傳統(tǒng)的安全模式是先擁有并控制基礎(chǔ)架構(gòu)�����,然后沿著網(wǎng)絡(luò)邊界開始布防��。而隨著多云時代的來臨��,很多企業(yè)都有了公有云資源���,基礎(chǔ)架構(gòu)向云延伸,無法沿著網(wǎng)絡(luò)邊界進行布防�����。也就是說���,傳統(tǒng)安全方案不能解決現(xiàn)在的安全問題���。
戴爾科技集團大中華區(qū)市場部高級顧問李君鵬
從以往的實踐來看,傳統(tǒng)安全工作都是漸進式地應(yīng)對一個個出現(xiàn)的安全問題���。在戴爾科技集團大中華區(qū)市場部高級顧問李君鵬看來���,必須進行一次徹底的變革���,需要采用零信任模式,因為��,零信任能為IT環(huán)境帶來明確的控制���。
零信任架構(gòu)有三個原則:第一個���,要確保當(dāng)前環(huán)境中所有的設(shè)備和實體都是已知的,為此���,需要反復(fù)驗證和確認(rèn)�����;第二個���,顯式地聲明設(shè)備和實體可以進行的行為,并只能進行這些允許的行為�����;第三個,要能監(jiān)控和分析行為��,及早發(fā)現(xiàn)安全威脅�����。
零信任架構(gòu)屬于非常嚴(yán)格的安全管理�,在具體的實現(xiàn)層面,包含三個層次���,分別是業(yè)務(wù)控制層��、控制平面和基礎(chǔ)架構(gòu)層面�����,業(yè)務(wù)控制層在業(yè)務(wù)層面進行安全設(shè)定,控制平面執(zhí)行這些設(shè)定�,基礎(chǔ)架構(gòu)層面負(fù)責(zé)在基礎(chǔ)架構(gòu)層面執(zhí)行安全設(shè)定。
在實際部署中��,由于缺少明確的定義����,各個層之間沒有很好的融合�,經(jīng)常需要企業(yè)自己進行很多設(shè)置�����,所以���,零信任架構(gòu)進行的并不順利���。
戴爾作為全球最大的IT基礎(chǔ)設(shè)施提供商,在基礎(chǔ)架構(gòu)層面上有明顯優(yōu)勢��。李君鵬表示�,戴爾正在整個業(yè)界實現(xiàn)零信任的集成,讓零信任更簡單地被采納����,減輕客戶集成的負(fù)擔(dān)。
戴爾將零信任視為基礎(chǔ)架構(gòu)端到端生命周期不可缺少的一部分���,從產(chǎn)品設(shè)計���、開發(fā)�����、制造����、交付��、部署和維護�,甚至最后產(chǎn)品停用都貫穿其中,整個生命周期中都采用了零信任技術(shù)架構(gòu)�。而這,都為戴爾幫助企業(yè)加強現(xiàn)代安全打下了基礎(chǔ)�����。
戴爾認(rèn)為可以通過“保護數(shù)據(jù)和系統(tǒng)”����、“提升網(wǎng)絡(luò)彈性”和“降低安全復(fù)雜性”,三部分來加強現(xiàn)代安全�����。
加強現(xiàn)代安全:保護數(shù)據(jù)和系統(tǒng)
在保護數(shù)據(jù)和系統(tǒng)方面����,戴爾提出了整體安全愿景。
從底層可信賴基礎(chǔ)架構(gòu)開始�、到云架構(gòu)層、到應(yīng)用層����、再到設(shè)備層全盤考慮,并提出了解決各個層次安全問題的方法或者具體方案��。
之所以能全盤考慮�����,主要還是因為戴爾是全球最大的IT供應(yīng)商�����,在企業(yè)面前有端到端的整體存在����,從客戶端到服務(wù)器、存儲��、網(wǎng)絡(luò)都一應(yīng)俱全�,并且��,所有這一切都有內(nèi)置的安全��,都實現(xiàn)了零信任架構(gòu)��。
在基礎(chǔ)架構(gòu)之上����,戴爾能為云架構(gòu)層的安全管理帶來更高的一致性����,也就降低了管理的復(fù)雜性。從應(yīng)用層來看�,戴爾與包括VMware在內(nèi)的合作伙伴合作,幫助企業(yè)在云環(huán)境中實現(xiàn)一個統(tǒng)一的視圖��。為企業(yè)在開發(fā)應(yīng)用��、托管應(yīng)用和組織管理應(yīng)用時提供了一致的操作層���。
在設(shè)備層�,隨著企業(yè)聯(lián)網(wǎng)設(shè)備越來越多����,安全管理也面臨更大壓力,戴爾不僅提供了強大的設(shè)備集成能力���,還通過端點安全技術(shù)對所有類型和所有的設(shè)備提供保護和管理�。
在保護數(shù)據(jù)和系統(tǒng)方面�����,戴爾認(rèn)為安全需要轉(zhuǎn)型�����。比如���,從先開發(fā)應(yīng)用后做安全的模式轉(zhuǎn)變?yōu)閮?nèi)在的安全���,在應(yīng)用開發(fā)階段就加入進去;從信息安全團隊單獨負(fù)責(zé)安全轉(zhuǎn)變?yōu)橛蒁evOps���、基礎(chǔ)架構(gòu)�、網(wǎng)絡(luò)團隊進行統(tǒng)一參與�����;以及從以威脅管理為中心向以業(yè)務(wù)為中心轉(zhuǎn)變。
在具體實踐層面���,戴爾根據(jù)NIST安全框架�,在識別��、保護�����、檢測�����、響應(yīng)和恢復(fù)五個維度上都有具體的對應(yīng)�,這也體現(xiàn)了戴爾作為提供多種基礎(chǔ)架構(gòu)IT供應(yīng)商的優(yōu)勢。
正如李君鵬所言���,“隨著保護企業(yè)IT環(huán)境變得越來越復(fù)雜���,與一個可信賴的合作伙伴合作,提供跨整個IT范圍的廣泛的解決方案���,而不是嘗試跨多個供應(yīng)商和協(xié)議拼湊端到端覆蓋����,這樣做更有意義?���!?/p>
加強現(xiàn)代安全:提升網(wǎng)絡(luò)彈性
NIST安全框架已是安全實踐上的一個共識�����,NIST框架的前四個部分是網(wǎng)絡(luò)安全的范疇����,而最后一部分是恢復(fù),完整的NIST框架就構(gòu)成了網(wǎng)絡(luò)彈性能力�����。一直以來��,戴爾非?���?粗鼗謴?fù)能力,重視構(gòu)建網(wǎng)絡(luò)彈性戰(zhàn)略。
網(wǎng)絡(luò)彈性戰(zhàn)略指的是����,不管發(fā)生設(shè)備故障、網(wǎng)絡(luò)故障��,還是災(zāi)難威脅����、網(wǎng)絡(luò)威脅,業(yè)務(wù)都能正常運轉(zhuǎn)的能力���,網(wǎng)絡(luò)彈性戰(zhàn)略需要借助各種技術(shù)手段讓業(yè)務(wù)持續(xù)運作�,不能讓企業(yè)遭受損失����。本質(zhì)上,這都是從業(yè)務(wù)角度進行的思考�����。
戴爾科技集團大中華區(qū)數(shù)據(jù)保護技術(shù)總監(jiān)李巖
戴爾科技集團大中華區(qū)數(shù)據(jù)保護技術(shù)總監(jiān)李巖在與許多企業(yè)的溝通中了解到�����,很多企業(yè)在被攻擊后基本沒有太好的辦法,通常都是先斷網(wǎng)����,然后立馬報警,最后�,等著國家網(wǎng)絡(luò)安全部門來開展調(diào)查,這一過程可能會持續(xù)較長時間��,期間將不得不承受較大損失�����。
網(wǎng)絡(luò)彈性戰(zhàn)略考慮了安全防護手段被突破后的情況�,解決的是被突破之后如何保障業(yè)務(wù)運行的問題�����。為此�,就需具備恢復(fù)手段,這里所說的恢復(fù)手段指的網(wǎng)絡(luò)恢復(fù)�����,它是一種解決方案���,而且是整個網(wǎng)絡(luò)彈性戰(zhàn)略里最關(guān)鍵的一個組成部分��。
然而�,翻開許多企業(yè)在安全方面投入的分配數(shù)據(jù),識別/保護部分大概是10-20%�����,檢測部分大概是70到80%��,在響應(yīng)部分的投入微乎其微��,在恢復(fù)上的投入幾乎為零�。如果恢復(fù)上的投入有所增加,那將帶來更多收益���,對恢復(fù)的投資將幫助企業(yè)提高投資回報率�。
戴爾認(rèn)為����,可以通過構(gòu)建“三位一體”的數(shù)據(jù)保護策略和框架,來增加恢復(fù)手段���。
所謂“三位一體”��,指的分別是:所有的數(shù)據(jù)都需要做備份�,重要的數(shù)據(jù)需要準(zhǔn)備災(zāi)難恢復(fù)解決方案,最后�����,企業(yè)的黃金數(shù)據(jù)����、最核心的數(shù)據(jù)需要放到“數(shù)據(jù)避風(fēng)港”里。
“數(shù)據(jù)避風(fēng)港CyberRecovery”是戴爾的一套方案����,設(shè)計用來防止金融行業(yè)數(shù)據(jù)受到威脅��,所以��,各種設(shè)計都用了最嚴(yán)格的標(biāo)準(zhǔn)�,使用了一堆“狠活兒”。
首先�,為了讓數(shù)據(jù)不被黑客觸碰到,“數(shù)據(jù)避風(fēng)港CyberRecovery”使用了Air-Gap(氣閘)進行了物理隔離���,“數(shù)據(jù)避風(fēng)港”里備份的數(shù)據(jù)與生產(chǎn)環(huán)境是完全斷開的����,縱使黑客有通天本領(lǐng)也無法觸碰這些數(shù)據(jù)。
第二�,“數(shù)據(jù)避風(fēng)港CyberRecovery”不允許數(shù)據(jù)進行改動,不可被篡改����,即使是內(nèi)部的人員也不能對其進行刪改。第三點��,為了確保備份來的數(shù)據(jù)是安全的�,會做許多智能分析。
在實際使用中��,如果生產(chǎn)環(huán)境遭受攻擊���,就需要從“數(shù)據(jù)避風(fēng)港CyberRecovery”里恢復(fù)數(shù)據(jù)��,為了保證安全��,“數(shù)據(jù)避風(fēng)港CyberRecovery”會短時間內(nèi)打開閘門�,快速對數(shù)據(jù)進行恢復(fù)���,從而將業(yè)務(wù)系統(tǒng)恢復(fù)到正常狀態(tài)����。
李巖還表示,對關(guān)鍵數(shù)據(jù)的保護和恢復(fù)能力�,但純靠一個解決方案是不夠的,還需要一些方法����,比如,對數(shù)據(jù)進行分類�����,選出哪些是需要放到“數(shù)據(jù)避風(fēng)港”里�,此外,還涉及到人員和流程管理的許多問題����。
其實��,安全問題歷來就很復(fù)雜����,涉及到硬件、軟件��、業(yè)務(wù)流程和人員操作流程等多個方面,也正因如此�,構(gòu)建現(xiàn)代安全才特別提到了“安全復(fù)雜性”的問題。
這就是加強現(xiàn)代安全的第三個方面:降低安全復(fù)雜性��。
復(fù)雜性是安全的敵人��,當(dāng)企業(yè)要管理的東西越來越多�,安全風(fēng)險就會越來越多。戴爾認(rèn)為��,自動化��、智能化和整合能應(yīng)對這一問題���,將更多的人工智能和機器學(xué)習(xí)注入到這些安全工具當(dāng)中�,可以更好地管理威脅����。
從李君鵬的介紹中了解到,戴爾基于云的監(jiān)控和分析軟件——CloudIQ結(jié)合了主動監(jiān)控����、自動通知、推薦����、機器學(xué)習(xí)和預(yù)測分析等功能����,可用來降低基礎(chǔ)架構(gòu)的安全風(fēng)險����。除了工具,戴爾的安全管理團隊可以為企業(yè)提供安全支持服務(wù)���,能夠幫助客戶降低安全的復(fù)雜性�����。
結(jié)束語
戴爾并不是一家安全公司��,但考慮到如今IT架構(gòu)方面的變化�,戴爾在安全方面的責(zé)任也越發(fā)重要��,憑借在基礎(chǔ)架構(gòu)領(lǐng)域方面的優(yōu)勢�����,戴爾在零信任架構(gòu)的落地����,在數(shù)據(jù)和系統(tǒng)的保護以及網(wǎng)絡(luò)彈性方面的價值也非常顯而易見。
