郭涛
在云计算时代,如何才能最有效地防御攻击?在云中建立一堵安全之墙吗?要如何建?PAN-OS 8.0是Palo Alto Networks要建的云中安全之墙的基石。
安全是一个永无止境的话题,黑客与企业客户和安全厂商之间是此消彼长的关系。随着技术的发展,以及安全需求的变化,黑客的攻击手段在改变,企业客户和安全厂商的防御手段也随之精进和完善。
提到Palo Alto Networks,很多人最熟悉的可能就是它的下一代防火墙产品。防火墙顾名思义,就是在企业的内部和外部之间建立一堵“安全的墙”,将非法入侵和安全隐患拒之墙外。
百度百科上对下一代防火墙的定义是:下一代防火墙是一款可以全面应对应用层威胁的高性能防火墙,它通过深入洞察网络流量中的用户、应用和内容,借助全新的高性能单路径异构并行处理引擎,为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务,并简化用户的网络安全架构。
从这一定义中,我们可以找到几个关键词,清楚地描述下一代防火墙与传统防火墙的最大区别:全面、洞察、一体化、简化。其实,这几个关键词并不是只适用于防火墙这一类产品,而是云时代安全产品所要具备的基本功能和特性。
前不久,Palo Alto Networks发布了公司成立十多年来最重要的一款产品——PAN-OS 8.0。从记者的角度理解,所谓最重要:一方面是指PAN-OS 8.0是Palo Alto Networks最核心的产品平台,是Palo Alto Networks技术创新的集大成者;另一方面,PAN-OS 8.0是应云计算时代安全需求所生,针对云安全提供了创新的技术和功能,集中体现了未来安全产品的走势。
安全防护的四个基本面
新年新气象。2017年,Palo Alto Networks不仅发布了最新的安全产品,也迎来了中国业务的新掌门人——Palo Alto Networks 大中华区总裁陳文俊。刚刚上任不久的陈文俊在针对中国媒体的PAN-OS 8.0发布会上显得意气风发,他表示:“Palo Alto Networks已经发展成为一家全平台防御解决方案提供商,从网络端到整个数据中心,从云计算的接入到各种终端设备的接入,我们都可以提供成熟的解决方案。PAN-OS 8.0主要解决的就是云计算的安全问题。”
在云计算时代,如何才能最有效地防御攻击?也在云中建立一堵安全之墙吗?如何建?
Palo Alto Networks给出的答案是,可以从4个方面不断提升安全解决方案的有效性,包括全面可视化、减少被攻击面、防御已知威胁和防御未知威胁。无论是移动终端、网络还是云,如果你不能及时发现安全攻击和威胁来自哪里,那么防御就是一句空话。因此,有效防御的前提是必须实现可视化。有全面可视化做基础,无论攻击源自哪里,我们都可以看得见,然后就可以找到适合的解决方案来防御。
现在,黑客的攻击通常都是群体作战,而不是一个人,这样攻击的成本更低,被攻击者也更难防御。对于企业来说,如果你“暴露”的越多,让黑客能够轻易找到防御的薄弱环节,那么企业受到的攻击就会越多。“如果企业能有效减少被攻击面,那么相应的,黑客的攻击成本会上升,攻击的成功率也会降低。”陈文俊表示。
对于已知的威胁,我们通常会为其打上标签,而且各安全厂商已经有很多成熟的解决方案来应对这些已知的威胁。比如,Palo Alto Networks已有的智能云,已经在全球范围内实现了所有客户设备的同步,在美国或欧洲发现了安全威胁,5分钟之内就会将这一消息通过智能云通知全球的设备商,从而做出及时的防御和动作。这些技术目前已经十分成熟。
现在也可以采用AI、机器学习、行为分析等技术手段进行动态分析、静态分析、异常检测、深度解析等,从而更有效地防范未知的威胁。
上面谈到的这些应该注意的问题和相关的技术其实并不新鲜,有些甚至属于老生常谈,但为什么在面对一些突如其来的安全攻击时,有些企业还是会处在“被动挨打”的地位呢?究其原因,他们没能将这些单点的安全解决方案形成一个有机的整体。VMware首席执行官帕特·基辛格曾表示,抵御安全攻击,响应速度并不是核心,而是如何将支离破碎的安全保护进行更有效的整合,实现安全架构的简化。这才是安全转型的关键。
“一个企业若想抵挡全面的攻击,就必须拥有集成化、一体化的安全防御解决方案,所有的网络、端口和云都要防护起来,而且要具有自动发现安全威胁的能力,并确保在任何时间、任何地点使用任何设备的体验是一致的。”陈文俊表示,“我们可以提供所有功能无缝集成、协同工作的全平台安全解决方案,全面防御已知和未知的威胁,让云安全这堵墙越来越坚固。”
云安全的基石
Palo Alto Networks 大中华区技术总监耿强表示,随着各类云(包括公有云、私有云、混合云,以及SaaS)的快速普及 ,网络安全边界变得越来越脆弱。用户可以随时随地使用任意设备从云中读取数据,导致在网络和终端之间传输的应用和数据数量大幅增加,这进一步增加了网络威胁的覆盖范围和复杂程度。Palo Alto Networks自主研发的下一代安全平台能够让用户无论身处何处,都可以安全地启用应用程序和内容,防御已知和未知的攻击,同时简化安全操作和基础设施,安全地使用新的云基础设施。
PAN-OS 8.0在原有功能的基础之上,进一步增强了自动化、机器学习和威胁防御能力,一下引入了70多个全新的功能。耿强归纳了PAN-OS 8.0的五大创新之处:多元威胁防御,有效阻止恶意软件,实现自动保护;凭证盗窃防御,防止自动化的凭证盗窃和滥用;云安全,提高各主流云的可视性、控制力和规模;规模化管理,大幅提高Panorama的性能和自动化程度;使用全新的硬件,提供高性能SSL解密。
耿强表示,在云安全方面,Palo Alto Networks能够提供一致的安全机制,无论是硬件、软件还是操作技能都是一样的,合作伙伴和客户无需重新学习即可操作。Palo Alto Networks的安全解决方案可以很好地支持亚马逊AWS和Azure公有云,并进一步增强了与VMware NSX的集成性,提升了私有云部署的自动化水平,此外还能与OpenStack、ConfigDrive集成,实现NFV的自动化部署等。
值得关注的是,PAN-OS 8.0采用了一些新的技术:阻止沙盒逃逸技术,具备全新的100%定制化虚机管理程序(Hypervisor)和裸机分析环境的WildFire服务,旨在自动识别和防止最具逃逸性的威胁;自动命令与控制签名,使用全新专用有效负载签名生成引擎,能够更快防御攻击者的回呼企图;自动集成威胁情报,将MineMeld应用程序集成到AutoFocus服務中,企业的安全运维团队可以轻松获取多个数据源,加速整理全部威胁情报,创建自定义字段,并自动快速修复下一代防火墙,以及通过第三方SIEM解决方案或资产管理产品通知SOC小组;为管理人员提供快速准确情报的管理功能,通过Panorama网络安全管理,融合Traps高级终端保护日志,以及附加的防火墙日志,增加与威胁指示器的相关性,并自动快速更新到下一代防火墙,以阻止攻击者横向移动,并通过第三方IT服务管理和网络安全响应系统(如ServiceNow)通知IT部门,从而降低安全团队的操作负担。
耿强还特别提到了PAN-OS 8.0新增的凭证防盗功能。凭证盗窃是网络攻击者威胁和操纵企业以获取宝贵资产的常见手段之一,而PAN-OS 8.0新增的凭证防盗功能,能够将可疑链接通过电子邮件发送到WildFire,实现增强的机器学习分析。如果该网站被认定为钓鱼网站,PAN-DB将自动更新钓鱼URL数据库、阻截该网站并阻止用户访问该网站。Palo Alto Networks的下一代防火墙内置一个基于策略的多因子认证框架,这种独特的功能使防火墙可以轻松执行多因子认证,以阻止网络攻击者借助盗取的凭证或受损的终端,在网络中横向移动并访问敏感数据。为了确保实现以上效果,Palo Alto Networks的下一代防火墙在网络级别、身份验证和身份管理框架下,与多个下一代身份访问管理供应商,以及其他策略执行工具进行整合。
“我们支持全球大多数的公有云,更重要的是在性能上有大幅度提升。”耿强表示,“我们拥有一个完整的安全平台,并从客户和应用的角度出发,依靠内容感知,及时发现潜在威胁,提供端到端的全面安全防护。在云计算时代,我们的安全保护能力得到了进一步延伸和增强。”