芯片巨头英特尔于2011年以77亿美元的价格收购了安全厂商迈克菲后者在2014年成为英特尔的一个部门Intel Securivy并于本周正式宣布完成出让51%的股份再次独立运营。据英特尔的年度财报2016年安全业务收入达到22亿美元以目前的汇率换算成人民币 超过150亿元堪称世界上最大的网络安全厂商之一。
以杀毒业务起家的迈克菲目前业务已经拓展到包括端点安全、数据安全、安全运营和数据中心与云安全的四大类业务线其中数据中心与云安全为当前及未来业务发展的重中之重。
一、云是大趋势 异构化给安全带来巨大挑战
随着IT系统的普及和发展一些大型企业开始把自己的IT部门独立出来不仅为企业本身服务还可以对外提供服务完成从一个成本中心到利润中心的角色转变。
而云计算的出现无疑更加推动了这种转变的趋势。越来越多的企业在利用云技术在给自身提供IT资源的同时把资源向外输出安全服务也同样如此。
今年2月份云安全联盟发布了一份基于全球2000多家大中型企业客户所做的云安全现状调查。调查发现与2015年相比许多一开始使用私有云的企业往公有云迁移的趋势非常明显转向公有云、混合云后者的模式被越来越多的大型企业所接受。
不仅如此还有一些企业认为与其建立私有云自己维护安全可能还不如交给资源更丰富、能力更强的公有云。
但目前国内云平台的架构非常不统一无论是公有云还是私有云无论是虚拟化、云管理平台还是SDN仅OpenStack就有许多变种。即使在一个大客户的云环境里由于不同的业务部门根据不同的业务需求在不同时期进行采购最终形成了多种虚拟化程序、各种版本云管理平台甚至是公有云和私有云环境同时存在的局面。
如何在这种混合、异构的环境下做安全就成了一个非常大的挑战。
二、可视化与威胁情报
解决异构环境带来的系统复杂性首先要保证环境中各项资源在IaaS层面的可见性。这里需要一个能够适配不同虚拟化环境的安全管理平台并通过统一的连接器与各个不同的系统接口连接。
在操作系统层面通过这个连接器可以盘点不同云环境里面的资产如虚机、操作系统。在安全层面则可以查清安全组、访问控制列表、黑白名单、防病毒等安全信息同步发现问题后再根据需求把正确的安全策略下发回去。
可视化的意义就在于发现并解决问题。最直接的就是通过收集各种安全组的信息识别未经保护的资产发现安全策略的配置错误发现恶意攻击等。通过与外部威胁情报结合把各种数据做关联可以进一步识别高级威胁。
GTI即全球威胁情报是迈克菲运营多年的的威胁情报系统也是世界上最大的网络安全威胁情报系统之一。此外迈克菲还于数年前推出了数据交换层DXL技术不同的安全产品、甚至不同厂商的产品均可以通过这个平台进行威胁情报交换。现在全球已经有几十家厂商的产品使用这个系统进行情报交换其中就有华为。
在数据交换标准方面DXL能够支持STIX格式和TAXII协议通过现有产品比如迈克菲的SIEM或者威胁情报交换软件(TIE)能够支持这类标准化的格式进行情报管理和交换。但这STIX/TAXII的问题在于并没有提供相应的软件和基础架构。这就意味着用户只能自已建立威胁情报系统去兼容这两种标准而不是直接利用现有的开源软件进行威胁情报交换。对于某些用户而言不够方便和灵活。
目前DXL已经开源Github上就可以看到源码及SDK任何想使用DXL进行威胁情报交换的安全厂商或用户都可以自由接入。
这种统一化的安全管理平台好处非常明显用户不用考虑自身的云环境就可以直接采用但前提是需要解决两个问题
一个是技术问题即云环境中各种虚拟化程序及管理平台的适配性。如迈克菲的ePO安全管理平台就支持Xen/KVM/VMware/Hyper-V等多种虚拟化平台以及开源的各种版本的OpenStack为代表。
二是云服务商为安全管理平台开放各种系统的接口(API)这并非技术问题而是企业之间的合作意愿问题。
三、基础架构安全与服务器安全
基础架构安全可简单分为网络层和主机层典型的安全产品如网络IPS和防病毒。在网络层与主机层迈克菲的安全方案与同类解决方案最大的区别在于二者的联动性。
由于安全人员的短缺尤其是高水平安全人员的匮乏自动化安全运维已经成为今后的发展方向。而自动化安全运维的关键就是基于低误报、低误判的情况下去做自动化的联动。
例如防病毒软件在一个端点上发现了一个可疑程序经APT防护系统检测后确认有问题。这时防病毒软件不只是在这台端点简单杀掉行了而是会通过联动机制把这个恶意程序的IOC攻陷指标反馈到所有的虚机上并且反馈到IPS上去拦截防护范围遍布整个网络架构即使后端那些没有部署安全产品的端点也受到相应的保护这就是自动化联动带来的快速、高效和准确。
传统的IPS防护的重点在于数据中心的南北向流量顶多去做一些内部的安全隔离分区。但现在的IPS已经开始兼管东西向流量的安全检测和防护。同时结合多种分析技术和威胁情报极大的降低误报率。
服务器安全与PC或虚拟终端安全有所不同它对资源的占用比较敏感因此部署安全软件必须考虑CPU、内存等资源消耗以及运行的稳定性。迈克菲公司为用户提供了丰富的服务器安全软件选项可以针对性的解决不同用户的安全痛点主要有防病毒、白名单、主机IPS、虚拟补丁、基线管理、审计、合规、数据库服务器安全等。例如如果用户对关键服务器的资源占用比较在意可以选用白名单方式对服务器进行保护。
四、安全中间件解决SDN适配
与各种虚拟化应用类似SDN软件定义网络也有着各种不同的流派。因此云安全平台也需要兼容各种SDN才能符合平台级产品的定位。
在SDN的适配方面同样也需要一个连接器。迈克菲通过一个名为 Open Security Controller(OSC)的免费组件提供北向和南向的接口。前者负责不同SDN的接口南向对接各种安全管理设备如IPS。这种连接器就像一个安全中间件一端获取不同SDN的资源配置要求另一端则动态的从网络安全资源池获取设备去部署和分发。
目前许多安全设备厂商的做法是蹼对搏,的SDN如思科的ACI、Vmware的NSX、OpenDaylight等开发不同的版本去逐个兼容这就极大地带来了日后版本更新升级维护的困难。安全中间件则解决了这个问题不管北向的SDN如何改变只需相应地修改中间件即可省去了很多的适配、兼容性等问题。
安全中间件的做法为南北向之间提供了一个抽象层可兼容不同的SDN。
我们知道虽然目前SDN的普及率还很低报告显示在企业用户中只有5%到6%的使用率。大部分私有云只是做了服务器虚拟化实现纯粹软件定义网络的完全云化还有一段路要走。但它一定是未来的趋势一个规模非常庞大的市场。SDDC软件定义数据中心已经是必然而这也是迈克菲目前阶段重点关注的方向。
五、整体解决方案才能真正有效
没有任何一家安全企业能够包打天下厂商之间需要协同联动打造整体安全解决方案才能有效的解决安全问题这一理念已经成为业内共识。
迈克菲成立了安全创新联盟(SIA)目前已经有200余家安全及相关领域厂商成为联盟成员包括了应用与数据库安全、认证与加密、云及其他安全、数据内容保护、端点/BYOD和移动管理、应急响应与取证、网络安全及管理、风险与合规等细分领域。国内的网络厂商华为于去年10月底正式宣布加入SIA目前聚焦于数据交换层面的合作。
熟悉安全行业的人都知道在IPS、端点安全、数据安全等领域迈克菲均处于领先地位。但少有人知道在2015年迈克菲对其产品线做了一次非常大的调整停止了许多非核心的产品的研发如邮件网关、漏洞扫描和下一代防火墙等把资源集中到核心优势产品上即上面介绍的端点安全、数据安全、安全运营和数据中心与云安全四大安全解决方案。
