下一代安全防护 2010年安全技术大盘点

2011年马上到来,站在2010年的尾端,回顾过去一年的网络安全大事还是有一些可圈可点的地方:UTM经过2009年金融风暴的洗礼,2010年出现优质反弹;云计算成为行业热点,安全成为企业用户关注焦点;Web2.0应用成爆炸式增长,Web安全网关受企业用户热捧;随着iPhone、iPad以及Android等移动设备的火热,黑客与病毒更加热爱移动互联网这些新“玩意儿”;3Q大战虽然尚未正真终结,但个人与企业信息安全已经引起相关部门的重视;还有一些可喜可贺的大事就是RSA、OWASP以及云安全联盟的三大国际安全盛会齐步进中国,这些事实证明,面对中国如此庞大的互联网市场,信息安全技术捧红了这个稳定而又危险的领域。

云安全技术更像一项系统工程

关注过2010年中国云计算调查的网友应该还记得IT168对云安全概念认知的调查结果,其中,65.1%的用户认为云安全是利用云计算技术提升企业信息安全;62.9%的用户认为云安全是将安全作为一种服务提供出去,如云杀毒;54%的用户认为云安全是要解决云计算本身的安全性问题。

分析认为,如同云计算概念一样,云安全也还没有统一的说法,对于上述三种提法,用户的认可程度基本相当,这也说明云安全要解决的问题有很多,包括云计算本身的安全、传统意义上的信息安全、安全即服务模式以及如何利用云计算来提高信息安全等等。面对今年的云安全形式,大部分的安全厂商已经开始布局云安全解决方案和产品,相对国外来说,国内安全厂商关于云安全方面的准备还略显迟缓。

1、企业移动设备数据命悬一线

看看你以及身边的朋友手中的“玩物”,android、iPhone、iPad等各种各样的智能终端已经掏净了人们的钞票、霸占周围人十指的同时也掠夺人们的闲余时间。在调查中发现,越来越多的用户会在移动设备上访问大量重要数据,这将会给企业带来很多安全问题。

面对这些移动设备在工作和生活中被大量应用,安全问题将成为企业IT管理者在2011年最头疼的事情,在企业还没有一套完整的移动设备安全解决方案,企业数据泄漏事件将成为一种常态,最容易被泄漏的是不安全的基于云计算的备份和移动设备存储高度机密数据。当移动用户在使用基于云服务的移动设备支持时,被攻击的云服务供应商可能会提供对机密移动设备数据大规模访问,另外,移动设备的丢失或者盗窃会提供对云服务和数据的根级访问。移动应用程序通常会提供对云服务和数据直接和自动访问。如果企业管理员级别的人的移动设备被盗,这可能会对企业高度机密数据造成严重威胁。

2、访问控制和身份管理需求会陡然升温

云计算的本质是高度虚拟化和集中化,随着云计算应用于服务的不断拓展,2011年,企业用户更需要建立更加严密的访问控制与身份管理策略。也许有很多第三方提供的交付产品和服务能够解决这些问题,但是这些可能不适合具有混合资产和云组件的大型企业。

3、合规问题

从某种意义上来说,安全的问题重在管理,合规问题在2011年很可能继续成为一个重要的安全问题,特别是支付卡行业数据安全标准(PCI)。全球风险咨询企业Kroll近日公布的2010~2011年度《全球欺诈年度报告》显示,在过去的12个月中,企业因欺诈而损失的金额从每十亿销售额的损失140万美元上升到170万美元,上升了20个百分点,网络盗窃首次超过现实盗窃。企业通常需要掌握完全不同的程序来管理云服务中的数据和应用程序,我们有理由相信关于云计算中企业数据的数据泄漏将在2011年出现。

4、多个云租户的风险

省钱、省事、省时、省力是云计算带给企业用户的最好礼物,大多数云服务都使用虚拟化技术,这必然会招致与多个企业的数据存于单个物理系统管理程序平台有关的风险,除非制定具体的隔离措施,否则这种风险将持续存在。虽然人们认为,虚拟机器和虚拟网络组件在默认情况下是分隔的,但是管理程序平台存在的缺陷和潜在漏洞可能会导致分隔问题。

5、云标准和认证将进一步推进

因为在选择云服务时会对安全进行评估,所以云标准和云认证在帮助判断客户数据的安全性方面将会发挥极其重要的作用。企业将继续利用现有程序来评估云供应商的安全状态,2011年,我们将会看到主流云安全组织开始开发一些指南和标准。

编者云:云安全是许多厂家和学者们焦虑和讨论的话题,云安全是一项复合型技术更是一套完整的系统,他需要每个环节的安全技术再拔一高度才能使云环境更安全。网络环境是一个变化很快的领域,尤其是云时代的到来,给信息安全带来很多的不确定性,2011年的云计算将给安全厂商带来更多的机遇和挑战。

推出可信二代Web安全新理念

传统的“安全网关”、“UTM”、以及所谓的“下一代防火墙”类型的设备,大都是在防火墙的基础上叠加更多的功能,如与VPN、IDS/IPS、网关杀毒、反垃圾邮件、Web过滤等功能集成到一个硬件平台中。最近几年里,大企业和服务提供商也开始部署高端UTM设备来升级它们老迈的防火墙设备。老牌防火墙厂商在看到这个市场的潜力后,也开始推出提供同样功能的“下一代防火墙”,然而,目前传统的UTM设备在应用层安全上不尽人意,性能和功能两方面都受到了Web 2.0应用的强大压力。

虽然现在的防火墙和UTM(统一威胁管理)解决方案能够提供有效的防火墙能力,但随着基于Web的应用普及,新的安全威胁层出不穷,传统上滞后于攻击行为的Web 1.0时代的防御手段逐渐落伍,全球用户正在和主流信息安全厂商一道迈入Web安全2.0全新时代。与此同时,如今的Web 2.0网络不仅要求具备有效的病毒检测能力,还要求在不同有效载荷大小的情况下都具备稳定的性能。

长期以来,信息安全市场一直是全球IT市场中的明星,其复合增长率一度超过140%,IDC、Gartner、Frost等市场分析公司频频对安全市场抛出橄榄枝。近期,根据全球信息安全市场的格局,稳捷网络公司提出目前全球安全发展的五大趋势。

趋势一,硬件安全领域经过三年的发展,目前已经深入人心,以前总觉得防火墙是硬件,其余用软件替代。这个是以前的状况,但是近几年的发展表明,用户对硬件安全已经有很高的认识,超过50%以上的用户认可硬件安全设备。

趋势二,传统安全设备向交换机中集成。目前明显的一点,大量跟网络物理层相关的设备,很可能会集成到交换机里面去,主要是指四层以下的安全硬件往交换机中集成趋势明显,成为一种普通的安全模块,比如防火墙、入侵检测、流控、负载均衡、甚至一些网络管理都加入到交换机中。因为这些功能主要是跟硬件打交道,不看网络内容。

趋势三,应用安全设备大发展,这里面的应用安全设备主要是指跟内容打交道的产品,保护服务器与企业Web应用为主,比如Web安全网关、WAF、上网行为管理、垃圾邮件、DLP都是跟内容相关的七层设备,这些设备比较难做到网络设备中去。因为内容千变万化,就像常见的协议、P2P、IM等端口都是飘逸的,很难从设备底层控制,这部分安全领域就是以深度内容检测DCI为基础发展下去。

趋势四,管理类设备稳定增长。对安全而言,四层以下设备和四层以上设备都是实时处理的,但是管理类设备不是,比如认证、用户管理、漏洞扫描、报表日志、监控分析、策略发布、中央控制、数据挖掘等,这些设备对性能的要求不高,从而构成一块专门的市场,比如SOC就发展的很特殊。这类安全设备与用户的使用联系更加密切。

趋势五,数据安全设备。数据安全设备综合了很多技术,但是其核心内容就是保护企业的数据库,这块市场属于安全厂商和数据库厂商和存储厂商结合起来做。

伴随互联网技术的迅速发展,基于传统网络架构的各类业务逐步向基于B/S架构的应用体系转变。业务类别越来越多,应用复杂度也越来越高。人们逐渐发现传统网络层的防护已经无法保障业务的安全运行。提升业务系统安全需要从业务流程、应用架构、应用系统等多个角度来思考从而寻求解决方案。因此,对于应用安全的关注度也逐渐升温。

面对来势汹汹的应用威胁,绝大多数企业并没有真正意识到其中的危机。一方面,恶意网站以600%的年增长速度在迅速增加;另一方面,77%带有恶意代码的网站是被植入恶意攻击代码的合法网站。如果把前者比作明枪还可以避免的话,那么作为暗箭的后者可以轻而易举地攻击无辜普通网站访问用户,进而危及企业信誉。

总而言之,以协同工作环境、社会性网络服务以及托管应用程序为代表的Web技术,已经在很大程度上改变人们沟通交流的方式和工作方式。但这些新的技术在给商业活动的发展带来便利的同时,也带来了前所未有的巨大安全风险。

防火墙技术发展呈现两种方式

下一代防火墙——比端口扫描更深入的能识别应用的智能防火墙。关于这种说法,你应该有所耳闻了。虽然大多数供应商已经推迟了防火墙的发布,但是 Gartner 的魔术象限报告认为市场风向正在转变,曾经沉睡的市场开始复苏。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。现在看来这样的概念解释已经被用户所接受,而2010年的防火墙市场则从概念上呈现两大派,一派是向更加细粒度方向的定义,以Web应用防火墙为主的安全厂商,另一派则是热心于提下一代防火墙的厂商。2009年对于防火墙来说似乎充满了质疑,来自各方的批评之声络绎不绝,难道防火墙真的来到了生死边缘了吗?答案当然不是了,09年防火墙市场看似有些沉闷,被UTM打压的抬不起头来,但事实确是防火墙技术在孕育着下一次的全面爆发!让我们来看看在09年防火墙市场有着怎样的改变!

传统防火墙跟不上时代脚步

熟悉网络安全的人都知道,防火墙凭借其成熟的访问控制技术,已占据了IT硬件安全市场的半壁江山,凡是需要接入、访问控制的网络就必然有防火墙的身影。

随着互联网的发展,各类网络应用层出不穷,用户的网络业务需求渐渐由最初单纯的浏览网页、收发电邮向更复杂的应用转变,如视频会议、即时通讯、网络社交、在线视频、网上银行等。网络规模也逐渐由百兆过渡到千兆。需求带来变革,然而市场上的防火墙产品在这场变革中并没有带来令人期许的卓越表现。虽然宣称的性能吞吐指标与日俱增,5G、8G、甚至10G、20G……但是,令用户不解的是实际使用效果往往与宣称的吞吐性能相差甚远,甚至在大流量下出现死机或断网现象,给用户带来诸多不便。

不必要的投资:百兆网络往往需要购买千兆防火墙,千兆网络动辄需要高端甚至万兆防火墙,这在实际的用户采购中频频出现。在没有高性能作为保障前提下,防火墙越来越像多层次防御部署中的“鸡肋”。

下一代防火墙成为用户新宠

只有用户不断地提出需求,信息安全产业才能实现快速发展,作为存在已久的防火墙产品更是要因需而变。业界对于防火墙的抨击和质疑,多是因为传统防火墙2~4层工作原理的局限。如今,防火墙这一“先天劣势”在新一代防火墙设计和生产中已经发生了本质的改变。

纵观信息安全产业发展历程,我们发现十几年中防火墙技术经历了多次重大的变革。与路由器同时出现的第一代防火墙技术,采用了包过滤技术,实现了简单的ACL功能;进入90年代,第二、三代防火墙面世,在用户需求的基础上防火墙发生了改变,应用层防火墙(代理防火墙)的雏形建立;随后第四代防火墙基于动态包过滤(Dynamic packet filter)技术,为状态监控技术奠定了基础;到1998年第五代防火墙更新了安全代理(Proxy)技术,给防火墙赋予了全新意义;如今随着安全网关性能瓶颈的打破,UTM(统一威胁管理)等新一代防火墙产品迅速推出市场,拉开了安全网关激烈竞争的序幕。防火墙这一系列的变革都与用户更高的要求有着不可分割的关系。

美国超级计算机中心的安全专家曾指出指出,新一代防火墙必须克服先天的缺陷,首先是解决单点故障问题,其次要实现统一的策略管理,最后对于来自企业内部人员的安全威胁也必须形成有效的管控。

越来越多的证据显示,安全体系的建设绝不仅依赖于一款产品,整合安全已是大势所趋。只有让用户的安全策略形成有效的统一和流程化管理,实现网络各节点的安全联动,才能让用户的信息安全得到最大限度的保障。新一代防火墙拥有“按需定制”的特性,正好满足了用户新形势下的安全需求,为实现网络的统一安全管理调度提供了保证。

随着企业数据中心形成以及虚拟化技术应用,数据快速增长与应用多样化成为现在企业面临的两大问题,正在扩张的网络与企业架构呼吁新网络安全设备。数据中心作为资源共享的中心,其持续服务的能力对企业来说至关重要,因此保障数据中心的安全一直是运营者不可忽略的一部分。

针对数据中心的集中化情况下,网络安全设备的性能和可靠性遇到了前所未有的挑战,且网络应用越来越多,如何提升安全产品的性能,提高可靠性是当务之急。但是早期的安全产品技术使得在提升空间受到很大限制,不能满足用户的需求。同时,随着虚拟化应用整合,势必对网络安全设备的扩展能力和高适应性提出了要求。

越来越多的大型企业青睐集中运行的IT部署方式,国内大量企业经营活动的各种业务系统都逐渐向Internet和Intranet环境靠拢。作为这种集中模式的代表,数据中心的出现极大地促进了企业业务的发展。但与此同时,受制于数据中心对网络的依赖,Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,也对安全提出了更高的要求。

虚拟化技术是为了提升效率,而下一代数据中心的安全保护同样需要提升效率。从虚拟化早期的部署情况来看,一些项目在规模上有限,‘单点式’的虚拟安全产品就可以满足基本需求。但是,随着下一代数据中心的规模建设,客户在执行安全策略的时候需要一种统一的安全架构,以在任何类型的基础设施中都能够执行安全政策,这已经成为一种趋势。

针对数据中心的集中化情况下,网络安全设备的性能和可靠性遇到了前所未有的挑战,且网络应用越来越多,如何提升安全产品的性能,提高可靠性是当务之急。但是早期的安全产品技术使得在提升空间受到很大限制,不能满足用户的需求。同时,随着虚拟化应用整合,势必对网络安全设备的扩展能力和高适应性提出了要求。

UTM,即统一威胁管理(Unified Threat Management), 从2004年9月被IDC首度提出以来就受到安全厂商与企业用户拥护。2008年,UTM市场增长32.2%;但是,2009年UTM增长率下降到20.1%,这与金融风暴有着不可分割的关系;2010年,随着整个IT市场反弹,在趋于稳定之前,UTM在2010年恢复增长,UTM厂商正在寻找有利的刺激措施振兴这一市场。

根据IDC对中国IT安全硬件市场未来五年的预测,传统防火墙/VPN产品市场复合增长率为一位数,而UTM、IPS、VPN、安全内容管理的市场高速增长,UTM表现最抢眼。具体数据显示:

UTM被广大用户接受 UTM进入加速发展阶段

2010年,随着UTM产品的不断成熟,在企业级市场,UTM将逐渐替代单一功能安全产品似乎已经没有争议,安全威胁的多样化和技术进步使UTM发展进入了加速阶段。

UTM的处理性能主要是指同时开启入侵防御、防病毒、反垃圾邮件等主要安全模块后的性能表现。在UTM产生的初期,很多厂商的UTM产品在全功能开启后,性能可下降80%,因此,解决全开启性能下降难题是UTM能够被广泛应用的前提。

发展至今UTM硬件架构经历了ASIC、FPGA、NP、多NP、X86+ASIC/NP混合、多核等多种架构。在硬件处理性能大幅提高的同时,软件平台和安全引擎上也得到各大厂商的重视,如:研发安全设备专用的OS,重新设计的统一安全引擎或统一模式匹配引擎、多通道并行匹配引擎等,使UTM全部功能开启后仍然可用,并保持性能稳定。通过软硬件开发的努力,UTM性能瓶颈获得突破。

随着公司业务不断扩大,网络也在无形中加速膨胀,这样,企业面临的攻击手段愈发灵活,混合攻击急剧增多;系统漏洞发现加快,攻击爆发时间变短;P2P流量耗尽带宽,垃圾邮件问题严重。安全威胁的多样化使传统的防火墙设备已经不能满足防范的需求。这也是目前越来越多的防火墙产品开始加入更多安全功能的一个主要原因,迫使UTM进入一个加速发展的阶段。

UTM设备的市场前景非常广阔,一方面是由于越来越多的电信运营商和中小企业出于成本和性价比的考虑,对融合式安全产品的需求正越来越大;另一方面是由于硬件技术与安全软件的发展已逐渐满足这类产品的集成化要求。2009年或许对于中国的UTM来说是腾飞的一年,无论从技术创新还是市场发展都有了较大的改进与提升!近年来,随着安全技术的发展和安全意识的提升,能够综合防范多种网络威胁的UTM产品正逐渐得到广大用户的青睐。国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、UTM2,多少概念欲迷人眼;多核架构、硬件加速、千兆、万兆,无数性能试比高低。通过这几年对各厂商UTM产品的了解、测试和使用,特别总结了一些心得。

如何将诸多安全功能发挥到极致

随着市场和技术的发展,很多用户发现自己采购的UTM产品很象是瑞士军刀——仅限于单功能使用时才好用。所有功能模块全部启用,UTM设备的性能将大大下降,可用性较差。因此,厂商工程师在实施时善意的建议用户先只开某个功能,以后再逐步打开其他功能的场景屡见不鲜。同时,用户担心性能不够也不敢把全部功能打开使用,最终导致UTM只是名义上作为多功能安全产品购买,实际上只作为单一功能产品使用。

这种情况出现的原因在于,对于第一代出现在市场上的UTM产品而言,集成的防火墙、VPN、防病毒、入侵防护、甚至终端防护等功能实际上只是在设备中做了简单的叠加,一旦开启多功能时,各种功能模块对计算资源的抢夺就直接导致了整体性能的急剧下降。尽管很多厂商也采取了诸如提高硬件配置,甚至采用ASIC硬件加速某些功能的手段,但收效并不显著。

而另一方面,UTM的用户经过多年的市场洗礼,对于UTM的要求已经日趋理性。目前很多的成熟用户,已经不再全盘接受厂商提供的各项性能参数。而是根据自己的网络需求,搭建测试环境,然后使用标准测试仪对各家的产品进行衡量。最常见的一种情况就是,无视厂商产品标称的连接数、吞吐量等数据,而是在环境中测试产品至少将防火墙+入侵检测+防病毒功能同时打开时的HTTP页面吞吐、FTP吞吐等数据作为选型依据。这样的测试,更符合用户的实用情况,再加上采用Avalanche、IXIA等标准测试设备带来的相对公平,其结果更值得信赖。

面对着新的市场环境,越来越多的厂商在技术上持续改进,以力求推出满足用户性能使用需求的新一代UTM产品。

2010年, Stuxnet蠕虫的出现给整个信息安全界敲响了警钟,也预示了一个新的网络威胁时代的开始。从信息化的最初兴起,一路走到今天,飞速发展的不仅仅是IT技术,还有不断升级的网络恶意攻击。谈到终端安全,就不能不提杀毒软件。2010年,杀毒软件市场经历了一些波澜,“免费杀软”概念的火热程度达到了极致,这个时候出现在这样一个市场,一定有其背后的道理。2010“云安全”也随着云计算的出现应运而生,云安全真的能保证我们的安全吗?我相信很多人至今仍不是很了解,“云”这个东西总是会让人越搞越晕乎。

当杀软遇上“免费”

几年前,趋势科技中国区一位总裁声称在酝酿一个不限时的全免费使用杀软计划,届时趋势单机版杀毒软件将免费使用,而消费者唯一需要做到的就是无条件接受软件内所放置的广告。但是至今有否实现?相比之下,倒是奇虎360把“免费”这个概念炒作得锦上添花。2009年上半年,奇虎与金山因浏览器问题的口水战最后演变为一场杀软“免费”与“收费”之战。奇虎360宣布“杀软应该全部免费”,此话一出,国内市场就为之一振,毕竟在中国这样一个特殊的市场,杀软对手竞争得本来就已经不可开交了,而现在就连“免费”这一在某些厂商看来最后的底线都要突破,难怪大家要“大打出手”了。

杀毒软件归根结底是软件。世界上的软件几乎都要付费,除了一些辅助性质的工具软件和一些带有宣传、广告意味与用途的软件之外,我们很难找到一款既不用付费又可以得到合法授权的软件产品。因为软件从定义、开发到维护的整个生命周期内,没有经济作为支撑几乎不可想象。越是庞大、复杂和占用大量开发资源与开发周期的软件,就意味着其价格会越发高昂。在中国这个发展中国家,软件正版普及率的低下很大程度上都与其价格不易被百姓所接受有关。

面对中国这么一个庞大的市场,一些杀软厂商在“免费”两个字面前动摇了。瑞星对08款杀毒软件实行了免费使用三个月的策略。而一些厂商借这个机会表示自己绝不免费的同时也宣扬了自己产品的优越之处。

卡巴斯基说过,未来3年内杀软会全面免费。不是杀软不免费,只是还需要一定的时间让杀软寻找既不收费又可合理获利的模式。趋势科技所谓的让用户无条件接受广告的盈利模式,用户无论到什么时候都不会接受。

值得一提的是无论杀软免费与否,都不是简单地嘴上炒作的一个概念,而应该是真正地为用户带来效果。我想在付费与受到保护面前,用户绝对会选择后者。只有受到了很好的保护又不需要付费的时候,用户对免费的感受才会被夸大。

云安全:互联网等于“杀毒软件”?

云计算可谓是IT互联网行业最热门的词语之一,也成为微软、谷歌、IBM、SUN等巨头们新的战场。云计算通俗的讲就是将尽可能多的处理工作交由服务器端进行,而终端可以随时通过网络从服务器上获取数据。

随着云计算的炙手可热,云安全也成功运用这一名词引起了人们的注意,但是大多数人却最终被搞得很晕乎。

“云安全”融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常进行监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,然后再把病毒和木马的解决方案发送到每一个客户端。简单来说,云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。

在新的技术和理念的推动下,杀毒软件行业必然会找到合理的运作模式。有了“云”的加入未,来杀毒行业的竞争将从软件本身功能的比拼,逐渐过渡到以“云安全”技术为代表的后台支持系统。云安全的实现技术是不可或缺的重要支柱。各杀毒厂商初探云安全的过程中,只有技术不断成熟才能更好地为用户服务。