多年来,边界防御在网络安全中一直扮演着重要的角色,它既是进入内网的第一道也是最后一道防线。然而,云计算与虚拟化的兴起,极大地改变了IT基础设施和业务架构,在高隐蔽、多样性攻击愈发频繁的网络环境中,传统以边界防护为核心的安全措施开始显得捉襟见肘,出现众人眼中的“边界防御已死”也就不足为奇。
那么,云时代的网络安全建设是否就应该完全抛弃边界防御,用所谓“无边界”的云安全理念取而代之?在这个问题上,山石网科可以说是相当有发言权的一家网络安全企业。
作为中国信息安全行业的领军企业,山石网科从创立的十几年间,已经从一家单一的防火墙厂商,一步步发展为可提供边界安全、数据安全、内网安全在内的综合网络安全厂商,直至到今天成为技术领先的云计算安全厂商之一,目前山石网科的全线产品已经能够为云计算数据中心,提供最全面和系统的安全防护。
此次科技云报道专访山石网科高级副总裁兼首席技术专家杨庆华,就传统边界安全与云安全的不同特征,云安全的技术难点,以及目前企业用户安全建设与运营等问题进行了深入探讨。
山石网科高级副总裁兼首席技术专家杨庆华
网络安全永远需要边界防护
云时代的安全边界显然非常模糊,如果依靠传统的硬件堆叠的安全防御方式,很难解决云上的安全问题。因此,很多人开始抛弃边界防御理念,认为边界防护不再有效。
但杨庆华对此却持有不同观点:“任何时候都需要边界,这就好像一个家不能没有大门,首先要守住大门,大门安全了,家里才能有安全。”
杨庆华认为,安全的第一道大门就是边界,而这也是山石网科最早起家的地方。众所周知,山石网科以防火墙见长,连续五年进入Gartner企业级防火墙与UTM两个魔力象限,是国内此领域的佼佼者。
在山石网科的边界安全解决方案中,提供了防火墙、入侵防御系统、入侵检测系统、负载均衡、应用交付、云沙箱等多种产品和功能,以帮助企业用户应对数据中心、互联网出口、网络隔离、多服务器、V**接入等多种应用场景的边界安全。
在十几年的技术积累和产品打磨过程中,山石网科的边界安全产品从曾经的一个“盒子”实现多种功能,发展为如今多条产品线共同组成的边界安全矩阵,将产品的安全可靠做到了极致。
据杨庆华介绍,山石网科在线运行时间最长的防火墙,已经有连续3000多天,即八年时间没有重启过,而五年没有重启过的设备大概超过500台,这几乎是安全领域的最高纪录。
在杨庆华看来,一个产品的好坏,除了看功能和性能,更重要的就是稳定性。技术人员开发新功能,解决性能瓶颈,其实都不难,难的是稳定性,而这种稳定性在实践中得以证明,一定是来源于厂商的历史积累。
“做防火墙的是安全厂商里最多的,但是真正做得特别好的,能一直坚持十年、二十年的屈指可数。在2000年左右,中国大概有180多家,如今快20年过去了,剩下的企业都是经过残酷市场锤炼后的坚持者。”
杨庆华表示,在产品的安全性上,山石网科也是国内少有的特别重视研发的领先安全厂商之一。从自研硬件和操作系统,到自采器件,再到自己组装整机,山石网科力争在上下游链条中保证产品的国产化和安全可靠。
正如“山石”其名,山石网科将“坚如磐石”的安全理念写在了企业基因中。
云安全对传统边界安全的颠覆
2011年左右,云计算概念在中国开始生根发芽,山石网科也开启了云计算安全防护的研究。
传统的安全部署方式,是根据每个计算环境的边界去划分安全域,在这种场景下,防护的对象十分清楚,都是独立的物理服务器。
然而云计算虚拟化的出现,却彻底颠覆了传统的边界概念,虚拟机替代了以往的物理服务器,一个物理服务器中可能有几个不同租户的虚拟机,而同一租户的虚拟机又有可能分布在不同的物理服务器中,这就造成了无法用传统的安全区域划分方法来定义边界。
首当其冲的问题是,如何给没有边界的虚拟化资源部署安全产品?
当年的山石网科对虚拟化还没有任何经验,在云安全产品的研发上走过不少弯路。杨庆华随手举了几个例子:“比如每个物理服务器有一个虚拟机,我们最初设计是为每一个虚拟机装一个安全模块,和对物理服务器做安全防护的方式一样。但是我们从来没想过,管理员会把这个虚拟机删掉,或者把这个虚拟机迁移到别的物理服务器上。在迁移的过程中,安全模块引擎也被迁走了,迁到了其他的物理服务器上,这个业务线就乱了。这是在物理环境下绝对不可能发生的,但是在虚拟化环境里就会成为问题。”
当山石网科在云安全上积累了多个项目之后,才发现云安全不是原来想象的那么简单。“云安全看着好像很容易,进了门之后,其实就深了”,杨庆华笑称:“如果当时我们提前就知道做云安全会这么难,可能当时就不会轻易进入这个领域了。”
这个技术难度不仅体现在云安全与传统边界安全的研发思路完全不一样,在公有云和私有云的安全需求重点上也不一样,不同行业的安全诉求更是不一样。
比如,公有云面向的主要是云上的租户,每一个租户并不关心虚拟机是否安全,而是关心租用的虚拟环境是否安全。因此对于公有云平台而言,山石网科提供云安全的做法在于将业务范围内的虚拟机组成一个个安全域,在安全域的边界设立安全网关,与传统安全的安全域概念非常类似。
对于私有云来说,山石网科将每个虚拟机作为最小安全域,为每个虚拟机提供单独的防护,而这个安全云的范围可以由用户来自定义。当管理员去集中管理这些云上的“防火墙”,安全策略会自动跟随虚拟机进行迁移,迁移过程不会影响业务的持续性。
杨庆华所说的公有云和私有云的安全能力,正是来自于2015年山石网科推出的两款云计算安全软件产品——“山石云·格”和“山石云·界”,分别针对东西向和南北向流量的安全防护,实现虚拟机微隔离和虚拟化防火墙的功能。
据杨庆华介绍,在研发过程中,除了要面对虚拟机的灵活多变,云平台的操作系统也在随时发生着变化,作为软件定义的安全产品也就需要针对不同的云操作系统进行适配,甚至同一套开源代码下的云操作系统会产生的多个不同的版本,山石网科也要顶着巨大的工作量去完成适配。
正是这样艰苦卓绝的研发之路,如今山石网科已经与AWS,阿里云,Azure,腾讯云,华为云等各大公有云厂商,以及VMware,Citrix,浪潮,有云,九州云、云杉网络、移动云、联通沃云等多个私有云厂商,完成了云平台的适配工作,可以说是目前国内适配云平台最为全面的安全厂商。
在解决了适配性的问题之后,山石网科持续提升云安全产品的性能和稳定性。随着用户对云产品的运维要求越来越高,山石网科开始重点关注云安全产品自动运维和策略自动编排的问题。
在从传统边界安全到云安全的探索路径中,山石网科逐渐完成了对基础设施层、虚拟化层和运维层的全面防护,构建出立体的网络安全体系。
智能化解决企业安全运维之痛
在杨庆华看来,云安全的出现,不仅没有取代传统网络安全防护的作用,反而是一种安全能力的叠加。换句话说,如今企业的安全防护需要兼顾传统边界安全和云安全,安全建设的投入需要进一步加大。
然而,比安全建设更为严峻的现实,是企业的安全运维。中国IT建设长期以来有一个特殊的现象,杨庆华称之为三句话:重建设,轻运维;重应用,轻安全;重制度,轻应急响应。无论安全产品如何强大,安全建设如何完善,如果得不到很好的应用和运维,安全不过是一句空谈。
大多数国内企业安全意识和安全运维能力非常薄弱,却是一个骨感的现实。杨庆华认为,最好的方法就是提高安全产品运维的智能化,这其中涉及两个指标:一是减少误报,二是减少漏报。但是为了减少漏报,可能会增加很多误报,如何去平衡这两者,其实是非常难的。对此,杨庆华也谈到了山石网科的研究观点。
例如,当流量从企业网、数据中心、内部不同安全域的“大边界”,到云内租户的“小”边界,再到虚拟机边缘的“微”边界,不同的安全产品都有各自的安全报警,到底以哪个报警为准上报给管理员?
杨庆华认为,经过不同数据源头的对比分析,以及历史数据同类对比,才能判断出这个流量是否属于异常行为。综合多维度数据的分析比对,能够尽量减少误报和漏报,从而在安全运维上提供更加智能化的解决方案。
同时,杨庆华也表示,这种智能化的大数据分析能力因厂商而异,非常考验厂商的经验积累和技术能力。如果只做到发生安全事件后报警,企业损失已经发生,安全防护也就失去了意义。因此智能化的安全运维要尽量加大事中报警,报警的时间越往前越好。
通过本次采访,我们可以看到“边界防御已死”的说法其实并不准确。边界并未消失,也永远不会消失,只是发生了变化,变得更加层次化和体系化。
安全的未来不在于边界或内部,而是多层面立体化的防御。只有通过安全能力的叠加和安全运维水平的提升,才能为企业的网络安全真正筑建起铜墙铁壁。
【科技云报道原创】
转载请注明“科技云报道”并附本文链接