監管加碼,實戰推動
等級保護的標準從 2008年頒布后進入1.0時代,伴隨著《網絡安全法》的實施和新技術發展,歷經十余年的完善,在2019年迎來了等保保護2.0新標準,為網絡安全行業指明發展方向,網絡安全的重要性在國家戰略層面上升到前所未有的程度。
等級保護2.0標準對定級標準、測評范圍和測評要求提出了更嚴格的要求,最近監管部門最近重新調整測評要求,具體內容比較繁雜,簡言之就是測評老辦法采取得分制新辦法采用扣分制,評分邏輯改變相當于考試難度加大了,同樣的系統用新老辦法分差在20-40分之間,有的單位甚至可能得負分。加上近年來監管部門組織的攻防演練活動,很多單位一次又一次被打穿了安全防護系統,不斷刷新了建設單位對網絡安全的理解和認知,極大提升了安全建設重視程度,都加大了安全建設的投入。
從監管部門角度來看,提升測評通過難度,體現了加大等保合規監管工作決心,避免等保整改和測評流于形式化,也針對攻防演練中發現問題將等保合規建設往實戰化方向引導,攻防演練呈現出攻擊手段的多樣性,0day/1day/Nday漏洞利用頻繁,網絡防護體系從傳統合規驅動向能力驅動升級,之前等級合規僅需通過測評即可,而新形勢下還通過還需要經受實戰演練的考驗。
從建設單位視角來看,監管單位增加考試難度還提出能力提升雙重要求,必然會大幅度增加投入,除了傳統的安全產品外,態勢感知、流量分析、安全審計、蜜罐、情報威脅等新型安全產品也必不可少。大量的安全產品部署在網絡中產生會產品一系列問題,首先網絡整改復雜,部署上線周期長,可能需要協調多個廠商參與。其次數量眾多設備占用大量機柜空間和電力資源,也無法統一管理運維,不能充分發揮作用造成浪費。最后如果業務增加或升級,安全設備無法靈活彈性擴展,重復投資現象嚴重。
綜上所述,建設單位面臨更嚴格的監管規范及更迫切的安全能力提升需求,在網絡安全方面會加大投入,如何提升安全資源利用率減少安全資源浪費?如何快速高效滿足合規和實戰要求成為亟待解決的難題。
軟件定義,重構安全
新技術會解決老問題。隨著云計算、虛擬化、SDN、NFV等技術等新技術的不斷發展,當前整體IT架構發生了巨大的變革,傳統的數據中心的形態正在逐漸消失,軟件定義數據中心成為未來趨勢,通過虛擬化、資源池化和自動化,把存儲、計算和網絡資源,打造成統一管理、水平擴展的資源池,根據業務應用需要提供相應IT資源,讓IT架構更敏捷、更高效、更靈活和更安全。
新技術也會產生新問題。如何應對新技術帶來的新風險?如何在新環境中部署安全措施?這些問題對現有網絡安全架構構成了新挑戰,同時也讓安全從業者思考新的IT安全模式,能否用軟件定義的思想重構安全架構解決擺脫當下困境?
2012年Gartner提出“軟件定義安全”SDS的概念,理念是從軟件定義網絡(SDN)引申而來,是將物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行了解耦,底層抽象為安全資源池里的資源,頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理,以完成相應的安全功能,從而實現一種靈活的安全防護。
軟件定義安全主要涉及以下關鍵技術:
1、SDN(軟件定義網絡):將控制面和數據面分離,以實現集中控制,實現自動化,并創建可編程網絡。
2、NFV(網絡功能虛擬化):將網絡安全設備硬件替換為虛擬機。
3、計算虛擬化:將一臺物理機可以虛擬為多個虛擬機,提供資源高利用率和高可用性。
4、服務編排和服務鏈:實現將多個設備進行串接,形成服務鏈。
學以致用,落地實踐
國內先驅的安全廠商積極吸收新興的云計算、NFV、SDN技術,根據各自擅長領域勇于實踐創新,陸續推出適應不同的場景的方案,目前是在等保建設中主要有以下三類。
1、等保一體機
主流安全廠商由于安全產品種類多技術積累豐富,側重點在NFV(網絡功能虛擬化),采用Kvm和Docker容器等技術實現虛擬安全網元代替原有硬件安全設備,采用Open VSwitch實現網絡虛擬化能力,通過統一管理平臺集中管理虛擬的安全網元,采用Openflow協議控制Open VSwitch的轉發平面實現服務編排和服務鏈,提供動態可視、彈性擴容和靈活編排的等保一體機解決方案。這類產品安全網元類型豐富,既有流量類,例如防火墻、入侵防御、流量清洗、安全審計和負載均衡等,也有網絡可達類的,例如堡壘機、日志審計、漏洞掃描和終端威脅防御系統等,通過內置等級保護模板,部署方便性價比高,可廣泛使用于物理環境和虛擬化環境下的等保建設。
2、云安全資源池
有的安全廠商將硬件安全產品提供的安全功能遷移至云上形成云安全資源池,實現與專用硬件解耦,利用服務編排調度技術,實現安全功能靈活部署、資源彈性伸縮,防護云數據中心的東西向和南北向流量。在云計算多租戶場景中,也可以與云管理平臺整合,通過租戶自服務界面實現租戶安全組件自助申請開通、自助運維管理等功能。云安全資源池適用于滿足等級保護2.0云計算安全擴展要求的多租戶的云計算場景,典型的有政務云、醫療云、國企央企等大型集團云等。
3、云防護服務
云服務商也建立自己的安全生態圈,把生態圈內廠商的安全能力遷移至云上適配和整合,建立規模龐大的安全防護資源池,可以過濾巨大的流量,為接入云租戶和接入單位提供云防護服務,云防接入便捷快速部署,可以做到小時級甚至分鐘級開通使用。適用于業務相對簡單但訪問量巨大易遭受dos/ddos和Web攻擊的單位,例如政務服務平臺、大型購物網站和熱門游戲平臺等。
道阻且長,行則將至
軟件定義安全在等保建設中雖然有很多應用,但是目前技術尚未完全成熟,在實際應用中遇到很多挑戰。首先生態,由于安全廠商從各自技術保護和商業利益考慮,相互之間很少能完全兼容,甚至同一廠商不同產品也會形成技術壁壘,難以實現集中和統一的設備和策略管理。隨著網絡安全監管常態化和用戶需求多樣化,無論哪個廠商也無法覆蓋用戶所有需求,大部分廠商專注于某些領域,建設單位普遍希望能整合各自優勢產品解決面臨的問題,可以預見相對開放的生態體系會逐步形成。
其次架構安全,軟件定義安全涉及SDN/NFV/云計算等多種技術,新技術會帶來新風險,例如SDN控制器承載所有控制功能容易被拒絕服務攻擊和違規接入,南北向接口和協議存在信息泄露和傳輸安全等風險。
最后,物理安全設備虛擬為虛擬安全網元也會遇到很多問題,硬件安全設備為了提升性能往往采用定制驅動和內核,在虛擬化平臺上部署后需要解決兼容性問題需要花費大量時間,虛擬安全網元性能也有損耗影響實際使用。采用很多硬件安全設備在等保三級中采用雙機模式部署實現高可用性,設備之間通過心跳線實現主備切換和狀態同步,但是在虛擬網絡中網絡可靠性不高,采用心跳機制效果不佳。
軟件定義安全毫無疑問是未來數據中心安全建設發展方向,在等保合規建設中發揮重要作用,需要安全廠商對等級保護標準深入理解和云計算安全領域的持續積累創新,需要網絡安全行業進一步推進開放的生態圈建設,不斷開發出適合各種場景的完備的解決方案,應對持續加大的合規、實戰和投入的三重壓力。
