三大要素+六個魔法 = 數(shù)據(jù)中心安全
隨著各種業(yè)務都逐漸搬到了線上進行,企業(yè)和機構的日常運行越來越依賴于數(shù)據(jù)中心,數(shù)據(jù)中心的優(yōu)劣會直接影響到企業(yè)的日常的運營——包括企業(yè)業(yè)務的安全性能否保障。數(shù)據(jù)中心的安全性和用戶的隱私、線上業(yè)務的穩(wěn)定性以及企業(yè)的虛擬資產(chǎn)息息相關。而聯(lián)網(wǎng)設備和應用激進,也增加了大量的新的攻擊入口,傳統(tǒng)的安全邊界方法已不足以保護動態(tài)的應用和工作負載。
作為一家全球領先的網(wǎng)絡公司,思科針對這個問題提出了他們的解決方案。最近,安全牛了解了思科提出了數(shù)據(jù)中心安全需要三個必備要素:可視、分段以及威脅防御。
三大要素:可視、分段、威脅防御
在現(xiàn)代的多云環(huán)境下的數(shù)據(jù)中心,需要依靠三大要素構建起安全:可視、分段以及威脅防御。
如果企業(yè)、機構無法知道自己環(huán)境里到底有哪些設備、用戶、網(wǎng)絡、應用、服務以及進程,顯然他們是無法真正做到防御的——因為他們甚至不知道自己該保護的東西有哪些,在哪里。因此,對于一個數(shù)據(jù)中心而言,可視化是安全的第一要點。企業(yè)需要全數(shù)據(jù)中心的可視化功能來實時監(jiān)控自己的環(huán)境——知道自己網(wǎng)絡有哪些設備、用戶、服務,知道自己的網(wǎng)絡里在發(fā)生著哪些行為、事件。因此,通過可視化功能,企業(yè)與機構不僅能知道自己環(huán)境中是否存在異樣的 活動者,更可以通過觀測各個實體的行為來察覺是否有異樣。
分段則將一個龐大的系統(tǒng)分為一個個小系統(tǒng)。從管理上來看,技術人員不再需要單獨處理一個極其復雜的系統(tǒng),而是可以將這些系統(tǒng)作為一個個小系統(tǒng)單獨對待,從而對各個系統(tǒng)有更好的管控。而從安全的角度上來看,分段的最大價值在于縮小了企業(yè)的受攻擊面。通過進行分段,管理者可以對東西流量進行控制,從而防止攻擊者以及異常數(shù)據(jù)在東西向移動,確保內部安全。攻擊者的目標往往是數(shù)據(jù)中心中高價值的資產(chǎn),采取分段后,攻擊者將難以直接接入系統(tǒng)獲取權限;企業(yè)從而可以避免了大部分的攻擊。其次,在對整個系統(tǒng)進行分段后,企業(yè)可以針對業(yè)務對相關功能進行管理以及特殊配置,滿足各種合規(guī)要求——而不需要對整個系統(tǒng)進行改變去滿足合規(guī)需求,從而以更低廉的成本滿足合規(guī)的需求。
無論布置了怎樣完備的安全措施,攻擊始終是無法避免的。而對于企業(yè)和機構來說,當攻擊無法避免的時候,就需要快速探知攻擊,從而降低甚至規(guī)避損失。幾乎所有企業(yè)都在處于受到攻擊的狀態(tài),只是大部分企業(yè)都沒有意識到自己受到了攻擊。現(xiàn)代數(shù)據(jù)中心面臨著各種挑戰(zhàn):跨中心跨平臺的工作負載、工作面隨著移動應用的使用而增加、員工的終端被惡意代碼植入成為了攻擊的 發(fā)起點等等。企業(yè)需要從之前的“是否會受到攻擊”以及“如何完全防御攻擊”的思維過渡到“何時會受到攻擊”以及“如何感知甚至預測攻擊”的思維。因此,企業(yè)需要多層威脅防御方案,對到來的攻擊快速進行探知以及響應,防止攻擊者竊取數(shù)據(jù)或者中斷業(yè)務。
新時代的數(shù)據(jù)中心只有滿足了這三大要素,才能真正為自己的用戶提供數(shù)據(jù)中心的安全能力。這三大要素需要達成的最終目的是通過可視化對數(shù)據(jù)中心進行全局的掌控,通過分段縮小自己的受攻擊面,通過威脅防御來阻止攻擊的蔓延。將這三個要素一體化達成,是思科對數(shù)據(jù)中心安全的核心思想。
六大安全魔法
基于可視、分段和威脅防御的思想,思科有六大解決方案來確保數(shù)據(jù)中心安全。
1. Fire power NGFW
現(xiàn)今大部分的NGFW即使能做到對應用端的管控,也還是很少有威脅防御的能力。而即使部分NFGW試圖去增強這部分的能力,他們的策略也僅僅是加上各種非一體化的產(chǎn)品——但是這種方式顯然杯水車薪,因為他們無法應對更為老道的攻擊者或者更先進的惡意軟件,也無法在事中減小感染面、對受攻擊部分進行隔離,更不要提快速恢復。而思科的Firepower NGFW則做到了對防火墻、應用管理、威脅防范以及網(wǎng)對端的高級惡意軟件防護的一體化防御,可以做到接入控制、阻擋攻擊和惡意軟件,并且即使無法成功防御住攻擊,也有一體化工具去追查攻擊情況并且進行恢復,達成了威脅防御的需求。
2. Stealthwatch
Stealthwatch為企業(yè)提供對流量連續(xù)的實時監(jiān)控。因此,企業(yè)得以對環(huán)境有一個可視化的掌控,從而能更快地對可疑行為采取行動。Stealthwatch通過創(chuàng)建一個正常網(wǎng)站運營的基線,然后使用環(huán)境感知自動探測環(huán)境中的非正常行為。針對常見的惡意軟件、DDoS攻擊,甚至零日攻擊和APT攻擊都能進行有效的防御。而另一方面,隨著https的普及越來越廣泛,服務器接收加密流量、加密文件已經(jīng)逐漸成為常態(tài),而越來越多的攻擊方式也采取了加密流量的來越過防御機制。而一旦對加密流量和加密文件進行逐一的解密分析,會嚴重降低數(shù)據(jù)中心的處理能力,使業(yè)務能力受到影響。然而,Stealthwatch可以在無需解密的情況下利用機器學習,識別惡意的加密流量,準確率高達99.9%,確保安全的同時不影響業(yè)務的運行。
3. 面向終端的高級惡意軟件防護(AMP for Endpoints)
即使在網(wǎng)絡層面進行了大量的保護,終端防護依然是安全的最后一道屏障。AMP for Endpoints是一個基于云的終端安全解決方案,在網(wǎng)絡層的防御被攻破后,提供對終端的防御、檢測以及響應能力。AMP for Endpoints對所有到達服務器系統(tǒng)的文件進行分析,在影響系統(tǒng)前發(fā)現(xiàn)惡意代碼,從而進行隔離保護。
4. 應用為中心的基礎設施(ACI)
盡管在網(wǎng)絡設計和業(yè)務運維上,分段可以幫助企業(yè)帶來更好的安全性,但是最終依然需要一個統(tǒng)一的管控對全局進行把握。ACI作為思科SDN的解決方案,ACI將物理層與虛擬層整合成為一個可編程的多層數(shù)據(jù)中心,對整個網(wǎng)絡環(huán)境的各個分段有著統(tǒng)一部署安全策略的能力。更為重要的是,從安全的角度來看,ACI可以完整查看應用的系統(tǒng)架構,擁有集中的應用級可視性,可以對物理層和虛擬層的實時應用狀況進行監(jiān)控,確保隨時能夠發(fā)現(xiàn)異樣情況。
5. Tetration平臺
Tetration平臺則對多云數(shù)據(jù)中心提供全局保護。Tetration提供四種保護:基于白名單的零信任機制、基于行為的服務器進程分析、服務器端的軟件包漏洞檢測以及主動對威脅進行防御——比如將有威脅的部分暫時隔離。Tetration可以在上千個應用中統(tǒng)一部署上億條規(guī)則,其本身就被設計帶有長期數(shù)據(jù)存留的功能。這項功能對企業(yè)來說可以在事后進行事件追查。Tetration agent將被安裝于主機系統(tǒng)中,對網(wǎng)絡流量信息進行收集并且嚴格執(zhí)行微分段策略。這些信息也將用于日后的分析,從而可持續(xù)性地應對業(yè)務和進程的變化。
6. 全球威脅情報團隊Talos
思科Talos團隊是業(yè)內領先的威脅情報團隊,他們擁有超過250名資深的研究員。Talos利用大數(shù)據(jù),每天分析來自全球超過1.5億設備的威脅情報,6000億郵件的安全(占全球總郵件的1/3),150萬獨立惡意軟件樣本。谷歌每天搜索量大約35億次,但Talos每天收集大約160億網(wǎng)站的請求,是谷歌的4.5倍。另外,Talos每天阻止了200億次威脅和0.8億次惡意DNS查詢,做到了全球范圍內威脅和攻擊的分析以及防御。正是這支團隊,讓思科把握全球的攻擊趨勢,幫助思科用戶更好地做到安全的防護。得益于 Talos 團隊的支持,Stealthwatch、Firepower下一代防火墻以及面向終端的高級惡意軟件保護 (AMP for Endpoints) 可以相互配合,檢測新形式的高級惡意軟件。 思科的集成安全架構可以智能地與 Tetration 和 ACI 相互配合,實現(xiàn)全面的威脅防范,幫助發(fā)現(xiàn)并阻止更多威脅,同時快速遏制并緩解僥幸侵入數(shù)據(jù)中心的威脅。
技術在不斷升級,數(shù)據(jù)中心的環(huán)境也在不斷發(fā)生變化——而新的環(huán)境也需要新的安全保護方式。顯然,隨著各種網(wǎng)絡入口的增多,數(shù)據(jù)中心傳統(tǒng)上對數(shù)據(jù)出入口的監(jiān)管已經(jīng)無法滿足于如今的環(huán)境了。而思科的數(shù)據(jù)中心安全理念則強調了由內而外的安全:數(shù)據(jù)中心需要首先從自身做到可視化才能把握全局,做到分段才能便于不同部分的管理。通過可視化和分段,數(shù)據(jù)中心才能知道自己的網(wǎng)絡環(huán)境情況,才能清楚到自己會受到怎樣的攻擊以及是否正在或者已經(jīng)遭受攻擊。只有通過對自身的了解,才能更精確地針對性部署防御與響應策略,做到最后一步的威脅防御。可視、分段、威脅防御——這三步是值得其他數(shù)據(jù)中心在進行安全防護時進行參考與借鑒的。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
