路沙
此前,当IBM正式推出五款Cloud Paks产品之后,业界就在期待着,下一个或下一批Cloud Paks产品将会聚焦哪个领域,又将以一种什么样的技术形式呈现在行业面前。俗话说:“念念不忘,必有回响。”IBM就是这样喜欢“投其所好”,11月,在行业最为关注的安全防护层面适时发布了Cloud Pak for Security——一个基于开源技术,建立在OpenShift平台之上,并且能够实现跨云数据洞察及实时响应的安全防护平台。
时至今日,在全球范围内因黑客攻击而造成的数据泄漏事件早已屡见不鲜。与此同时,随着GDPR、《网络安全法》及“等级保护2.0”等政策标准的发布实施,来自内外部的安全“枷锁”也使得企业的安全防护愈发显得捉襟见肘,破绽百出。据IBM大中华区安全事业部总经理陈文丰介绍,在IBM开展的一项调研中,78%的受访者表示企业的数据保密能力极为重要,但只有20%的受访者完全信任与之开展业务的企业有能力保护其数据隐私。
多云及混合云的时代,有48%的用户没有有效的安全管理工具,所以在上云过程中,面临着来自数据、应用、开发等诸多层面的安全挑战。而为了更好地实现云安全防护,一种开源、标准化、跨多平台及智能化的安全防护手段渐成行业“刚需”,基于此,Cloud Pak for Security应运而生,并致力于满足行业对于云安全防护的所有想象。
践行混合多云时代的安全防护之道
“世上本没有路,走的人多了就成了路。”谁又是第一个走上去的人呢?无论是人生旅途抑或是行业实践都需要先行者。
在陈文丰的解释中,Cloud Pak for Security是采用IBM首创的开源新技术的第一个平台,并透过开源技术实现了任意安全工具的连接互动以及基于不同数据源的安全数据的分析、狩猎和自动化响应。在这里,关于云安全的洞察似乎尽收眼底。而借助IBM大中华区安全事业部技术总监张红卫的场景化描述,Cloud Pak for Security则显得愈发具像化。
张红卫提到,目前,Cloud Pak for Security推出了联邦搜索与调查 Data Explorer (Federated Search & Investigation)和SOAR (Security Operation & Automation Response)安全编排和自动化响应两项技术能力。IBM基于边缘计算的理念,推出了联邦搜索和调查的功能。在不移动数据的情况下,通过在各个数据源当中建立连接,然后进行命令下达,就能够实现在各个数据源中的数据搜索和调查,并最终将反馈结果在防护终端上进行展现。
“为了应对海量数据下无法有效查看日志和区分告警事件的情况,行业内推出了SIEM平台,通过SIEM将所有的日志、数据收集起来,并通过关联分析发现里面的真正威胁和告警,针对真正的威胁和告警进行处理和响应。不过,如果将所有的数据都放到SIEM当中进行分析和调查,又会出现成本过高和存储压力过大的问题。而联邦搜索和调查这项技术能力就基于边缘计算的理念有效解决了这一问题。”张红卫进一步解释道。
关于SOAR,IBM的核心产品是Resilient。“我们可以试想另外一个场景,当你发现一个安全事件的时候,就会牵涉到包括人和人、人和设备、设备和设备的自动化响应问题,所以我们推出了基于安全编排和自动化响应的SOAR平台。”张红卫如是说。
具体来讲,IBM Resilient包含了事件管理、自动化响应以及威胁情报三个平台,并且通过Cloud Pak for Security将这些平台功能进行了高效集成。这样一来,与业界同样的SOAR产品相比,Resilient内在优势在于针对不同的安全事件都有不同的响应模版,而基于这个模板能够便于定制企业自身的响应流程。此外,Resilient的响应流程和隐私保护也是模块化的,并且与Red Hat Ansible相集成,提供了更多的自动化规程。以隐私保护为例,当你的一个安全事件牵涉到个人隐私的时候,它会根据所在行业和所在地区判断应该遵守哪些法律法规,并基于这些法律法规去采取行动。
打造开放、标准、连接的安全体系
从整体来看,目前Cloud Pak for Security已经实现了三项初始功能:在不移动数据的情况下获得安全洞察、自动的快速响应安全事件以及在任何地方运行,并获得开放的安全连接。 “IBM之所以推出Cloud Pak for Security,很大一部分原因是基于容器的概念。容器的好处是可以跑在任何的平台之上,只要容器能架构的平台,这个产品就可以部署上去,不依赖任何厂家、任何品牌、任何服务器。”张红卫这样说道。
对此,陈文丰提到,当企业把关键任务迁移到混合云环境,安全数据会分布在不同的工具、云、IT环境当中,所以造成的漏洞威胁会更大,进而导致安全部门的维护成本会非常高,非常复杂。有了Cloud Pak for Security以后,就可以更容易地去紧密连接安全生态上面的众多产品技术。
事实上,针对当前企业用户面临的信息安全新挑战,IBM安全已经在行业内发布了三大战略:云安全、人工智能响应平台和数据保护,以帮助企业化解越来越多的行业挑战。
在云安全方面,IBM从三个关键领域全面保障云安全:安全的身份及网络、数据和工作流程保护、威胁应对与合规管理。在人工智能响应平台方面,IBM SOAR则是业界第一个人工智能响应平台。而作为SOAR的核心产品Resilient,是能夠对事件进行自动快速编排和响应的端到端平台,它可以智能、统筹且自动化的方式,帮助安全人员在一个平台上无缝协作,抵御攻击。在数据保护方面,IBM则推出了数据安全系统Guardium与特权账户系统Secret Server。实际上,这些技术能力在此次发布的Cloud Pak for Security上都已经或即将被有效集成,并实现近一步的完善和创新。
不过,在陈文丰看来,纵观国内外在安全领域的形势变化,IBM一直在引领变革。而IBM的目的是打造一个开放、标准、连接的安全体系,在这样一个体系内通过用开放云代码的技术,把各家安全层面的产品技术更有效地互通、互联,从而能够在开放的世界里面更有效地进行整合。这样所带来的一个好处就是,能够将企业内部来自不同企业的安全工具更有效地利用和调用起来。为此,IBM率先实施了开源项目,使安全工具在整个安全生态系统中能够自然地协同工作。作为开放网络安全联盟(Open Cybersecurity Alliance)的创始成员之一,IBM和其他20多家组织正在共同研究开放标准和开放源代码技术,以实现产品的互操作性。