年营收150亿元的迈克菲如何做云安全?
作者:星期五, 四月 7, 20170

芯片巨头英特尔于2011年以77亿美元的价格收购了安全厂商迈克菲,后者在2014年成为英特尔的一个部门Intel Security,并于本周正式宣布,完成出让51%的股份,再次独立运营。据英特尔的年度财报,2016年安全业务收入达到22亿美元,以目前的汇率换算成人民币, 超过150亿元,堪称世界上最大的网络安全厂商之一。

以杀毒业务起家的迈克菲,目前业务已经拓展到包括端点安全、数据安全、安全运营和数据中心与云安全的四大类业务线,其中数据中心与云安全为当前及未来业务发展的重中之重。

一、云是大趋势 异构化给安全带来巨大挑战

随着IT系统的普及和发展,一些大型企业开始把自己的IT部门独立出来,不仅为企业本身服务,还可以对外提供服务,完成从一个成本中心到利润中心的角色转变。

而云计算的出现,无疑更加推动了这种转变的趋势。越来越多的企业在利用云技术在给自身提供IT资源的同时,把资源向外输出,安全服务也同样如此。

今年2月份,云安全联盟发布了一份基于全球2000多家大中型企业客户所做的云安全现状调查。调查发现,与2015年相比,许多一开始使用私有云的企业,往公有云迁移的趋势非常明显,转向公有云、混合云,后者的模式被越来越多的大型企业所接受。

不仅如此,还有一些企业认为与其建立私有云,自己维护安全,可能还不如交给资源更丰富、能力更强的公有云。

但目前国内云平台的架构非常不统一,无论是公有云还是私有云,无论是虚拟化、云管理平台还是SDN,仅OpenStack就有许多变种。即使在一个大客户的云环境里,由于不同的业务部门,根据不同的业务需求,在不同时期进行采购,最终形成了多种虚拟化程序、各种版本云管理平台,甚至是公有云和私有云环境同时存在的局面。

如何在这种混合、异构的环境下做安全,就成了一个非常大的挑战。

二、可视化与威胁情报

解决异构环境带来的系统复杂性,首先要保证环境中各项资源在IaaS层面的可见性。这里需要一个能够适配不同虚拟化环境的安全管理平台,并通过统一的连接器与各个不同的系统接口连接。

在操作系统层面,通过这个连接器,可以盘点不同云环境里面的资产,如虚机、操作系统。在安全层面,则可以查清安全组、访问控制列表、黑白名单、防病毒等安全信息同步,发现问题后再根据需求把正确的安全策略下发回去。

可视化的意义就在于发现并解决问题。最直接的就是通过收集各种安全组的信息,识别未经保护的资产,发现安全策略的配置错误,发现恶意攻击等。通过与外部威胁情报结合,把各种数据做关联,可以进一步识别高级威胁。

GTI(即全球威胁情报)是迈克菲运营多年的的威胁情报系统,也是世界上最大的网络安全威胁情报系统之一。此外,迈克菲还于数年前推出了数据交换层(DXL)技术,不同的安全产品、甚至不同厂商的产品均可以通过这个平台进行威胁情报交换。现在全球已经有几十家厂商的产品使用这个系统进行情报交换,其中就有华为。

在数据交换标准方面,DXL能够支持STIX格式和TAXII协议,通过现有产品比如迈克菲的SIEM或者威胁情报交换软件(TIE)能够支持这类标准化的格式进行情报管理和交换。但这STIX/TAXII的问题在于,并没有提供相应的软件和基础架构。这就意味着用户只能自已建立威胁情报系统去兼容这两种标准,而不是直接利用现有的开源软件进行威胁情报交换。对于某些用户而言,不够方便和灵活。

目前DXL已经开源,Github上就可以看到源码及SDK,任何想使用DXL进行威胁情报交换的安全厂商或用户,都可以自由接入。

这种统一化的安全管理平台,好处非常明显,用户不用考虑自身的云环境,就可以直接采用,但前提是需要解决两个问题:

一个是技术问题,即云环境中各种虚拟化程序及管理平台的适配性。如迈克菲的ePO安全管理平台,就支持Xen/KVM/VMware/Hyper-V等多种虚拟化平台,以及开源的各种版本的OpenStack为代表。

二是云服务商为安全管理平台开放各种系统的接口(API),这并非技术问题,而是企业之间的合作意愿问题。

三、基础架构安全与服务器安全

基础架构安全可简单分为网络层和主机层,典型的安全产品如网络IPS和防病毒。在网络层与主机层,迈克菲的安全方案与同类解决方案最大的区别在于二者的联动性。

由于安全人员的短缺,尤其是高水平安全人员的匮乏,自动化安全运维已经成为今后的发展方向。而自动化安全运维的关键就是,基于低误报、低误判的情况下,去做自动化的联动。

例如,防病毒软件在一个端点上发现了一个可疑程序,经APT防护系统检测后确认有问题。这时防病毒软件不只是在这台端点简单杀掉行了,而是会通过联动机制把这个恶意程序的IOC(攻陷指标)反馈到所有的虚机上,并且反馈到IPS上去拦截,防护范围遍布整个网络架构,即使后端那些没有部署安全产品的端点也受到相应的保护,这就是自动化联动带来的快速、高效和准确。

传统的IPS防护的重点在于数据中心的南北向流量,顶多去做一些内部的安全隔离分区。但现在的IPS,已经开始兼管东西向流量的安全检测和防护。同时结合多种分析技术和威胁情报,极大的降低误报率。

服务器安全与PC或虚拟终端安全有所不同,它对资源的占用比较敏感,因此部署安全软件必须考虑CPU、内存等资源消耗,以及运行的稳定性。迈克菲公司为用户提供了丰富的服务器安全软件选项,可以针对性的解决不同用户的安全痛点,主要有防病毒、白名单、主机IPS、虚拟补丁、基线管理、审计、合规、数据库服务器安全等。例如,如果用户对关键服务器的资源占用比较在意,可以选用白名单方式对服务器进行保护。

四、安全中间件解决SDN适配

与各种虚拟化应用类似,SDN(软件定义网络)也有着各种不同的流派。因此,云安全平台也需要兼容各种SDN才能符合平台级产品的定位。

在SDN的适配方面,同样也需要一个连接器。迈克菲通过一个名为 Open Security Controller(OSC)的免费组件提供北向和南向的接口。前者负责不同SDN的接口,南向对接各种安全管理设备,如IPS。这种连接器就像一个安全中间件,一端获取不同SDN的资源配置要求,另一端则动态的从网络安全资源池获取设备,去部署和分发。

目前许多安全设备厂商的做法是针对不同的SDN,如思科的ACI、Vmware的NSX、OpenDaylight等,开发不同的版本去逐个兼容,这就极大地带来了日后版本更新升级维护的困难。安全中间件则解决了这个问题,不管北向的SDN如何改变,只需相应地修改中间件即可,省去了很多的适配、兼容性等问题。

安全中间件的做法,为南北向之间提供了一个抽象层,可兼容不同的SDN。

我们知道,虽然目前SDN的普及率还很低,报告显示在企业用户中只有5%到6%的使用率。大部分私有云只是做了服务器虚拟化,实现纯粹软件定义网络的完全云化,还有一段路要走。但它一定是未来的趋势,一个规模非常庞大的市场。SDDC(软件定义数据中心)已经是必然,而这也是迈克菲目前阶段重点关注的方向。

五、整体解决方案才能真正有效

没有任何一家安全企业能够包打天下,厂商之间需要协同联动,打造整体安全解决方案,才能有效的解决安全问题,这一理念已经成为业内共识。

迈克菲成立了安全创新联盟(SIA),目前已经有200余家安全及相关领域厂商成为联盟成员,包括了应用与数据库安全、认证与加密、云及其他安全、数据内容保护、端点/BYOD和移动管理、应急响应与取证、网络安全及管理、风险与合规等细分领域。国内的网络厂商华为于去年10月底正式宣布加入SIA,目前聚焦于数据交换层面的合作。

熟悉安全行业的人都知道,在IPS、端点安全、数据安全等领域迈克菲均处于领先地位。但少有人知道在2015年,迈克菲对其产品线做了一次非常大的调整,停止了许多非核心的产品的研发,如邮件网关、漏洞扫描和下一代防火墙等,把资源集中到核心优势产品上,即上面介绍的端点安全、数据安全、安全运营和数据中心与云安全四大安全解决方案。

安全牛评

不同厂商之间或安全产品之间的联动,目前主要通过开放不同的API(应用程序接口)来实现。但这种方式最大的弊端在于,安全产品的多样性和复杂性,不同类别、不同品牌、不同型号、不同厂商等等,在这种情况下做基于API进行关联的模式,非常低效,难于维护和管理。而一个开源性质的数据交换协议,则可以很好的解决这一问题。这就是 Open DXL 应运而生的最大意义。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章