2013年5月16日第十四屆中國信息安全大會在京召開,本屆大會的主題是“信息安全新機遇——大數(shù)據(jù),BYOD,SDN,云安全”。WatchGuard中國區(qū)市場總監(jiān)萬熠先生在大會上做了題為“大音希聲 大象無形——大數(shù)據(jù)時代的網(wǎng)絡安全保障之道”的主題演講。
很榮幸在這里和全國的安全界的同仁們,以及做安全的前輩們進行交流,關于WatchGuard以及大數(shù)據(jù)的時代。
大數(shù)據(jù)、云計算、BYOD,我就看到了大音希聲、大象無形,為什么?這個和我們大數(shù)據(jù)時代是非常像的,大數(shù)據(jù)是非常大,但是我們的計算平臺是看不到的,其實BYOD在這種接入模式我們獲取資源的方式從原來的有線網(wǎng)絡、筆記本、PC機到現(xiàn)在看不見的終端,甚至是SAS,這種情況下我想大音希聲、大象無形這句話很好的體現(xiàn)了這個時代網(wǎng)絡的方式。
在這樣一個時代網(wǎng)絡信息安全如何去做,這是開這次會很重要的目的,今天很榮幸在這里介紹一下WatchGuard對大數(shù)據(jù)時代網(wǎng)絡一些熱點。
所有的事情都是在進化,人類從祖先進化到現(xiàn)在的現(xiàn)代人,從生物學上來說是不斷進化的,從社會來說從原始人類走到狩獵石器時代、到農(nóng)業(yè)時代、工業(yè)時代,一直到現(xiàn)在的工業(yè)信息化時代。從深入的發(fā)展來看,人是從爬行走向了直立,從社會的進步來看從沒有社會、沒有文明走到現(xiàn)在的IT進化階段。
我們說從信息化的發(fā)展一直在遵循亙古不變的原理,這張圖很多人做信息化的人都明白是什么,是一個非常老的模型,叫諾藍模型,今天我們依然認為是非常有效,從中國的信息化,包括全球的信息化來看,實際上信息化建設依然從產(chǎn)生、發(fā)展、變革的階段,比如說存儲介質(zhì)有磁鼓,慢慢信息化開始發(fā)展,被大家不斷的認知,這時候開始了很多辦公電腦、無紙化辦公,這時候開始出現(xiàn)了信息化,出現(xiàn)了個人電腦、PC、大型機。
隨著信息化建設不斷的認可,我們投資和建設規(guī)模也上去的,出現(xiàn)了大量的采購,比如說PC機、服務器等,這時候經(jīng)歷了大規(guī)模的基礎設施的建設狀況,就像蓋房子一樣,我們買這些設備的目的不是為了看這些設備,其實沒什么好看買設備其實是為了做我們的業(yè)務、系統(tǒng),這時候關注系統(tǒng),這時候信息化進入了集成期。
實際上在業(yè)務里面最關鍵的顯然是數(shù)據(jù)和數(shù)據(jù)類應用,因為數(shù)據(jù)和數(shù)據(jù)類應用,不管是企業(yè)、事業(yè)、政府方方面面最重要的資產(chǎn),這時候信息化的建設從原來的單純設備采購到現(xiàn)在的數(shù)據(jù)的關注、業(yè)務的關注,甚至是業(yè)務的發(fā)展,這時候我們進入了一個管理期。包括我們我們找到數(shù)據(jù)、應用這些數(shù)據(jù)的時候,現(xiàn)在開始探究數(shù)據(jù)的價值,開始做數(shù)據(jù)的挖掘、發(fā)掘,這時候我們可以看到,整個IT信息化已經(jīng)進入了一個成熟期在這樣的成熟期,在今天的環(huán)境下來看,這就是我們所說的大數(shù)據(jù),大數(shù)據(jù)最重要的就是做大量的數(shù)據(jù)挖掘、數(shù)據(jù)計算、關聯(lián)分析,以及數(shù)據(jù)價值的二次利用、再利用,為我們的業(yè)務、為我們的發(fā)展提供一個指導方向和發(fā)掘這個數(shù)據(jù)的下面的業(yè)務。
我們剛剛說到發(fā)展模型,IT技術的變革也經(jīng)歷了這樣一個階段,我們從剛才說的大型機、PC機到互聯(lián)網(wǎng)的應用,到現(xiàn)在的云計算的應用,整個的發(fā)展我們可以看到云計算介質(zhì)變化不斷的改變我們IT的交互方式,云計算的發(fā)展帶來的大數(shù)據(jù),云計算帶來的BYOD的應用,云計算也帶來了很多的大數(shù)據(jù)情況下微小的條件,如何解決這些問題?
這張圖是很明顯的看到,新的環(huán)境下大數(shù)據(jù)的結(jié)構(gòu),有一句話說的非常形象,藍藍的天上白云飄,白云上面數(shù)據(jù)跑,包括說大數(shù)據(jù)、BYOD都說在一起的,云計算是在架構(gòu)在云平臺上,對業(yè)務進行存儲、國旅、管理,達到數(shù)據(jù)價值的充分利用,通過數(shù)據(jù)來發(fā)現(xiàn)數(shù)據(jù)的價值,來創(chuàng)造商機。整個計算的載體是云計算平臺,當然大家都知道云計算平臺整個的核心技術是虛擬化,同樣我們這些數(shù)據(jù)如何去獲取,我們總說所有的事情要落地,云在天上飄著、數(shù)據(jù)在云跑著,我們依然可以通過服務器、企業(yè)的終端、電腦等等方面獲取,新的獲取方式同時也應運而生,就是BYOD,我們可以通過個人終端、可以通過甚至沒有終端的方式來獲取數(shù)據(jù),來交互數(shù)據(jù)、來提供數(shù)據(jù)、下載數(shù)據(jù)。
實際上在這樣的情況下,整個的IT結(jié)構(gòu)明顯有了不同的特征:
第一計算介質(zhì)開始模糊化。
第二是數(shù)據(jù)動態(tài)化,不知道數(shù)據(jù)存在在哪里,數(shù)據(jù)開始碎片化。
第三同時碎片化的數(shù)據(jù)開始進行交互,數(shù)據(jù)泛社交化。
第四是多形態(tài)的接入及應用訪問。
在這樣的架構(gòu)下安全熱點需要解決呢?很明顯傳統(tǒng)的依然不能丟,在這種傳統(tǒng)的網(wǎng)絡安全邊界必須要做,原來老的或者是既有的計算方式、網(wǎng)絡方式是必須要的問題。
第二是最外面網(wǎng)絡邊界,邊界內(nèi)部的用戶對數(shù)據(jù)的訪問,如何去訪問它,設備接入的控制、設備訪問的控制,這些都是我們對于接入這個層面所要考慮的。
第三計算介質(zhì)本身的安全在這種云的計算平臺下,大家都說云計算非常好,為什么?因為云計算很安全,為什么安全呢?因為云計算是分布式,不知道他的計算單元在哪里,不宜攻擊。第二是動態(tài)遷移的,他的負載太高的時候我可以給它分配更多的CPU資源,所以大家覺得我的云計算是安全的,這樣的情況下大家對會云被忽視,對云來說這些問題似乎都不存在,實際上也是存在的。
第三實際上我們的業(yè)務中心是數(shù)據(jù),尤其現(xiàn)在是大數(shù)據(jù)結(jié)構(gòu)下,數(shù)據(jù)越多我們的安全性越重要,安全關注的越多,所以要考慮數(shù)據(jù)的安全。
從整個大數(shù)據(jù)時代的結(jié)構(gòu)下我們就可以看到從內(nèi)到外、從外到內(nèi)有很多安全工作要做,同時包括一些熱點問題,比如說通過社交網(wǎng)絡行為,通過云對天的攻擊,包括正常的社交方式,利用社會公職人員進行滲透,來獲取大數(shù)據(jù)的APT的攻擊方式,都是我們這個時代不得不面對的問題。
BYOD的解釋?
首先是BYOD的問題,今天上午我看到很多廠商也談什么是BYOD,BYOD有什么好處?有什么不好的地方?談了非常細,在這里我也不多說,不詳細闡述,因為我覺得其實這個概念提出來,每個廠商的理解基本上都是一樣的。
WatchGuard認為是BYOD是什么,bring your own device,BYOD是雙刃劍。背后有很多問題,比如我們在使用BYOD的時候,因為這些設備不是我們企業(yè)的設備,不是可管理的設備,沒有強制管理的設備,這個設備我們強制按照公司的要求、企業(yè)的要求、政府的要求去安裝一些強制軟件。
第二在現(xiàn)在的web2.0時代下,瀏覽器不僅僅是工具,更是存在超越了傳統(tǒng)操作系統(tǒng)的東西,瀏覽器現(xiàn)在是攻擊的主流,而瀏覽器的攻擊往往是大家所忽視的,我們做殺毒、防火墻、系統(tǒng)安全檢測、健康檢測往往會忽略瀏覽器自身的安全。
第三我們在使用BYOD的不知道誰進來了,會存在很多的不速之客,包括我們剛剛談到的BYOD有六不,BYOD我進來要接進來,接進來不能去訪問,這都是我們在應用的時候做的事情,因為這個設備不是企業(yè)獨立采購、政府批量采購的,實際上在很多安全策略沒有辦法強制執(zhí)行,這時候就帶來一個監(jiān)管的問題、強制執(zhí)行的問題,以及我們說BYOD會帶來公私不分,因為這個設備是自己的,我們在自己的設備上做自己事情理論上是天經(jīng)地義的,但是我在自己設備上做自己工作的時間可能是工作時間,所以會有很多問題,比如說工作的問題、管理的問題,我想在今天上午其實有很多專家和廠商都講過BYOD的問題。
如何去解決這些問題?從以下幾個方面解決問題:
第一做好設備的接入控制,設備接入進來不僅僅是傳統(tǒng)的有線接入,現(xiàn)在的BYOD更多是基于WiFI無線的接入,實現(xiàn)有一個很重要的問題,無線接入的最后一筆往往是空白的,大家想一想現(xiàn)在做做APP接入,它是一個天線,是一個天線,接到系統(tǒng)是一個空白,從控制器可以繞過安全設備、策略設備進入我們的系統(tǒng),實際上這就留下了一個空白。BYOD怎么解決它,實際是把這塊空白填上。
第二,應用控制,如何解決公私不分的問題、軟件的問題、非法應用的問題,這些都要基于應用控制來解決問題,包括安全立法問題,我們在BYOD接入以后并不代表著所有的設備都向你敞開的,如果去做首先我們需要對一些關鍵的硬件做加密訪問,最簡單的訪問因為我們的數(shù)據(jù)在空中飛,有可能被人家竊聽,或者是抓包,可以做VPN,或者是數(shù)據(jù)加密,我們可以做應用的代理,把一些應用從后臺做到前臺,讓用戶去訪問,但訪問的是代理。這就解決了公司不分的這些問題,通過這一整套來實現(xiàn)對網(wǎng)絡的BYOD環(huán)境可視化的管理。在這種情況下隨著云計算的發(fā)展,我們說接入的終端不僅僅是筆記本、手機,更多實際上可以做到用U盤就可以,因為U盤可以做虛擬桌面,我編輯一個文檔不再需要用筆記本電腦和手機,也可以通過APP store可以空手接進來,這就是WatchGuard對BYOD的概念,不僅僅是BYOD。
第三安全的數(shù)據(jù)訪問。
第四是數(shù)據(jù)防泄密。
第五是事件日志審計。
虛擬化技術為根本的云計算,說完邊界的安全、接入的安全,我們開始談計算本身的安全。在這樣一個大數(shù)據(jù)時代下,實際上云計算的根本就是虛擬化,我們對云計算實際上有好多誤區(qū):這些誤區(qū)大家能認識到,但是在做建設的往往忽略掉,我們做建設的時候很多廠商會告訴你,會做防火墻、LS、日志分析等都做了,這些沒問題,但是做在哪兒?實際上是做了云計算的外圍,你把物理設備拖開,通過軟件的方式形成一張存在的計算網(wǎng)絡,而我們設備實際上是把這種物理設備相當于建一個機房,把安全設備放在機房之外當然是不安全的,這時候你會發(fā)現(xiàn)一個問題,所有人、所有設備都在一個安全域,所有的虛擬機實際上是一個安全域名顯然不安全。
第二虛擬環(huán)境通過物理設備進行隔離,不同的用戶之間有不同的訪問業(yè)務、有不同的功能、不同的授權,實際上我們的安全域是需要劃分多個。實際上舊的安全方案對新的計算模型完全束手無策。在這種情況下我們有很多物理設備和服務器做了安全策略,并進不來,在新的模型下在外圍做了安全,但是我這里新建一個虛擬機,或者是動態(tài)遷移一個虛擬機,這個虛擬機帶有病毒,就可以通過物理機內(nèi)部的聯(lián)系在虛擬機之間進行傳播,如果說我們動態(tài)遷移策略做的比較靈活會在多個物理機之間進行傳播,很多物理就會感染。
WatchGuard做了一個你虛擬化的安全方案,XTM和XCS,這兩套產(chǎn)品可以基于虛擬化建設,在主流平臺上可以在每一個虛擬機都放到一個虛擬化的網(wǎng)關,實際上對于一個物理機來說是一個小型的局域網(wǎng)絡,就解決了虛擬機動態(tài)移動導致的病毒攻擊蔓延的問題。
第二對于應用層的服務來說,在虛擬化環(huán)境下,我們可以做應用型內(nèi)容檢測,比如說郵件可以通過應用型的內(nèi)容檢測來做數(shù)據(jù)的防泄密,如果不符合安全性的要求,這個數(shù)據(jù)是出不去,它只會停留在虛擬機的內(nèi)部。
隨著虛擬化的建設從第一個機器轉(zhuǎn)移到第二個機器,或者是第三個機器,每個虛擬機不依賴整個物理環(huán)境,所以WatchGuard的物理環(huán)境是不存在的。包括現(xiàn)在的虛擬化,比如說談到虛擬桌面,依然會存在著傳統(tǒng)的問題,比如說上網(wǎng)訪問的問題,訪問非法網(wǎng)站的問題、非法獲取資源的問題,非法操作的問題,實際上這些都是問題,大家都會說這個沒問題,這個問題不用擔心,因為虛擬機用完就回收的,你拿不到,這個電腦不是你的,你用完這個機器就消失了,但是你的數(shù)據(jù)拿到的,我們虛擬機可以把USB控制住,不讓下載、不拷貝到U盤里,數(shù)據(jù)帶不走,但是人有腦子可以帶走。如何解決這個問題,虛擬環(huán)境依然要做數(shù)據(jù)訪問、DRP,我們可以通過虛擬的DRP、數(shù)據(jù)防泄密來做,這是WatchGuard虛擬化基于安全、網(wǎng)絡的解決方案。
我們的虛擬設備和物理設備通過同一管理軟件集中進行管理,虛擬的ITM和物理的ITM可以進行遷移,比如說需要把虛機變成物理設備怎么辦,就可以虛機牽出來,這就是WatchGuard對虛擬化的解決方案。
因為我們知道網(wǎng)絡里面有什么,才可以實現(xiàn)對于網(wǎng)絡安全的攻擊,比如說現(xiàn)在大家都說APT攻擊,APT攻擊是非常難防范,我們傳統(tǒng)的攻擊是用機器做的,有代碼做的,是一種非人類的方式,而APT攻擊是一種人類的攻擊方式,它利用社交網(wǎng)絡,利用人、利用人的心理跟你打交道,利用你不知道的工具來獲取你的資源,達到進入我們系統(tǒng)的目的。
在這個時候我們?nèi)绾稳プ觯?/strong>
第一,要做深層次的訪問,像洋蔥一樣,這時候我想到一首歌《洋蔥歌》,包括我的接入層面有什么,誰接進來的。
第二,要做全方位的檢測,即使是正常人發(fā)過來的郵件都要進行檢測,從第一步杜絕了APT攻擊源的方式。
第三,做管理可視化,APT攻擊通過設備攻擊人的方式獲取代碼和獲取權限,最后達到獲取系統(tǒng)資源的目的,實際上在網(wǎng)內(nèi)一步一步做痕跡了,我要做可視化管理。
第四,自進化的安全,APT攻擊里面最重要的,為什么他發(fā)過來的郵件明明有惡意代碼,我們防病毒軟件查不出來,為什么有攻擊行為我們查不出來,所以說對于我們的安全設備依然要比它進化的更快,要在攻擊發(fā)現(xiàn)的時候就有防御能力,最小化解決APT攻擊的能力。
這就是WatchGuard對APT攻擊的四個重要方面。大家說你怎么去進化呢?這個問題提的很好,數(shù)據(jù)、大數(shù)據(jù)時代,不是去談的,是用的,下面就分享WatchGuard在全球大數(shù)據(jù)自己的應用,如何應用大數(shù)據(jù)來反擊大數(shù)據(jù)的攻擊。
首先WatchGuard有自己的域名,我們叫WatchGuard RED,WatchGuard的標識都是紅色的,第二RED是安全信譽的縮寫。在WatchGuard RED安全云的情況下,我們在全球WatchGuard的產(chǎn)品在搜集我們的攻擊樣本,搜集完會上傳到全球的五個數(shù)據(jù)中心進行分析,分析完以后提取樣本和攻擊行為,然后做應用識別,形成全球的策略發(fā)布平臺,實時向全球的所有的WatchGuard用戶發(fā)布網(wǎng)絡安全的特征,來實現(xiàn)防范于未然、人類的攻擊。
這就形成一種正態(tài)的循環(huán),這就是WatchGuard對于大數(shù)據(jù)的最佳安全實踐,我們有自己的云,我們在云做自己安全數(shù)據(jù)的分析、挖掘,之后我們會把云上的數(shù)據(jù)下發(fā)到我們終端上,實際上在這里面有一點我們沒寫到,WatchGuard里面安全設備是有BYOD,大家說為什么這么去做,其實WatchGuard,或者是管理軟件有一個功能,叫管理配置,原來我們保存配置放在U盤,或者是本機,現(xiàn)在什么都不需要,我們提供了一個云平臺空間,每個用戶有自己的空間,提供配置上傳到配置空間中,使用任何電腦通過安全策略,或者是VPN接入控制臺,把他的配置平臺下載到我們的空間,就導入了安全管理,這就是WatchGuard對大數(shù)據(jù)、BYOD一個實實在在的應用。
從終端的接入到網(wǎng)絡的保護,到計算介質(zhì)、到網(wǎng)絡、終端接入WatchGuard可以提供全面的解決方案,包括像我們說的在網(wǎng)絡終端上可以做無線的安全,保護我們最后一面,做訪問策略、身份認證、VPN、BYOD,在網(wǎng)絡上可以防火墻、訪問安全,在結(jié)算機智可以做主機防病毒、虛擬化的安全、在業(yè)務上可以做負載均衡、應用加密、應用代理;在數(shù)據(jù)上可以做內(nèi)容過慮、數(shù)據(jù)防遷移,外部應用安全、數(shù)據(jù)加密,這些都依賴于都可以通過WatchGuard整個安全產(chǎn)品來進行解決和提供。這些都是WatchGuard在全面的保障大數(shù)據(jù)時代能夠做的工作和產(chǎn)品解決方案所能提供的一些產(chǎn)品。
這里很巧合,剛剛網(wǎng)御星云劉總也談到,做設備小的問題,實際上我很贊同這一點,PPU這一點,實際上WatchGuard最高端的5520系,可以做實測全功能開啟防火墻安全性,在1U空間里面做10T的吞吐量,對于大音希聲、大象無形的強烈體現(xiàn)。