2013年5月16日第十四届中国信息安全大会在京召开,本届大会的主题是“信息安全新机遇——大数据,BYOD,SDN,云安全”。WatchGuard中国区市场总监万熠先生在大会上做了题为“大音希声 大象无形——大数据时代的网络安全保障之道”的主题演讲。
很荣幸在这里和全国的安全界的同仁们,以及做安全的前辈们进行交流,关于WatchGuard以及大数据的时代。
大数据、云计算、BYOD,我就看到了大音希声、大象无形,为什么?这个和我们大数据时代是非常像的,大数据是非常大,但是我们的计算平台是看不到的,其实BYOD在这种接入模式我们获取资源的方式从原来的有线网络、笔记本、PC机到现在看不见的终端,甚至是SAS,这种情况下我想大音希声、大象无形这句话很好的体现了这个时代网络的方式。
在这样一个时代网络信息安全如何去做,这是开这次会很重要的目的,今天很荣幸在这里介绍一下WatchGuard对大数据时代网络一些热点。
所有的事情都是在进化,人类从祖先进化到现在的现代人,从生物学上来说是不断进化的,从社会来说从原始人类走到狩猎石器时代、到农业时代、工业时代,一直到现在的工业信息化时代。从深入的发展来看,人是从爬行走向了直立,从社会的进步来看从没有社会、没有文明走到现在的IT进化阶段。
我们说从信息化的发展一直在遵循亘古不变的原理,这张图很多人做信息化的人都明白是什么,是一个非常老的模型,叫诺蓝模型,今天我们依然认为是非常有效,从中国的信息化,包括全球的信息化来看,实际上信息化建设依然从产生、发展、变革的阶段,比如说存储介质有磁鼓,慢慢信息化开始发展,被大家不断的认知,这时候开始了很多办公电脑、无纸化办公,这时候开始出现了信息化,出现了个人电脑、PC、大型机。
随着信息化建设不断的认可,我们投资和建设规模也上去的,出现了大量的采购,比如说PC机、服务器等,这时候经历了大规模的基础设施的建设状况,就像盖房子一样,我们买这些设备的目的不是为了看这些设备,其实没什么好看买设备其实是为了做我们的业务、系统,这时候关注系统,这时候信息化进入了集成期。
实际上在业务里面最关键的显然是数据和数据类应用,因为数据和数据类应用,不管是企业、事业、政府方方面面最重要的资产,这时候信息化的建设从原来的单纯设备采购到现在的数据的关注、业务的关注,甚至是业务的发展,这时候我们进入了一个管理期。包括我们我们找到数据、应用这些数据的时候,现在开始探究数据的价值,开始做数据的挖掘、发掘,这时候我们可以看到,整个IT信息化已经进入了一个成熟期在这样的成熟期,在今天的环境下来看,这就是我们所说的大数据,大数据最重要的就是做大量的数据挖掘、数据计算、关联分析,以及数据价值的二次利用、再利用,为我们的业务、为我们的发展提供一个指导方向和发掘这个数据的下面的业务。
我们刚刚说到发展模型,IT技术的变革也经历了这样一个阶段,我们从刚才说的大型机、PC机到互联网的应用,到现在的云计算的应用,整个的发展我们可以看到云计算介质变化不断的改变我们IT的交互方式,云计算的发展带来的大数据,云计算带来的BYOD的应用,云计算也带来了很多的大数据情况下微小的条件,如何解决这些问题?
这张图是很明显的看到,新的环境下大数据的结构,有一句话说的非常形象,蓝蓝的天上白云飘,白云上面数据跑,包括说大数据、BYOD都说在一起的,云计算是在架构在云平台上,对业务进行存储、国旅、管理,达到数据价值的充分利用,通过数据来发现数据的价值,来创造商机。整个计算的载体是云计算平台,当然大家都知道云计算平台整个的核心技术是虚拟化,同样我们这些数据如何去获取,我们总说所有的事情要落地,云在天上飘着、数据在云跑着,我们依然可以通过服务器、企业的终端、电脑等等方面获取,新的获取方式同时也应运而生,就是BYOD,我们可以通过个人终端、可以通过甚至没有终端的方式来获取数据,来交互数据、来提供数据、下载数据。
实际上在这样的情况下,整个的IT结构明显有了不同的特征:
第一计算介质开始模糊化。
第二是数据动态化,不知道数据存在在哪里,数据开始碎片化。
第三同时碎片化的数据开始进行交互,数据泛社交化。
第四是多形态的接入及应用访问。
在这样的架构下安全热点需要解决呢?很明显传统的依然不能丢,在这种传统的网络安全边界必须要做,原来老的或者是既有的计算方式、网络方式是必须要的问题。
第二是最外面网络边界,边界内部的用户对数据的访问,如何去访问它,设备接入的控制、设备访问的控制,这些都是我们对于接入这个层面所要考虑的。
第三计算介质本身的安全在这种云的计算平台下,大家都说云计算非常好,为什么?因为云计算很安全,为什么安全呢?因为云计算是分布式,不知道他的计算单元在哪里,不宜攻击。第二是动态迁移的,他的负载太高的时候我可以给它分配更多的CPU资源,所以大家觉得我的云计算是安全的,这样的情况下大家对会云被忽视,对云来说这些问题似乎都不存在,实际上也是存在的。
第三实际上我们的业务中心是数据,尤其现在是大数据结构下,数据越多我们的安全性越重要,安全关注的越多,所以要考虑数据的安全。
从整个大数据时代的结构下我们就可以看到从内到外、从外到内有很多安全工作要做,同时包括一些热点问题,比如说通过社交网络行为,通过云对天的攻击,包括正常的社交方式,利用社会公职人员进行渗透,来获取大数据的APT的攻击方式,都是我们这个时代不得不面对的问题。
BYOD的解释?
首先是BYOD的问题,今天上午我看到很多厂商也谈什么是BYOD,BYOD有什么好处?有什么不好的地方?谈了非常细,在这里我也不多说,不详细阐述,因为我觉得其实这个概念提出来,每个厂商的理解基本上都是一样的。
WatchGuard认为是BYOD是什么,bring your own device,BYOD是双刃剑。背后有很多问题,比如我们在使用BYOD的时候,因为这些设备不是我们企业的设备,不是可管理的设备,没有强制管理的设备,这个设备我们强制按照公司的要求、企业的要求、政府的要求去安装一些强制软件。
第二在现在的web2.0时代下,浏览器不仅仅是工具,更是存在超越了传统操作系统的东西,浏览器现在是攻击的主流,而浏览器的攻击往往是大家所忽视的,我们做杀毒、防火墙、系统安全检测、健康检测往往会忽略浏览器自身的安全。
第三我们在使用BYOD的不知道谁进来了,会存在很多的不速之客,包括我们刚刚谈到的BYOD有六不,BYOD我进来要接进来,接进来不能去访问,这都是我们在应用的时候做的事情,因为这个设备不是企业独立采购、政府批量采购的,实际上在很多安全策略没有办法强制执行,这时候就带来一个监管的问题、强制执行的问题,以及我们说BYOD会带来公私不分,因为这个设备是自己的,我们在自己的设备上做自己事情理论上是天经地义的,但是我在自己设备上做自己工作的时间可能是工作时间,所以会有很多问题,比如说工作的问题、管理的问题,我想在今天上午其实有很多专家和厂商都讲过BYOD的问题。
如何去解决这些问题?从以下几个方面解决问题:
第一做好设备的接入控制,设备接入进来不仅仅是传统的有线接入,现在的BYOD更多是基于WiFI无线的接入,实现有一个很重要的问题,无线接入的最后一笔往往是空白的,大家想一想现在做做APP接入,它是一个天线,是一个天线,接到系统是一个空白,从控制器可以绕过安全设备、策略设备进入我们的系统,实际上这就留下了一个空白。BYOD怎么解决它,实际是把这块空白填上。
第二,应用控制,如何解决公私不分的问题、软件的问题、非法应用的问题,这些都要基于应用控制来解决问题,包括安全立法问题,我们在BYOD接入以后并不代表着所有的设备都向你敞开的,如果去做首先我们需要对一些关键的硬件做加密访问,最简单的访问因为我们的数据在空中飞,有可能被人家窃听,或者是抓包,可以做VPN,或者是数据加密,我们可以做应用的代理,把一些应用从后台做到前台,让用户去访问,但访问的是代理。这就解决了公司不分的这些问题,通过这一整套来实现对网络的BYOD环境可视化的管理。在这种情况下随着云计算的发展,我们说接入的终端不仅仅是笔记本、手机,更多实际上可以做到用U盘就可以,因为U盘可以做虚拟桌面,我编辑一个文档不再需要用笔记本电脑和手机,也可以通过APP store可以空手接进来,这就是WatchGuard对BYOD的概念,不仅仅是BYOD。
第三安全的数据访问。
第四是数据防泄密。
第五是事件日志审计。
虚拟化技术为根本的云计算,说完边界的安全、接入的安全,我们开始谈计算本身的安全。在这样一个大数据时代下,实际上云计算的根本就是虚拟化,我们对云计算实际上有好多误区:这些误区大家能认识到,但是在做建设的往往忽略掉,我们做建设的时候很多厂商会告诉你,会做防火墙、LS、日志分析等都做了,这些没问题,但是做在哪儿?实际上是做了云计算的外围,你把物理设备拖开,通过软件的方式形成一张存在的计算网络,而我们设备实际上是把这种物理设备相当于建一个机房,把安全设备放在机房之外当然是不安全的,这时候你会发现一个问题,所有人、所有设备都在一个安全域,所有的虚拟机实际上是一个安全域名显然不安全。
第二虚拟环境通过物理设备进行隔离,不同的用户之间有不同的访问业务、有不同的功能、不同的授权,实际上我们的安全域是需要划分多个。实际上旧的安全方案对新的计算模型完全束手无策。在这种情况下我们有很多物理设备和服务器做了安全策略,并进不来,在新的模型下在外围做了安全,但是我这里新建一个虚拟机,或者是动态迁移一个虚拟机,这个虚拟机带有病毒,就可以通过物理机内部的联系在虚拟机之间进行传播,如果说我们动态迁移策略做的比较灵活会在多个物理机之间进行传播,很多物理就会感染。
WatchGuard做了一个你虚拟化的安全方案,XTM和XCS,这两套产品可以基于虚拟化建设,在主流平台上可以在每一个虚拟机都放到一个虚拟化的网关,实际上对于一个物理机来说是一个小型的局域网络,就解决了虚拟机动态移动导致的病毒攻击蔓延的问题。
第二对于应用层的服务来说,在虚拟化环境下,我们可以做应用型内容检测,比如说邮件可以通过应用型的内容检测来做数据的防泄密,如果不符合安全性的要求,这个数据是出不去,它只会停留在虚拟机的内部。
随着虚拟化的建设从第一个机器转移到第二个机器,或者是第三个机器,每个虚拟机不依赖整个物理环境,所以WatchGuard的物理环境是不存在的。包括现在的虚拟化,比如说谈到虚拟桌面,依然会存在着传统的问题,比如说上网访问的问题,访问非法网站的问题、非法获取资源的问题,非法操作的问题,实际上这些都是问题,大家都会说这个没问题,这个问题不用担心,因为虚拟机用完就回收的,你拿不到,这个电脑不是你的,你用完这个机器就消失了,但是你的数据拿到的,我们虚拟机可以把USB控制住,不让下载、不拷贝到U盘里,数据带不走,但是人有脑子可以带走。如何解决这个问题,虚拟环境依然要做数据访问、DRP,我们可以通过虚拟的DRP、数据防泄密来做,这是WatchGuard虚拟化基于安全、网络的解决方案。
我们的虚拟设备和物理设备通过同一管理软件集中进行管理,虚拟的ITM和物理的ITM可以进行迁移,比如说需要把虚机变成物理设备怎么办,就可以虚机牵出来,这就是WatchGuard对虚拟化的解决方案。
因为我们知道网络里面有什么,才可以实现对于网络安全的攻击,比如说现在大家都说APT攻击,APT攻击是非常难防范,我们传统的攻击是用机器做的,有代码做的,是一种非人类的方式,而APT攻击是一种人类的攻击方式,它利用社交网络,利用人、利用人的心理跟你打交道,利用你不知道的工具来获取你的资源,达到进入我们系统的目的。
在这个时候我们如何去做?
第一,要做深层次的访问,像洋葱一样,这时候我想到一首歌《洋葱歌》,包括我的接入层面有什么,谁接进来的。
第二,要做全方位的检测,即使是正常人发过来的邮件都要进行检测,从第一步杜绝了APT攻击源的方式。
第三,做管理可视化,APT攻击通过设备攻击人的方式获取代码和获取权限,最后达到获取系统资源的目的,实际上在网内一步一步做痕迹了,我要做可视化管理。
第四,自进化的安全,APT攻击里面最重要的,为什么他发过来的邮件明明有恶意代码,我们防病毒软件查不出来,为什么有攻击行为我们查不出来,所以说对于我们的安全设备依然要比它进化的更快,要在攻击发现的时候就有防御能力,最小化解决APT攻击的能力。
这就是WatchGuard对APT攻击的四个重要方面。大家说你怎么去进化呢?这个问题提的很好,数据、大数据时代,不是去谈的,是用的,下面就分享WatchGuard在全球大数据自己的应用,如何应用大数据来反击大数据的攻击。
首先WatchGuard有自己的域名,我们叫WatchGuard RED,WatchGuard的标识都是红色的,第二RED是安全信誉的缩写。在WatchGuard RED安全云的情况下,我们在全球WatchGuard的产品在搜集我们的攻击样本,搜集完会上传到全球的五个数据中心进行分析,分析完以后提取样本和攻击行为,然后做应用识别,形成全球的策略发布平台,实时向全球的所有的WatchGuard用户发布网络安全的特征,来实现防范于未然、人类的攻击。
这就形成一种正态的循环,这就是WatchGuard对于大数据的最佳安全实践,我们有自己的云,我们在云做自己安全数据的分析、挖掘,之后我们会把云上的数据下发到我们终端上,实际上在这里面有一点我们没写到,WatchGuard里面安全设备是有BYOD,大家说为什么这么去做,其实WatchGuard,或者是管理软件有一个功能,叫管理配置,原来我们保存配置放在U盘,或者是本机,现在什么都不需要,我们提供了一个云平台空间,每个用户有自己的空间,提供配置上传到配置空间中,使用任何电脑通过安全策略,或者是VPN接入控制台,把他的配置平台下载到我们的空间,就导入了安全管理,这就是WatchGuard对大数据、BYOD一个实实在在的应用。
从终端的接入到网络的保护,到计算介质、到网络、终端接入WatchGuard可以提供全面的解决方案,包括像我们说的在网络终端上可以做无线的安全,保护我们最后一面,做访问策略、身份认证、VPN、BYOD,在网络上可以防火墙、访问安全,在结算机智可以做主机防病毒、虚拟化的安全、在业务上可以做负载均衡、应用加密、应用代理;在数据上可以做内容过虑、数据防迁移,外部应用安全、数据加密,这些都依赖于都可以通过WatchGuard整个安全产品来进行解决和提供。这些都是WatchGuard在全面的保障大数据时代能够做的工作和产品解决方案所能提供的一些产品。
这里很巧合,刚刚网御星云刘总也谈到,做设备小的问题,实际上我很赞同这一点,PPU这一点,实际上WatchGuard最高端的5520系,可以做实测全功能开启防火墙安全性,在1U空间里面做10T的吞吐量,对于大音希声、大象无形的强烈体现。
