道與法
特別關注
作者:杜林 程彥博
本期封麵報道的照片中顯示的是美國加利福尼亞州Palo Alto市的街景。Palo Alto市位於矽穀的中心,很多科技公司聚集於此。近年來,由它的名字命名的網絡安全廠商Palo Alto Networks因為率先推出下一代防火牆(NGFW)並在市場上取得領先,讓Palo Alto這個名字更被全世界的信息安全從業者熟知。
信息安全不僅直接關係到信息係統建設和應用的成敗,如果從國家和社會的層麵來講,信息安全怎麼說都有理,都不為過。
如今,我們對於信息安全的熱情空氣高漲,大力提倡自主可控。美國是信息技術的發源地,矽穀現在仍然是全球IT的創新中心。看一看他們處在什麼位置,看一看他們對於信息安全的理念和策略、技術和方法,我們或許才能夠更好地尋找相應的措施和解決方案。
從下一代防火牆到下一代安全
6月底,Gartner發布了2014年十大信息安全技術,同時指出了這些技術對信息安全部門的意義。這些技術包括雲端訪問安全代理服務、全麵沙箱分析與入侵指標確認、端點偵測及回應解決方案、 針對物聯網的安全網關與防火牆……
Gartner副總裁Neil MacDonald表示:“企業正投入越來越多的資源以應對信息安全與風險。盡管如此,攻擊的頻率與精密度卻越來越高。高階鎖定目標的攻擊與軟件中的安全漏洞,讓移動化、雲端、社交與大數據所產生的‘力量連結(Nexus of Forces)’在創造全新商機的同時也帶來了更多令人頭疼的破壞性問題。伴隨著力量連結商機而來的是風險。負責信息安全與風險的領導者們必須全麵掌握最新的科技趨勢,才能規劃、達成和維護有效的信息安全與風險管理項目,同時抓住商機並管理好風險。”
簡單地說,雲計算、移動、社交網絡等新興技術和應用,給信息安全帶來前所未有的安全挑戰。名不見經傳的美國網絡安全廠商Palo Alto Networks推出了第一款下一代防火牆,讓自己的名字迅速走紅。下一代防火牆應運而生,正是因為當前新興技術和應用為各類組織和機構帶來的安全威脅,它們呈現出和傳統威脅並不相同的特征,需要用戶不僅要對網絡層以下的數據包和流量進行過濾,更需要對上層的應用進行識別和分析。而下一代防火牆除了要實現傳統防火牆的功能以外,一個重要特征就是要具有業務的識別能力並具有安全的可視化,它能夠識別應用程序並在應用層上執行網絡安全策略。
現在,幾乎各個安全廠商都在推廣自己的下一代防火牆產品,這其中有傳統的網絡安全廠商,也有新興的應用安全廠商,但是毫無例外,他們都將下一代防火牆作為自己的主推產品。這樣一種趨勢,一方麵說明了下一代防火牆作為傳統防火牆的替代品或者升級版,具有非常巨大的潛在市場;另一方麵,在由下一代防火牆開始的信息安全產業變革中,融合的趨勢越來越顯著。
Palo Alto Networks率先推出下一代防火牆並且成為行業標杆,這一行為不僅捧紅了自己,也捧紅了一個詞——“下一代(Next-Generation)”。比如,與下一代防火牆相配合的,與傳統IPS相對應的下一代IPS(NGIPS)同樣浮出水麵。根據Gartner的定義,下一代IPS除了具有傳統IPS的功能以外,還需要具有對應用的可視化和控製功能,情景感知(Context Awareness)、內容感知(Content Awareness)以及敏捷式引擎。
Gartner認為,下一代IPS正是為了解決在新興業務環境下出現的新型高級網絡攻擊而傳統IPS產品無法應對的問題。下一代IPS的與傳統IPS核心的區別為是否具有自適應安全能力的敏捷式安全引擎,下一代IPS借此才能夠實現周而複始不間斷地發現辨識網絡信息、學習並關聯信息、自動調整行動策略的自動防禦能力。
已經被思科收購、以入侵檢測和防護見長的網絡安全廠商Sourcefire發布的下一代IPS就聲稱能夠針對高級威脅為用戶提供智能化的實時檢測和上下文感知、完整的可視化,以及自動化的智能安全,它可以通過被動入侵檢測模式將可疑的網絡通信流量和行為及時通知給用戶,並通過內聯 IPS 模式阻止威脅。在年初由NSS實驗室公布的數據中心場景IPS測試結果中,SourceFire產品的滲透攻擊阻擋率達到99.4 %,並100%有效防範了逃逸技術。
事實上,無論是下一代防火牆還是下一代IPS產品的問世,其根源都在於新技術和新應用所帶來的劃時代的巨變,給信息係統的安全帶來了顛覆式的變化。而在下一代防火牆和下一代IPS之後,也有很多信息安全領域人士開始討論更深入的話題——下一代安全。
顯然,下一代安全包含了更多的內涵。放眼望去,處在這個IT時代變革的交叉點上,IT的下一代必然帶來安全的下一代。但是,當下一代IT已經端倪初現,神秘的麵紗正在慢慢揭開之時,究竟如何構建與下一代IT相適應的下一代安全,似乎還沒有人能夠具有完整清晰的思路。
雲計算就是下一代IT的典型一例。雲計算的新特性讓傳統的信息安全防護體係不再能夠提供足夠的防護。當然,雲安全也出現在今年Gartner提及的十大信息安全技術中,雲端訪問安全代理服務(Cloud Access Security Brokers)即部署在企業內部或雲端的安全策略執行點,位於雲端服務消費者與雲端服務供應商之間,負責在雲端資源被訪問時套用企業安全策略。在許多應用實例中,用戶初期所采用的雲端服務都處於IT掌控之外,而雲端訪問安全代理服務則能讓企業在用戶訪問雲端資源時加以掌握和管控。
MTM Technologies公司戰略和創新總監Bill Kleyman則認為,由軟件定義的下一代安全將重新定義雲計算。他指出,為解決雲計算的安全問題,下一代安全將呈現三個方麵的特征:
一是邏輯安全的抽象。下一代安全將具備足夠的技術能力與各個層麵進行交互,這意味著可以將安全部署為直接與底層物理組件進行交互的虛擬服務。在任何情況下,數據中心的安全性都將圍繞著虛擬化和雲展開。
二是可擴展的安全服務。下一代安全使用各項服務來控製和安全相關的基礎設施數據。應用程序防火牆、網絡流量監控設備將提供新的安全級別。設想一下這樣的場景,在關鍵應用程序的後台存在一個強大的安全引擎,而這個引擎可以試探性地學會如何運行應用程序並停止任何異常流量。
三是數據安全與控製。它不隻保護用戶的信息,在大數據時代,下一代安全解決方案還將幫助用戶控製流量。管理者可以設置控件來管理用戶和用戶組,這將創建一個動態的環境,當用戶使用雲計算時他們可以在那裏讓數據管理和用戶管理更加智能化。更重要的是,因為數據和虛擬機是流動的,它們能夠快速地遍曆數據中心中的節點,所以下一代安全應該精確地知道如何有效控製這些數據,並且在這些數據穿過各個節點時為其提供足夠的防護。這將更加有效地幫助用戶實現數據的安全性、完整性和可控性。