上元云安全：云环境下的自适应防御体系

       全球云计算开源大会于2017年4月19-20日在国家会议中心举行。上元·云安全CEO郑曙光，在运维和云安全开源分论坛，发布了国内首套自适应防御体系，并对云环境下的自适应防御，做了深度的解析：

（上元云安全CEO 郑曙光）

云上的安全
       近几年以来，随着云计算的蓬勃发展，信息安全事件层出不穷，云安全受到了极大的关注。上午主会场的嘉宾也提到了，根据调查，安全性是企业尚未采用云计算开源技术的主要原因。

       那么，云计算带来的安全问题为什么这么突出？我们认为原因包含以下几个面：首先，云计算带来了信息资产的大集中，云实际上成了数字财富的集中地，更容易成为黑产的目标；同时，在万物互联的趋势下，恶意攻击的技术门槛和成本越来越低，而破坏效果越来越大。现在通过一些黑产，花几百块钱就能随时打几个G的流量，进行DDOS攻击。

       另一方面，云计算采用的虚拟化技术、SDN技术、大二层技术，同时要求动态按需扩展、主机漂移、多租户等能力，把网络边界打破了。而传统的网络安全是基于网络边界的模型，内网、外网、DMZ区，等等，是固定的、清晰的。这样就导致传统网络安全的这一套模型在云里面就无法适用了。举个例子，今年年初，国内某公有云大厂的前员工对该公有云内的安全防护做了大揭底，现状令人大跌眼镜。总之，云内的安全状态着实令人担忧。

Gartner自适应安全的方法论
       自适应安全架构，最早是Gartner在2015年前后提出的，用来解决高级定向型的攻击，主要包括四大框架，分别为：防御、检测、响应、预测。               

    

       防御：我们传统的安全设备，如防火墙、IPS、防病毒，都在做这个事情。基于策略或者特征，尽量减少整个网络的被攻击面。比如说，默认策略是拒绝通过的，除非配置了允许；端口是关闭的，有业务需要才打开，已这样的方式来保障网络层、主机层甚至业务层的安全。很多人也提出一种被动防御，是落后的，但实际上在整个防御体系里面是非常重要的，降低了绝大部分的风险。

       检测：仅有防御手段是不够的，事实证明防御总是会被攻破。所以需要我们持续地去监控它，通过网络中的日志，安全事件，或者通过流量里面的一些行为，去建模发现，可能已经被攻击了，马上要采取行动去降低受到的损失。

       响应：所以这时候需要及时响应，马上更新我的策略、给系统打上补丁、加入新的特征。同时，通过审计数据，或别的一些记录进行溯源，查出到底谁在搞破坏，记录下来，甚至可以取证。

       预测：从更广义的视角来说，可以从外部去发现黑客正在进行的一些破坏，整理出信息、情报，就可以有预判了，把这些已知的威胁作为签名部署到我们的内部系统里去，进行预先的防护。所以，形成这样一个循环的系统。

       当然，Gartner提出的只是一个方法论，具体怎么去落实，并没有给出具体的方案。

上元·自适应防御体系
       我们上元云安全的核心团队在安全行业有10年以上的积累，在2015年初的时候，我们把新的方向定位到云安全上。一方面是解决云内的安全问题，主要是面向私有云；另一方面，云计算意味着无穷的计算能力、存储能力，无处不达的信息交互和获取能力，而且很关键的，有非常好的边际成本，是一种非常理想的安全服务形式。
基于这样的理念，结合我们在基础安全能力上的积累，以及对云环境的理解，我们通过三个层面，来实现自适应防御体系。

       第一层，安全能力层：我们把上元具有的基础安全能力，抽象为一个一个的安全网元。安全网元既可以是硬件的形态，比如防火墙、IPS或者WAF，可以是纯软件，可以跑在虚拟机上，也可以跑在Docker中，甚至作为一个插件安装到业务服务器中去，或者以模块的方式集成到客户的系统中，比如IPS、DPI；可以串接到网络中，也可以作为探针旁路部署，甚至可以在K8S上集群部署。通过这个层面，可以实现防御和检测的能力。

       第二层，智能管控和分析层：由上元安全管理中心，即SMC来实现。它一方面跟云平台去对接，实现统一的部署、授权、管理，同时SMC也是云里的分析中心，把日志及安全事件信息都可以集中汇报到上面去，进行分析以后，再以策略的形式下发。SMC还具有有扩展能力，可以基于流量、行为、业务建模，实现防DDOS、刷单、薅羊毛或者是反APT等复杂功能。所以安全管理中心是我们防御体系的一个“大脑”，不光是防御、检测，它还可以响应，如果把公有云的一些安全情报的能力跟它对接，它就可以进行预测。

       第三层，上元云：其实也是一个安全的SaaS服务，包含数据接入层、分析监控层、安全能力层，这三个部分。通过数据接入层，也是SaaS入口，可以把安全网元或者 SMC注册到我们的SaaS平台上，以租户隔离的模式，去管理、监控私有云的状态；通过分析监控层，对数据进行分析，提供可视化、报表、告警等，实现云内的态势感知，进而更新 策略；通过安全能力层，把持续更新的核心安全能力同步给SMC及安全网元，同时，上元云也提供了开放的接口，可以把业内优秀的安全能力接入进来，比如沙箱、威胁情报、云抗D等，提供防御和预测。上元云也支持移动APP，可以随时随地对云内的安全状态进行查看、推送。

       以上，就实现了完整的上元自适应防御体系。

上元·云安全，安全是一种技术能力
       我们认为，安全是一种技术能力。技术需要分享和交流，在目前日益复杂的安全态势下，上元愿意与合作伙伴一起，协作、赋能，共同解决云环境下的安全问题。

标签： ddos 安全 防火墙 服务器 公有云 企业 网络 网络安全 问题 信息安全 行业 云计算

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。