網絡安全產品之為客戶定制化自己的路
安全產品新挑戰——威脅升級,你將會面臨怎樣的風險?
2011年4月,黑客侵入索尼美國數據服務器,影響用戶超過1億人,涉及57個國家和地區; 2011年2月,某銀行網銀被爆可能存在漏洞,用戶百萬資金被盜……安全威脅的不斷出現,給傳統安全產品帶來了前所未有的挑戰。過去,寄希望于安全的“老三樣”:防病毒、防火墻、入侵檢測/防御系統(IDS/IPS)為網絡保駕護航已經不現實。隨著安全危害更復雜性,簡單的“非黑即白”的判斷模式已經很難準確地找出它們,面對各種新興安全威脅,傳統的安全產品能否有效應對?
如果只是盲目地將防病毒產品、防火墻、入侵檢測/防御系統(IDS/IPS)、反垃圾郵件產品、Web應用防火墻、內網安全產品、統一威脅管理產品(UTM)、數據保護產品、安全管理產品等各種安全加入到安全體系中,不但需要巨額的采購成本,后期的部署維護成本、人力成本、安全服務成本絕對會是一筆天文數字。更何況,各種安全產品的簡單疊加,如果沒有足夠精準的安全策略做配合,其防護效果還可能出現“1+1<2”的現象。
此外,各種安全產品也能井然有序地相互配合,步調一致地統一對外呢?并且,當越來越多的關鍵業務被架設在網絡之上,業務系統越來越復雜多樣,不可避免地會影響到業務系統的高效運行,甚至會因為大大增加了操作的復雜性而影響到用戶的體驗感知。
知己知彼方能百戰不殆,只有在深入理解具體的特色業務和關鍵應用基礎上構建的安全防護體系,才能夠真正實現“安全”。
客制化取代同質化
沒有任何兩個網絡以及跑在上面的應用和業務是完全相同的,在某一個領域用起來很好的安全產品或解決方案,在其他領域中并不一定會有同樣優異的表現,因此,要想走自己的安全之路,保證每一類特色業務和應用的安全,就必須做到“知己知彼”——這無論對IT廠商還是對組織機構自己來說,都不是一項簡單的工作。
現在的安全產品或解決方案通常都是在總結大多數客戶的安全需求后開發設計而成的,只有深入了解每一個客戶的特色業務和關鍵應用后,才能夠幫助客戶解決大多數安全問題,由此保證業務和應用的安全。
“深挖應用,幫助客戶進行深度的定制化”正是客戶需要的,具體到安全體系建設方面也同樣如此。安全的難點不在于防御,而在于準確的識別和鎖定:當關鍵業務、普通業務、安全威脅混和在一起,只有將每一項的位置、類型準確地識別出來,才可能真正做好保障、防御、分析以及呈現工作。
當然,行業定制化應用是需要真正圍繞客戶的業務需求來展開的,是客戶所能真實感受到的體驗效果,因此,要想做好行業定制并不是一件容易的事情。然而企業可以通過不斷完善自己的產品技術和不停深挖行業用戶的特色需求來做好行業定制工作。目前,MSG多業務網關產品線,通過全新的體系架構設計,在安全網關上集成1-2個BLADE SERVER插卡,用于快速融合定制化業務,這也保證了行業定制化的快速靈活。
高效能取代高性能
安全與業務似乎一直處在對立面:要安全,就要進行諸多限制和內容過濾,或多或少會影響到應用的速度或者客戶的體驗,給業務發展造成一定的阻礙;但如果一切以“業務”優先,各種安全威脅勢必會趁虛而入,讓企業經濟和名譽都蒙受不同程度的損失。
要安全還是要業務?這顯然是一道很難取舍、沒有正確答案的選擇題。也正因為如此,追去高性能成為許多安全產品首要追尋的目標。但安全產品僅僅有高性能就足夠了么?
安全產品的高性能固然可以在一定程度上調和安全與業務發展的矛盾,但如果在高性能的同時,還伴隨著安全功能的缺失或者后期維護費用的攀升,它依然不是解決問題的最優方法。因此,高性能并不能讓安全產品“一俊遮百丑”。
安全產品需要的不是單純的“高性能”,而是“高效能”,即將效率、功能、性能等綜合起來進行更全面的提升。例如,安全服務網關(SSG)就基于ATCA架構,在單一機箱內幫助客戶實現廣域加速、應用加速、負載均衡、流量控制、應用性能分析、身份管理等功能,配合業務感知引擎、綠色IT架構、智能虛擬化平臺,可以幫助客戶輕松搭建具有“權限業務感知、全面安全防御、踐行綠色高效、完善虛擬統一”特色的集防護、檢測、響應、恢復于一體的整體安全保障體系,讓“性能”與“功能”共同提升,讓“業務”得以安全、順暢的發展。而1U萬兆安全平臺,在單一機架內提供業內最高吞吐能力,功耗超低,且支持高壓直流供電,全面降低PUE,為下一代數據中心標準提供了最高效節能的選擇。
虛擬化取代單體化
安全威脅的類型、攻擊目標、入侵手段等一直都處在變化之中,“以不變應萬變”的策略顯然是行不通的。一成不變的安全體系及防護策略只能發揮一時的作用,要想讓安全防御體系真正發揮作用,就要隨時做好調整安全體系和防范策略的準備。這對于普通的中小型企業來說并不難。偶爾根據安全需要添加一兩臺安全設備,或者為每臺安全設備添加新的安全策略,手動一臺臺現場調試、部署即可,并不會消耗太多的人力物力。
然而,這對大中型企業卻并不是件容易的事情。很多大中型企業都有許多分支機構,且部署在不同的地理位置,難道每個分支機構不分大小,都配備相同類型安全產品和同等級的安全管理人員?也有很多企業下設眾多部門,不同部門具備不同的安全權限,甚至相同部門不同級別的工作人員也具備不同的安全權限,難道同樣的安全產品要給每個部門都配備一臺甚至幾臺?
的確,每個分支機構或部門面臨的安全威脅是相同的,分別采購和部署、管理這些安全產品甚至配備必要的安全管理人員,可以在很大程度上減少“安全短板”的出現,更好地保障網絡安全,但現實問題是:有多少企業的安全投入是無限制的?有多少企業的安全管理人員是富足的?一旦分支機構或部門發生變化,又有誰能為多出來的安全產品進行投資保護?
安全產品采購時,不停歇的購買、增加安全運維人員并非解決問題的根本辦法,而是用虛擬化取代單體化。通過虛擬化,可以將一臺安全設備虛擬出多個虛擬產品,用于不同的場景,也可以將更多的安全產品統一管理起來進行按需分配。
【編輯推薦】
