從雲上資料到零信任 五家安全廠商這樣講雲安全
對於雲端的安全問題,業界已有多年對各維度的廣泛討論。數字化轉型的浪潮,無論是哪種雲的形態,既是企業戰略轉型的機遇,也是安全廠商必爭的重要市場。安全的問題一直是複雜的,再加上雲的靈活性,需要多方的合力。而這中間,專精於不同領域的安全廠商,各自扮演著重要角色。
第9屆安全牛CS系列解決方案大會,5家安全廠商從5個不同的角度,對如何保障雲端安全,進行了詳細的分享和探討。為方便因各種原因無奈錯過的人,安全牛將此次會議的內容乾貨整理如下。
1. (雲上)資料安全
近些年,大中型企業資料洩漏事件頻發,合規性已經不再是雲端資料安全的唯一驅動力。除了銀行、政府等行業自建的私有云,在混合雲以及公有云環境下,資料的流動情況、是否被雲服務商濫用,都是租戶非常關心且亟待解決的問題。因為安全事件一但發生並被曝光,使用者信任的波動將直接對企業業務造成影響。
資料庫安全起家的安華金和,對資料安全有著深刻的理解和豐富實踐。隨著主要安全場景向雲端的延伸,安華金和認為,和雲服務商更少利益瓜葛、相對獨立的雲資料安全供應商(CDSP),能更好的從使用者出發,提供專業的防護能力。
安華金和方案總監 宣淦淼
安華金和還提出從“安全摸底”、“行為管控”、“安全稽核”三個角度實現的資料安全治理體系。在最先要進行的“安全摸底”階段,對資料資產、風險和安全防護狀況進行摸底,包括使用一些半自動化的資料梳理工具,對資料進行分類分級;在“行為管控”階段,針對不同場景,結合資料庫加密、防火牆、水印/脫敏、運維管控等產品,對異常行為作出判定和響應;在“安全稽核”階段,則更多的通過資料庫審計和針對資料流動的態勢感知產品,找出潛在的異常資料操作行為,並對資料的安全態勢作出綜合研判。
最後,宣淦淼還介紹了某省政務雲的資料安全治理的實際案例。
2. 執行時應用自保護
RSAP(執行時應用自保護)是一種應用安全領域的技術,Gartner對其的描述是:應用程式不應該依賴外部元件進⾏運⾏時保護,⽽而應該具備⾃自我保護的能⼒,也即建⽴應⽤執行時環境保護機制。
RASP技術的應用,在於與Web應用的深度融合。基於應用的邏輯、行為和上下文,RSAP會監聽應用程式資料交換的每一個節點,對訪問應用的請求進行程式碼級的檢測,輸出時進行審查,以識別異常的應用邏輯。所以RSAP最大的優勢,相較於傳統的幾乎沒有誤報,並且可以應對未知漏洞。
安百科技聯合創始人 王青龍
安百科技的靈蜥平臺,便是RASP技術理念的一種體現。靈蜥能力的重點在於事中的安全監控、(雲端)應用加固、安全運維。同時,實時的告警,視覺化的安全態勢,雲端免學習的規則同步,可以更有效的實現應用全週期的動態安全防護。
3. 雲工作負載保護、終端檢測與響應
簡單介紹下技術背景。
雲工作負載保護:
Gartner在2017年的“頂級資訊保安技術”中提及了雲工作負載保護平臺(CWPP)這一技術,並介紹道:這一技術要支援工作負載流轉的物理主機、虛擬化主機和容器環境,支援多個公有云(或混合雲)架構,並可以通過統一的管理中心、統一的安全策略進行管理。
CWPP技術的設計理念,是通過輕量級的代理實現,自底向上,從使用者的運維習慣出發,覆蓋伺服器的核心和備選策略。
終端檢測與響應:
終端檢測與響應(EDR)“人如其名”,在雲環境下,能力的側重都點在於對主機發生的安全事件的記錄、識別分析,並作出快速響應。補充重防禦的終端防護平臺(EPP)類產品後,更符合Gartner曾提出的自適應安全體系。
再結合雲安全服務資源池的理念(按需滿足不同客戶對安全能力的需求),以主機安全見長的安全狗,推出的落地方案是雲安全平臺——雲壘。
據安全狗首席安全架構師程長高介紹,主機層的安全,需要在顧及不同人員對主機的管理效率的前提下,兼顧不同特徵(敏態/穩態)業務對資源消耗和穩定性的影響(輕量級代理)。
安全狗首席安全架構師 程長高
在安全狗的主機入侵檢測和安全防護系統中,著重覆蓋了:(基線)加固及防護、資產採集與監控、結合威脅情報的入侵和風險監測,以及事件的響應處置,四個方面。在事前、事中和事後三個階段,從資產聚合、反殺傷鏈和入侵響應三個維度來應對主機安全問題。同時,針對主機在不同失陷階段的狀態,識別入侵併對攻擊源頭進行追溯。
值得一提的是,安全狗在全球幫助超400萬主機進行安全防護。主機層的威脅情報,是其獨特的優勢。結合其嘯天態勢感知平臺對海量安全資料集中處理和分析的能力,對主機安全事件的判斷,和使用者全網威脅的監測,會更具針對性。
4. 多型雲安全治理
雲的特殊性,更加模糊的邊界、安全建設與管理的矛盾、資產與運營的分離,讓雲安全面臨更復雜的挑戰。盛邦安全提出的思路,是從治理、監測、防禦和審計四個角度,建設“多型”的雲安全治理體系。
盛邦安全產品總監 聶曉磊
在治理階段,重要的是對資產的梳理,包括資產屬性的學習和資產安全域的劃分,進行安全性和合規性的審查,並做好資產的備案管理;在監測和防禦階段,更多是從合規性、安全性和可用性這三個角度,依賴產品和服務,搭建自身監測和防護能力模組,對資產的健康狀況進行統一的管理;在審計階段,這是個貫穿始終的事情,對日誌、對流量特別是東西向流量進行收集異常監控和審計。
除此以外,在產品和治理體系的交付層面,_更重視行業屬性和現有(雲)安全生態的力量。
5. 微隔離&流量可視
“零信任”這個理念在今年的網際網路安全大會(ISC)上被重新提及。零信任模型,要求對資源的訪問使用最小許可權策略,無論使用者是否經過出入口統一的認證,都要進行嚴格的集中管控,並對所有流量進行檢查和記錄。基於此,在雲內東西向流量的安全防護這個場景下,山石網科看來,微隔離和流量視覺化是兩個實現“零信任”的關鍵技術。
山石網科雲端計算安全產品線總監 榮鈺
在雲上實現零信任的難點有三:
一是“多”。包括雲上的資產、藉助遷移和編排等技術,隨著業務快速變化的虛機、以及和業務對應的應用等。
二是“變”。無論是處於哪種形態,混合雲、私有云,亦或是從虛擬化跨入私有云,雲的邊界、雲上的資產和應用,都在以傳統IT所難以想象的速度快速變化。
三是“難”。雲基礎設施涉及的廠商眾多,一旦出現安全事件,對問題的定位、責任的劃分、跨部門和廠商間的協作,都會成為響應速度的瓶頸。
同時,橫跨以上這三點的,就是安全威脅。虛擬化放大了傳統IT環境下安全域的規模,隨時可能陡然增加維護工作量,藉助東西向流量所發起的攻擊難以準確定位,直接影響了責任的劃分和進行下一步的處置。
山石網科的雲·格,是基於SDN(軟體定義網路)的一套微隔離和視覺化方案,並與VMWare NSX深度整合,為租戶和雲平臺方提供多維度、立體的安全域劃分。
雲·格不是一款新產品,但仍在不斷優化更新。比如說動態地址簿、策略小助手等功能,為虛機批量新增策略,或自學習後進行粗略的策略配置等待再確認,以減輕業務變化所帶來的彈性防護需求給運維人員帶來的壓力。
同時,在VNF(虛擬化網路功能)類產品方面,山石網科也在近期推出了國內首個開源MANO(OSM)專案相容認證的雲端計算虛擬防火牆(基於Tacker和OpenStack),並對NFV框架標準的更新持續關注。榮鈺表示,山石網科在積極研發支援Release 3版本標準的產品,並可能在明年(2019年)正式釋出。
開放標準、注重廠商間協作,才能構建真正的生態;這個生態是促進雲端計算和雲安全發展的重要基礎。