“我们经常说短板效应,里面装多少水,取决于最短的板子,那么安全产品之间能不能互相紧密结合,要看发现可疑的物件或可疑的连接后,在沙箱分析后能不能及时传给中央控制系统,系统根据分析结果做新的策略配置到各个防护产品上,变成从阻断、侦测、响应到预测,形成整个闭环。“ 目前,软件定义数据中心时刻面临安全威胁, 如何运用精密编排的模型, 兼顾风险与投入成本的平衡, 来全力构建安全体系?
就在今年的中国存储与数据峰会上,亚信安全云安全产品线研发总监李立中,从亚信自身对安全的思考,围绕数据中心安全展开主题演讲。十多年来,李亚中在软件、网关安全,终端安全、企业信息安全以及云安全等领域积累了深厚的产品研发经验,近年来负责亚信安全云安全产品的研发和运维。
数据中心一直在演化,从实体走到虚拟化之后,发现虚拟化还是讲虚拟机、虚拟存储的时候,而现在最常碰到的东西,变成无服务了。应用就是一段代码,代码上传后,不用管上面有多少内存和存储,自动配置完成。数据中心随着一步步的演进,也面临一些旧的和新的安全挑战。
实体的数据中心会碰到病毒和硬件的漏洞,虚拟化的时候要考虑上面所有的应用资源会不会相互交错,会不会使用了别人的数据。到了软件定义的时候,新的东西都以服务的模式提供给大家,变成计算资源很容易提供出来,有可能黑客非常容易从自动化的API接口窃取你的资源。我们以前的做法可能是这样,哪里有漏洞我们就建一堵墙。这是《权力的游戏》里面的一堵墙,墙建的越来越高,有一天有没有像第七季里,被一条会飞的龙把墙打破了。这堵墙不能说有问题了,终有一天会有新的东西打破,这种情况就像去年大家常常听到的勒索病毒,一开始来的时候,这个东西是美国安全机构里面搜集了很多漏洞的攻击手法,结果泄露了出来,到了黑客手中,很快就实现武器化,变成可以攻击的一个东西。
到软件定义的时代,边界已经模糊了,没有办法像以前那么很具体,我们怎么办呢,这个房子很漂亮,但是没有围墙怎么防护?亚信有一个危险治理模型,四个步骤:第一个步骤,阻断,这最常见,所谓的防火墙,防病毒,这是第一道关卡,但有一个问题,阻断的根据是以前的经验,就是以前我已知的病毒,已知有特征码的东西才有办法阻断,或者说这个端口有可能被攻击,封住该端口。除此之外还需要另外一个手段就是侦测,纯粹当一个观察者,比如试了两次错误密码,只是一个行为,但不会马上说这是一个攻击,慢慢累计多了以后,根据我们搜集到的情报资料做一些响应,做完响应以后,快完成一个来回以后,把这些东西吸收沉淀以后,最后再预测一下,下一次还有哪些弱点,有哪些重要的数据和应用可能会被攻击,针对这个地方再做新的配置,新的补强,这是最后预测的部分。
建立软件定义数据中心的安全体系, 绝不只是单纯的将过去的安全防护产品搬到软件定义数据中心这么简单,需要理解未来的威胁发展趋势, 梳理出关键的数据资产,加上坚实的安全体系理论,建构完整的防御体系, 才能从根本降低业务所受的威胁风险。
(注:文字整理自演讲实录,未经演讲人最终审核)