上元云安全:云环境下的自适应防御体系

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

       全球云计算开源大会于2017年4月19-20日在国家会议中心举行。上元·云安全CEO郑曙光,在运维和云安全开源分论坛,发布了国内首套自适应防御体系,并对云环境下的自适应防御,做了深度的解析:

(上元云安全CEO 郑曙光)

云上的安全
       近几年以来,随着云计算的蓬勃发展,信息安全事件层出不穷,云安全受到了极大的关注。上午主会场的嘉宾也提到了,根据调查,安全性是企业尚未采用云计算开源技术的主要原因。

       那么,云计算带来的安全问题为什么这么突出?我们认为原因包含以下几个面:首先,云计算带来了信息资产的大集中,云实际上成了数字财富的集中地,更容易成为黑产的目标;同时,在万物互联的趋势下,恶意攻击的技术门槛和成本越来越低,而破坏效果越来越大。现在通过一些黑产,花几百块钱就能随时打几个G的流量,进行DDOS攻击。

       另一方面,云计算采用的虚拟化技术、SDN技术、大二层技术,同时要求动态按需扩展、主机漂移、多租户等能力,把网络边界打破了。而传统的网络安全是基于网络边界的模型,内网、外网、DMZ区,等等,是固定的、清晰的。这样就导致传统网络安全的这一套模型在云里面就无法适用了。举个例子,今年年初,国内某公有云大厂的前员工对该公有云内的安全防护做了大揭底,现状令人大跌眼镜。总之,云内的安全状态着实令人担忧。

Gartner自适应安全的方法论
       自适应安全架构,最早是Gartner在2015年前后提出的,用来解决高级定向型的攻击,主要包括四大框架,分别为:防御、检测、响应、预测。               

    

       防御:我们传统的安全设备,如防火墙、IPS、防病毒,都在做这个事情。基于策略或者特征,尽量减少整个网络的被攻击面。比如说,默认策略是拒绝通过的,除非配置了允许;端口是关闭的,有业务需要才打开,已这样的方式来保障网络层、主机层甚至业务层的安全。很多人也提出一种被动防御,是落后的,但实际上在整个防御体系里面是非常重要的,降低了绝大部分的风险。

       检测:仅有防御手段是不够的,事实证明防御总是会被攻破。所以需要我们持续地去监控它,通过网络中的日志,安全事件,或者通过流量里面的一些行为,去建模发现,可能已经被攻击了,马上要采取行动去降低受到的损失。

       响应:所以这时候需要及时响应,马上更新我的策略、给系统打上补丁、加入新的特征。同时,通过审计数据,或别的一些记录进行溯源,查出到底谁在搞破坏,记录下来,甚至可以取证。

       预测:从更广义的视角来说,可以从外部去发现黑客正在进行的一些破坏,整理出信息、情报,就可以有预判了,把这些已知的威胁作为签名部署到我们的内部系统里去,进行预先的防护。所以,形成这样一个循环的系统。

       当然,Gartner提出的只是一个方法论,具体怎么去落实,并没有给出具体的方案。

上元·自适应防御体系
       我们上元云安全的核心团队在安全行业有10年以上的积累,在2015年初的时候,我们把新的方向定位到云安全上。一方面是解决云内的安全问题,主要是面向私有云;另一方面,云计算意味着无穷的计算能力、存储能力,无处不达的信息交互和获取能力,而且很关键的,有非常好的边际成本,是一种非常理想的安全服务形式。
基于这样的理念,结合我们在基础安全能力上的积累,以及对云环境的理解,我们通过三个层面,来实现自适应防御体系。

       第一层,安全能力层:我们把上元具有的基础安全能力,抽象为一个一个的安全网元。安全网元既可以是硬件的形态,比如防火墙、IPS或者WAF,可以是纯软件,可以跑在虚拟机上,也可以跑在Docker中,甚至作为一个插件安装到业务服务器中去,或者以模块的方式集成到客户的系统中,比如IPS、DPI;可以串接到网络中,也可以作为探针旁路部署,甚至可以在K8S上集群部署。通过这个层面,可以实现防御和检测的能力。

       第二层,智能管控和分析层:由上元安全管理中心,即SMC来实现。它一方面跟云平台去对接,实现统一的部署、授权、管理,同时SMC也是云里的分析中心,把日志及安全事件信息都可以集中汇报到上面去,进行分析以后,再以策略的形式下发。SMC还具有有扩展能力,可以基于流量、行为、业务建模,实现防DDOS、刷单、薅羊毛或者是反APT等复杂功能。所以安全管理中心是我们防御体系的一个“大脑”,不光是防御、检测,它还可以响应,如果把公有云的一些安全情报的能力跟它对接,它就可以进行预测。

       第三层,上元云:其实也是一个安全的SaaS服务,包含数据接入层、分析监控层、安全能力层,这三个部分。通过数据接入层,也是SaaS入口,可以把安全网元或者 SMC注册到我们的SaaS平台上,以租户隔离的模式,去管理、监控私有云的状态;通过分析监控层,对数据进行分析,提供可视化、报表、告警等,实现云内的态势感知,进而更新 策略;通过安全能力层,把持续更新的核心安全能力同步给SMC及安全网元,同时,上元云也提供了开放的接口,可以把业内优秀的安全能力接入进来,比如沙箱、威胁情报、云抗D等,提供防御和预测。上元云也支持移动APP,可以随时随地对云内的安全状态进行查看、推送。

       以上,就实现了完整的上元自适应防御体系。

上元·云安全,安全是一种技术能力
       我们认为,安全是一种技术能力。技术需要分享和交流,在目前日益复杂的安全态势下,上元愿意与合作伙伴一起,协作、赋能,共同解决云环境下的安全问题。

标签: ddos 安全 防火墙 服务器 公有云 企业 网络 网络安全 问题 信息安全 行业 云计算

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:Fortinet新中文名诠释新安全体系

下一篇:行业洞察驱动安全防御 严峻安全挑战迎刃而解