就在今年的中國存儲(chǔ)與數(shù)據(jù)峰會(huì)上,亞信安全云安全產(chǎn)品線研發(fā)總監(jiān)李立中,從亞信自身對(duì)安全的思考��,圍繞數(shù)據(jù)中心安全展開主題演講����。十多年來��,李亞中在軟件�����、網(wǎng)關(guān)安全�����,終端安全����、企業(yè)信息安全以及云安全等領(lǐng)域積累了深厚的產(chǎn)品研發(fā)經(jīng)驗(yàn),近年來負(fù)責(zé)亞信安全云安全產(chǎn)品的研發(fā)和運(yùn)維���。
數(shù)據(jù)中心一直在演化���,從實(shí)體走到虛擬化之后����,發(fā)現(xiàn)虛擬化還是講虛擬機(jī)���、虛擬存儲(chǔ)的時(shí)候���,而現(xiàn)在最常碰到的東西,變成無服務(wù)了���。應(yīng)用就是一段代碼�,代碼上傳后���,不用管上面有多少內(nèi)存和存儲(chǔ)�,自動(dòng)配置完成����。數(shù)據(jù)中心隨著一步步的演進(jìn)�����,也面臨一些舊的和新的安全挑戰(zhàn)���。
實(shí)體的數(shù)據(jù)中心會(huì)碰到病毒和硬件的漏洞����,虛擬化的時(shí)候要考慮上面所有的應(yīng)用資源會(huì)不會(huì)相互交錯(cuò),會(huì)不會(huì)使用了別人的數(shù)據(jù)�����。到了軟件定義的時(shí)候��,新的東西都以服務(wù)的模式提供給大家�����,變成計(jì)算資源很容易提供出來����,有可能黑客非常容易從自動(dòng)化的API接口竊取你的資源。我們以前的做法可能是這樣���,哪里有漏洞我們就建一堵墻�����。這是《權(quán)力的游戲》里面的一堵墻��,墻建的越來越高�,有一天有沒有像第七季里,被一條會(huì)飛的龍把墻打破了��。這堵墻不能說有問題了���,終有一天會(huì)有新的東西打破����,這種情況就像去年大家常常聽到的勒索病毒����,一開始來的時(shí)候,這個(gè)東西是美國安全機(jī)構(gòu)里面搜集了很多漏洞的攻擊手法�,結(jié)果泄露了出來,到了黑客手中�����,很快就實(shí)現(xiàn)武器化����,變成可以攻擊的一個(gè)東西�����。
到軟件定義的時(shí)代,邊界已經(jīng)模糊了����,沒有辦法像以前那么很具體,我們?cè)趺崔k呢�����,這個(gè)房子很漂亮���,但是沒有圍墻怎么防護(hù)��?亞信有一個(gè)危險(xiǎn)治理模型���,四個(gè)步驟:第一個(gè)步驟,阻斷���,這最常見��,所謂的防火墻�,防病毒,這是第一道關(guān)卡�,但有一個(gè)問題,阻斷的根據(jù)是以前的經(jīng)驗(yàn)�����,就是以前我已知的病毒���,已知有特征碼的東西才有辦法阻斷�,或者說這個(gè)端口有可能被攻擊��,封住該端口�����。除此之外還需要另外一個(gè)手段就是偵測(cè)�����,純粹當(dāng)一個(gè)觀察者�,比如試了兩次錯(cuò)誤密碼,只是一個(gè)行為�,但不會(huì)馬上說這是一個(gè)攻擊,慢慢累計(jì)多了以后�,根據(jù)我們搜集到的情報(bào)資料做一些響應(yīng)�����,做完響應(yīng)以后,快完成一個(gè)來回以后���,把這些東西吸收沉淀以后�����,最后再預(yù)測(cè)一下�,下一次還有哪些弱點(diǎn)���,有哪些重要的數(shù)據(jù)和應(yīng)用可能會(huì)被攻擊�,針對(duì)這個(gè)地方再做新的配置����,新的補(bǔ)強(qiáng),這是最后預(yù)測(cè)的部分����。
建立軟件定義數(shù)據(jù)中心的安全體系, 絕不只是單純的將過去的安全防護(hù)產(chǎn)品搬到軟件定義數(shù)據(jù)中心這么簡(jiǎn)單,需要理解未來的威脅發(fā)展趨勢(shì), 梳理出關(guān)鍵的數(shù)據(jù)資產(chǎn)�����,加上堅(jiān)實(shí)的安全體系理論,建構(gòu)完整的防御體系, 才能從根本降低業(yè)務(wù)所受的威脅風(fēng)險(xiǎn)�����。
(注:文字整理自演講實(shí)錄����,未經(jīng)演講人最終審核)
