随着科技的发展和企业文化的进步,深入融合作为当今企业的发展需求,已经超出了传统防火墙的能力范围,为了迎合web2.0时代的到来,众多厂商纷纷发布下一代防火墙产品。然而近年来网络安全又面临着各种威胁和挑战,在这一大背景下,IT168网络安全频道特意邀请到了北京安博通科技股份有限公司产品总监李远先生,和我们一起从现状和未来双向出发,探究用户对下一代防火墙主要的需求点,探究下一代防火墙的发展规划,从而推测未来下一代防火墙的方向,以下为采访实录:
▲安博通科技产品总监 李远
IT168:李总您好,好高兴有机会采访到您,根据近年来网络安全的发展趋势,能否为我们简单介绍一下在您眼中我们的网络安全所面临的一些主要挑战?
李远:近年来,云计算已经普及到生活的方方面面,已经从一个“云里雾里”的概念变成了每个人都离不开的工具。举例来说:对于中小企业,各位办公业务已经非常普遍地托管在云端的微软OFFICE 365、各类企业邮件和各类企业云盘中,而对于个人,将数据上传到有道云笔记和个人网盘等云端平台再随时取用也是十分常见的。相应地,海量云端数据的频繁存取,带来了大量数据中心的建设。于是,云计算带来了以下安全挑战:
-
由于业务大量上云,传统的网络和业务安全边界(如互联网或广域网出口)已经逐渐模糊消失,在边界部署“串糖葫芦”式的安全设备的方法逐步失效,需要新一代的边界安全技术方案;
-
云计算业务存在大量按需动态变化情况,安全方案需要同时具备动态变化自适应能力。例如在航站楼场景中,需要在不同执机周期将不同的登机口分配给不同的航空公司,而每家航空公司安全需求不同,此时安全方案不能再使用手动固定模式,而必须是动态适应的。
-
在数据中心场景中,安全策略传统手段已经失效。云计算环境加大了节点设备数量和动态变化的复杂度,安全策略频繁添加与修改使得内部安全路径混乱不堪,传统管理手段对策略与路径不可见、不可控、不可管。
另外一个主要的挑战是APT。APT的发展已经来到APT 2.0时代,网络犯罪团队和战术正在变得越来越先进和隐蔽,他们的攻击手法包括0day攻击、DDoS和信任终端恶意文件等等,传统的单一防护模式是失效的。为了给核心资产提供有力的防护,需要新一代的APT防御手段。
未知威胁分析和主动防御。由于APT手段越来越复杂和高级,基于特征匹配的威胁防御模式已经逐渐失效。使用主动防御的手段,将资产、风险点和威胁进行主动关联,从而实现未知威胁的分析。
策略智能调整。除了传统判定安全威胁维度以外,引入新一代主动评价维度,对防火墙产品自身配置以及防护对象进行周期评估和打分,从而能够自动智能策略调整。
多模块智能联动。在NGFW产品中,我们提供了WAF、网站应用漏洞检测和APT防御等多个模块。在这些模块的配合过程中,通过智能算法进行信息共享、提前预警和阻断、重复检测避免等联动手段,做到检测速度不下降,达到1 1>2的效果。
IT168:面对新的安全挑战,下一代防火墙中讲求“安全威胁是可视的”,我们的下一代防火墙在可视化上做了哪些工作?
李远:作为国内网络安全可视化概念的提出者和引领者,安博通在安全可视化方面一直进行持续的投入。2016年,安博通发布了中科院信工所和安博通联合研制的NGFW产品,此款产品中融合了中科院信工所多媒体视觉与模式识别技术,检测的内容从传统的内容匹配特征升级为图形内容的直接识别,通过图形学习能力解决安全问题。通过可视化手段持续监控与分析,在防御、检测、响应、预测上形成了系统防御,用动态演进策略以匹配用户行为,细粒度的响应保证业务连续运行。
IT168:云计算作为主要的发展趋势之一,近年来发展非常快,而下一代防火墙是相对比较融合性的产品,那在虚拟化的大场景下,贵公司的NGFW产品都做了哪些努力?
李远:在云计算和虚拟化的大趋势下,安博通的NGFW产品做了如下布局:
-
虚拟化平台模式NFV。安博通的NGFW目前支持部署在主流的虚拟化平台之上的NFV模式,包括KVM、VMware ESXi和Xen等,具备广泛的部署适应性。
-
HOST直接部署模式NFV。由于底层SPOS操作系统的强大无关性,安博通的NGFW支持直接部署于服务器HOST环境上,通过底层环境的适配以及同OVS间的逻辑通信,提供最高的性能表现。
-
Security Controller产品。security controller产品主要用于应用系统对接(北向接口)和安全产品调度管理(南向接口),主要实现第三方安全能力的接入,可与主流的网络厂商方案相配合,实现第三方安全能力的对接与兼容,主要功能包括安全策略编排与安全资产管理。同时,安博通security controller产品也可与第三方云管理平台对接,解析用户配置,调用SDN控制器实现服务链管理。安博通作为行业云安全联盟的创始单位之一,在行业云安全解决方案中也扮演了重要角色,安博通security controller产品是行业云联盟行业云安全解决方案的组件之一,它的主要作用是确保此方案对第三方安全能力的兼容。
IT168:协同联动近年来不断被提及,而在下一代防火墙中,协同也不再仅仅是一个概念性话题。安全产品已经不再是孤立存在、单打独斗的与攻击抗衡,下一代防火墙通常会与IT系统中的其它安全防御系统构建协同的工作机制面对,安全系统之间的协同工作又是怎样实现的呢?
李远:协同工作主要分为以下三个层面进行:
-
用户信息同步:安全产品与其他业务系统同步时,最为常见的纽带就是“用户”这个概念,通过获取用户信息就可以达到“实名安全”的目的。在同步用户层面,又可以细化为用户组同步、用户权限同步和用户历史同步等等技术,再将流控、审计、合规对接等模块与用户信息做有机结合,从而做到用户级别的协同工作。
-
威胁信息同步:对于WAF、网站应用漏洞检测和APT防御等多个安全模块,各自获取的威胁信息出现在不同层面,有些在系统级、有些在组件级、有些在应用级、有些在终端级,在进行协同工作时,安博通采用数据分析平台将多方信息进行综合整合,输出可定制的美观报表,给出综合的威胁信息分析。
-
云端信息同步:在云端,安博通还提供云特征分析平台、流量安全可视平台、安全策略可视化自适应分析平台等信息分析云端平台,在端点上的NGFW产品会源源不断地将信息上报到平台,平台做大数据分析后再将信息同步到所有分布的NGFW产品上,做到云端协同。
IT168:威胁情报规模化管理是NGFW的主要功能之一,贵公司的威胁情报主要来源于哪?威胁情报的关联、获取、鉴定以及溯源都是怎样实现的?
李远:安博通是中国行业云安全联盟的创始单位,联盟内的成员单位会进行威胁情报共享,其余的威胁情报也主要来源于友商的共享。2017年,安博通成立了大禹Lab专注于攻防领域研究与实践,主要负责处理威胁情报的关联、获取、鉴定以及溯源工作,针对获取的威胁情报会在实验室环境中先进行验证和鉴定,再纳入安博通NGFW的最新更新中。
IT168:恶意软件是近期企业面临的较大的问题,那我们的NGFW产品在恶意软件的管控上有怎样的表现?
对于恶意软件的管控,使用传统的基于特征的检测方法是失效的,所以在安博通NGFW中主要使用新增的终端安全解决方案来解决。使用基于行为识别的机器学习技术,在日常的系统使用中建立正常交互模型。通过虚拟沙箱技术,监控特定的终端行为(包括Shell行为、进程行为、指令行为等),一旦恶意软件导致终端行为与正常交互模型产生区别,即可迅速监控和控制。
IT168:您认为贵公司的NGFW产品和其他安全厂商的产品相比,最大的杀手特点是什么?
李远:我认为,安博通NGFW在业界最大的特色还是在可视化技术方面。在可视化技术架构中,安博通的SPOS专用网络安全操作系统可以提供安全流量可视化、安全路径可视化、安全策略可视化和安全威胁可视化等多个维度的可视化能力,再将多个维度的可视化数据进行有机结合,做到让安全看得见,只有“看见”风险,才能有效地进行预警和防御,从而实现网络和业务的安全。
比如近期出现的wannacry勒索病毒事件,造成了非常严重的后果,但当我们回头冷静下来反思以后,发现其实攻击手段并不复杂,甚至可以说非常简单,本质上是对Windows操作系统漏洞的利用。站在NGFW这个角度,除了扩展自己在终端上的安全能力以外,另一个可以预测和防御的手段就是可视化。如果我们在日常检视自己的网络“作战地图时”,发现各种各样的路径上存在大量的对内访问、流量大量指向445端口、安全设备大量上报CVE系统漏洞日志,我们就可以非常轻易地感知到这个行为的态势,提早进行预防部署,避免悲剧的发生。所以说,可视化能力,始终是安博通NGFW立足业界的杀手特点。
未来防火墙:边界安全 终端安全
采访到最后,李远为我们简单的预测了未来防火墙的发展趋势,他认为未来的防火墙产品主要将会聚焦到以下两个方向:第一是边界安全方案,由于网络安全边界的模糊化,新一代的边界安全方案需要被提出和实现,目前美国较为流行的CASB(云访问安全代理)和SDP(软件定义边界)等类似技术在国内还没有落地,对我们有参考价值。第二是终端安全方案,比如对于近期爆发的国内多所高校以及政府机关被勒索病毒攻击的问题,传统的基于端口或系统补丁的解决方案是无法根治问题的,终端安全解决方案才是治标治本的办法。
,