欢迎您光临本站,如有问题请及时联系我们。

专家观察 | 郑曙光:“云环境下的自适应防御体系”

  由工业和信息化部指导,中国信息通信研究院主办,业界知名组织云计算开源产业联盟(OSCAR)承办的2017全球云计算开源大会于4月19日-20日在北京国家会议中心顺利召开。本文为本届大会嘉宾分享的大会演讲速记内容,敬请浏览。

  嘉宾介绍:郑曙光

  公司职务:上元云安全CEO

  大会演讲速记

防御体系

  大家好!我是上元云安全的郑曙光,今天下午跟大家分享一下我们在云安全研究上的一些思路、方案。

安全威胁

  近几年以来,云计算已经是彻底被大家给接受了,所以云计算非常火,包括公有云、私有云,今年也有很多各种云操作系统的厂家。伴随而来的就是云里面的安全,这里面有很多热词,我就不说了。

  所以我们分析一下原因,我们觉得主要有几个方面:一个因为本身云计算就是通过网络把我们所有的数据信息资产都往云端去集中,相当于这个云里面其实就是一个财富的集中地了,我们的资产的数字化。

  同时随着这些互联网,包括物联网,这些网络连接数的增多,而且本身我们互联网经过这么多年的发展,整个从黑客这个角度来说,我们攻防技术,黑客掌握的技能也越来越多,他们要去搞破坏,要获得这些数据,这些信息,这个手段、这个门槛和代价越来越小。大家听说去年美国物联网的攻击,就把摄像头调一下。现在你可能花200块钱就能用20G的流量打20分钟,这个门槛非常低的。云技术里面很多都是虚拟化的,网络结构也越来越大,用到了弹性扩展,有漂移。

  但是信息安全本身最早的模型既是一个网络的边界,这些新的虚拟化云计算技术的引入,导入这个边界,包括里面租户也好,大二层也好,把原来固定的网络边界消失掉了,说网络安全两眼一抹黑瞎了,所以这些都是导致安全问题频发的原因。包括年初国内最有名的公有云几个前员工在那里撕逼,阿里云,我提出来了不好意思,大家觉得在国内是很高大上的云,但是里面透露出来,今天的网络也好,VPC也好,里面的安全状态还是很令人担忧的。

  我们公司名字叫上元云安全,经过这两年以来我们也一直在探索,也实践出了自己的一套云安全的解决方案,所以今天跟大家分享一下。

  其实自适应安全架构是2015年前后提出来的,2015年前后有一个什么背景呢?

  那几年APP高级持续性的攻击,这个词已经非常热,已经被大家接受了,反正我们去参加各种会,一谈就是反APT,很多公司也做反APT,理念也出来了,但是效果是非常糟糕的,被大家诟病了,反APT没有那样的效果。

  刚才提到了解决高级定向攻击,它用了自适应的安全架构,其实提到了四个大的框架,安全不是0到1,是持续的逼近,是一个反馈畅叙持续的过程,这个框架分别是防御、检测、响应、预测。防御大家都很好理解了,我们传统的安全设备防火墙、IPS甚至防病毒,基于一些策略,尽量降低整个网络被攻击的控制面。比如说我的策略默认的,不是允许你是过不去的,端口是关闭的,有业务需要才打开,这样就保证网络层包括主机层甚至业务层的安全。很多人也提出就是一种被动防御,但实际上在整个防御体系里面是非常重要的,降低了绝大部分的风险。

  但是光有防御手段是不够的,因为你肯定会被攻破,毕竟是被动的位置。所以需要我们持续地去监控它,通过它的日志也好,它的安全事件也好,或者通过流量里面的一些特征、一些行为,去建模,去发现,我可能已经被攻击了,马上要采取行动去降低我受的损失。

  所以这时候我们就提出了一个响应,就是自适应安全架构里面,马上更新我的测算,有些漏洞补丁还会打进去,通过我的一些审批数据也好,还是别的一些记录进行溯源,到底谁搞破坏,也记录下来,甚至可以取证。

  现在从更广义的视角来说,其实安全你可以从外部,黑客在外部搞破坏,不一定在我们网络或者云里面内部搞破坏。但是那些信息、那些情报我可以得到,得到以后我就可以有预判了,我就可以把这些已知的威胁作为签名部署到我的内部系统里去,所以它是这样一个循环的系统。

  当然,Gartner这样的咨询机构其实提出了一个方法论,因为它接触的面非常广,有厂家,也有企业,甚至很多搞VC的,都是他们的客户。它只是一个方法论,具体怎么去落实?

  其实它没有提出来。我们核心团队在安全圈做非常久,有安全的产品,有做攻防的,大概2014年底、2015年初的时候我们也在探讨这个问题,因为我们传统做了好多产品,但客户的体验不一定好,或者这些产品我们给他做一个方案堆叠起来也许解决不了问题。而且随着云计算的出现,云里面又出现了很多新的做法,那怎么办?

  其实我们这么多年体验下来,安全其实真正来说你要提供安全最高级的形态其实是一种服务,我的人在那里,不管是四个步骤、五个步骤,每个阶段都有人在那里,出了问题及时响应、打补丁等等,但是这个服务代价是非常非常高的,我不知道底下有没有,其实做运维的,现在都在搞自动化,也是同样的原理。

  一方面我们看到云带来的问题,但另一方面我们在想云其实也给我们提供一种思路,我们用云去提供安全的服务,因为云意味着无限的计算能力、存储能力、也是好的信息交换,因为现在随时随地都能上网,所以云也是把我们的安全能力能传达到每个地方的这样一个基础设施。

  所以基于这样的理念,我们能运营,我们自己这么多年的基础积累,所以我们通过三层,第一个是基础能力层,第二层是我们通过智能的管理、分析,第三个我们通过公有云。其实很好的,我们发现我们跟Gartner的理念是能很好契合的,它只是一个方法论,但是我们是实实在在的,我们有技术、有方案,而且做了一些原型,发现还不错。这就是我们上元的自适应防御体系。

  后面我就汇报我们自适应防御体系里面的三个系统、三个层次,我分别来阐述一下。

  第一个是我们的安全能力层,在这里我说丰富灵活的安全网元,是什么概念呢?

  我们的安全能力,我们把它抽象为说一个一个安全网元,安全网元既可以是硬件的防火墙,也可以是纯软件,也可以创新去部署,也可以去探针,我甚至可以作为一个Docker,作为一个插件部署到你的服务器里面去,也可以把我的模块集成到你的里面,我都可以集成给你,我可以部署在虚拟化的部署里面。

  比如Web服务器非常大,有几千万个集群,可以跑在这些集群上去保护它。我们把我们的安全能力抽象成安全网元,这里面我们的防病毒是跟安全实验室合作的,别的都是我们自己研发的,这么多年的积累。这个安全网元在我们的自适应防御体系里面可以进行优先防御,也可以检测,这两环我们可以实现。

  第二部分是我们的智能管控和分析这一层,我们把它定义为自适应防御体系里面的一个核心。

  在我们这里的产品,我们叫上元的安全管理中心SMC,它一方面需要跟云平台去对接,因为云里面其实运维是一个非常大的问题。

  所以我们跟云平台对接,我们实现统一的部署、授权、管理,同时SMC也是云里的分析中心,你的事件信息都可以集中汇报到上面去,我们进行分析以后,其实它也相当与云类的系统,我们跟客户交流的时候,你们不就是快速感知吗,这个词可能比较火。

  SMC可以跟我们所有的网民进行联动,去配合他们,去监控他们,需要响应的通过SMC响应到所有的网络里面,它也有扩展能力,我们可以行为建模,跟一些业务系统结合以后,是不是有人在刷单、薅羊毛或者是反APT的攻击,可以结合起来。

  如果你的数据中心,你的云里面有大量的带宽计算能力,我们可以把我们的模型建在你这里面。所以安全管理中心是我们的防御体系的一个“大脑”,不光是防御检测,它还可以响应,如果把公有云的一些安全情报的智力跟它对接,它就可以进行预测。

  第三部分是我们的上元云,其实也是一个SaaS,就是我们基于云,基于公有云。我们把它类似于服务能力的输出,把它分成了三层,从右到左,第一个叫数据接入层,其实就是我们的SaaS入口。不知道今天会场有没有人扫我们的二维码,扫了以后就可以接入到我们的SaaS上面去,你可以把自己的私有云里面的SMC也好,或者安全网元也好,或者一个防火墙,或者一个审计设备,你可以注册到我们的SaaS平台上,你就有自己的一个独立的空间,你可以去管理它,你可以把数据汇报到这个云上面去。

  同时我们做了一个移动的APP,你假如说在外面或者你在家里面,你要了解你这个云里面的业务安全,整个流量的情况,你都可以通过APP来查看,如果我们发现了新的情况报警,我们也会通过APP推送给你。

  第二个层面是分析监控层,我们的上元云通过你们上报的一些数据或者我们收集的数据,同步过的数据,我们进行数据的分析,给出报表,给出告警,给出可视化,实际上也是一个快速感知的概念。

  第三层是安全能力层,它也是一个相当于智慧的扩展层。这上面有点变形了,我们通过不断地学习,我们安全的能力一直在更新,并且会同步下去。同时安全能力层也是一个扩展层,现在安全是越来越专业了,我们有我们的特长的,我们的技术安全能力,我们的积累。

防御系统

  现在的安全确实需要系统,所以上元云也是一个开放的云,我们跟业内顶级的合作伙伴开放接口,把他们的能力通过上元云引入进来再部署到所有的客户云里面去,包括现在的云沙箱、抗D也是跟我们的很好合作伙伴一起合作,大家如果有这样的好的想法或者能力,我希望咱们一起合作一下。安全确实是非常专业的事情,需要大家协同一起来做。

  这个就是我们上元的自适应的防御体系的三大块,其实上元云承担的就是一个预测,可以把我们的一些威胁,我们感觉到的安全情报及时同步给所有的安全网元上,在我们的系统里及时更新。同时也是一个SaaS平台,这就是把我们的安全能力作为服务提供出去。

云平台

  下面我简单地讲一下我们防御体系的几个使用场景,第一个是我们在私有云防御里面,这个比较简单,我们通过SMC跟云平台进行对接,云平台可以通过这个接口或者我们去掉云平台的接口都可以,把我们的安全云部署下去,把安全作为一种菜单式的部署,这种体验。这是相对更全一点的,我们把我们上元的云上的能力、公有云的能力包括边界防御的能力,云里面包括SMC,各种场景部署的能力来做一个整合。

  这个其实也包括了很多小的企业或者不一定小的大的企业,你可能没有那么复杂,那可能就是通过我们的SaaS下一个虚拟化的网关接入到这里给你提供服务也是可以的。这是比较全的,自适应防御体系的方方面面的都可以在这里看到。

  最后给大家介绍一下我们公司,我们公司名字叫上元信安,现在我们推的品牌是上元云安全,我们主要做的是云安全相关的。我们觉得安全是一种技术能力,所以技术需要大家的交流和分享,会后或者以后有机会的话,大家在建造云或者使用云里面的服务的时候遇到任何安全方面的问题或者需求,我非常希望大家能一起交流。这就是我们最大的成就感。


来源:本文由E8运维原创撰写,欢迎分享本文,转载请保留出处和链接!