鄭曙光:“雲環境下的自適應防禦體系” – 運維派
由工業和資訊化部指導,中國資訊通訊研究院主辦,業界知名組織雲端計算開源產業聯盟(OSCAR)承辦的2017全球雲端計算開源大會於4月19日-20日在北京國家會議中心順利召開。本文為本屆大會嘉賓分享的大會演講速記內容,敬請瀏覽。
嘉賓介紹:鄭曙光
公司職務:上元雲安全CEO
大會演講速記
大家好!我是上元雲安全的鄭曙光,今天下午跟大家分享一下我們在雲安全研究上的一些思路、方案。
近幾年以來,雲端計算已經是徹底被大家給接受了,所以雲端計算非常火,包括公有云、私有云,今年也有很多各種雲作業系統的廠家。伴隨而來的就是雲裡面的安全,這裡面有很多熱詞,我就不說了。
所以我們分析一下原因,我們覺得主要有幾個方面:一個因為本身雲端計算就是通過網路把我們所有的資料資訊資產都往雲端去集中,相當於這個雲裡面其實就是一個財富的集中地了,我們的資產的數字化。
同時隨著這些網際網路,包括物聯網,這些網路連線數的增多,而且本身我們網際網路經過這麼多年的發展,整個從黑客這個角度來說,我們攻防技術,黑客掌握的技能也越來越多,他們要去搞破壞,要獲得這些資料,這些資訊,這個手段、這個門檻和代價越來越小。大家聽說去年美國物聯網的攻擊,就把攝像頭調一下。現在你可能花200塊錢就能用20G的流量打20分鐘,這個門檻非常低的。雲技術裡面很多都是虛擬化的,網路結構也越來越大,用到了彈性擴充套件,有漂移。
但是資訊保安本身最早的模型既是一個網路的邊界,這些新的虛擬化雲端計算技術的引入,匯入這個邊界,包括裡面租戶也好,大二層也好,把原來固定的網路邊界消失掉了,說網路安全兩眼一抹黑瞎了,所以這些都是導致安全問題頻發的原因。包括年初國內最有名的公有云幾個前員工在那裡撕逼,阿里雲,我提出來了不好意思,大家覺得在國內是很高大上的雲,但是裡面透露出來,今天的網路也好,VPC也好,裡面的安全狀態還是很令人擔憂的。
我們公司名字叫上元雲安全,經過這兩年以來我們也一直在探索,也實踐出了自己的一套雲安全的解決方案,所以今天跟大家分享一下。
其實自適應安全架構是2015年前後提出來的,2015年前後有一個什麼背景呢?
那幾年APP高階持續性的攻擊,這個詞已經非常熱,已經被大家接受了,反正我們去參加各種會,一談就是反APT,很多公司也做反APT,理念也出來了,但是效果是非常糟糕的,被大家詬病了,反APT沒有那樣的效果。
剛才提到了解決高階定向攻擊,它用了自適應的安全架構,其實提到了四個大的框架,安全不是0到1,是持續的逼近,是一個反饋暢敘持續的過程,這個框架分別是防禦、檢測、響應、預測。防禦大家都很好理解了,我們傳統的安全裝置防火牆、IPS甚至防病毒,基於一些策略,儘量降低整個網路被攻擊的控制面。比如說我的策略預設的,不是允許你是過不去的,埠是關閉的,有業務需要才打開,這樣就保證網路層包括主機層甚至業務層的安全。很多人也提出就是一種被動防禦,但實際上在整個防禦體系裡面是非常重要的,降低了絕大部分的風險。
但是光有防禦手段是不夠的,因為你肯定會被攻破,畢竟是被動的位置。所以需要我們持續地去監控它,通過它的日誌也好,它的安全事件也好,或者通過流量裡面的一些特徵、一些行為,去建模,去發現,我可能已經被攻擊了,馬上要採取行動去降低我受的損失。
所以這時候我們就提出了一個響應,就是自適應安全架構裡面,馬上更新我的測算,有些漏洞補丁還會打進去,通過我的一些審批資料也好,還是別的一些記錄進行溯源,到底誰搞破壞,也記錄下來,甚至可以取證。
現在從更廣義的視角來說,其實安全你可以從外部,黑客在外部搞破壞,不一定在我們網路或者雲裡面內部搞破壞。但是那些資訊、那些情報我可以得到,得到以後我就可以有預判了,我就可以把這些已知的威脅作為簽名部署到我的內部系統裡去,所以它是這樣一個迴圈的系統。
當然,Gartner這樣的諮詢機構其實提出了一個方法論,因為它接觸的面非常廣,有廠家,也有企業,甚至很多搞VC的,都是他們的客戶。它只是一個方法論,具體怎麼去落實?
其實它沒有提出來。我們核心團隊在安全圈做非常久,有安全的產品,有做攻防的,大概2014年底、2015年初的時候我們也在探討這個問題,因為我們傳統做了好多產品,但客戶的體驗不一定好,或者這些產品我們給他做一個方案堆疊起來也許解決不了問題。而且隨著雲端計算的出現,雲裡面又出現了很多新的做法,那怎麼辦?
其實我們這麼多年體驗下來,安全其實真正來說你要提供安全最高階的形態其實是一種服務,我的人在那裡,不管是四個步驟、五個步驟,每個階段都有人在那裡,出了問題及時響應、打補丁等等,但是這個服務代價是非常非常高的,我不知道底下有沒有,其實做運維的,現在都在搞自動化,也是同樣的原理。
一方面我們看到雲帶來的問題,但另一方面我們在想雲其實也給我們提供一種思路,我們用雲去提供安全的服務,因為雲意味著無限的計算能力、儲存能力、也是好的資訊交換,因為現在隨時隨地都能上網,所以雲也是把我們的安全能力能傳達到每個地方的這樣一個基礎設施。
所以基於這樣的理念,我們能運營,我們自己這麼多年的基礎積累,所以我們通過三層,第一個是基礎能力層,第二層是我們通過智慧的管理、分析,第三個我們通過公有云。其實很好的,我們發現我們跟Gartner的理念是能很好契合的,它只是一個方法論,但是我們是實實在在的,我們有技術、有方案,而且做了一些原型,發現還不錯。這就是我們上元的自適應防禦體系。
後面我就彙報我們自適應防禦體系裡面的三個系統、三個層次,我分別來闡述一下。
第一個是我們的安全能力層,在這裡我說豐富靈活的安全網元,是什麼概念呢?
我們的安全能力,我們把它抽象為說一個一個安全網元,安全網元既可以是硬體的防火牆,也可以是純軟體,也可以創新去部署,也可以去探針,我甚至可以作為一個Docker,作為一個外掛部署到你的伺服器裡面去,也可以把我的模組整合到你的裡面,我都可以整合給你,我可以部署在虛擬化的部署裡面。
比如Web伺服器非常大,有幾千萬個叢集,可以跑在這些叢集上去保護它。我們把我們的安全能力抽象成安全網元,這裡面我們的防病毒是跟安全實驗室合作的,別的都是我們自己研發的,這麼多年的積累。這個安全網元在我們的自適應防禦體系裡面可以進行優先防禦,也可以檢測,這兩環我們可以實現。
第二部分是我們的智慧管控和分析這一層,我們把它定義為自適應防禦體系裡面的一個核心。
在我們這裡的產品,我們叫上元的安全管理中心SMC,它一方面需要跟雲平臺去對接,因為雲裡面其實運維是一個非常大的問題。
所以我們跟雲平臺對接,我們實現統一的部署、授權、管理,同時SMC也是雲裡的分析中心,你的事件資訊都可以集中彙報到上面去,我們進行分析以後,其實它也相當與雲類的系統,我們跟客戶交流的時候,你們不就是快速感知嗎,這個詞可能比較火。
SMC可以跟我們所有的網民進行聯動,去配合他們,去監控他們,需要響應的通過SMC響應到所有的網路裡面,它也有擴充套件能力,我們可以行為建模,跟一些業務系統結合以後,是不是有人在刷單、薅羊毛或者是反APT的攻擊,可以結合起來。
如果你的資料中心,你的雲裡面有大量的頻寬計算能力,我們可以把我們的模型建在你這裡面。所以安全管理中心是我們的防禦體系的一個“大腦”,不光是防禦檢測,它還可以響應,如果把公有云的一些安全情報的智力跟它對接,它就可以進行預測。
第三部分是我們的上元雲,其實也是一個SaaS,就是我們基於雲,基於公有云。我們把它類似於服務能力的輸出,把它分成了三層,從右到左,第一個叫資料接入層,其實就是我們的SaaS入口。不知道今天會場有沒有人掃我們的二維碼,掃了以後就可以接入到我們的SaaS上面去,你可以把自己的私有云裡面的SMC也好,或者安全網元也好,或者一個防火牆,或者一個審計裝置,你可以註冊到我們的SaaS平臺上,你就有自己的一個獨立的空間,你可以去管理它,你可以把資料彙報到這個雲上面去。
同時我們做了一個移動的APP,你假如說在外面或者你在家裡面,你要了解你這個雲裡面的業務安全,整個流量的情況,你都可以通過APP來檢視,如果我們發現了新的情況報警,我們也會通過APP推送給你。
第二個層面是分析監控層,我們的上元雲通過你們上報的一些資料或者我們收集的資料,同步過的資料,我們進行資料的分析,給出報表,給出告警,給出視覺化,實際上也是一個快速感知的概念。
第三層是安全能力層,它也是一個相當於智慧的擴充套件層。這上面有點變形了,我們通過不斷地學習,我們安全的能力一直在更新,並且會同步下去。同時安全能力層也是一個擴充套件層,現在安全是越來越專業了,我們有我們的特長的,我們的技術安全能力,我們的積累。
現在的安全確實需要系統,所以上元雲也是一個開放的雲,我們跟業內頂級的合作伙伴開放介面,把他們的能力通過上元雲引入進來再部署到所有的客戶雲裡面去,包括現在的雲沙箱、抗D也是跟我們的很好合作夥伴一起合作,大家如果有這樣的好的想法或者能力,我希望咱們一起合作一下。安全確實是非常專業的事情,需要大家協同一起來做。
這個就是我們上元的自適應的防禦體系的三大塊,其實上元雲承擔的就是一個預測,可以把我們的一些威脅,我們感覺到的安全情報及時同步給所有的安全網元上,在我們的系統裡及時更新。同時也是一個SaaS平臺,這就是把我們的安全能力作為服務提供出去。
下面我簡單地講一下我們防禦體系的幾個使用場景,第一個是我們在私有云防禦裡面,這個比較簡單,我們通過SMC跟雲平臺進行對接,雲平臺可以通過這個介面或者我們去掉雲平臺的介面都可以,把我們的安全雲部署下去,把安全作為一種選單式的部署,這種體驗。這是相對更全一點的,我們把我們上元的雲上的能力、公有云的能力包括邊界防禦的能力,雲裡面包括SMC,各種場景部署的能力來做一個整合。
這個其實也包括了很多小的企業或者不一定小的大的企業,你可能沒有那麼複雜,那可能就是通過我們的SaaS下一個虛擬化的閘道器接入到這裡給你提供服務也是可以的。這是比較全的,自適應防禦體系的方方面面的都可以在這裡看到。
最後給大家介紹一下我們公司,我們公司名字叫上元信安,現在我們推的品牌是上元雲安全,我們主要做的是雲安全相關的。我們覺得安全是一種技術能力,所以技術需要大家的交流和分享,會後或者以後有機會的話,大家在建造雲或者使用雲裡面的服務的時候遇到任何安全方面的問題或者需求,我非常希望大家能一起交流。這就是我們最大的成就感。
文章來自微信公眾號:雲端計算開源產業聯盟