从最近几年RSA上的热点可以看出,云安全一直是近几年业界关注的重点,而在本届RSA现场,云安全同样是备受关注,新产品新方案层出不穷。“今年的RSA展馆里,在很多安全公司的展台上几乎都能找到Cloud这个关键词。在安全领域Cloud包含了两种不同的概念,一是利用云计算技术做安全产品和服务,二是保护云计算环境下的基础设施、业务、数据等的安全。而我们更关注的是后者在RSA上所呈现出来的新趋势。”360企业安全集团产品副总裁左英男谈到。
360企业安全集团产品副总裁 左英男
云计算、虚拟化、SDN等等技术改变了传统数据中心的基础设施体系架构,由于架构的改变,即使最基本的安全问题,例如网络分段和访问控制问题也很难用传统的基于硬件盒子的安全设备去解决问题。同时,架构的改变还带来了新的安全问题,例如东西向流量的防护问题、虚拟化数据中心资产的动态变化引发的安全策略如何动态适应的问题等等,都为企业客户和安全从业者带来许多新的挑战。
对于Juniper、Cisco这样的传统网络设备大厂来说,他们在拥抱和推广SDN时自然会提供基于SDN这一新网络架构的安全产品和解决方案。在本届RSA上,我们也看到,很多安全公司也都认识到了云所带来的这些安全挑战,并从专业安全的角度给出了更佳优化的解决方案。
在本届RSA开场的创新沙盒比赛入选的十家创新企业中,Cato Networks就是一家是专注于云安全技术的初创公司,其联合创始人兼CEO是一位网络安全领域的老兵,也是传统的IT安全巨头Check Point的联合创始人。但与传统靠昂贵的安全设备投入和复杂的网络部署安全解决方案不同,Cato Networks为用户提供了一个敏捷可伸缩的云安全平台,即所谓的网络安全即服务(NSaaS)。
这种方案的需求主要是由于现代企业已经突破了传统的集中式部署,分支机构和设备散布在全球各处。如果还是按照传统的防火墙+IPS式的部署方式,势必需要每个分支机构都要配置安全设备,而且为了打通不同地方,还需要复杂的安全策略。Cato Networks的NSaaS平台则把所有分支机构都部署在一个网络下,并且集中提供网关防火墙、VPN接入、广域网安全、应用控制、URL过滤等安全服务,采取统一的安全策略管理,从而简化了网络安全的部署。这里的关键是Cato Networks在全球建设了由许多网络连接点(PoP)组成的分布式网络,这些PoP点之间是通过优化且加密的私有骨干线路互联的,企业的分支机构再就近接入这些PoP点,从而实现企业网络的互联,与NSaaS平台进行连接使用上面的安全服务。
Cato Networks的旗舰产品Cato Cloud能够把所有的网络安全功能迁移到云上,不必在分布式网络中部署大量安全设备,使得企业能够更加方便地统一部署网络安全策略,保证数据中心、分支机构、云和移动用户的安全性,降低安全费用支出和复杂性。
Illumio也是本届RSA展会上具有代表性的公司之一,专注于数据中心和云计算环境的安全。成立于2013年的Illumio利用两年不到的时间,于2015年4月获得C轮融资1亿美元,估值十亿美元,成为投资人眼中的“独角兽”企业。Garner在2014年发布的《面向高级攻击的自适应安全平台》报告中,Illumio更是作为全球第一个将自适应安全平台产品化的厂商而备受关注。
Illumio的旗舰产品是 Adaptive Security Platform(自适应安全平台),使用了一种新的安全模型,把安全和底层的基础设施解耦,从而能够适应虚拟化数据中心环境下资产和应用的快速变化,动态保持安全策略的一致性和有效性。
而在本届RSA上,360也对外发布了自己的云访问安全代理产品云守,采用灵活的安全策略,通过认证、标记化和加密的方式,360云守可以确保云端和传输中的数据安全,而且通过性能优化措施可以在保证安全的情况下保留原有云应用功能,不影响用户云应用体验。帮助用户很好的解决了企业云应用的数据安全、云应用的安全管理、云应用的安全合规、指导企业员工使用安全的云应用和访问境外云应用的加速等问题。
图:360云守企业部署示意图
除了参展厂商,在本届RSA上还有一个专门的云安全和虚拟化研讨会来探讨云计算和虚拟化相关的问题。其中,SANS在“虚拟化和软件定义安全体系架构”的分享中提出了虚拟化和私有云环境下需要注意的若干类安全问题,并且给出了如何处理与应对的最佳实践。
另外,Intel security分享了一个即将开源的项目OSC(Open Security Controller)。OSC通过在软件定义基础设施(SDI)的虚拟管理和安全功能之间提供一个抽象层,用于协调SDN控制器和安全功能组合,实现动态的安全功能配置和安全策略管理。
OSC的设计目标包含了六个方面:实现多个云环境下的统一、集中的安全策略管理;在虚拟化数据中心内部实现安全功能的自动化部署与配置;动态扩展安全VNFs;使安全策略能够适用于特定的应用工作负载;分离工作职责,不同岗位的运维人员可以使用自己熟悉的工具;开源的开放架构,避免被单一厂商锁定。