以下內(nèi)容根據(jù)中企通信信息安全產(chǎn)品經(jīng)理張肇軒以“新基建浪潮下的云安全思考”的主題演講速記整理:
張肇軒 :
大家好,今天很高興有機(jī)會(huì)跟大家一起探討在新基建浪潮下關(guān)于云安全的問題。今天討論的內(nèi)容主要分為四個(gè)部分�,首先是新基建所帶給云平臺(tái)的一些改變��,然后是云安全環(huán)境中的零信任模型的問題,三是針對(duì)最近非?;馃岬拇髷?shù)據(jù)中心�����,大數(shù)據(jù)平臺(tái)可能面臨到的安全問題,最后介紹中企通信關(guān)于上述問題的針對(duì)性的解決方案��。
新基建所帶給云平臺(tái)的改變
新基建是最近經(jīng)常聽到的一個(gè)名詞����。
基建就是人們理解的基礎(chǔ)建設(shè)�����,如信息安全����、網(wǎng)絡(luò)為基礎(chǔ)的建設(shè),新基建是以技術(shù)創(chuàng)新為驅(qū)動(dòng)的新的發(fā)展理念來帶動(dòng)這些信息安全基礎(chǔ)的建設(shè)�����。最具有代表性的就是5G�、物聯(lián)網(wǎng)、大數(shù)據(jù)����、人工智能,尤其是大數(shù)據(jù)這種分析的平臺(tái),這是以往傳統(tǒng)的物理環(huán)境��,無論是在擴(kuò)展性還是資源的使用率方面都已經(jīng)無法滿足大數(shù)據(jù)平臺(tái)的要求���,所以很多大數(shù)據(jù)�����、人工智能的平臺(tái)都逐漸往云端轉(zhuǎn)變�����,最大的好處就是云資源可以隨時(shí)��、無限地?cái)U(kuò)展����,對(duì)大數(shù)據(jù)技術(shù)來說是提供了非常好的支撐�����。5G帶動(dòng)上云�����、光纖網(wǎng)絡(luò)帶動(dòng)上云,解決了偏遠(yuǎn)地區(qū)互聯(lián)網(wǎng)不好�����、信號(hào)不好造成客戶上云不好的體驗(yàn)問題���。
但是,上云之后會(huì)面臨很多安全方面的問題�����。
可以想象���,以往物理環(huán)境��,從底層物理層到最上層的數(shù)據(jù)層�,企業(yè)管理員都是可以完全管控的����,每一個(gè)層面做怎樣的防護(hù)和控制,完全都是企業(yè)自己掌握��。上了云之后��,由于云平臺(tái)底層的資源、CPU�、內(nèi)存都是共用的,從物理層面到網(wǎng)絡(luò)層面����,甚至是操作系統(tǒng)層面,客戶所能控制到的只有應(yīng)用層面和數(shù)據(jù)層面���,應(yīng)用層以下的可能都是由云供應(yīng)商提供��,對(duì)租戶來說就是一個(gè)黑盒子�,租戶和用戶之間如何做到隔離��,有沒有做好隔離����,租戶并不知道;也不知道服務(wù)上做得怎么樣����,在渠道數(shù)據(jù)層面,大家底層可能都是在同一個(gè)存儲(chǔ)上����,雖然可能在邏輯上做了一些封隔��,但是這部分做的是否嚴(yán)密��,也是服務(wù)商去管控的�。
云平臺(tái)自身的安全也是一個(gè)大問題�,沒有哪個(gè)平臺(tái)可以保證百分之百不出事、永遠(yuǎn)不出事����。那出了事,云平臺(tái)供應(yīng)商的響應(yīng)能力���、解決問題的能力是否達(dá)標(biāo),也是不可控的���。一旦上了云之后�����,以往可控的環(huán)境都變成了黑盒子�����,尤其是非常重要的網(wǎng)絡(luò)環(huán)境����,租戶之間的隔離,云平臺(tái)自身的穩(wěn)定性����,都變得不可控了。
為什么會(huì)出現(xiàn)這樣的情況呢���?其實(shí)就是從底層架構(gòu)這一塊開始都是供應(yīng)商去做的����,具體來說呢���,以往數(shù)據(jù)訪問的策略�,可以從網(wǎng)絡(luò)層���、從操作系統(tǒng)應(yīng)用層甚至數(shù)據(jù)層����,都可以進(jìn)行很好的管控�。上了云之后,是云服務(wù)商在管理網(wǎng)絡(luò)�,網(wǎng)絡(luò)的隔離�,操作系統(tǒng)的訪問也都是服務(wù)商來做��,以前想要下發(fā)的策略�,基本上都已經(jīng)發(fā)不下去,要靠服務(wù)商來做���;身份識(shí)別��、系統(tǒng)監(jiān)控��、分析等部分都不可控了�,因?yàn)樵乒?yīng)商不可能把底層網(wǎng)絡(luò)設(shè)備的日志發(fā)給租戶���,不可能把操作系統(tǒng)的日志發(fā)給租戶;看不到這些信息��,租戶自然就沒有辦法去檢測(cè)或者分析存在的這些威脅����。這都對(duì)租戶從以往傳統(tǒng)環(huán)境轉(zhuǎn)到云上面所面臨到的很大的問題。
我們常說的木桶效應(yīng)�����,一個(gè)木桶能裝多少水,不是由最高的那塊木板決定����,而是由最短的那塊決定。企業(yè)做信息安全防護(hù)也是一樣����,安全做得有多好,是由最薄弱的那部分來決定����,因?yàn)楹诳陀肋h(yuǎn)只會(huì)攻擊最薄弱的那一部分,只要攻擊成功��,整個(gè)內(nèi)網(wǎng)就被攻破���,其他的點(diǎn)����、其他的部分做的再好都沒有用���。
所以���,從最底層的物理環(huán)境做到最頂層的應(yīng)用環(huán)境都要面面俱到的防護(hù)�,才能保證安全的保證�����。
中企通信在這部分提供了豐富的解決思路����。
中企通信云安全環(huán)境中零信任模型
中企通信云安全環(huán)境有三個(gè)模塊。
云安全環(huán)境零信任模型 一是網(wǎng)絡(luò)加密層�。一些客戶的管控,與安全策略�����,可能不是做到特別的好��,存在較大的風(fēng)險(xiǎn)����。上了云之后����,中企通信可以提供優(yōu)先的服務(wù),在網(wǎng)絡(luò)連接方面采取ipsec-VPN加密的方式或者輕量級(jí)的加密協(xié)議����,客戶可以通過雙因子認(rèn)證保證登陸的安全性�,內(nèi)網(wǎng)通信可以做到反病毒反入侵過濾�����,實(shí)現(xiàn)基本的功能�����。
二是數(shù)據(jù)層面����,在通信過程中對(duì)數(shù)據(jù)進(jìn)行加密,數(shù)據(jù)每天做一個(gè)本地備份和異地的備份���,各個(gè)安全網(wǎng)關(guān)可以有自己監(jiān)控的系統(tǒng)去收集不同網(wǎng)關(guān)的日志����,了解發(fā)生的安全事件����,進(jìn)行應(yīng)急告警的響應(yīng)處理,提交后續(xù)的安全報(bào)告。
從網(wǎng)絡(luò)層���、數(shù)據(jù)層面進(jìn)行綜合防護(hù)�����,幫客戶堵住最常見的一些漏洞�����。
三是安全網(wǎng)關(guān)���。中企通信提出云安全網(wǎng)關(guān)理念,即云安全中臺(tái)���,它包括API網(wǎng)關(guān)�����,可進(jìn)行多設(shè)備的策略對(duì)接��,態(tài)勢(shì)感知的探針���,本地預(yù)處理,SIEM監(jiān)控信息匯集��,預(yù)處理��,執(zhí)行安全策略�����。
大數(shù)據(jù)中心安全問題
對(duì)企業(yè)來說�,重中之重就是數(shù)據(jù),黑客從網(wǎng)絡(luò)層面攻擊��,從物理層面�����、應(yīng)用層面攻擊�,最終的目的就是竊取數(shù)據(jù)。數(shù)據(jù)是企業(yè)最有價(jià)值��、最核心的資產(chǎn)�,最容易受到黑客關(guān)注。現(xiàn)在�����,大數(shù)據(jù)應(yīng)用越來越廣泛,通過對(duì)歷史事件�、歷史數(shù)據(jù)中的分析,可了解自己和對(duì)手的商業(yè)方向����,判斷未來的發(fā)展趨勢(shì)。國家對(duì)數(shù)據(jù)的使用也有很多安全的法律法規(guī)���,從2017年6月網(wǎng)絡(luò)安全法推出之后�����,關(guān)于數(shù)據(jù)安全防護(hù)的法規(guī)越來越多���,比如個(gè)人信息的安全評(píng)估,等保體系對(duì)數(shù)據(jù)層面的嚴(yán)格要求�����,之后還可能會(huì)陸續(xù)推出更多的防護(hù)與指南����。
數(shù)據(jù)的歸集和治理數(shù)據(jù)歸集和治理會(huì)投入大量運(yùn)維人員。對(duì)數(shù)據(jù)進(jìn)行處理和應(yīng)用時(shí)���,一般來說���,企業(yè)要經(jīng)歷這樣的三個(gè)過程,無論是自己做�����,還是依托于云供應(yīng)商服務(wù)商��。
首先是要有分析的平臺(tái)���,常見的可能有Hadoop��、Spark����、Flink等��,以及Hbase等存儲(chǔ)平臺(tái)�����,這一部分基礎(chǔ)設(shè)施建設(shè)其實(shí)并不太難�����,因?yàn)檫@些軟硬件產(chǎn)品市面上都有,有錢就可以買回來建起來��。
第二階段�,將現(xiàn)有的數(shù)據(jù)進(jìn)行歸集。因?yàn)閿?shù)據(jù)十分零散����,有來自服務(wù)器,來自終端���,有來自個(gè)人的設(shè)備��,又有數(shù)據(jù)庫����,安全設(shè)備��、網(wǎng)絡(luò)設(shè)備上面也都有很多數(shù)據(jù)����,要把這些數(shù)據(jù)全部歸集到統(tǒng)一平臺(tái)上再去進(jìn)行分析,其實(shí)是很有難度的���。不同的數(shù)據(jù)存在于不同的部門���,要去協(xié)同溝通����,說服他們把數(shù)據(jù)發(fā)過來�,然后還要很有策略地存儲(chǔ)和歸集起來��,這是一方面����,歸集好之后還要進(jìn)行治理,做分類�、建索引,哪一方面哪天的數(shù)據(jù)�����,都要能在最短的時(shí)間內(nèi)快速得到�。這部分其實(shí)存在非常多的一些“坑”,要投入很多的人力�����、時(shí)間、溝通的成本��。
這一部分完成之后����,就是數(shù)據(jù)的應(yīng)用,將這些數(shù)據(jù)采用科學(xué)計(jì)算的方式與規(guī)則進(jìn)行關(guān)聯(lián)����、分析,演變出一些報(bào)表��。這個(gè)其實(shí)也是比較容易的�����,算得上是一個(gè)中等難度的任務(wù)��。
最難的其實(shí)是在數(shù)據(jù)處理階段��。一旦沒有處理好這部分的數(shù)據(jù)�����,比如幾個(gè)月之前有運(yùn)維人員離職的時(shí)候把公司數(shù)據(jù)庫刪掉,如果沒有備份的話���,這就是一個(gè)非常危險(xiǎn)的動(dòng)作和造成嚴(yán)重的后果�����,這其實(shí)也就是對(duì)運(yùn)維人員權(quán)限的管控提出高要求��。
中企通信采用堡壘機(jī)配合SOC的服務(wù)對(duì)數(shù)據(jù)進(jìn)行管控���。針對(duì)運(yùn)維,中企通信有一個(gè)比較細(xì)致的管控����,包括對(duì)數(shù)據(jù)的任何一個(gè)操作都有跡可循���、有記錄����。
堡壘機(jī)配合SOC的服務(wù)對(duì)數(shù)據(jù)進(jìn)行管控中企通信采用堡壘機(jī)配合SOC的服務(wù)對(duì)數(shù)據(jù)進(jìn)行管控�����。
針對(duì)運(yùn)維�,中企通信有一個(gè)比較細(xì)致的管控����,包括對(duì)數(shù)據(jù)的任何一個(gè)操作都有跡可循�、有記錄。
信息安全服務(wù)化解決方案
中企通信提供的是一種MSSP的方式即完全管理的服務(wù)模式提供給客戶�。其特點(diǎn)體現(xiàn)在四個(gè)方面:
完全管理的服務(wù)模式 一是身份的不同。跟以往所理解到的代理商�、集成商的不同之處,在于中企通信并不是以售賣硬件為主��,而是以服務(wù)來提供到給客戶����;所有提供的設(shè)備都是跟SOC的服務(wù)去綁定,來幫客戶進(jìn)行運(yùn)維���。
二是以運(yùn)營為理念而并非是以設(shè)備為理念����。中企通信更關(guān)注的是安全事件�����,安全設(shè)備只是用來處理安全事件、檢測(cè)響應(yīng)安全事件的工具而已�����,企業(yè)最終所需要的是在安全事件發(fā)生時(shí)有人快速的去檢測(cè)響應(yīng)處理�,而中企通信恰恰是為客戶解決了這一方面的需求。因此����,不管安全設(shè)備來自何方,中企通信都會(huì)幫客戶去運(yùn)維���,發(fā)生事故����,發(fā)現(xiàn)告警��,就利用安全方面豐富的經(jīng)驗(yàn)幫助去分析去處理�����。
三是以聯(lián)動(dòng)分析為核心價(jià)值�����。中企通信不會(huì)關(guān)注單一安全設(shè)備上的獨(dú)立告警�����,而是匯集所有安全設(shè)備的日志���,包括網(wǎng)絡(luò)設(shè)備��,終端�、服務(wù)器的����,利用分析平臺(tái)來進(jìn)行聯(lián)動(dòng)分析,減少誤報(bào)��,提升整體的安全防護(hù)能力���。
第四����,也是最關(guān)鍵的�,是讓企業(yè)管理層看到在安全方面的投入所獲的回報(bào)。很多時(shí)候�����,客戶覺得安全是在買保險(xiǎn),不出事就看不到安全的價(jià)值�����。中企通信通過提供大量定制化的報(bào)告�,或者一些在線的平臺(tái)讓企業(yè)的管理層可以看到在過去一段時(shí)間,公司內(nèi)部發(fā)生的很多安全事件���,安全設(shè)備幫助擋住了這些事件的發(fā)生���,因此有必要進(jìn)行持續(xù)的投入。如果沒有這種可視化的報(bào)告��,即使做了很多工作���,管理層看不到體會(huì)不到�����,來年很可能就會(huì)削減這部分投入了。這種定制化的報(bào)告和平臺(tái)讓企業(yè)的管理層可以實(shí)時(shí)注意到安全方面的投入帶來的價(jià)值�����。
在管理模式方面,可以單獨(dú)完全管理或者與客戶共同管理�。完全管理,意味著客戶有任何需求都可以直接進(jìn)行聯(lián)系�����,共管����,就是說客戶可以做些基本的配置,出了大事再尋求幫助�。
一個(gè)最簡(jiǎn)單的例子。針對(duì)某一臺(tái)安全設(shè)備�����,找集成商管理和找中企通信來管理都是可行的�,最大的區(qū)別就是前者提供設(shè)備,只能保證設(shè)備正常運(yùn)作���,但是設(shè)備檢測(cè)到了安全事件進(jìn)行告警���,集成商不一定具備處理能力��,后者可以幫客戶去處理安全的事件��,并且告訴客戶哪個(gè)黑客想攻擊哪里����,利用的是哪些漏洞����,應(yīng)該如何去彌補(bǔ),從而防止再發(fā)生這種事�。
中企通信不僅提供設(shè)備基礎(chǔ)服務(wù),更多的是提供SOC這種高端的服務(wù)���,真正解決企業(yè)最想解決的但是又沒有能力去解決的事情��,企業(yè)要保留SOC團(tuán)隊(duì)����,成本很高�����。而第三方SOC團(tuán)隊(duì)是所有客戶共用�����,可以降低企業(yè)在這部分的成本�,我們也有一個(gè)在線的平臺(tái),可以隨時(shí)讓客戶看到設(shè)備的安全狀態(tài)��。
云端安全解決方案
中企通信提供豐富的云端的安全解決方案�����。
云端的安全解決方案 在應(yīng)用方面����,中企通信提供有WAF、DDOS��、NGFW一類的防護(hù)��;在網(wǎng)絡(luò)安全方面���,有郵件網(wǎng)關(guān)�����、數(shù)據(jù)庫防護(hù)��、混合云防護(hù)��、邊界防護(hù)����;安全審計(jì)層面,提供像數(shù)據(jù)庫審計(jì)����,日志審計(jì);綜合平臺(tái)的管理事先高科用�����、安全運(yùn)維�����,各方面的產(chǎn)品和解決方案都是比較全的����。
基于SD-WAN架構(gòu)的多云平臺(tái)安全方案 基于SD-WAN架構(gòu)的多云平臺(tái)安全方案方面,中企通信安全管理中心(SOCs)是時(shí)下常見的方案�,但是很多客戶可能會(huì)忽略安全方面的問題,畢竟以往跑專線,現(xiàn)在在互聯(lián)網(wǎng)上����,雖說效率增加速度變快,但是安全性可能會(huì)減弱�,畢竟數(shù)據(jù)都是運(yùn)行在公網(wǎng)上���。中企通信在提供MPLS架構(gòu)的同時(shí)也提供安全的防護(hù)方案��?�;贔ortinet的解決方案��,包括接口SOC的運(yùn)維�����。
此外�����,訪問如Azure��,Salesforce等一些平臺(tái)����,通常都會(huì)很慢。通過對(duì)客戶的流量進(jìn)行優(yōu)化�����,可提升訪問的速度�����,提供更好的用戶體驗(yàn)����。
因?yàn)闀r(shí)間有限,今天分享的內(nèi)容主要是這些��。如果大家對(duì)某個(gè)產(chǎn)品或者某個(gè)解決方案想有更深刻的了解�,可以聯(lián)絡(luò)我們?cè)侔才鸥敿?xì)的講解。
謝謝大家�!
