【51CTO.com原创稿件】 根据IBM商业价值研究院调研报告显示,全球85%的受访企业已经在多云环境中运营,而98%的企业计划在3年内使用混合、多云的服务。然而,在多云与混合云的时代,目前48%的企业缺乏有效的管理工具,面临上云所产生的数据管理问题、应用开发问题、数据安全问题等挑战。
国内外安全形势严峻,企业上云挑战重重
“在云和跨云的时代里,有几件很重要的事,与安全是共通的。第一,上云需要有共同的标准,所以有容器化。第二,需要开源的技术。第三,AI安全。不管是上公有云、私有云或者是混合云,都是这三个特性。” IBM大中华区安全事业部总经理陈文丰在近日接受媒体采访时如是说。
IBM大中华区安全事业部总经理 陈文丰
他与记者分析道,当前,国内外安全形势依旧严峻,自国外实施GDPR以后,某些行业受到黑客攻击,导致数据泄露的企业面临着高金额的处罚。而国内数据泄露的事件也层出不穷,各行业企业都面临着同样的问题,数据泄漏是大型企业普遍所面临的议题。当这些企业要上云的时候,他们所要考虑的问题就变得更复杂。目前有很多企业虽然部署了一些安全工具,但是很难把数据与不同的安全和分析工具集成在一起,也很难跨云环境把数据整合起来,以发现高级威胁。而且企业在运维管理中,绝大多数流程需手动操作,这存在重大安全隐患。
IBM Cloud Pak for Security护航企业上云之旅
为了帮助更多用户应对上云挑战,IBM多年来先后提供了多个云安全产品和解决方案,比如:针对云的管理可以支持很多的公有云的QRadar,针对云上身份认证的Cloud Identity,数据安全产品Guardium等。
不仅如此,11月20日,一直具备前瞻性眼光的IBM在纽约正式发布了Cloud Pak for Security,创新性地实现了无需从原始数据源移动数据而能连接任意安全工具、云和本地部署的系统。该平台现已可用,包括了用于搜索威胁的开源技术,能够帮助加速自动响应网络攻击,而且可在任何环境中运行。
据IBM大中华区安全事业部技术总监张红卫介绍,IBM Cloud Pak for Security采用 Red Hat OpenShift 等开源技术开发,这些技术是企业云环境的基础。Cloud Pak for Security能够搜索并转换各种来源的安全数据,汇集企业多云IT环境中的关键安全洞察。该平台是可扩展的,因此可以随着时间的推移添加更多的工具和应用。“在这个平台上,我们部署了一些安全解决方案,或者安全能力来提供给最终用户。今年,我们先推出了两个服务能力:Data Explorer(联邦搜索与调查,Federated Search & Investigation)与安全编排和自动化响应(Security Operation & Automation Response,简称:SOAR)。”
IBM大中华区安全事业部技术总监 张红卫
IBM Cloud Pak for Security两大能力:联邦搜索和调查与SOAR
为了更好的让大家理解这两大能力,张红卫解释道,IBM利用了边缘计算的概念实现了联邦搜索和调查能力,可以不移动数据,只与数据之间建立一个连接,就可以在终端通过联邦搜索和调查的命令下达到各个数据源做调查,收集相应的结果反馈。
张红卫强调,联邦搜索和调查能力之所以能够不移动数据就可以实现,是因为采用了开放网络安全联盟(Open Cybersecurity Alliance)中基于标准协议的STIX Shift开源工具。联盟成员均可以将开源的协议和工具,利用在自家产品中,所有成员就可以开箱即用。
谈到SOAR能力安全圈的人都不陌生,那么IBM的SOAR有何不同呢?张红卫回答记者,与业界SOAR产品相同,IBM的产品Resilient也包含了三个平台:事件管理、自动化响应和威胁情报平台,并且已经被集成到Cloud Pak for Security中。Resilient的优势在于:
第一,针对不同的安全事件有不同的模板,企业可以基于模板定制响应流程。
第二,模块化的响应流程。比如:人力主管由张三换成李四时,只需要在模块里面把张三的名字换成李四的名字,就会将所有的“张三”替换掉,而不需要去每个战术手册里寻找替换。
第三,拥有隐私模块。这是十分独特的一项功能,该模块集成了很多关于个人隐私的法律法规条例,当安全事件牵涉到个人隐私时,企业用户可以根据所在行业、地区判断应该遵守哪些法律法规,然后基于这些法律法规采取行动。
此外,Resilient还开放了API,可以和很多设备进行集成联动,这些集成的应用发布到APP 市场里,大家可以到网站上下载,然后和Resilient集成。
陈文丰总结说,无论是在企业内部,还是在混合云、多云时代,Cloud Pak for Security能够添加很多安全工具,非常容易搜索和侦测安全隐患,然后再去调查,找出根源,进入自动化响应阶段。举个例子,假设公司有1万台电脑,有100台受到某种类型的病毒攻击。我们侦测出来要去启动自动流程,通过自动化运维工具Ansible自动为这100台打补,这就是一个应用场景。所以即使是安全专业能力不足的人也能够很容易使用这款产品,自动化处理安全事件。
在张红卫看来,Cloud Pak for Security是企业安全“大脑”的一部分。企业安全架构核心“大脑”的能力是做安全分析和事件响应,它们的主要功能就是威胁的侦测和调查、事件的编排和自动化响应。“虽然目前Cloud Pak for Security推出的两大能力只是‘大脑’的一部分,我们还会继续加强‘大脑’,让它更强壮。”
开放网络安全联盟是做什么的?
上文提到,IBM在新产品Cloud Pak for Security中率先实施了开源项目,使安全工具在整个安全生态系统中能够自然的协同工作,而其中采用的开源工具来自于近期新成立的开放网络安全联盟。
记者了解到,为进一步加速业界向开放安全的迁移,作为开放网络安全联盟的创始成员之一,IBM 和其他 20多家组织正在共同研究开放标准和开放源代码技术,以实现产品的互操作性,避免安全行业的供应商锁定问题。
“开放网络安全联盟的目的是通过建立统一的标准和协议,甚至开源的代码,让联盟之间、成员之间可以进行数据交换、信息交换,甚至是分享洞察。大家跟随一定的标准,实现开箱即用的目标。联盟希望用开放云代码的技术,把各厂商的安全产品更有效地互通、互联,让我们能够在开放的世界里面更有效地整合。” 陈文丰表示,IBM Cloud Pak for Security就是利用这样的技术,通过开源的技术可以跟所有的安全工具做互动,实现了即时侦测、威胁侦测、威胁狩猎的功能,这就是利用开放的界面。
“目前,这个数据源已经支持很多厂家,比如基于Elastic开发的SIEM,已经实现连接,可以进行开箱即用的集成。另外,针对终端的一些设备,也有一些缺省和集成。IBM的目标是不断扩大数据源的集成,一个是基于开放网络安全联盟的,一个就是我们会主动去做。” 张红卫补充说。
陈文丰坦言:“我们希望更多的人加入联盟,利用开箱即用的方式来进行集成。不管是国内还是国外的安全公司,都应该朝着这个方向去努力。”
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】