云時代運營商安全防護五步走
很多調(diào)研機構(gòu)都認為,電信運營商是最有發(fā)展?jié)撡|(zhì)的云服務(wù)提供商,而云計算也將成為運營商邁向未來的重要助推器。但是,“云”時代的安全防護也成為運營商必須關(guān)注的問題;日前,在世界運營商安全設(shè)備市場占有70%市場份額的Arbor公司指出,運營商在部署新的網(wǎng)絡(luò)安全防護方案時,充分考慮“云”時代安全問題的幾個關(guān)鍵。
首先,大型運營商的IP網(wǎng)絡(luò)應(yīng)該具有良好的擴展性,能夠為運營商網(wǎng)絡(luò)的流量分析、安全監(jiān)控和流量清洗服務(wù)。這就需要采用的安全防護與流量清洗系統(tǒng)應(yīng)采用分布集中式結(jié)構(gòu),一臺控制器可以同時關(guān)聯(lián)并管理多臺收集器,這樣可根據(jù)網(wǎng)絡(luò)規(guī)模和流量的增加而進行平滑的升級,只需要根據(jù)網(wǎng)絡(luò)流量的情況增加收集器即可增加系統(tǒng)的處理能力。系統(tǒng)的控制器能夠?qū)π略龅氖占鬟M行統(tǒng)一的管理,并可以在增加收集器時將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負載,原有的數(shù)據(jù)和結(jié)果并不會丟失。
第二,由于“云”時代所體現(xiàn)的全球性,在病毒安全防護上,也應(yīng)具備同樣廣闊的視野和防護能力,在這方面,我們可以看看世界運營商市場占有70%市場份額的Arbor公司,其提供的“云計劃”(In-Cloud Computing)就是這一思路的最好印證。通過全球多家著名運營商簽署合作協(xié)議,并在其網(wǎng)絡(luò)內(nèi)部部署 ATLAS 服務(wù)器,收集網(wǎng)絡(luò)內(nèi)部各類安全事件,再結(jié)合FingerPrint(安全攻擊指紋特征)數(shù)據(jù)庫服務(wù)器,Arbor公司就可獲取針對運營商網(wǎng)絡(luò)新型病毒攻擊的第一手資料。
對于運營商而言,這樣做的好處顯而易見:當(dāng)網(wǎng)絡(luò)出現(xiàn)病毒的可能性增加時,運營商能夠馬上通過病毒爆發(fā)事前的掃描等異常流量和特征行為,掃描定位病毒并找到源頭進行控制。相比之下,傳統(tǒng)的流量分析產(chǎn)品只有當(dāng)病毒流量達到一定程度的情況下才能夠發(fā)現(xiàn)病毒,而這個時候病毒已經(jīng)擴散出去了,并且如果無法定位到物理的端口的話,很難對已經(jīng)爆發(fā)的病毒實現(xiàn)精確和全網(wǎng)關(guān)聯(lián)的控制。
第三,我們都知道,大客戶是運營商業(yè)務(wù)發(fā)展的核心重點,在“云”時代,這一要素更需要被大大強化。因此,運營商需要對大客戶的流量格外關(guān)注,相關(guān)設(shè)備應(yīng)該具備根據(jù)端口、地址、AS等條件定義用戶,并對用戶的全部流量進行關(guān)聯(lián)分析等功能。
通過分析大型用戶的業(yè)務(wù)特點,運營商可以獲得重要用戶的應(yīng)用特點和最多應(yīng)用IP的分析。而這些寶貴的數(shù)據(jù)將會有助于運營商對內(nèi)部大業(yè)務(wù)的分析,通過掌握大用戶的信息,最終提高業(yè)務(wù)質(zhì)量和核心競爭能力。
像Arbor Networks這類在運營商安全市場的標(biāo)桿企業(yè),就是通過Management Portal模塊,專門為運營商的大客戶提供增值自服務(wù)功能。運營商的大客戶可以對自己的流量進行監(jiān)控,并自己配置監(jiān)控條件對其關(guān)心的內(nèi)容進行分析。同時根據(jù)用戶的需求,可通過擴容BI產(chǎn)品實現(xiàn)系統(tǒng)用戶分析對象的增加,最大支持高達10000個用戶自定義對象的分析能力。
第四,“云”時代的核心,就在于多種多樣創(chuàng)新的網(wǎng)絡(luò)應(yīng)用,而這也帶來安全上最大的挑戰(zhàn),那就是針對各種新應(yīng)用的安全檢測與防護,這就要求運營商所采用的安全設(shè)備,應(yīng)具備深層數(shù)據(jù)包檢測(DPI Deep Packet Inspection)功能,可對進行流入的數(shù)據(jù)報文內(nèi)容進行探測,從而確定數(shù)據(jù)報文的真正應(yīng)用。并進一步對全網(wǎng)熱點應(yīng)用流量加以分析,滿足運營商控制成本、提高客戶滿意度和開展新服務(wù)業(yè)務(wù)方面的需求。
最后一點,云時代的運營商在選擇安全防護設(shè)備時,還應(yīng)考慮到在安全設(shè)備上的投入不應(yīng)是“沉沒成本”,安全設(shè)備在實現(xiàn)防護任務(wù)的同時,也應(yīng)該對運營商的業(yè)務(wù)管理起到幫助作用,比如流量清洗設(shè)備,除了對攻擊流量能夠進行有效控制和清洗外,還應(yīng)利用自身具備的深度應(yīng)用檢測引擎,對多種業(yè)務(wù)流量加以控制,針對需要檢測和控制的流量設(shè)置相應(yīng)的閥值,例如,針對網(wǎng)絡(luò)內(nèi)部的Email、Web、VoIP、IM等應(yīng)用流量,將該流量規(guī)模控制在一定范圍內(nèi),來保障網(wǎng)絡(luò)正常帶寬的充分和最具經(jīng)濟價值的利用。
【編輯推薦】
