争力。
如果用户对路径分析和策略管理同时存在需求,则Skybox提供的解决方案将会比较适用,其对虚拟环境和云环境的支持也已十分完善。
3 FireMon
FireMon依然在策略管理的细节上追求精益求精,从最新版本的改进内容大部分围绕着安全策略就可见一斑,且将基于policy的产品进一步细分为Policy Optimizer和Policy Planner。同时,FireMon在展会上重点宣传了新推出的风险分析产品安全管理产品,其核心功能也是基于对安全策略的处理,可以说在Firewall policy细分领域精耕细作,具备技术领先性。当笔者提问到相比同类产品最大的优势时,FireMon工作人员的答复是性能:使用FireMon可以同时处理上千台防火墙设备的网络,但其他厂商的规格大约在百台数量级。
FireMon的产品可以更贴切地被归类为Firewall Policy manager,非常适合对防火墙策略存在重大需求的用户。
4 Tufin
从工作流角度看,tufin是最先拥有workflow功能的厂商,已经可以处理SDN & 云环境,相比FireMon新推出的Policy Planner更为成熟和丰富。
Tufin对于用户以一个专业的运维工具形象出现,可以让用户更高效地规划和处理网络、安全设施甚至IT系统。当被问到相比FireMon最大的优势时,Tufin的答复是其他人与他们相比并不知道“设备组”和“策略组”的概念,Tufin最新与Palo Alto合作即在此方面。对于用户数量众多、组织架构特别复杂的组织机构,可以使用Tufin基于用户组嵌套的策略特性,有助于解决纷繁复杂的运维问题。
5 Algosec
谈到Algosec,其主打功能也是围绕安全策略,尤其是当用户使用Fortinet和CheckPoint防火墙时,Algo产品可以方便地在两者间进行转换,对于策略的翻译和迁移更有效率。在设备运维和策略管理方面,Algosec提供与竞争对手类似的能力,在整网路径方面,同样仅能支持节点到节点的计算。
6 安博通
与以上参展厂商对比,来自国内的安博通安全策略可视化自适应分析平台产品结合Redseal和FireMon的特性,已经具备整网路径分析、工作流以及安全策略统一梳理功能,且支持本土化常见的防火墙和三层设备,适用于等级保护测评、内网安全运维、安全策略迁移等多个领域。
在最新展示的产品规划中,安博通将自己擅长的流量分析能力与漏洞威胁分析能力叠加到可视化平台中。当用户计算路径后,可即时查看路径上的流量构成并确认是否存在安全威胁。相比其他参展厂商不对流量进行分析的做法,安博通凭借良好的应用识别功底,使用探针将流量进行解析和呈现,帮助用户更好地了解自己的网络流量模型,从而更有效地进行运维和处理威胁。
网络安全可视化的未来发展预测
通过对2017 RSA大会上网络安全可视化厂商的分析,我们不难得出结论,网络安全可视化产品的未来必将走向云化、虚拟化、功能叠加化的方向;同时,在安全策略梳理、页面可视化呈现、组织架构嵌套、安全域路径计算等强技术“内功”领域,能够提供非常好的能力者将会取得市场的青睐;通过观察业界领先者,我们发现产品在被区分和细化,产品系列将会逐渐丰富,不同功能将会分散到不同产品中被更加深入将成为趋势,而非功能特性大集中;网络安全可视化产品功能和规划逐渐趋同,产品独有特色正在消失,在安全策略管理方面似乎遇到创新瓶颈,从业者更多地对功能进行深入挖掘和用户体验的提升。
安博通作为网络安全可视化技术的领军厂商,提供对虚拟化环境的部署支持,并与中天翼云、数梦云、太极云等云计算巨头进行深度合作,实现云化和虚拟化;在路径计算、安全基线和策略统一梳理方面,安博通正集成越来越多国内外安全和网络设备,提供更好的计算能力;在功能叠加方面,安博通规划网络流量分析与漏洞分析两个模块,在路径上展示流量详情和威胁详情,帮助用户打造真正的网络安全作战地图。相信在不久的将来,安博通安全策略可视化自适应分析平台必将走上舞台,帮助更多用户看透安全本质,体验可视价值。