云計算安全漫談:看安全架構的優(yōu)勢 |
發(fā)布時間: 2012/8/9 18:42:55 |
云計算已成為眾多IT需求的可行模型。在某些情況下,大型企業(yè)會按需購買云式CPU周期,使用Amazon、Rackspace和Terremark等供應商提供的“基礎設施即服務”(IaaS)進行測試、開發(fā)和批處理。其他情況下他們會外包整個應用,如把電子郵件交給Google,CRM交給Salesforce.com,或者把工資單交給ADP. 盡管它的確很有價值,但IT專家們?nèi)匀粺嶂杂趯υ朴嬎愕膬r值進行一場哲學辯論。他們想知道為大眾設計的云計算和SaaS是否真正是企業(yè)數(shù)據(jù)中心現(xiàn)場IT設備的可選方案。畢竟,內(nèi)建式IT設備可提供線速性能并可進行調(diào)整以滿足一個企業(yè)的特定需要。 最近,首席信息安全官們召開了類似的會議,討論了信息安全需求,特別是與網(wǎng)絡安全威脅管理相關的問題。安全專家們考慮了類似的問題:大型企業(yè)應該選擇企業(yè)內(nèi)部自建安全網(wǎng)關還是將網(wǎng)絡安全威脅的管理交給云服務呢?本文件的結論是: 1.不管選擇哪種解決方案,都要盡快解決網(wǎng)頁威脅管理問題。雖然關于企業(yè)內(nèi)部自建與云服務對比的理論思考還在繼續(xù),而另一方面網(wǎng)頁威脅管理的復雜性也在不斷增長。結果,ESG研究表明大型企業(yè)在網(wǎng)頁威脅管理解決方案上的投資越來越多。 2.企業(yè)內(nèi)部自建和云端部署都有其優(yōu)勢和劣勢。網(wǎng)頁威脅管理網(wǎng)關適用于大型集中式設施,而SaaS則適用于遠程辦公和經(jīng)常外出的員工。遺憾的是,大型全球化企業(yè)在這些方面都有需求,因此不管是安全網(wǎng)關還是SaaS都無法單獨滿足其需求。首席信息安全官們想知道他們到底應該選擇一個解決方案,還是實施多個供應商的多個解決方案。 3.大型全球化企業(yè)需要緊密集成的混合式解決方案。通?鐕髽I(yè)都有大量集中的和分散的員工。這些企業(yè)需要一致的策略管理、實施和監(jiān)督,讓雇員不管從網(wǎng)絡的哪個位置連接都有很強的安全性。實際上,這正是實施結合了企業(yè)內(nèi)部自建設備控制與云的靈活性的統(tǒng)一混合式網(wǎng)絡安全解決方案的最主要原因。采用混合式架構,大型全球化企業(yè)不但可以進行集中管理、分布式實施,還能夠利用移動、遠程和集中的員工云計算社區(qū)的“眾包”優(yōu)勢。這種結合了兩個領域最佳優(yōu)勢的架構將發(fā)展成為標準的企業(yè)部署。 網(wǎng)頁威脅越來越危險 雖然病毒、蠕蟲和木馬的防御一直都是個難題,但許多首席信息安全官們認為現(xiàn)在的威脅管理更是一天比一天棘手。這是由于大型企業(yè)不但要面對傳統(tǒng)的攻擊載體,還要面對越來越危險的網(wǎng)頁威脅。由于以下原因,這方面的情況會越來越糟糕: 1.空前的惡意代碼量。根據(jù)最新的Blue Coat網(wǎng)站報告,網(wǎng)頁威脅的數(shù)量僅與去年相比就增加了500%以上。此外,惡意代碼變種的數(shù)量增加了300%以上,而釣魚攻擊增加了600%以上。 2.危險的網(wǎng)頁內(nèi)容。近半數(shù)惡意代碼的威脅目標是網(wǎng)絡瀏覽器,因為許多網(wǎng)頁應用程序都很脆弱,很容易受到感染。用戶還傾向于相信Google、Yahoo和Bing等高流量站點的網(wǎng)站,而這些網(wǎng)站都受到過攻擊并被用于散播惡意代碼。Web 2.0是由動態(tài)內(nèi)容驅(qū)動的,這是一個新的又難以捉摸的入侵載體。最后,網(wǎng)頁威脅可以特定企業(yè)或個人為目標,使檢測和預防都極其困難。 3.社交網(wǎng)絡載體。社交網(wǎng)絡站點已經(jīng)迅速成為犯罪的多發(fā)地。例如,Zeus僵尸網(wǎng)絡在過去的幾年里通過Facebook散播了超過150萬的釣魚信息。因此難怪有超過三分之二(77%)在企業(yè)機構(超過1000名員工)工作的安全專業(yè)人員認為,員工訪問社交網(wǎng)絡會提高受到復雜攻擊的幾率(見圖1) 圖 1.相信社交網(wǎng)絡站點會提高受到APT攻擊的幾率 來源:Enterprise Strategy Group,2011 年 流動性增加。員工經(jīng)常會使用筆記本、智能手機和平板電腦訪問各種企業(yè)和消費者網(wǎng)頁應用程序。雖然這種流動性可以促進生產(chǎn)率,但它也使管理設備配置、更新安全簽名或監(jiān)控可疑和/或異常行為更加困難。 大型企業(yè)都在對網(wǎng)頁威脅管理進行投資 維基百科對“網(wǎng)絡威脅”的定義如下: “網(wǎng)頁威脅是使用互聯(lián)網(wǎng)促成網(wǎng)絡犯罪的任何威脅。網(wǎng)頁威脅中會使用各種惡意軟件和欺詐手段,所有這些都使用HTTP或HTTPS協(xié)議,但也可能利用了其他協(xié)議和組件,如電子郵件或即時消息中的鏈接,或惡意軟件的附件或在訪問網(wǎng)絡的服務器上。它們幫助網(wǎng)絡罪犯們偷竊信息后出售,并將感染的計算機吸收到僵尸網(wǎng)絡。 網(wǎng)頁威脅會帶來一系列風險,包括經(jīng)濟損失、身份被盜、丟失機密信息/數(shù)據(jù)、偷竊網(wǎng)絡資源、損壞品牌/個人聲譽,以及破壞消費者對電子商務和在線銀行的信任。 鑒于網(wǎng)頁威脅的普遍性、數(shù)量和增長,首席信息安全官們不斷在特定網(wǎng)絡安全防護方面投資。這在最近的ESG研究中有相關說明。近三分之一的企業(yè)說過他們將在2011年投資對網(wǎng)頁安全給予投資(見圖2) 圖 2. 大型企業(yè)將投資網(wǎng)頁安全 來源:Enterprise Strategy Group,2011年 哪種網(wǎng)頁威脅管理模式是最好的? 首席信息安全官們在尋找網(wǎng)頁威脅管理技術保障時,經(jīng)常遇到大量令人難以決定的選擇。在供應商夸張的宣傳中,許多安全執(zhí)行官還面臨一個新的抉擇:他們是應該購買并實施傳統(tǒng)的網(wǎng)關安全解決方案呢,還是放棄企業(yè)內(nèi)部自建解決方案而選擇SaaS云服務? 網(wǎng)頁威脅管理網(wǎng)關非常適合大型且集中的企業(yè) 網(wǎng)頁威脅管理網(wǎng)關位于網(wǎng)絡進出點,可過濾和阻止惡意網(wǎng)頁內(nèi)容,如釣魚漏洞、病毒、蠕蟲、木馬和僵尸網(wǎng)絡等。為了保持防護功能,安全供應商經(jīng)常需要在出現(xiàn)新惡意軟件威脅時定期更新網(wǎng)頁威脅管理網(wǎng)關的規(guī)則和簽名。 過去,大型企業(yè)通常會選擇企業(yè)內(nèi)部自建的網(wǎng)頁威脅管理網(wǎng)關。這些傳統(tǒng)的“壁壘服務器”有如下一些優(yōu)點: ?高性能。網(wǎng)關應用以“線速”運行,延遲時間最短,對網(wǎng)絡性能的影響最小。有企業(yè)級的IT、網(wǎng)絡和安全技術的大型企業(yè)很容易就可以實施并調(diào)整網(wǎng)關安全設備,使其能夠為上千需要網(wǎng)絡的員工提供強大的安全防護而不會帶來任何負面影響。 ?可自定義的策略管理和實施。企業(yè)在監(jiān)管、產(chǎn)業(yè)特定威脅和內(nèi)部治理方面有各種各樣的安全需求。為滿足這些不同的需求,許多網(wǎng)關網(wǎng)頁威脅管理設備都為策略管理和安全防范提供詳細設置。這樣,企業(yè)便可以根據(jù)特定用戶、組、位置或一天中某段時間的特定需求來設置網(wǎng)頁威脅管理網(wǎng)關,從而執(zhí)行安全策略規(guī)則。 ?中央命令和控制。因有多個機構或駐地而有多個網(wǎng)絡進出點的大型企業(yè)可能需要多個網(wǎng)頁威脅管理網(wǎng)關。為滿足這種需求,先進的網(wǎng)頁威脅管理網(wǎng)關可對多個設備進行集中的命令和控制。這樣,首席信息安全官們可對多個網(wǎng)頁威脅管理網(wǎng)關設備實施統(tǒng)一的策略,或根據(jù)特定需求設置某個設備。 ?集成其他安全功能。在許多情況下,網(wǎng)頁威脅管理還可在高性能安全網(wǎng)關上結合其他安全應用,如DLP、反病毒或URL過濾。這樣大型企業(yè)就可以使用標準化的單一安全設備來降低成本、簡化日常維護并集中進行維護和支持。集成的安全設備還可以通過關聯(lián)事件和合并報告來提高整體安全性。 云技術網(wǎng)頁威脅管理適合分布式企業(yè) 網(wǎng)頁威脅管理網(wǎng)關最適合位于同一地點的數(shù)個機構的數(shù)千員工訪問網(wǎng)絡的大型集中企業(yè)。但在當今的全球商業(yè)環(huán)境下,許多企業(yè)具有高度分散的特質(zhì),經(jīng)常有在分支辦公室、遠程甚至路上辦公的移動員工。在過去幾年里,越來越多的安全供應商采用了SaaS或云技術交付模式作為傳統(tǒng)網(wǎng)關設備的補充。分布式企業(yè)可利用使用云技術交付模式的網(wǎng)頁威脅管理,這種交付模式有以下優(yōu)點: 1.部署和操作簡單。SaaS是一種“總承包”式解決方案,無需購買、測試、部署或管理新設備。通過網(wǎng)頁威脅管理服務,只需將所有網(wǎng)絡進出流量路由到云端IP地址,然后所有網(wǎng)頁威脅管理策略就在遠程得到了執(zhí)行。 2.有效且高效的防護。由于云供應商是為大眾設計的這種解決方案,因此SaaS解決方案主要針對最常見的攻擊類型提供充分的防護。就網(wǎng)頁威脅管理來說,這意味著這種云端服務會阻止惡意URL和內(nèi)容、釣魚網(wǎng)站和已知的惡意軟件分發(fā)服務器?梢哉J為云端網(wǎng)頁威脅管理服務一種80/20法則的體現(xiàn)。它們可能不會提供企業(yè)內(nèi)部自建網(wǎng)關那樣的自定義設置或安全集成,但它們能夠?qū)ΤR娋W(wǎng)頁威脅提供有效且高效的防護。 支持遠程辦公室和移動工作者。根據(jù)最近的研究,ESG認為在遠程和分部工作的員工比集中工作的員工有更大的安全隱患,特別是在計算機配置管理、終端用戶培訓和監(jiān)測遠程員工對敏感數(shù)據(jù)的使用方面3.這些有數(shù)十員工的遠程辦公室需要網(wǎng)頁威脅管理,但由于在每個遠程機構都部署網(wǎng)關設備在經(jīng)濟上或技術上是不可行的,于是云端服務這時便特別有吸引力。移動的工作者很少會在“防火墻后面”。因此,網(wǎng)關應用是無法在這方面提供任何防護的,而SaaS就成了理想的選擇。 3.由于“網(wǎng)絡效應”和“眾包”的作用,云端安全服務還有一種潛在的安全優(yōu)勢。在這種模式下,所有云客戶都是一名情報員,當他們發(fā)現(xiàn)了新攻擊方式(如之前未發(fā)現(xiàn)的惡意代碼或受到攻擊的網(wǎng)址)時就會向云端報告。確定新的攻擊后,云端安全社區(qū)中的所有其他人都能夠受到保護。 圖 3. 滿足遠程辦公室/分支機構需求時面臨的安全問題 來源:Enterprise Strategy Group,2011 年 大型全球性企業(yè)需要混合式安全架構 部分企業(yè)傾向于根據(jù)單一決策點-企業(yè)是集中化企業(yè)還是分布式企業(yè)-來選擇應用企業(yè)內(nèi)部自建的網(wǎng)頁威脅管理網(wǎng)關還是SaaS解決方案。但是許多全球性企業(yè)有分散的集中式駐地和許多遠程辦公室和移動工作者。那么他們應該選擇企業(yè)內(nèi)部自建設備還是云端服務,還兩種解決方案都選呢? 很明顯的是,大型全球性企業(yè)需要能夠為所有員工和IT資產(chǎn)提供防護的網(wǎng)頁威脅管理解決方案,不管他們位于數(shù)據(jù)中心還是遠程辦公室,還是通過公共網(wǎng)絡訪問應用程序。遺憾的是,這意味著要實施多家供應商的多個解決方案,為企業(yè)網(wǎng)絡建立企業(yè)內(nèi)部解決方案,同時為遠程辦公室和移動員工提供云端服務。是的,多個解決方案確實可以提供覆蓋范圍和防護,但這也會導致高成本和冗余的操作。 因此這里需要的應該是一種混合式架構,要結合現(xiàn)場設備的性能和管理優(yōu)勢,還要結合云端服務的靈活性和覆蓋范圍(見圖4)。 圖 4. 混合式安全架構 來源:Enterprise Strategy Group,2011 年 為滿足大型全球性企業(yè)的需求混合式網(wǎng)頁威脅管理架構必須包含: 1.集中化的管理和分布式的實施;旌鲜骄W(wǎng)頁威脅管理架構可提供一致的策略管理和安全防范,而不論這些活動發(fā)生于企業(yè)設備內(nèi)還是在云端。設備和云端服務可通過統(tǒng)一的圖形用戶界面進行管理,而報表則可定制為提供整個企業(yè)的視圖(如企業(yè)內(nèi)部自建設備和云端服務的綜合視圖),或為各個分支地點提供統(tǒng)一的視圖。 2.以云端為中心的智能。威脅智能以云技術為堅實的基礎,而用戶和企業(yè)內(nèi)部自建設備則通過如上文所述的眾包作用貢獻力量?赏ㄟ^對企業(yè)內(nèi)部自建設備的實時更新立即解決新威脅。 3.緊密集成。企業(yè)內(nèi)部自建和云端管理和實施可根據(jù)情況靈活應用。此外,混合式威脅管理架構還能夠根據(jù)未來的各種需求隨時擴展。例如,可通過DLP功能加強網(wǎng)頁威脅管理,防范網(wǎng)絡進入點的惡意代碼攻擊和網(wǎng)絡出口的數(shù)據(jù)泄漏。 混合式網(wǎng)頁威脅管理具有靈活而即時的安全優(yōu)勢 ESG認為混合式架構可同時提供短期和長期的優(yōu)勢,而且?guī)缀趿⒓匆娦。混合式網(wǎng)絡安全架構可提供這些優(yōu)勢的原因是: 1.改善了遠程工作者的安全性。根據(jù)ESG研究,遠程辦公室的IT支持面臨諸多安全問題,包括網(wǎng)頁威脅管理(見圖3)。而且移動工作者同樣有這些安全問題;旌鲜骄W(wǎng)頁威脅管理架構可提供簡潔而有效的解決方案,因為它減少了部署新設備或一次性SaaS安全服務的需求。而且,首席信息安全官們可利用集中的IT安全技術和一流的網(wǎng)絡安全工具來實現(xiàn)地毯式覆蓋,無論員工的地理或網(wǎng)絡位置在哪。結果?即時的安全改善,直接解決了ESG研究報告中發(fā)現(xiàn)的一些問題。 2.提供全局可見性和控制能力以迅速發(fā)現(xiàn)并解決問題。由于現(xiàn)在APT等網(wǎng)絡攻擊已經(jīng)非常成熟,一個設備受到攻擊就會造成嚴重的數(shù)據(jù)泄露。要解決這個風險就要對所有設備和活動進行監(jiān)控。由于混合式網(wǎng)頁威脅管理架構能夠提供集中的命令與控制、策略管理和報告,首席信息安全官們可以了解并監(jiān)督所有設備以及在整個網(wǎng)絡中的安全防范活動。這種可見性和控制能力可加快問題發(fā)現(xiàn)和解決的速度。 創(chuàng)建一個云遷移路徑;旌鲜骄W(wǎng)頁威脅管理架構結合了企業(yè)內(nèi)部自建設備和云的優(yōu)勢。這可以提供全面的覆蓋范圍。但有些企業(yè)可能希望慢慢地將網(wǎng)絡和其他威脅管理工作都交給云端,特別是在云安全服務成熟之后。混合式網(wǎng)頁威脅管理架構提供了靈活的安全遷移路徑。首席信息安全官們可以方便地調(diào)整網(wǎng)絡設置、將網(wǎng)絡設備更換為云服務,并在云經(jīng)濟和安全技術成熟時利用這方面的優(yōu)勢。 更重要的事實 云計算和SaaS通常表現(xiàn)為一對與傳統(tǒng)IT解決方案對立的選項-或者你自己做,或者你完全放手不管。這是一種令人遺憾的想法,完全忽視了“混合云”的整體概念。雖然現(xiàn)在極少有公司將應用程序的工作交給云服務,但將來這會成為容量規(guī)劃、業(yè)務連持續(xù)性和災難恢復的標準方法。 同樣的觀念也應該應用到更精細的IT要求上,如網(wǎng)頁威脅管理。企業(yè)內(nèi)部自建的和云解決方案都有許多優(yōu)勢,但任何一種都不會提供完全的覆蓋。聰明的首席信息安全官不會只從這兩種方案中選擇一種,而是尋找能夠同時提供兩者優(yōu)勢的混合式解決方案。最佳的混合方式應該是結合集中化管理和分布式實施的緊密集成的架構。這就是Blue Coat結合ProxySG/WebFilter設備和網(wǎng)絡安全云安全提供的網(wǎng)頁威脅管理架構-都由WebPulse Collaborative Defense提供支持。 注釋:作者Jon Oltsik為高級首席分析師。 本文出自:億恩科技【mszdt.com】 |