云主機安全生態中的難題:安全能力原子化
責編:gltian |2021-07-26 14:11:52數字化轉型的趨勢推動下,業務全云化已成絕大部分用戶的共識,雖然路徑不盡相同,公有云、私有云、混合云、行業云各有千秋,但在各種云的部署清單中,有一項內容——云主機的安全問題——作為必答題,已經牢牢占據了自己的一席之地。VMWare、華為、新華三、浪潮等等,這些云廠商的項目在哪里,云主機安全的目標客戶就在哪里。
這就是我們所說的云主機安全生態。
生態中的核心難題
云主機安全生態中,云廠商和安全企業深度綁定,云的設計、建設、實施各階段,安全企業全程深度參與,云建成之后,用戶的業務迭代變化,云計算環境隨之迭代,云主機的安全能力也隨之升級迭代。
這是一個生態逐漸歸為穩態的過程,在這個過程中,生態中的各方逐漸進化,形成一種相對穩定的狀態。這個狀態在相當一段時間內保持不變,此時,這個生態的中心位置,就是核心生態位。
好的核心生態位,能夠使中心物種與生態中其他物種持續形成某種互惠互利、互為依賴的狀態。這里有兩個必要條件:
1、他為己用;
2、己為他用;
將核心生態位的兩個必要條件,對應到云原生安全的場景中來:
1、云→賦能→安全能力;
2、安全能力→賦能→云;
“云賦能安全能力”很好理解,防火墻、防病毒、漏掃等傳統主機安全產品,借助云的特性,增加了威脅情報能力、協同聯動能力、一定程度的自動化處置能力等“云特性”,實力大大增強,分別變成了NGFW、主機云查殺、HIPS等等進化“物種”。
對于“安全能力賦能云”,這里的難點在于:
用戶業務場景的變化頻率越來越頻繁,變化周期越來越短。為了與之相適應,原有云環境開始大量向虛擬化、容器、無服務進化,云環境的更新迭代速度開始不斷加快。此時的云環境,需要的不是簡單的安全合規,更不是將安全設備像磚頭一樣堆砌的安全能力。
即便是最靈巧的磚瓦匠,能處理的最小單位還是磚頭、砂石。磚頭和砂石硬拋上云端,也一定會掉下來。磚頭一樣的云主機安全能力,注定是要“被淘汰的物種”。
只有跟上云環境的迭代速度,才有可能成為“己為他用”的安全能力,才談得上對云賦能。什么樣的安全能力才能跟上云環境的迭代速度呢?和云一樣構造的水分子?仍然不夠。要細化成原子級的安全能力才行。
云主機安全生態的最核心難題,是安全能力原子化的問題。
提到原子化,就想到CrowdStrike。它通過模塊化+API+SaaS化的方式,為用戶設計、建設、交付端點安全產品及訂閱式威脅情報,這使其能夠從容應對用戶的業務場景變化。如果用戶需求發生變化,計算環境隨之變化,它的原子化安全能力能夠及時響應,完成安全能力的快速迭代。原子化,讓CrowdStrike的能力交付始終與用戶的業務迭代相適應。
但CrowdStrike的原子化有其特殊性,國內的安全市場難以直接復制。國內雖然已有不少安全企業,將身上背負的磚頭與砂石——傳統安全產品,實現了“云化”改造,達到了一定程度的“他為己用”,但對于“己為他用”,國內企業必須尋找自己的方式,形成原子化的安全能力。
亞信安全,嘗試解決了這個難題
亞信安全的方式是,打破不同產線、不同部門間的既有壁壘,將原有云主機安全產品,進行原子化解耦,基于用戶需求場景,把原子化能力沉淀于平臺,打造可編排、可調度、可匯聚的原子化云主機安全能力。
舉例來說,傳統的PDR模型,亞信安全將其切分成了14個原子化模塊:
識別 → 資產發現
檢測 → 基線掃描、漏洞掃描、行為監測、進程監測、文件掃描
防護 → 文件防篡改、網絡入侵防護、訪問控制、數據防護
響應 → 日志聚類、告警隊列、驗傷、文件隔離
對照著Gartner提出的CWPP模型,亞信安全最新發布的信艙(DS)云主機安全產品(Deep Security 20)實現了主機防病毒、HIPS防漏洞、EDR、主機加固、應用程序管理、完整性監控、主機防火墻、日志審計等原子化能力插件。
如果用戶的場景偏重業務持續性,就以檢測模塊為主,以深度包檢測模塊(虛擬補丁)進行交付;如果用戶的場景偏重APT檢測與溯源,就以EDR模塊為主,輔以威脅狩獵服務進行交付;如果用戶的場景偏勒索或挖礦病毒,就以整體一體化方案為主進行交付。
以原子化模塊為基礎,才能真正滿足用戶的需求場景。滿足了用戶需求場景的解決方案,才是真正的解決方案。
來源:數世咨詢