【云安全】從“軟件定義”到“智能協(xié)同”

大數(shù)據(jù)分析以及人工智能的發(fā)展,使得安全智能化成為可能。本文從軟件定義著手,結(jié)合云安全技術(shù)路線的三個(gè)階段,詳細(xì)闡述了為什么云安全一定要實(shí)現(xiàn)智能協(xié)同化,這種智能協(xié)同是否可行以及如何來(lái)實(shí)現(xiàn)。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)建站!專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了海寧免費(fèi)建站歡迎大家使用!

云安全,從“軟件定義”到“智能協(xié)同”,是趨勢(shì)、是必然,當(dāng)然也是挑戰(zhàn)。

1. 概述

“軟件定義”的概念,伴隨著軟件定義網(wǎng)絡(luò)的興起,曾一度被追捧。相繼出現(xiàn)了軟件定義存儲(chǔ)、軟件定義體系結(jié)構(gòu)、軟件定義數(shù)據(jù)中心、軟件定義云計(jì)算等等,甚至出現(xiàn)了軟件定義一切。當(dāng)然這其中也包括了軟件定義安全。

那么軟件定義為何如此備受青睞呢?筆者認(rèn)為,軟件定義提出了一種對(duì)于解決問(wèn)題近乎完美的想法,它把所有美好的愿景都寄托在了邏輯上集中的控制中心,尤其是隨著虛擬化和云計(jì)算的不斷發(fā)展和應(yīng)用,這種集中控制的需求顯得越來(lái)越迫切。

圖1 軟件定義的三個(gè)層次

軟件定義是一種態(tài)度、是一種思想、是一種架構(gòu)。這種架構(gòu)思想包含三個(gè)層面上的內(nèi)容:首先就是最下面的資源層,也可以稱作基礎(chǔ)設(shè)施層,或者叫執(zhí)行層,是需要被控制和操作的對(duì)象;其次就是控制層,這是軟件定義架構(gòu)里面的集中控制中心,是下面執(zhí)行層所執(zhí)行操作指令的發(fā)出者;最后就是上面的應(yīng)用層,基于具體的業(yè)務(wù)需求,實(shí)現(xiàn)不同的應(yīng)用,進(jìn)而通過(guò)控制層將相應(yīng)的控制邏輯下發(fā)到執(zhí)行層,轉(zhuǎn)化為對(duì)應(yīng)的執(zhí)行操作指令。

軟件定義也僅僅是一種架構(gòu)思想。從整個(gè)系統(tǒng)來(lái)看,實(shí)現(xiàn)了軟件定義,也就相當(dāng)于實(shí)現(xiàn)了系統(tǒng)的骨架,真正的思維和靈魂,是上層的應(yīng)用。這和互聯(lián)網(wǎng)時(shí)代所謂的“應(yīng)用為王”是相通的。

那么回到云安全,云計(jì)算的特性決定了傳統(tǒng)的安全解決方案對(duì)云安全來(lái)講,是不能完全復(fù)制、復(fù)用的。在這里,筆者將云安全的技術(shù)路線總結(jié)為三個(gè)階段:

圖2 云安全技術(shù)路線

(1)安全設(shè)備虛擬化

在云安全發(fā)展的早期,由于云計(jì)算的資源虛擬化、多租戶、彈性伸縮等特性,傳統(tǒng)的“安全盒子”方案沒(méi)有辦法解決云中的安全問(wèn)題了。那么簡(jiǎn)單而有效的辦法,就是將“安全盒子”也進(jìn)行虛擬化,具體體現(xiàn)形式就是由硬件設(shè)備變成虛擬機(jī)。

這樣不同的租戶,根據(jù)各自不同的安全需求,在其租戶網(wǎng)絡(luò)內(nèi)進(jìn)行安全虛擬機(jī)的申請(qǐng)、部署、使用。比如某租戶需要對(duì)其業(yè)務(wù)系統(tǒng)進(jìn)行入侵檢測(cè)、web防護(hù),那么他就可以申請(qǐng)購(gòu)買一臺(tái)虛擬化IDS和WAF進(jìn)行部署。

這種單純的虛擬化方式,其實(shí)和傳統(tǒng)數(shù)據(jù)中心的安全方案并沒(méi)有太大的差別,只不過(guò)是把硬件設(shè)備變成了虛擬機(jī)。安全設(shè)備的管理、配置、運(yùn)維還是需要用戶人工登錄到各個(gè)設(shè)備進(jìn)行操作。

這樣,簡(jiǎn)單粗暴的虛擬化方式,就形成了第一階段的云安全解決方案。基本實(shí)現(xiàn)了對(duì)云環(huán)境進(jìn)行專業(yè)安全防護(hù)的從0到1過(guò)程。

(2)安全資源池化(軟件定義)

隨著人們對(duì)云安全認(rèn)知的不斷深入,大家不再滿足于這種簡(jiǎn)單粗暴的方式。

從云服務(wù)提供者角度來(lái)看,他會(huì)考慮所有租戶獨(dú)占一套安全設(shè)備虛擬機(jī)時(shí),對(duì)于云中的資源利用率來(lái)說(shuō),性價(jià)比是否合適;

從用戶的角度來(lái)看,1)租戶獨(dú)占方式購(gòu)買、部署安全設(shè)備虛擬機(jī),其安全成本是否合適,據(jù)筆者了解,單獨(dú)的安全設(shè)備虛擬機(jī)在云里面的價(jià)格,也是不低的;2)安全運(yùn)營(yíng)成本是否合適,一方面需要像傳統(tǒng)安全設(shè)備一樣,逐個(gè)的對(duì)每個(gè)安全虛擬機(jī)進(jìn)行安全策略的配置,繁瑣麻煩;另一方面,安全設(shè)備又包括透明模式、代理模式、旁路模式等多種的部署方式。這都需要具有一定安全背景的專業(yè)人員才能夠完成的。

那么在這個(gè)階段,基于軟件定義安全的云安全方案就應(yīng)運(yùn)而生了。安全資源不再是租戶獨(dú)占的安全設(shè)備虛擬機(jī),而是通過(guò)安全資源池化的方式,為租戶提供無(wú)感知的安全服務(wù)。

這樣一方面對(duì)于云服務(wù)提供商來(lái)說(shuō),池化的方式可以更好的提高其資源利用率;另一方面,對(duì)于用戶來(lái)說(shuō),服務(wù)化的方式既不需要自己進(jìn)行復(fù)雜的部署,也可以通過(guò)安全應(yīng)用盡可能的降低其安全運(yùn)營(yíng)成本。

圖3 基于安全資源池的云安全方案

(3)安全防護(hù)智能化(智能協(xié)同)

正如前文對(duì)軟件定義的描述那樣,第二階段的基于軟件定義安全的云安全方案,算是將這種池化的安全系統(tǒng)骨架搭起來(lái)了。那么怎樣在這個(gè)骨架的基礎(chǔ)之上,將其變的有血有肉有靈魂,就是安全防護(hù)智能化需要考慮的了。

這里的智能化可以包括如何動(dòng)態(tài)靈活的僅將必要的流量進(jìn)行專業(yè)的安全檢測(cè);如何通過(guò)多個(gè)設(shè)備的自動(dòng)化聯(lián)動(dòng),實(shí)現(xiàn)復(fù)雜的攻擊檢測(cè);如何針對(duì)檢測(cè)到的異常準(zhǔn)確的進(jìn)行防護(hù)處置;以及如何不斷提高自身的檢測(cè)與防護(hù)精準(zhǔn)度等等。

接下來(lái),本文就將詳細(xì)的介紹,進(jìn)入智能協(xié)同時(shí)代,如何利用大數(shù)據(jù)以及人工智能的方式,設(shè)計(jì)實(shí)現(xiàn)更加完善的云安全解決方案。

2. 智能協(xié)同

2017年“智能”這個(gè)詞簡(jiǎn)直是太火了,以至于誰(shuí)家的產(chǎn)品和方案不貼個(gè)“智能”的標(biāo)簽,根本不好意思拿出來(lái)講。但是筆者認(rèn)為智能化是有前提的,是需要積累的,就像我們想要造一艘能拉貨過(guò)河的船,萬(wàn)噸油輪肯定是好的,但是如果連普通貨船都造不好呢,誰(shuí)又敢相信他的大油輪呢?

道理一樣,今天我們談智能協(xié)同的云安全,也一定是順勢(shì)而為,水到渠成的。

文章目錄

2.1 什么是智能協(xié)同

所謂智能,根據(jù)維基百科的解釋,可以將其總結(jié)為“讓機(jī)器能夠像人一樣,可以觀察周圍的環(huán)境,進(jìn)行感知、學(xué)習(xí)、分析,并且做出相應(yīng)的行動(dòng)以實(shí)現(xiàn)某種目標(biāo)”。那么智能協(xié)同的安全防護(hù),筆者將其定義為“安全防護(hù)系統(tǒng)能夠進(jìn)行威脅感知,并且調(diào)動(dòng)所有可用的安全資源,主動(dòng)的進(jìn)行威脅檢測(cè)防御,同時(shí)不斷提升自己的威脅感知能力”。

Gartner在2016年提出了“自適應(yīng)安全”(Adaptive Security)的防護(hù)模型,模型中包括了預(yù)測(cè)(Predictive)、防御(Preventive)、檢測(cè)(Detective)和響應(yīng)(Retrospective)這一持續(xù)處理的安全防護(hù)過(guò)程。自適應(yīng)安全架構(gòu),是實(shí)現(xiàn)智能協(xié)同安全防護(hù)的一種典型架構(gòu)設(shè)計(jì)方式。通過(guò)對(duì)四個(gè)階段的劃分,形成一個(gè)持續(xù)的閉環(huán)防御體系。

圖4 自適應(yīng)安全模型

在整個(gè)模型中,持續(xù)的監(jiān)控和分析成為了其核心所在:

  • 預(yù)測(cè)能力強(qiáng)調(diào)安全系統(tǒng)需要具備持續(xù)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行監(jiān)控分析的能力,據(jù)此形成相應(yīng)的安全基線,主動(dòng)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估以及威脅預(yù)測(cè)。
  • 防御能力指一系列安全防御產(chǎn)品和服務(wù),提升威脅攻擊門檻,防止事件發(fā)生。
  • 檢測(cè)能力用于發(fā)現(xiàn)那些進(jìn)入防御網(wǎng)絡(luò)的攻擊,對(duì)事件進(jìn)行確認(rèn)和處理,降低威脅造成的損失。
  • 響應(yīng)能力需要能夠?qū)ο到y(tǒng)脆弱性提出修復(fù)意見,對(duì)威脅事件進(jìn)行調(diào)查取證,同時(shí)更新預(yù)測(cè)手段,避免再次遭受類似的安全威脅。

2.2 為什么一定要智能協(xié)同

那么為什么說(shuō)云安全技術(shù)路線的第三個(gè)階段一定是智能協(xié)同呢,我們從以下兩個(gè)方面來(lái)看:

首先從云計(jì)算系統(tǒng)的角度來(lái)看,假如一個(gè)擁有50臺(tái)計(jì)算節(jié)點(diǎn)的小型私有云,平均每臺(tái)主機(jī)間的東西向流量為3G左右,雙向的話大約就是5G—6G,那么如果要對(duì)所有的流量進(jìn)行專業(yè)安全檢測(cè),就需要足夠安全資源能夠處理300G的流量。同時(shí)在這種情況下,云數(shù)據(jù)中心會(huì)額外增加一倍的東西向流量用于安全檢測(cè)。這無(wú)論是對(duì)于計(jì)算資源,還是網(wǎng)絡(luò)帶寬資源,都是一筆不小的投入。

而這double出來(lái)進(jìn)行檢測(cè)的流量,其中異常的部分可能不及5%。因此,我們一定要讓安全防護(hù)系統(tǒng)用一種“聰明”的方式來(lái)進(jìn)行應(yīng)對(duì),而不是粗獷的“眉毛胡子一把抓”。這就是說(shuō),云安全一定要是智能的。

另外,從攻防的角度來(lái)看,攻擊者的攻擊手段千變?nèi)f化。尤其是像APT這種高級(jí)持續(xù)性的威脅,攻擊者在發(fā)動(dòng)攻擊之前會(huì)對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的信息收集,這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃,并具備高度的隱蔽性。一旦發(fā)現(xiàn)可乘之機(jī),便會(huì)對(duì)攻擊對(duì)象發(fā)起大規(guī)模的攻擊。

面對(duì)這種威脅,單一設(shè)備基于規(guī)則的安全防護(hù)和檢測(cè),在處理起來(lái)可能會(huì)有些力不從心。需要漏洞檢測(cè)、入侵檢測(cè)、未知威脅檢測(cè)等多種手段,共同來(lái)應(yīng)對(duì)。這就是說(shuō),云安全一定要是協(xié)同作戰(zhàn)的。

2.3 可行性分析

理想很豐滿,現(xiàn)實(shí)情況是什么樣的呢?下面我們對(duì)智能協(xié)同進(jìn)行可行性分析。

圖5 可行性分析

  • 全局網(wǎng)絡(luò)視圖

作為云管理平臺(tái),網(wǎng)絡(luò)監(jiān)控以及流量可視化是基礎(chǔ)也是必要的功能。這里的流量既包括南北向機(jī)房入口的流量、也包括整個(gè)Spine-Leaf層跨宿主機(jī)流量、同時(shí)還包括宿主機(jī)內(nèi)虛擬化層的網(wǎng)絡(luò)流量。這些流量信息都是可以進(jìn)行采集、監(jiān)控和分析的,只不過(guò)從上到下難度會(huì)逐漸的增加。

通過(guò)云管理平臺(tái)的網(wǎng)絡(luò)監(jiān)控,一方面可以獲取到flow層的信息,這層的流信息相對(duì)來(lái)講還比較輕量,獲取難度也比較小,比如通過(guò)SDN或者netflow等方式;另一方面可以獲取到packet層的信息,通過(guò)端口鏡像、專用采集器等方式,拿到完整的數(shù)據(jù)包,這個(gè)層面的監(jiān)控相對(duì)來(lái)說(shuō)難度會(huì)稍大一些,因?yàn)榭赡軙?huì)涉及到一些租戶的隱私。

這樣把收集到的flow和packet連同租戶以及租戶網(wǎng)絡(luò)信息放在一起,就形成了全局的網(wǎng)絡(luò)視圖。有了這個(gè)全局網(wǎng)絡(luò)視圖,就很容易對(duì)其中各個(gè)租戶的相關(guān)流量信息進(jìn)行分析和監(jiān)控。

圖6 全局網(wǎng)絡(luò)監(jiān)控(圖片來(lái)源于云杉網(wǎng)絡(luò)公眾號(hào))

  • 流量畫像

據(jù)筆者了解,無(wú)論是公有云還是私有云,用戶在虛擬云主機(jī)上,主要包含兩種類型的業(yè)務(wù):一種是自身的業(yè)務(wù)系統(tǒng),比如門戶網(wǎng)站、辦公系統(tǒng)、信息系統(tǒng)之類的;另外一種就是集群計(jì)算系統(tǒng),主要用于后端的數(shù)據(jù)運(yùn)算。而無(wú)論是哪種業(yè)務(wù),它們都有一個(gè)共同的特點(diǎn),就是云主機(jī)之間的東西向流量一定存在某種固定的特征,比如某個(gè)主機(jī)開放哪些端口、這些主機(jī)和端口的訪問(wèn)客戶端是哪些主機(jī)、他們通常會(huì)在什么時(shí)間段進(jìn)行什么樣的流量交互、流量大小又有什么樣的特征等等。

我們可以將這種特征稱之為流量畫像,或者行為基線。那么如果某一時(shí)刻,實(shí)時(shí)流量和畫像描述的特征不符,那么這種“另類”的流量就很有可能是存在安全威脅的。

  • 攻擊鏈

下面再?gòu)墓翩湹慕嵌瓤匆幌?。攻擊鏈?zhǔn)歉鶕?jù)攻擊者對(duì)目標(biāo)系統(tǒng)入侵的不同進(jìn)展程度進(jìn)行階段劃分,將各個(gè)階段串聯(lián)形成完整的攻擊過(guò)程的模型。對(duì)于攻擊鏈中的每一階段,都可以通過(guò)流量監(jiān)控/檢測(cè)提取出來(lái)的特征屬性,間接判斷出威脅攻擊的進(jìn)展。比如在偵查探測(cè)階段,可以通過(guò)發(fā)現(xiàn)異常的端口訪問(wèn),或者在工具分發(fā)階段發(fā)現(xiàn)異常大小數(shù)據(jù)包等,更早的發(fā)現(xiàn)并預(yù)防威脅的發(fā)生。

由于攻擊者攻擊手段的隱蔽性,以及攻擊鏈模型中各階段的界定有一定的模糊性,單個(gè)階段難以評(píng)估目標(biāo)遭受入侵的嚴(yán)重程度,因此可以對(duì)各階段之間進(jìn)行關(guān)聯(lián)分析。同時(shí)與流量畫像進(jìn)行對(duì)比分析,發(fā)現(xiàn)可疑流量。

圖7 攻擊鏈模型

  • 安全資源池化

池化的安全資源是安全防護(hù)基礎(chǔ)性保障,能夠根據(jù)檢測(cè)防護(hù)需求,快速動(dòng)態(tài)的進(jìn)行資源的生成、配置、使用,同時(shí)還可以靈活的實(shí)現(xiàn)多種安全手段的有效聯(lián)動(dòng)。這部分作為先決條件,前文已經(jīng)進(jìn)行了詳細(xì)的介紹,這里就不再贅述了。

云計(jì)算系統(tǒng)有著全局的網(wǎng)絡(luò)視圖,能夠?qū)ζ渲械木W(wǎng)絡(luò)信息進(jìn)行監(jiān)控和分析,結(jié)合其應(yīng)用特點(diǎn),進(jìn)而可以生成相應(yīng)的流量畫像。一旦發(fā)現(xiàn)網(wǎng)絡(luò)流量特征與畫像不符,便可以通過(guò)池化的安全資源進(jìn)行深度精準(zhǔn)的檢測(cè)。

3. 實(shí)踐方案

下面的架構(gòu)圖展示了一種智能協(xié)同的云安全設(shè)計(jì)方案。

右半邊是云計(jì)算管理平臺(tái),通過(guò)流量采集,將所有的流量信息進(jìn)行“可視化”,這里的流量既可以flow級(jí)的,也可以是packet級(jí)的,流量采集的手段當(dāng)然也可能是netflow、SDN或者其它方式,不同的云服務(wù)提供商,可能會(huì)有不同的實(shí)現(xiàn)方式。

圖8 方案架構(gòu)圖

左半邊為安全資源池,通過(guò)安全控制平臺(tái)對(duì)其中的各種安全能力進(jìn)行統(tǒng)一管理。最上層實(shí)現(xiàn)為智能協(xié)同的安全應(yīng)用,AI應(yīng)用根據(jù)云平臺(tái)中的流量監(jiān)控信息智能的生成防護(hù)方案和策略,編排模塊據(jù)此調(diào)用對(duì)應(yīng)的安全資源進(jìn)行防護(hù)響應(yīng)。方案流程可參考下圖。

圖9 方案流程圖

在服務(wù)上線前(確保無(wú)威脅存在),AI應(yīng)用從云計(jì)算管理平臺(tái)獲取租戶所有的監(jiān)控流量信息,形成相應(yīng)的流量畫像,作為其流量行為基線。系統(tǒng)上線后,實(shí)時(shí)獲取流量監(jiān)控信息,對(duì)于符合流量行為基線的流,則認(rèn)為是正常的。

對(duì)于與畫像不符合的流,則通過(guò)編排應(yīng)用,生成相應(yīng)的安全審計(jì)流程,針對(duì)這部分流進(jìn)行更深入的安全審計(jì),審計(jì)結(jié)果可轉(zhuǎn)化到實(shí)時(shí)的防護(hù)規(guī)則。

安全資源池的防護(hù)結(jié)果,可以反饋到AI應(yīng)用,AI應(yīng)用根據(jù)這個(gè)結(jié)果不斷的調(diào)整其判斷的準(zhǔn)確性。當(dāng)然,考慮到誤報(bào),這個(gè)過(guò)程必然會(huì)需要一定的人工參與。AI應(yīng)用應(yīng)盡可能地從流程、視圖和算法層面降低人力投入成本。

上述方案僅僅是對(duì)于云安全智能協(xié)同化的一個(gè)簡(jiǎn)單設(shè)計(jì),算是拋磚引玉。真正實(shí)現(xiàn)這種智能協(xié)同化,還是有很長(zhǎng)一段路要走的。

4. 總結(jié)

本文從軟件定義著手,結(jié)合云安全技術(shù)路線的三個(gè)階段,詳細(xì)闡述了為什么云安全一定要實(shí)現(xiàn)智能協(xié)同化,這種智能協(xié)同是否可行以及如何來(lái)實(shí)現(xiàn)。

云安全,從“軟件定義”到“智能協(xié)同”,是趨勢(shì)、是必然,當(dāng)然也是挑戰(zhàn)。

新聞名稱:【云安全】從“軟件定義”到“智能協(xié)同”
本文路徑:http://muchs.cn/article14/coode.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供App開發(fā)手機(jī)網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、面包屑導(dǎo)航品牌網(wǎng)站制作、電子商務(wù)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站建設(shè)