【51CTO.com原創稿件】　　根據IBM商業價值研究院調研報告顯示，全球85%的受訪企業已經在多云環境中運營，而98%的企業計劃在3年內使用混合、多云的服務。然而，在多云與混合云的時代，目前48%的企業缺乏有效的管理工具，面臨上云所產生的數據管理問題、應用開發問題、數據安全問題等挑戰。

　　國內外安全形勢嚴峻，企業上云挑戰重重

　　“在云和跨云的時代里，有幾件很重要的事，與安全是共通的。第一，上云需要有共同的標準，所以有容器化。第二，需要開源的技術。第三，AI安全。不管是上公有云、私有云或者是混合云，都是這三個特性。” IBM大中華區安全事業部總經理陳文豐在近日接受媒體采訪時如是說。

[[286986]]

IBM大中華區安全事業部總經理 陳文豐

　　他與記者分析道，當前，國內外安全形勢依舊嚴峻，自國外實施GDPR以后，某些行業受到黑客攻擊，導致數據泄露的企業面臨著高金額的處罰。而國內數據泄露的事件也層出不窮，各行業企業都面臨著同樣的問題，數據泄漏是大型企業普遍所面臨的議題。當這些企業要上云的時候，他們所要考慮的問題就變得更復雜。目前有很多企業雖然部署了一些安全工具，但是很難把數據與不同的安全和分析工具集成在一起，也很難跨云環境把數據整合起來，以發現高級威脅。而且企業在運維管理中，絕大多數流程需手動操作，這存在重大安全隱患。

　　IBM Cloud Pak for Security護航企業上云之旅

　　為了幫助更多用戶應對上云挑戰，IBM多年來先后提供了多個云安全產品和解決方案，比如：針對云的管理可以支持很多的公有云的QRadar，針對云上身份認證的Cloud Identity，數據安全產品Guardium等。

　　不僅如此，11月20日，一直具備前瞻性眼光的IBM在紐約正式發布了Cloud Pak for Security，創新性地實現了無需從原始數據源移動數據而能連接任意安全工具、云和本地部署的系統。該平臺現已可用，包括了用于搜索威脅的開源技術，能夠幫助加速自動響應網絡攻擊，而且可在任何環境中運行。

　　據IBM大中華區安全事業部技術總監張紅衛介紹，IBM Cloud Pak for Security采用 Red Hat OpenShift 等開源技術開發，這些技術是企業云環境的基礎。Cloud Pak for Security能夠搜索并轉換各種來源的安全數據，匯集企業多云IT環境中的關鍵安全洞察。該平臺是可擴展的，因此可以隨著時間的推移添加更多的工具和應用。“在這個平臺上，我們部署了一些安全解決方案，或者安全能力來提供給最終用戶。今年，我們先推出了兩個服務能力：Data Explorer(聯邦搜索與調查，Federated Search & Investigation)與安全編排和自動化響應（Security Operation & Automation Response，簡稱：SOAR）。”

[[286987]]

IBM大中華區安全事業部技術總監 張紅衛

　　IBM Cloud Pak for Security兩大能力：聯邦搜索和調查與SOAR

　　為了更好的讓大家理解這兩大能力，張紅衛解釋道，IBM利用了邊緣計算的概念實現了聯邦搜索和調查能力，可以不移動數據，只與數據之間建立一個連接，就可以在終端通過聯邦搜索和調查的命令下達到各個數據源做調查，收集相應的結果反饋。

　　張紅衛強調，聯邦搜索和調查能力之所以能夠不移動數據就可以實現，是因為采用了開放網絡安全聯盟（Open Cybersecurity Alliance）中基于標準協議的STIX Shift開源工具。聯盟成員均可以將開源的協議和工具，利用在自家產品中，所有成員就可以開箱即用。

　　談到SOAR能力安全圈的人都不陌生，那么IBM的SOAR有何不同呢？張紅衛回答記者，與業界SOAR產品相同，IBM的產品Resilient也包含了三個平臺：事件管理、自動化響應和威脅情報平臺，并且已經被集成到Cloud Pak for Security中。Resilient的優勢在于：

　　第一，針對不同的安全事件有不同的模板，企業可以基于模板定制響應流程。

　　第二，模塊化的響應流程。比如：人力主管由張三換成李四時，只需要在模塊里面把張三的名字換成李四的名字，就會將所有的“張三”替換掉，而不需要去每個戰術手冊里尋找替換。

　　第三，擁有隱私模塊。這是十分獨特的一項功能，該模塊集成了很多關于個人隱私的法律法規條例，當安全事件牽涉到個人隱私時，企業用戶可以根據所在行業、地區判斷應該遵守哪些法律法規，然后基于這些法律法規采取行動。

　　此外，Resilient還開放了API，可以和很多設備進行集成聯動，這些集成的應用發布到APP 市場里，大家可以到網站上下載，然后和Resilient集成。

　　陳文豐總結說，無論是在企業內部，還是在混合云、多云時代，Cloud Pak for Security能夠添加很多安全工具，非常容易搜索和偵測安全隱患，然后再去調查，找出根源，進入自動化響應階段。舉個例子，假設公司有1萬臺電腦，有100臺受到某種類型的病毒攻擊。我們偵測出來要去啟動自動流程，通過自動化運維工具Ansible自動為這100臺打補，這就是一個應用場景。所以即使是安全專業能力不足的人也能夠很容易使用這款產品，自動化處理安全事件。

　　在張紅衛看來，Cloud Pak for Security是企業安全“大腦”的一部分。企業安全架構核心“大腦”的能力是做安全分析和事件響應，它們的主要功能就是威脅的偵測和調查、事件的編排和自動化響應。“雖然目前Cloud Pak for Security推出的兩大能力只是‘大腦’的一部分，我們還會繼續加強‘大腦’，讓它更強壯。”

　　開放網絡安全聯盟是做什么的？

　　上文提到，IBM在新產品Cloud Pak for Security中率先實施了開源項目，使安全工具在整個安全生態系統中能夠自然的協同工作，而其中采用的開源工具來自于近期新成立的開放網絡安全聯盟。

　　記者了解到，為進一步加速業界向開放安全的遷移，作為開放網絡安全聯盟的創始成員之一，IBM 和其他 20多家組織正在共同研究開放標準和開放源代碼技術，以實現產品的互操作性，避免安全行業的供應商鎖定問題。

　　“開放網絡安全聯盟的目的是通過建立統一的標準和協議，甚至開源的代碼，讓聯盟之間、成員之間可以進行數據交換、信息交換，甚至是分享洞察。大家跟隨一定的標準，實現開箱即用的目標。聯盟希望用開放云代碼的技術，把各廠商的安全產品更有效地互通、互聯，讓我們能夠在開放的世界里面更有效地整合。” 陳文豐表示，IBM Cloud Pak for Security就是利用這樣的技術，通過開源的技術可以跟所有的安全工具做互動，實現了即時偵測、威脅偵測、威脅狩獵的功能，這就是利用開放的界面。

　　“目前，這個數據源已經支持很多廠家，比如基于Elastic開發的SIEM，已經實現連接，可以進行開箱即用的集成。另外，針對終端的一些設備，也有一些缺省和集成。IBM的目標是不斷擴大數據源的集成，一個是基于開放網絡安全聯盟的，一個就是我們會主動去做。” 張紅衛補充說。

　　陳文豐坦言：“我們希望更多的人加入聯盟，利用開箱即用的方式來進行集成。不管是國內還是國外的安全公司，都應該朝著這個方向去努力。”

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】