三大要素+六個魔法 = 數據中心安全
責編:gltian |2018-07-27 10:37:36隨著各種業務都逐漸搬到了線上進行,企業和機構的日常運行越來越依賴于數據中心,數據中心的優劣會直接影響到企業的日常的運營——包括企業業務的安全性能否保障。數據中心的安全性和用戶的隱私、線上業務的穩定性以及企業的虛擬資產息息相關。而聯網設備和應用激進,也增加了大量的新的攻擊入口,傳統的安全邊界方法已不足以保護動態的應用和工作負載。
作為一家全球領先的網絡公司,思科針對這個問題提出了他們的解決方案。最近,安全牛了解了思科提出了數據中心安全需要三個必備要素:可視、分段以及威脅防御。
三大要素:可視、分段、威脅防御
在現代的多云環境下的數據中心,需要依靠三大要素構建起安全:可視、分段以及威脅防御。
如果企業、機構無法知道自己環境里到底有哪些設備、用戶、網絡、應用、服務以及進程,顯然他們是無法真正做到防御的——因為他們甚至不知道自己該保護的東西有哪些,在哪里。因此,對于一個數據中心而言,可視化是安全的第一要點。企業需要全數據中心的可視化功能來實時監控自己的環境——知道自己網絡有哪些設備、用戶、服務,知道自己的網絡里在發生著哪些行為、事件。因此,通過可視化功能,企業與機構不僅能知道自己環境中是否存在異樣的 活動者,更可以通過觀測各個實體的行為來察覺是否有異樣。
分段則將一個龐大的系統分為一個個小系統。從管理上來看,技術人員不再需要單獨處理一個極其復雜的系統,而是可以將這些系統作為一個個小系統單獨對待,從而對各個系統有更好的管控。而從安全的角度上來看,分段的最大價值在于縮小了企業的受攻擊面。通過進行分段,管理者可以對東西流量進行控制,從而防止攻擊者以及異常數據在東西向移動,確保內部安全。攻擊者的目標往往是數據中心中高價值的資產,采取分段后,攻擊者將難以直接接入系統獲取權限;企業從而可以避免了大部分的攻擊。其次,在對整個系統進行分段后,企業可以針對業務對相關功能進行管理以及特殊配置,滿足各種合規要求——而不需要對整個系統進行改變去滿足合規需求,從而以更低廉的成本滿足合規的需求。
無論布置了怎樣完備的安全措施,攻擊始終是無法避免的。而對于企業和機構來說,當攻擊無法避免的時候,就需要快速探知攻擊,從而降低甚至規避損失。幾乎所有企業都在處于受到攻擊的狀態,只是大部分企業都沒有意識到自己受到了攻擊。現代數據中心面臨著各種挑戰:跨中心跨平臺的工作負載、工作面隨著移動應用的使用而增加、員工的終端被惡意代碼植入成為了攻擊的 發起點等等。企業需要從之前的“是否會受到攻擊”以及“如何完全防御攻擊”的思維過渡到“何時會受到攻擊”以及“如何感知甚至預測攻擊”的思維。因此,企業需要多層威脅防御方案,對到來的攻擊快速進行探知以及響應,防止攻擊者竊取數據或者中斷業務。
新時代的數據中心只有滿足了這三大要素,才能真正為自己的用戶提供數據中心的安全能力。這三大要素需要達成的最終目的是通過可視化對數據中心進行全局的掌控,通過分段縮小自己的受攻擊面,通過威脅防御來阻止攻擊的蔓延。將這三個要素一體化達成,是思科對數據中心安全的核心思想。
六大安全魔法
基于可視、分段和威脅防御的思想,思科有六大解決方案來確保數據中心安全。
1. Fire power NGFW
現今大部分的NGFW即使能做到對應用端的管控,也還是很少有威脅防御的能力。而即使部分NFGW試圖去增強這部分的能力,他們的策略也僅僅是加上各種非一體化的產品——但是這種方式顯然杯水車薪,因為他們無法應對更為老道的攻擊者或者更先進的惡意軟件,也無法在事中減小感染面、對受攻擊部分進行隔離,更不要提快速恢復。而思科的Firepower NGFW則做到了對防火墻、應用管理、威脅防范以及網對端的高級惡意軟件防護的一體化防御,可以做到接入控制、阻擋攻擊和惡意軟件,并且即使無法成功防御住攻擊,也有一體化工具去追查攻擊情況并且進行恢復,達成了威脅防御的需求。
2. Stealthwatch
Stealthwatch為企業提供對流量連續的實時監控。因此,企業得以對環境有一個可視化的掌控,從而能更快地對可疑行為采取行動。Stealthwatch通過創建一個正常網站運營的基線,然后使用環境感知自動探測環境中的非正常行為。針對常見的惡意軟件、DDoS攻擊,甚至零日攻擊和APT攻擊都能進行有效的防御。而另一方面,隨著https的普及越來越廣泛,服務器接收加密流量、加密文件已經逐漸成為常態,而越來越多的攻擊方式也采取了加密流量的來越過防御機制。而一旦對加密流量和加密文件進行逐一的解密分析,會嚴重降低數據中心的處理能力,使業務能力受到影響。然而,Stealthwatch可以在無需解密的情況下利用機器學習,識別惡意的加密流量,準確率高達99.9%,確保安全的同時不影響業務的運行。
3. 面向終端的高級惡意軟件防護(AMP for Endpoints)
即使在網絡層面進行了大量的保護,終端防護依然是安全的最后一道屏障。AMP for Endpoints是一個基于云的終端安全解決方案,在網絡層的防御被攻破后,提供對終端的防御、檢測以及響應能力。AMP for Endpoints對所有到達服務器系統的文件進行分析,在影響系統前發現惡意代碼,從而進行隔離保護。
4.應用為中心的基礎設施(ACI)
盡管在網絡設計和業務運維上,分段可以幫助企業帶來更好的安全性,但是最終依然需要一個統一的管控對全局進行把握。ACI作為思科SDN的解決方案,ACI將物理層與虛擬層整合成為一個可編程的多層數據中心,對整個網絡環境的各個分段有著統一部署安全策略的能力。更為重要的是,從安全的角度來看,ACI可以完整查看應用的系統架構,擁有集中的應用級可視性,可以對物理層和虛擬層的實時應用狀況進行監控,確保隨時能夠發現異樣情況。
5.Tetration平臺
Tetration平臺則對多云數據中心提供全局保護。Tetration提供四種保護:基于白名單的零信任機制、基于行為的服務器進程分析、服務器端的軟件包漏洞檢測以及主動對威脅進行防御——比如將有威脅的部分暫時隔離。Tetration可以在上千個應用中統一部署上億條規則,其本身就被設計帶有長期數據存留的功能。這項功能對企業來說可以在事后進行事件追查。Tetration agent將被安裝于主機系統中,對網絡流量信息進行收集并且嚴格執行微分段策略。這些信息也將用于日后的分析,從而可持續性地應對業務和進程的變化。
6.全球威脅情報團隊Talos
思科Talos團隊是業內領先的威脅情報團隊,他們擁有超過250名資深的研究員。Talos利用大數據,每天分析來自全球超過1.5億設備的威脅情報,6000億郵件的安全(占全球總郵件的1/3),150萬獨立惡意軟件樣本。谷歌每天搜索量大約35億次,但Talos每天收集大約160億網站的請求,是谷歌的4.5倍。另外,Talos每天阻止了200億次威脅和0.8億次惡意DNS查詢,做到了全球范圍內威脅和攻擊的分析以及防御。正是這支團隊,讓思科把握全球的攻擊趨勢,幫助思科用戶更好地做到安全的防護。得益于 Talos 團隊的支持,Stealthwatch、Firepower下一代防火墻以及面向終端的高級惡意軟件保護 (AMP for Endpoints) 可以相互配合,檢測新形式的高級惡意軟件。 思科的集成安全架構可以智能地與 Tetration 和 ACI 相互配合,實現全面的威脅防范,幫助發現并阻止更多威脅,同時快速遏制并緩解僥幸侵入數據中心的威脅。
技術在不斷升級,數據中心的環境也在不斷發生變化——而新的環境也需要新的安全保護方式。顯然,隨著各種網絡入口的增多,數據中心傳統上對數據出入口的監管已經無法滿足于如今的環境了。而思科的數據中心安全理念則強調了由內而外的安全:數據中心需要首先從自身做到可視化才能把握全局,做到分段才能便于不同部分的管理。通過可視化和分段,數據中心才能知道自己的網絡環境情況,才能清楚到自己會受到怎樣的攻擊以及是否正在或者已經遭受攻擊。只有通過對自身的了解,才能更精確地針對性部署防御與響應策略,做到最后一步的威脅防御。可視、分段、威脅防御——這三步是值得其他數據中心在進行安全防護時進行參考與借鑒的。