《專家觀察 | 鄭曙光:“云環境下的自適應防御體系”》要點:
本文介紹了專家觀察 | 鄭曙光:“云環境下的自適應防御體系”,希望對您有用。如果有疑問,可以聯系我們。
由工業和信息化部指導,中國信息通信研究院主辦,業界知名組織云計算開源產業聯盟(OSCAR)承辦的2017全球云計算開源大會于4月19日-20日在北京國家會議中心順利召開.本文為本屆大會嘉賓分享的大會演講速記內容,敬請瀏覽.
嘉賓介紹:鄭曙光
公司職務:上元云安全CEO
大會演講速記
大家好!我是上元云安全的鄭曙光,今天下午跟大家分享一下我們在云安全研究上的一些思路、方案.
近幾年以來,云計算已經是徹底被大家給接受了,所以云計算非常火,包括公有云、私有云,今年也有很多各種云操作系統的廠家.伴隨而來的就是云里面的安全,這里面有很多熱詞,我就不說了.
所以我們分析一下原因,我們覺得主要有幾個方面:一個因為本身云計算就是通過網絡把我們所有的數據信息資產都往云端去集中,相當于這個云里面其實就是一個財富的集中地了,我們的資產的數字化.
同時隨著這些互聯網,包括物聯網,這些網絡連接數的增多,而且本身我們互聯網經過這么多年的發展,整個從黑客這個角度來說,我們攻防技術,黑客掌握的技能也越來越多,他們要去搞破壞,要獲得這些數據,這些信息,這個手段、這個門檻和代價越來越小.大家聽說去年美國物聯網的攻擊,就把攝像頭調一下.現在你可能花200塊錢就能用20G的流量打20分鐘,這個門檻非常低的.云技術里面很多都是虛擬化的,網絡結構也越來越大,用到了彈性擴展,有漂移.
但是信息安全本身最早的模型既是一個網絡的邊界,這些新的虛擬化云計算技術的引入,導入這個邊界,包括里面租戶也好,大二層也好,把原來固定的網絡邊界消失掉了,說網絡安全兩眼一抹黑瞎了,所以這些都是導致安全問題頻發的原因.包括年初國內最有名的公有云幾個前員工在那里撕逼,阿里云,我提出來了不好意思,大家覺得在國內是很高大上的云,但是里面透露出來,今天的網絡也好,VPC也好,里面的安全狀態還是很令人擔憂的.
我們公司名字叫上元云安全,經過這兩年以來我們也一直在探索,也實踐出了自己的一套云安全的解決方案,所以今天跟大家分享一下.
其實自適應安全架構是2015年前后提出來的,2015年前后有一個什么背景呢?
那幾年APP高級持續性的攻擊,這個詞已經非常熱,已經被大家接受了,反正我們去參加各種會,一談就是反APT,很多公司也做反APT,理念也出來了,但是效果是非常糟糕的,被大家詬病了,反APT沒有那樣的效果.
剛才提到了解決高級定向攻擊,它用了自適應的安全架構,其實提到了四個大的框架,安全不是0到1,是持續的逼近,是一個反饋暢敘持續的過程,這個框架分別是防御、檢測、響應、預測.防御大家都很好理解了,我們傳統的安全設備防火墻、IPS甚至防病毒,基于一些策略,盡量降低整個網絡被攻擊的控制面.比如說我的策略默認的,不是允許你是過不去的,端口是關閉的,有業務需要才打開,這樣就保證網絡層包括主機層甚至業務層的安全.很多人也提出就是一種被動防御,但實際上在整個防御體系里面是非常重要的,降低了絕大部分的風險.
但是光有防御手段是不夠的,因為你肯定會被攻破,畢竟是被動的位置.所以需要我們持續地去監控它,通過它的日志也好,它的安全事件也好,或者通過流量里面的一些特征、一些行為,去建模,去發現,我可能已經被攻擊了,馬上要采取行動去降低我受的損失.
所以這時候我們就提出了一個響應,就是自適應安全架構里面,馬上更新我的測算,有些漏洞補丁還會打進去,通過我的一些審批數據也好,還是別的一些記錄進行溯源,到底誰搞破壞,也記錄下來,甚至可以取證.
現在從更廣義的視角來說,其實安全你可以從外部,黑客在外部搞破壞,不一定在我們網絡或者云里面內部搞破壞.但是那些信息、那些情報我可以得到,得到以后我就可以有預判了,我就可以把這些已知的威脅作為簽名部署到我的內部系統里去,所以它是這樣一個循環的系統.
當然,Gartner這樣的咨詢機構其實提出了一個方法論,因為它接觸的面非常廣,有廠家,也有企業,甚至很多搞VC的,都是他們的客戶.它只是一個方法論,具體怎么去落實?
其實它沒有提出來.我們核心團隊在安全圈做非常久,有安全的產品,有做攻防的,大概2014年底、2015年初的時候我們也在探討這個問題,因為我們傳統做了好多產品,但客戶的體驗不一定好,或者這些產品我們給他做一個方案堆疊起來也許解決不了問題.而且隨著云計算的出現,云里面又出現了很多新的做法,那怎么辦?
其實我們這么多年體驗下來,安全其實真正來說你要提供安全最高級的形態其實是一種服務,我的人在那里,不管是四個步驟、五個步驟,每個階段都有人在那里,出了問題及時響應、打補丁等等,但是這個服務代價是非常非常高的,我不知道底下有沒有,其實做運維的,現在都在搞自動化,也是同樣的原理.
一方面我們看到云帶來的問題,但另一方面我們在想云其實也給我們提供一種思路,我們用云去提供安全的服務,因為云意味著無限的計算能力、存儲能力、也是好的信息交換,因為現在隨時隨地都能上網,所以云也是把我們的安全能力能傳達到每個地方的這樣一個基礎設施.
所以基于這樣的理念,我們能運營,我們自己這么多年的基礎積累,所以我們通過三層,第一個是基礎能力層,第二層是我們通過智能的管理、分析,第三個我們通過公有云.其實很好的,我們發現我們跟Gartner的理念是能很好契合的,它只是一個方法論,但是我們是實實在在的,我們有技術、有方案,而且做了一些原型,發現還不錯.這就是我們上元的自適應防御體系.
后面我就匯報我們自適應防御體系里面的三個系統、三個層次,我分別來闡述一下.
第一個是我們的安全能力層,在這里我說豐富靈活的安全網元,是什么概念呢?
我們的安全能力,我們把它抽象為說一個一個安全網元,安全網元既可以是硬件的防火墻,也可以是純軟件,也可以創新去部署,也可以去探針,我甚至可以作為一個Docker,作為一個插件部署到你的服務器里面去,也可以把我的模塊集成到你的里面,我都可以集成給你,我可以部署在虛擬化的部署里面.
比如Web服務器非常大,有幾千萬個集群,可以跑在這些集群上去保護它.我們把我們的安全能力抽象成安全網元,這里面我們的防病毒是跟安全實驗室合作的,別的都是我們自己研發的,這么多年的積累.這個安全網元在我們的自適應防御體系里面可以進行優先防御,也可以檢測,這兩環我們可以實現.
第二部分是我們的智能管控和分析這一層,我們把它定義為自適應防御體系里面的一個核心.
在我們這里的產品,我們叫上元的安全管理中心SMC,它一方面需要跟云平臺去對接,因為云里面其實運維是一個非常大的問題.
所以我們跟云平臺對接,我們實現統一的部署、授權、管理,同時SMC也是云里的分析中心,你的事件信息都可以集中匯報到上面去,我們進行分析以后,其實它也相當與云類的系統,我們跟客戶交流的時候,你們不就是快速感知嗎,這個詞可能比較火.
SMC可以跟我們所有的網民進行聯動,去配合他們,去監控他們,需要響應的通過SMC響應到所有的網絡里面,它也有擴展能力,我們可以行為建模,跟一些業務系統結合以后,是不是有人在刷單、薅羊毛或者是反APT的攻擊,可以結合起來.
如果你的數據中心,你的云里面有大量的帶寬計算能力,我們可以把我們的模型建在你這里面.所以安全管理中心是我們的防御體系的一個“大腦”,不光是防御檢測,它還可以響應,如果把公有云的一些安全情報的智力跟它對接,它就可以進行預測.
第三部分是我們的上元云,其實也是一個SaaS,就是我們基于云,基于公有云.我們把它類似于服務能力的輸出,把它分成了三層,從右到左,第一個叫數據接入層,其實就是我們的SaaS入口.不知道今天會場有沒有人掃我們的二維碼,掃了以后就可以接入到我們的SaaS上面去,你可以把自己的私有云里面的SMC也好,或者安全網元也好,或者一個防火墻,或者一個審計設備,你可以注冊到我們的SaaS平臺上,你就有自己的一個獨立的空間,你可以去管理它,你可以把數據匯報到這個云上面去.
同時我們做了一個移動的APP,你假如說在外面或者你在家里面,你要了解你這個云里面的業務安全,整個流量的情況,你都可以通過APP來查看,如果我們發現了新的情況報警,我們也會通過APP推送給你.
第二個層面是分析監控層,我們的上元云通過你們上報的一些數據或者我們收集的數據,同步過的數據,我們進行數據的分析,給出報表,給出告警,給出可視化,實際上也是一個快速感知的概念.
第三層是安全能力層,它也是一個相當于智慧的擴展層.這上面有點變形了,我們通過不斷地學習,我們安全的能力一直在更新,并且會同步下去.同時安全能力層也是一個擴展層,現在安全是越來越專業了,我們有我們的特長的,我們的技術安全能力,我們的積累.
現在的安全確實需要系統,所以上元云也是一個開放的云,我們跟業內頂級的合作伙伴開放接口,把他們的能力通過上元云引入進來再部署到所有的客戶云里面去,包括現在的云沙箱、抗D也是跟我們的很好合作伙伴一起合作,大家如果有這樣的好的想法或者能力,我希望咱們一起合作一下.安全確實是非常專業的事情,需要大家協同一起來做.
這個就是我們上元的自適應的防御體系的三大塊,其實上元云承擔的就是一個預測,可以把我們的一些威脅,我們感覺到的安全情報及時同步給所有的安全網元上,在我們的系統里及時更新.同時也是一個SaaS平臺,這就是把我們的安全能力作為服務提供出去.
下面我簡單地講一下我們防御體系的幾個使用場景,第一個是我們在私有云防御里面,這個比較簡單,我們通過SMC跟云平臺進行對接,云平臺可以通過這個接口或者我們去掉云平臺的接口都可以,把我們的安全云部署下去,把安全作為一種菜單式的部署,這種體驗.這是相對更全一點的,我們把我們上元的云上的能力、公有云的能力包括邊界防御的能力,云里面包括SMC,各種場景部署的能力來做一個整合.
這個其實也包括了很多小的企業或者不一定小的大的企業,你可能沒有那么復雜,那可能就是通過我們的SaaS下一個虛擬化的網關接入到這里給你提供服務也是可以的.這是比較全的,自適應防御體系的方方面面的都可以在這里看到.
最后給大家介紹一下我們公司,我們公司名字叫上元信安,現在我們推的品牌是上元云安全,我們主要做的是云安全相關的.我們覺得安全是一種技術能力,所以技術需要大家的交流和分享,會后或者以后有機會的話,大家在建造云或者使用云里面的服務的時候遇到任何安全方面的問題或者需求,我非常希望大家能一起交流.這就是我們最大的成就感.
文章來自微信公眾號:云計算開源產業聯盟
轉載請注明本頁網址:
http://www.snjht.com/jiaocheng/4112.html