就在今年的中國存儲與數(shù)據(jù)峰會上�,亞信安全云安全產(chǎn)品線研發(fā)總監(jiān)李立中,從亞信自身對安全的思考���,圍繞數(shù)據(jù)中心安全展開主題演講��。十多年來�����,李亞中在軟件��、網(wǎng)關(guān)安全����,終端安全、企業(yè)信息安全以及云安全等領(lǐng)域積累了深厚的產(chǎn)品研發(fā)經(jīng)驗�,近年來負(fù)責(zé)亞信安全云安全產(chǎn)品的研發(fā)和運維。
數(shù)據(jù)中心一直在演化�����,從實體走到虛擬化之后����,發(fā)現(xiàn)虛擬化還是講虛擬機、虛擬存儲的時候��,而現(xiàn)在最常碰到的東西���,變成無服務(wù)了��。應(yīng)用就是一段代碼�,代碼上傳后,不用管上面有多少內(nèi)存和存儲����,自動配置完成。數(shù)據(jù)中心隨著一步步的演進���,也面臨一些舊的和新的安全挑戰(zhàn)��。
實體的數(shù)據(jù)中心會碰到病毒和硬件的漏洞���,虛擬化的時候要考慮上面所有的應(yīng)用資源會不會相互交錯,會不會使用了別人的數(shù)據(jù)��。到了軟件定義的時候�,新的東西都以服務(wù)的模式提供給大家�,變成計算資源很容易提供出來,有可能黑客非常容易從自動化的API接口竊取你的資源�。我們以前的做法可能是這樣,哪里有漏洞我們就建一堵墻����。這是《權(quán)力的游戲》里面的一堵墻,墻建的越來越高�,有一天有沒有像第七季里,被一條會飛的龍把墻打破了。這堵墻不能說有問題了��,終有一天會有新的東西打破���,這種情況就像去年大家常常聽到的勒索病毒�,一開始來的時候���,這個東西是美國安全機構(gòu)里面搜集了很多漏洞的攻擊手法�,結(jié)果泄露了出來�,到了黑客手中,很快就實現(xiàn)武器化�,變成可以攻擊的一個東西。
到軟件定義的時代���,邊界已經(jīng)模糊了����,沒有辦法像以前那么很具體�,我們怎么辦呢,這個房子很漂亮���,但是沒有圍墻怎么防護��?亞信有一個危險治理模型��,四個步驟:第一個步驟��,阻斷���,這最常見����,所謂的防火墻�,防病毒,這是第一道關(guān)卡�,但有一個問題,阻斷的根據(jù)是以前的經(jīng)驗��,就是以前我已知的病毒���,已知有特征碼的東西才有辦法阻斷,或者說這個端口有可能被攻擊�,封住該端口。除此之外還需要另外一個手段就是偵測�����,純粹當(dāng)一個觀察者,比如試了兩次錯誤密碼�,只是一個行為,但不會馬上說這是一個攻擊�����,慢慢累計多了以后�����,根據(jù)我們搜集到的情報資料做一些響應(yīng)�,做完響應(yīng)以后,快完成一個來回以后���,把這些東西吸收沉淀以后��,最后再預(yù)測一下�,下一次還有哪些弱點��,有哪些重要的數(shù)據(jù)和應(yīng)用可能會被攻擊���,針對這個地方再做新的配置�,新的補強�����,這是最后預(yù)測的部分。
建立軟件定義數(shù)據(jù)中心的安全體系, 絕不只是單純的將過去的安全防護產(chǎn)品搬到軟件定義數(shù)據(jù)中心這么簡單����,需要理解未來的威脅發(fā)展趨勢, 梳理出關(guān)鍵的數(shù)據(jù)資產(chǎn),加上堅實的安全體系理論�����,建構(gòu)完整的防御體系, 才能從根本降低業(yè)務(wù)所受的威脅風(fēng)險���。
(注:文字整理自演講實錄�����,未經(jīng)演講人最終審核)
