安全产品新挑战——威胁升级,你将会面临怎样的风险?
2011年4月,黑客侵入索尼美国数据服务器,影响用户超过1亿人,涉及57个国家和地区; 2011年2月,某银行网银被爆可能存在漏洞,用户百万资金被盗……安全威胁的不断出现,给传统安全产品带来了前所未有的挑战。过去,寄希望于安全的“老三样”:防病毒、防火墙、入侵检测/防御系统(IDS/IPS)为网络保驾护航已经不现实。随着安全危害更复杂性,简单的“非黑即白”的判断模式已经很难准确地找出它们,面对各种新兴安全威胁,传统的安全产品能否有效应对?
如果只是盲目地将防病毒产品、防火墙、入侵检测/防御系统(IDS/IPS)、反垃圾邮件产品、Web应用防火墙、内网安全产品、统一威胁管理产品(UTM)、数据保护产品、安全管理产品等各种安全加入到安全体系中,不但需要巨额的采购成本,后期的部署维护成本、人力成本、安全服务成本绝对会是一笔天文数字。更何况,各种安全产品的简单叠加,如果没有足够精准的安全策略做配合,其防护效果还可能出现“1+1<2”的现象。
此外,各种安全产品也能井然有序地相互配合,步调一致地统一对外呢?并且,当越来越多的关键业务被架设在网络之上,业务系统越来越复杂多样,不可避免地会影响到业务系统的高效运行,甚至会因为大大增加了操作的复杂性而影响到用户的体验感知。
知己知彼方能百战不殆,只有在深入理解具体的特色业务和关键应用基础上构建的安全防护体系,才能够真正实现“安全”。
客制化取代同质化
没有任何两个网络以及跑在上面的应用和业务是完全相同的,在某一个领域用起来很好的安全产品或解决方案,在其他领域中并不一定会有同样优异的表现,因此,要想走自己的安全之路,保证每一类特色业务和应用的安全,就必须做到“知己知彼”——这无论对IT厂商还是对组织机构自己来说,都不是一项简单的工作。
现在的安全产品或解决方案通常都是在总结大多数客户的安全需求后开发设计而成的,只有深入了解每一个客户的特色业务和关键应用后,才能够帮助客户解决大多数安全问题,由此保证业务和应用的安全。
“深挖应用,帮助客户进行深度的定制化”正是客户需要的,具体到安全体系建设方面也同样如此。安全的难点不在于防御,而在于准确的识别和锁定:当关键业务、普通业务、安全威胁混和在一起,只有将每一项的位置、类型准确地识别出来,才可能真正做好保障、防御、分析以及呈现工作。
当然,行业定制化应用是需要真正围绕客户的业务需求来展开的,是客户所能真实感受到的体验效果,因此,要想做好行业定制并不是一件容易的事情。然而企业可以通过不断完善自己的产品技术和不停深挖行业用户的特色需求来做好行业定制工作。目前,MSG多业务网关产品线,通过全新的体系架构设计,在安全网关上集成1-2个BLADE SERVER插卡,用于快速融合定制化业务,这也保证了行业定制化的快速灵活。
高效能取代高性能
安全与业务似乎一直处在对立面:要安全,就要进行诸多限制和内容过滤,或多或少会影响到应用的速度或者客户的体验,给业务发展造成一定的阻碍;但如果一切以“业务”优先,各种安全威胁势必会趁虚而入,让企业经济和名誉都蒙受不同程度的损失。
要安全还是要业务?这显然是一道很难取舍、没有正确答案的选择题。也正因为如此,追去高性能成为许多安全产品首要追寻的目标。但安全产品仅仅有高性能就足够了么?
安全产品的高性能固然可以在一定程度上调和安全与业务发展的矛盾,但如果在高性能的同时,还伴随着安全功能的缺失或者后期维护费用的攀升,它依然不是解决问题的最优方法。因此,高性能并不能让安全产品“一俊遮百丑”。
安全产品需要的不是单纯的“高性能”,而是“高效能”,即将效率、功能、性能等综合起来进行更全面的提升。例如,安全服务网关(SSG)就基于ATCA架构,在单一机箱内帮助客户实现广域加速、应用加速、负载均衡、流量控制、应用性能分析、身份管理等功能,配合业务感知引擎、绿色IT架构、智能虚拟化平台,可以帮助客户轻松搭建具有“权限业务感知、全面安全防御、践行绿色高效、完善虚拟统一”特色的集防护、检测、响应、恢复于一体的整体安全保障体系,让“性能”与“功能”共同提升,让“业务”得以安全、顺畅的发展。而1U万兆安全平台,在单一机架内提供业内最高吞吐能力,功耗超低,且支持高压直流供电,全面降低PUE,为下一代数据中心标准提供了最高效节能的选择。
虚拟化取代单体化
安全威胁的类型、攻击目标、入侵手段等一直都处在变化之中,“以不变应万变”的策略显然是行不通的。一成不变的安全体系及防护策略只能发挥一时的作用,要想让安全防御体系真正发挥作用,就要随时做好调整安全体系和防范策略的准备。这对于普通的中小型企业来说并不难。偶尔根据安全需要添加一两台安全设备,或者为每台安全设备添加新的安全策略,手动一台台现场调试、部署即可,并不会消耗太多的人力物力。
然而,这对大中型企业却并不是件容易的事情。很多大中型企业都有许多分支机构,且部署在不同的地理位置,难道每个分支机构不分大小,都配备相同类型安全产品和同等级的安全管理人员?也有很多企业下设众多部门,不同部门具备不同的安全权限,甚至相同部门不同级别的工作人员也具备不同的安全权限,难道同样的安全产品要给每个部门都配备一台甚至几台?
的确,每个分支机构或部门面临的安全威胁是相同的,分别采购和部署、管理这些安全产品甚至配备必要的安全管理人员,可以在很大程度上减少“安全短板”的出现,更好地保障网络安全,但现实问题是:有多少企业的安全投入是无限制的?有多少企业的安全管理人员是富足的?一旦分支机构或部门发生变化,又有谁能为多出来的安全产品进行投资保护?
安全产品采购时,不停歇的购买、增加安全运维人员并非解决问题的根本办法,而是用虚拟化取代单体化。通过虚拟化,可以将一台安全设备虚拟出多个虚拟产品,用于不同的场景,也可以将更多的安全产品统一管理起来进行按需分配。
【编辑推荐】