本文是WOT2016互联网运维与开发者大会的现场干货,新一届主题为WOT2016企业安全技术峰会将在2016年6月24日-25日于北京珠三角JW万豪酒店隆重召开!
云时代的有哪些新挑战?有哪些老问题?企业对云安全的真实需求是什么?针对这些问题,在WOT2016互联网运维与开发者大会的运维安全专场中,青藤云安全创始人张福在主题为《面向未来的自适应安全架构》的精彩演讲进行了诠释,并展示了青藤的解决方案——自适应安全架构。他表示:“就像云迁移是一个递进构成,云安全落地最需要的是自适应。”
【嘉宾简介】
张福,青藤创始人,自初中起张福就是安全攻防技术的爱好者、研究者,大学毕业后历任盛大技术总监,MochiMedia中国CTO、昆仑万维游戏和移动互联网事业部技术负责人,长期结合互联网业务和产品,对企业安全需求有深入的理解和实践。
多年来,张福一直在企业内部做安全相关工作,创业后通过与多位企业运维负责人的沟通,大家都认为企业的安全很难做。因为现在在企业内部没有自己的安全架构,而且资源和安全人员也很匮乏。在企业内部做安全,缺乏人才,整个IT技术设施的架构管理不是很好。
云计算时代的新挑战
云计算时代的新挑战是什么呢?张福表示,主要有两大挑战:
第一,IT环境动态变化带来的挑战。随着云计算的兴起普及,网络边界越来越模糊,业务变得越来越动态。比如:以前部署几千台机器上的应用,可能需要规划很久,然后逐步去部署。但是现在云计算时代,部署非常的快,在短时间内即可把整个都换一遍。这种高动态性,以及越来越复杂的软件架构,使得安全变得越来越难做。
第二,对于行业来说,黑客攻击日益隐蔽、专业。黑客攻击越来越活跃,黑客攻击越来越偏向商业化。早期的黑客可能仅仅是炫耀自己的技能,而现在的很多黑客要的是实际的经济利益。而且,黑客赚的钱远比一个安全从业者赚的要多。在黑客的世界里,黑客既能够赚钱,有很拽,而安全从业者又苦逼,又不被重视,赚钱还少。这就导致了一家企业的安全难以做好,无论这家企业是大公司还是小公司。即使公司非常有钱,在安全上投入很大,但是也未必能够把安全做好,因为最大的问题在于人员的匮乏,而且缺乏一种好的理念和技术做事情。
企业对云安全的真实需求是什么?
通过对多个企业的调研,张福发现谈到对安全的想法,企业搞不清楚是老问题还是新问题,企业的想法很简单,就是需要一种方法,能够把新老问题都解决,彻底解决企业的需求。也就是,企业需要跨越式一举解决新老问题,既立足于解决当前需求,又能提供适应业务变化,面向未来,可扩展升级。
云安全落地最需要的是自适应
索尼《刺杀金正恩》等安全事件的发生,以及军工、金融企业遭遇到非常严重的定向攻击,给这些企业带来了很大损失。因此,整个行业开始反思,安全究竟哪里做的不好?其实并不是安全的产品做的不好,而是整个安全的体系在过去是有缺陷的。为什么这么说呢?是因为过去的安全,过于强调于防御。企业以为购买了防火墙等安全设备,就可以防住一切攻击。而安全厂商仅仅是满足客户的需求。现在企业终于意识到将去太多的投入或太多的期望都放在防御上,是错误的。因为对于黑客来讲,你的防御措施只能挡住一部分已知的攻击,有大量的攻击或者新的方法是你现有的防御体系挡不住的。所以如果假设一家企业不能挡住所有的攻击,那他应该怎么办呢?假设黑客如果成功攻击了一家企业,你能在第一时间发现并且采取快速的有效的处理,其实他也不会遭遇很大的损失。尽管防不住,但是能够第一时间发现,其实损失还是能够控制在很小的范围内的。所以这就是自适应安全的第二个象限,叫监测。因为监测的能力,使得我防不住,但是我能够即使处理。所以在近几年,就是美国或者全球的安全市场上,监测能力是被大家尤其强调的。做好防御和监测体系是不是就没问题了呢?其实也不是不能的。其实我们可以想像一下,比如说公司里管理的服务器,有一台突然产生了报警,他告诉你监测到了黑客活动的迹象,接下来你会怎么办?你肯定心里很紧张,但是有三个东西你一定会想了解。第一个问题,企业的防御很强,监测也到位,黑客是怎么进来的呢?因为他穿透了你的防御体系,而你的监测只能知道他存在,但是你不知道他是怎么存在的。第二个问题,黑客在个业务系统范围里到底干了些什么,这也是不知道的。第三个,除了已发现的,他究竟还潜伏在了哪些地方。这三个问题回答不了其实对于一家企业来讲是致命的。
所以对于一家大企业来讲,他一定想把这个东西搞清楚。所以整个大数据,在安全领域的应用,主要是集中在这个方向。这就需要自适应安全的最重要的能力,就是做回溯分析。通过回溯分析了解黑客是怎么进来的,做了什么,干了什么,将整个场景还原,然后反过来加强企业的防御和监测体系。所以这样就使得安全成了一个闭环,它不再是一个孤立的东西,而是一个可以持续改进的东西。
假设青藤尽可能去建立防御体系,发现被穿透的后立刻做分析,从而再改进企业的防御和监测体系。当这个闭环形成后,一家企业安全的系统,它就不是一个死的东西了,而是一个有生命力、有活力的东西,它会一直跟随你的变化而不停的演进。那这个系统的核心是什么?是人,正是由于人的持续对业务的监控和分析,使得这个体系是活跃的。所以在未来,大家看安全的时候,一定会发现人在安全里面是不可替代的,在最新的安全体系里面,人的作用是更加重要的。所以以人为核心的持续监控和分析,来驱动这套体系,就形成了自适应安全。
然而在一家企业内部,这样的一个循环迭代,这种改进是很慢的。因为第一,你必须得发现你防不住的攻击才能去改进它,但是如果这种攻击本身就是发现不了的,那你也没有办法去改进。所以就有了第四象限,就叫威胁联动。现在讲的比较活的威胁情报,其实是放在第四象限的。为什么会有这个东西呢?就是假设如果能够把千千万万的企业联结在一起,一家企业产生的问题能够进行有效的分析之后,然后同步给其他企业,那我作为其他企业来讲,并没有被黑客攻击,但是我能够知道这种黑客攻击的方法,在我的业务系统里面,是不是能够绕开我的防御系统,是不是能够逃避我的监测能力?所以我就能够有针对性的在我自己体系内去修改,去加强我的防御和监测。所以使得这个圈就不再是每家公司孤立的转,而是整个行业的公司,有一家在转这一个圈的时候,其他的企业也跟着转一圈,这样对于每家企业来讲安全体系的进化就会变得非常快速,而且能够很好的跟进最新的情况。所以这个就是第四象限,那防御、监测、回溯、分析和威胁联动,就构成了自适应的安全体系,它的核心就是人的持续监控和分析。
自2014年6月Gartner提出这个体系后,整个安全行业特别是美国的和以色列的,都在往这个体系上走。如果大家会硅谷看一下的话,就会发现各个公司都在做自适应安全。在未来越来越动态和复杂的环境下,如何把安全做好,如何抵御哪怕是最专业的黑客的攻击,设计这个自适应的安全体系就是为了解决这个问题。
自适应安全体系
因为自适应安全的体系,在国外是由众多硬件构成的,但是由硬件构成的体系有一个问题。第一,各个厂商的设备之间没法很好的做沟通协作。第二,它的成本也会非常的高。第三,即便你有很多产品来构成这个体系,但其实还是需要去做一个管理系统的,就是把这些零散的产品能够整合在一起,变成一个统一的、完整的东西,所以在国外虽然自适应安全提出来之后,大家都看到是一个未来的方向,但是事实上他的落地是非常慢的,可能就是真的需要比如说五年到十年的时间,才能慢慢落地,但是在中国情况不一样。因为中国的安全厂商数量其实也比较少,细分也没那么高,相比美国来讲,中国安全的行业,还是一个比较狭窄,并且就是比较传统和保守的行业。
所以,构建这个体系时青藤云安全选择从底层做起,先做了一个最基本的架构,这个架构是一个软件的架构,它是由三种Agent加sever构成的。这三种Agent,第一种是需要装在每台服务器上的。它可以装在虚拟机里面,也可以装在物理机,可以装在阿里云上,也可以装在UCloud和AWS上,所以它是跟基础架构无关的。第二种Agent,能够把任意一台虚拟机或者物理机变成一个流量分析的设备,只要你把流量丢给它,它就能够从流量中分析出东西来。那这两个东西最大的特点是什么呢?就是它是相互联动和配合的,它是一个整体,而不是零散的东西,而且它们干的事情跟传统的安全IPS、IDS、防火墙都是截然不同的。第三个Agent是一个分布式的外部系统。它能够站在外部来看待问题,所以这三种Agent其实代表了看待问题的三个角度,第一个角度就是一家企业内部的角度,因为在每台机器上都有Agent,所以它能够像人一样的站在内部来看待问题。第二个角度就是站在网络和边界的角度,也就是站在业务内部和业务外部的边界处,来感知你很多的信息。第三个角度,就是站在一个独立第三方的角度,就是作为一个独立第三方,我是怎么来看待这些资产和问题的?所以这三种角度,就带来了一个非常完整的视角。
演讲视频:http://edu.51cto.com/lesson/id-100718.html
