今时今日, IT安全已经不仅仅是防病毒软件或防火墙产品了。除了防病毒软件和防火墙产品以外,市场上有各式各样一大堆的产品,可用于以不同的方式保护企业。
IT安全是一个堆栈,恰如TCP-IP网络或网络服务器功能拥有堆栈功能一样。问题是,打造IT安全的最好方法是什么?
Deloitte安全战略和架构主管David Spence认为安全堆栈可分为几层,和诸如网络堆栈等大多数其他技术堆栈一样,安全堆栈从应用层开始自上而下,基本的东西在底层。
他将顾客和品牌安全技术放在最高层,具体的产品有诸如查找钓鱼网站或在网上搜索冒牌货时用的产品。
其他层包括身份识别、访问管理和应用安全性。按Spence的分层,网络安全(防火墙、入侵检测系统等)为第四层,而系统安全(不仅是服务器安全,还包括客户端设备和BYOD)为第三层。
他认为,靠近堆栈底部的数据安全的作用撑起其他所有的安全性。底部的数据安全包括使用加密技术保护存储的数据和处于传输中的数据。堆栈的底部是安全运算。
IT安全里至少有一个类别是跨越多层的,可能不是跨越所有的层。该类别为云安全。
Spence表示,“可以将不同层混合在一起,或是抽出某一层作为重点考虑。”
生龙活虎!
如果一个企业需考虑覆盖IT安全技术堆栈的所有层,该企业要做一个重要的抉择:是找一家涵盖所有层的供应商买一个整合的安全产品(姑且称之为整合堆栈法),还是去找不同的厂商(每一个擅长某一方面)买各个层的产品自己打造一个“庞然堆栈”?
Spence称,这在很大程度上取决于企业所要解决的问题和企业的网络策略。
他表示,“就我所遇到大多数情况来看,企业最终要考虑的是成本。很难去说服生意人不考虑成本。”
总之,花钱少的方法一般来说可以取胜,特别是在安全领域,这一块没有什么投资回报。#p#
长处和短处
整合的安全堆栈产品一般来说花钱少,便于管理,或许这样的产品也不可以提供所有的东西,但至少也可以提供通常所需要的东西。对于那些无复杂需求的企业,整合的安全协议堆栈产品可以提出简单的解决方案,单一的供应商能提供多平台的支持。
这种整合的东西对一些公司有吸引力,但堆栈解决方案也有潜在的缺点。
托管公司Peer 1的网络解决方案架构师Liam Enticknap提了个醒,“这样做是把所有的鸡蛋放在一个篮子里。”
“如果失败,你就完蛋了。进退两难。抑或必须重建一切,又要花精力和财力。”
Enticknap指,用各层最佳的方案(姑且称之为最佳产品法)打造IT安全的优点是独立性。他表示,“无需依靠某个固定的供应商始终是件好事。”
如果企业只是购买特定供应商的解决方案,可能会有套死在一个供应商身上的顾虑。有的供应商可能大方一些,也有供应商严格控制自己的产品,故意使自己的产品不与其他产品兼容。
利用多个单独的供应商解决方案从成本的角度来看有其可取之处,但有时企业有特殊的安全需要而不得不用另一种的方法。
安全和规管厂商Tripwire的首席技术官Dwayne Melancon和很多能源公司打交道。这一类的公司在IT和业务领域要聘用专业技术人员。
他表示,“在业务技术方面,这些技术人员要处理专门针对电网运行环境的特定逻辑控制器和结构、基础设施等等。”
“在这些情况下,你找不到一个你所需要的整合解决方案,所以需利用各层最佳的独立方案。”
同样,一个部门里不同的组可以要处理不同的系统和风险状况,因此需要不同供应商的产品。
Melancon表示,“所以,你必须构造自己的部件。一个方法是看其对企业的价值,另一个方法是看其影响。我的风险形状是什么?”
Spence表示,利用各层最佳的独立方案的潜在好处在于可以用上一些别的地方不存在的特定功能,但你必须确保这些功能能派得上用场,有些特定的功能很容易令人眼花缭乱,尤其是在没有特定目标的情况下进行采购时是这样。
以新一代防火墙为例。一个简单的防火墙能够在端口层次上拦截电子邮件,而新一代设备则可能会更趋细致化,比如可以允许用户阅读电子邮件,但或许不能写电子邮件,或是可以在工作场所查读电子邮件,但不能发送附件。
Spence有如下的提醒,并不是所有的公司买了一堆设备后就会对其加以充分利用。
他表示,“这些人不会花时间想‘我们拥有这项新技术,我们怎样能物尽其用呢?’如果不改变业务流程,不改变相应的支持程序,那么它是派不上用场的。”
另一方面,最佳产品法无法保证彼此之间很好的兼容。另外还有其他潜在缺点。
Enticknap承认,“最佳产品法有不足的地方。会有更多的失误,供应商之间会各有其出错的地方,要整合可能存在问题。”#p#
集各供应商之大成
客户挑选自己的解决方案,在管理互操作性方面存在挑战。安全信息和事件管理工具的设计目标是要与多个系统关联,以协调各系统之间的运作。
这些工具从不同的来源获取数据,将其规整,使其能相互兼容,此过程名曰归一化。
Melanchon的提醒是,“这些工具的花费往往不菲,你依靠他们为你更新所有东西。”
另一种方法是使用中间件(Middleware)。中间件是一种粘合剂,将不同厂商的最佳产品粘在一起。
迈克菲曽在大部分层上充实了旗下的安全堆栈,今年二月还推出了自己的中间件平台。迈克菲副总裁兼EMEA首席技术官Raj Samani解释说,迈克菲的数据交换层(DXL)是一个可以整合第三方安全产品的平台。
他表示,“我们要将DXL作为管道,或是说管子,在多个厂商之间达成多种安全控制的目的。”
除此以外还正在努力创建标准的信息交换格式,使产品能更容易地进行数据交换。
他补充说,数据交换层平台是另一个推出的产品的基础。产品的名字叫做迈克菲威胁情报交流(McAfee Threat Intelligence Exchange)。基本的想法是从多个来源收集信息,以确认处于危险之中的系统。
他表示,“你可以通过查看多个情报来源,真的可以增强安全性。”
坊间也存在其他的做法,目的是建立标准信息交换格式,使各种产品能更容易地相互交流。
研究公司Mitre是个不以营利为目的的公司。Mitre有两个研究项目,都是由美国国土安全部资助的。两个项目的名字为:指标信息的可信自动交换(TAXII);结构化威胁信息的运算表达(STIX)。Mitre的兵器库还有别的标准武器,包括用于恶意软件信息交流的MAEC语言。
TAXII定义了用于交换网络威胁信息的协议, STIX则是这些信息(包括网络安全事件)的一种通用格式。
未决问题
企业是否可以用开源软件有效地将同类最佳产品拴在一起呢? Melancon认为可以。他的理据是,大家经常看到有些公司用开源软件将最佳的安全组件凑在一起,用作解决一些特定的事。
他表示,“采用最佳产品法的话,就要承担审核和安全性测试的负担。”
“那些愿意做出这些额外投资的企业会被开源所吸引,原因在于采购成本,但这些企业在运作上要付出额外的费用。”
迈克菲已经在使用开源软件,开源软件是旗下入侵检测和预防系统的一部分。有些诸如工业控制企业的特殊定位公司已经为一些特定垂直行业建立了入侵检测特征(Signature)。
Samani表示,“我们拥有一些特定的入侵检测特征,可供Snort(开源入侵防御系统)使用。”#p#
界线模糊
整合堆栈法和最佳产品法之间的界线往往不是十分明显。大公司收购小型最佳产品公司以期加强自己的堆栈技术的事也时有所闻。
小公司也可以相互收购对方,以逐步扩大同类最佳产品,构成更广泛的产品组合。
根据WatchGuard的安全战略主管Corey Nachreiner的说法,还存在第三个的做法。各个企业可以相互结为合作伙伴,利用同行中不同的解决方案,推出特定的产品。
Watchguard像许多初创公司一样,开始的时候只拥有一个单一的产品类别——新一代防火墙。但Watchguard知道要长期保持竞争力就必须增加更多的功能。
Nachreiner表示,“在将各种额外的层添加到我们的协议栈的过程中,我们与同行里最好的企业结为合作伙伴。”
Watchguard与其他反病毒软件结成合作伙伴关系,与他们建立了关系,在入侵防御和网络安全等领域里使用其他产品。
他表示,“我们这样做以后,我知道这些服务的背后是些大牌。”
Watchguard还在收购安全公司,将被收购公司的技术添加到旗下的堆栈中,而收购的时机则在很大程度上取决于收购的技术与堆栈其余部分的关系。
他表示,“我们添加的东西可不可以商品化?除非在入侵防御领域出现某种新的革命性变化,否则我们没有理由要收购这一类的公司,所以我们用的是结盟合作伙伴的方法。”
“但在先进的威胁检测领域,也许我们会考虑是否应该收购某个公司。”
随着各类公司游走于二者模糊的界线之间,处决于你说的是安全堆栈的哪一部份,你看到的将是一个整合产品和同类最佳产品的混合物。
也有些公司会将堆栈的几层合为一个单一的产品集(甚至一个单一的产品,如一个设备),同时却又将其他层分成独立的层。
平滑混合
Melancon指,用该办法将安全堆栈的不同层混和在一起是可行的,前提是使用该产品的人觉得这样做有其用处。
他表示,“我见过一些安全套件,合在一起没什么用处,原因是套件是由一个部门里不同的人处理的。”他提到数据库监控和防火墙的例子。
“有搞数据库的人,也有搞网络的人,搞网络的人对数据库一无所知,你想在这一块搞混合。”
他补充指出,另一方面,应用程序监控和防火墙合在一起就有用处,原因是网络科技人士往往对如何使用应用程序有更好的了解。
Spence还提醒要注意一些厂商可能把水搅浑,即基础设施玩家。
他表示,“很多基本的安全要求不是由传统的安全厂商交付的。”他说的是一个不太远遥远的未来的事。 “提供这些将会是经典的IT基础设施供应商。”
例如,思科将一些安全功能置入传统的网络协议堆栈产品里,如交换机和路由器。微软也令其最新的产品涵括了重要安全功能。
Spence表示,“在最新的版本中,微软在自己的产品组合中推出了更多的基本安全要求,如数据丢失防护和电子发现。”
“这些基本的功能所能完成的事,在以前是需要安全厂商来为你完成的。”
事实上,IT部门可能很难从单一供应商那采购一套完整的安全堆栈。即便是他们想采取整合堆栈法,他们可能还是必须与几个公司打交道,才能够覆盖他们所想要覆盖的层。
所以,介于最佳产品法和整合堆栈法的选择与其说是一个不是白就是黑的选择,还不如说是一个在一个区间里定位的选择。
所以也不要在两个方面走极端,先看一下第三家是如何评估的,以确保你的安全堆栈正好是你想要的,或至少,安全堆栈缺少的东西不是你所需要的。