加强现代安全,戴尔能为企业做什么?

普通消费者眼里,戴尔是老牌PC厂商,在普通IT从业者眼里,戴尔是最大的服务器厂商,在关注数据存储的人眼里,戴尔是全球最大的存储系统提供商。但从现在开始,戴尔要强化在安全领域的存在感了。

2022年10月,戴尔大谈安全话题,与此前几年不同的是,戴尔此次并非只谈数据备份、两地三中心容灾方案和应对勒索软件的Cyber Recovery数据避风港,还带着对安全行业现状的思考,从自己的优势领域切入,提出现代安全的概念。

戴尔指出了强化现代安全的三个方面:保护数据和系统、提升网络弹性和降低安全复杂性。本文将简要介绍为什么要加强现代安全和如何加强现代安全,希望对企业安全建设方面的工作能有所帮助。

现代安全的基础:零信任架构

有数据预测,到2025年,全球因网络犯罪横遭的经济损失将达到10.5万亿美元,随着安全威胁不断迭起,信息安全面临越来越严峻的挑战。导致企业安全问题加剧的原因有很多,戴尔着重指出了多云时代的影响。

传统的安全模式是先拥有并控制基础架构,然后沿着网络边界开始布防。而随着多云时代的来临,很多企业都有了公有云资源,基础架构向云延伸,无法沿着网络边界进行布防。也就是说,传统安全方案不能解决现在的安全问题。

戴尔科技集团大中华区市场部高级顾问李君鹏

从以往的实践来看,传统安全工作都是渐进式地应对一个个出现的安全问题。在戴尔科技集团大中华区市场部高级顾问李君鹏看来,必须进行一次彻底的变革,需要采用零信任模式,因为,零信任能为IT环境带来明确的控制。

零信任架构有三个原则:第一个,要确保当前环境中所有的设备和实体都是已知的,为此,需要反复验证和确认;第二个,显式地声明设备和实体可以进行的行为,并只能进行这些允许的行为;第三个,要能监控和分析行为,及早发现安全威胁。

零信任架构属于非常严格的安全管理,在具体的实现层面,包含三个层次,分别是业务控制层、控制平面和基础架构层面,业务控制层在业务层面进行安全设定,控制平面执行这些设定,基础架构层面负责在基础架构层面执行安全设定。

在实际部署中,由于缺少明确的定义,各个层之间没有很好的融合,经常需要企业自己进行很多设置,所以,零信任架构进行的并不顺利。

戴尔作为全球最大的IT基础设施提供商,在基础架构层面上有明显优势。李君鹏表示,戴尔正在整个业界实现零信任的集成,让零信任更简单地被采纳,减轻客户集成的负担。

戴尔将零信任视为基础架构端到端生命周期不可缺少的一部分,从产品设计、开发、制造、交付、部署和维护,甚至最后产品停用都贯穿其中,整个生命周期中都采用了零信任技术架构。而这,都为戴尔帮助企业加强现代安全打下了基础。

戴尔认为可以通过“保护数据和系统”、“提升网络弹性”和“降低安全复杂性”,三部分来加强现代安全。

加强现代安全:保护数据和系统

在保护数据和系统方面,戴尔提出了整体安全愿景。

从底层可信赖基础架构开始、到云架构层、到应用层、再到设备层全盘考虑,并提出了解决各个层次安全问题的方法或者具体方案。

之所以能全盘考虑,主要还是因为戴尔是全球最大的IT供应商,在企业面前有端到端的整体存在,从客户端到服务器、存储、网络都一应俱全,并且,所有这一切都有内置的安全,都实现了零信任架构。

在基础架构之上,戴尔能为云架构层的安全管理带来更高的一致性,也就降低了管理的复杂性。从应用层来看,戴尔与包括VMware在内的合作伙伴合作,帮助企业在云环境中实现一个统一的视图。为企业在开发应用、托管应用和组织管理应用时提供了一致的操作层。

在设备层,随着企业联网设备越来越多,安全管理也面临更大压力,戴尔不仅提供了强大的设备集成能力,还通过端点安全技术对所有类型和所有的设备提供保护和管理。

在保护数据和系统方面,戴尔认为安全需要转型。比如,从先开发应用后做安全的模式转变为内在的安全,在应用开发阶段就加入进去;从信息安全团队单独负责安全转变为由DevOps、基础架构、网络团队进行统一参与;以及从以威胁管理为中心向以业务为中心转变。

在具体实践层面,戴尔根据NIST安全框架,在识别、保护、检测、响应和恢复五个维度上都有具体的对应,这也体现了戴尔作为提供多种基础架构IT供应商的优势。

正如李君鹏所言,“随着保护企业IT环境变得越来越复杂,与一个可信赖的合作伙伴合作,提供跨整个IT范围的广泛的解决方案,而不是尝试跨多个供应商和协议拼凑端到端覆盖,这样做更有意义。”

加强现代安全:提升网络弹性

NIST安全框架已是安全实践上的一个共识,NIST框架的前四个部分是网络安全的范畴,而最后一部分是恢复,完整的NIST框架就构成了网络弹性能力。一直以来,戴尔非常看重恢复能力,重视构建网络弹性战略。

网络弹性战略指的是,不管发生设备故障、网络故障,还是灾难威胁、网络威胁,业务都能正常运转的能力,网络弹性战略需要借助各种技术手段让业务持续运作,不能让企业遭受损失。本质上,这都是从业务角度进行的思考。

戴尔科技集团大中华区数据保护技术总监李岩

戴尔科技集团大中华区数据保护技术总监李岩在与许多企业的沟通中了解到,很多企业在被攻击后基本没有太好的办法,通常都是先断网,然后立马报警,最后,等着国家网络安全部门来开展调查,这一过程可能会持续较长时间,期间将不得不承受较大损失。

网络弹性战略考虑了安全防护手段被突破后的情况,解决的是被突破之后如何保障业务运行的问题。为此,就需具备恢复手段,这里所说的恢复手段指的网络恢复,它是一种解决方案,而且是整个网络弹性战略里最关键的一个组成部分。

然而,翻开许多企业在安全方面投入的分配数据,识别/保护部分大概是10-20%,检测部分大概是70到80%,在响应部分的投入微乎其微,在恢复上的投入几乎为零。如果恢复上的投入有所增加,那将带来更多收益,对恢复的投资将帮助企业提高投资回报率。

戴尔认为,可以通过构建“三位一体”的数据保护策略和框架,来增加恢复手段。

所谓“三位一体”,指的分别是:所有的数据都需要做备份,重要的数据需要准备灾难恢复解决方案,最后,企业的黄金数据、最核心的数据需要放到“数据避风港”里。

“数据避风港CyberRecovery”是戴尔的一套方案,设计用来防止金融行业数据受到威胁,所以,各种设计都用了最严格的标准,使用了一堆“狠活儿”。

首先,为了让数据不被黑客触碰到,“数据避风港CyberRecovery”使用了Air-Gap(气闸)进行了物理隔离,“数据避风港”里备份的数据与生产环境是完全断开的,纵使黑客有通天本领也无法触碰这些数据。

第二,“数据避风港CyberRecovery”不允许数据进行改动,不可被篡改,即使是内部的人员也不能对其进行删改。第三点,为了确保备份来的数据是安全的,会做许多智能分析。

在实际使用中,如果生产环境遭受攻击,就需要从“数据避风港CyberRecovery”里恢复数据,为了保证安全,“数据避风港CyberRecovery”会短时间内打开闸门,快速对数据进行恢复,从而将业务系统恢复到正常状态。

李岩还表示,对关键数据的保护和恢复能力,但纯靠一个解决方案是不够的,还需要一些方法,比如,对数据进行分类,选出哪些是需要放到“数据避风港”里,此外,还涉及到人员和流程管理的许多问题。

其实,安全问题历来就很复杂,涉及到硬件、软件、业务流程和人员操作流程等多个方面,也正因如此,构建现代安全才特别提到了“安全复杂性”的问题。

这就是加强现代安全的第三个方面:降低安全复杂性。

复杂性是安全的敌人,当企业要管理的东西越来越多,安全风险就会越来越多。戴尔认为,自动化、智能化和整合能应对这一问题,将更多的人工智能和机器学习注入到这些安全工具当中,可以更好地管理威胁。

从李君鹏的介绍中了解到,戴尔基于云的监控和分析软件——CloudIQ结合了主动监控、自动通知、推荐、机器学习和预测分析等功能,可用来降低基础架构的安全风险。除了工具,戴尔的安全管理团队可以为企业提供安全支持服务,能够帮助客户降低安全的复杂性。

结束语

戴尔并不是一家安全公司,但考虑到如今IT架构方面的变化,戴尔在安全方面的责任也越发重要,凭借在基础架构领域方面的优势,戴尔在零信任架构的落地,在数据和系统的保护以及网络弹性方面的价值也非常显而易见。