【51CTO.com原创稿件】交换机、SDN、路由、无线、网关、认证、运维……网络设备这么多,如何发挥“集体”安全效能?内网安全威胁重重,如何构建高“性价比”安全感知平台?晚1分钟损失100万,网络安全“时间仗”怎么打?带着这些疑问,让我们看看锐捷是怎么解答的。
4月23日下午,以“网络+安全 网络更安全”为主题的2020年锐捷网络安全产品战略发布会在线上成功召开。会上,锐捷网络发布了安全产品战略“网络+安全”,并从多个维度展示了全面感知与动态协防的网络安全能力,推出“整网态势感知解决方案”、“动态安全”等保2.0整网解决方案,携手用户迈进更安全的未来。
锐捷发布“网络+安全”产品战略
会上,锐捷网络安全产品事业部总经理项小升正式发布“网络+安全”安全产品战略。
从2003到2020年,锐捷安全一直在成长。在产品创新与深耕行业的双驱动下,锐捷网络安全业务在近几年的年增长超过了35%,2019年增长更是超过了50%。现在,锐捷已拥有5大类17个安全品类,得到各行各业的广泛认可,拥有大量“头部”的成功案例,比如:301医院、中国铁总通信中心、清华大学、中国建设银行、北京首都机场等。
2020年,锐捷为何提出“网络+安全”产品战略,推出“网络+安全”整网解决方案?谈安全,为何要“网络+安全”?
锐捷网络安全产品事业部总经理项小升
项小升表示:“比起其他厂商,既做网络又做安全的锐捷有所不同。锐捷坚持认为,安全不仅仅是安全设备,而是从“网络+安全”整网考虑。只从安全设备考虑,技术可行,但落地未必可行。”
如何理解?以园区网的安全防护为例,针对在园区网接入层的横向病毒扩散的检测,传统的做法有两种:在接入层部署探针,或者在每个用户端装企业版EDR(终端防护与响应)。但是,这两种模式的投入成本高,且管理模式变得复杂。
再比如在数据中心场景中,检测跨交换机的东西向病毒和攻击时,通常通过流量镜像的方式来检测病毒或攻击,但是挑战很大,由于服务器间东西向流量巨大,大量用户很难接受如此昂贵的部署与维护成本,而且全端口镜像不现实。
让有网络设备的地方就有安全探针!
那么,面对这个困局,该怎么办?锐捷的解决办法是:让有网络设备的地方就有安全探针!
据项小升介绍,锐捷“网络+安全”整网解决方案,充分利用了锐捷的网络设备技术优势和覆盖优势,让交换、路由、网关、无线等网络设备都作为安全态势感知的安全探针,同时发挥SDN智能协防、网络准入实名日志、网络安全一体化运维的优势,充分满足了用户对等保2.0、网络安全法的合规需求,让网络更安全。”
锐捷发现,交换机的利用率通常会有70%的CPU处于闲置状态,这些闲置资源是否能够有效利用,在紧急情况发生时,释放出来发挥作用。交换机不仅仅是交换机,同时也是重要的安全探针,能够通过流量的抽样,实现整网的安全检测覆盖。在锐捷“网络+安全”的理念下,用户可以充分利用原有网络交换机的闲置CPU性能,结合sFlow技术和安全态势感知平台,可以提供延伸到网络边缘的安全检测能力,降低部署成本。
“在锐捷‘网络+安全’整网解决方案中,可以将交换、路由、网关的会话信息发送到安全态势感知平台,进行流量抽样采集和会话分析,做到流量监测、失陷分析,摸清异常流量分布,告诉用户有哪些安全隐患。所以,有网络设备的地方就有安全探针,有网络设备的地方安全就可以被深层次的发现。” 项小升如是说。
网络+安全,还有什么安全价值吗?
◆“安全+网络”智能协防:打赢安全时间仗
“时间”是评估网络安全应急响应成功与否的重要指标。RG-BDS安全态势感知平台+RG-ONC SDN控制器系统的智能协防,通过安全问题检测、安全威胁分析、精准定位感染源头、安全策略下发、问题主机隔离,以及感染主机修复形成自动化全流程处理,进而为安全管理争分夺秒,在没有安全设备的内网环境依然可以实现对安全问题的及时处置。
◆网络安全法:网络实名制
在满足网络安全法的网络实名制场景,锐捷提供了RG-BDS安全态势感知平台+RG-SAM/SMP认证系统+第三方设备日志的联动设计,通过实名制对上网行为日志留存和溯源,支持IPv4、IPv6、NAT日志溯源,充分满足等保2.0的落地需要。
◆安全运维与业务网络运维一体化
网络安全保障的目标是保护业务系统不受非法攻击,业务系统的运维监控一样可以与安全管理形成联动。在这一理念下,锐捷RG-BDS实现了与RG-RIIL运维监控系统的智能联动,将安全与业务运维融为一体,实现了以业务为核心的全运维流程。
项小升表示,锐捷“网络+安全”整网解决方案的核心思想是:充分利用网络的安全发现能力,通过更多组件的融合,以安全态势感知平台RG-BDS为核心,提升安全防护和运维能力,满足安全合规要求。“我们希望,让网络不仅仅是网络,网络设备、网络组件也是安全的一部分。通过发挥现有网络设备的安全能力,提升整网的安全发现能力。通过‘网络+安全’让网络更安全!”
锐捷“动态安全”等保2.0整网解决方案发布
等级保护由1.0到2.0,从被动防御变成主动防御,而等保2.0的“1+ 3”架构,即一个中心(安全管理中心)+三重防护(安全通信网络、安全区域边界、安全计算环境),让企业在整顿自身安全隐患,提高信息系统的安全防护能力上有了更好的建设参考依据,但也面临着更大的建设难度。
锐捷网络安全产品事业部首席安全专家任春林表示,基于SDN技术的ServiceChain方案,可以安全资源池化,不仅部署灵活满足业务快速扩容需求、用更低的成本实现异构融合,更能改变出口“糖葫芦串”部署模式,消除单点故障风险,提升网络安全健壮性。
锐捷从交换机探针、大数据安全感知、SDN全网统一纳管、实名身份认证,打造了“4合1”的等保2.0“动态安全”防御体系,全面覆盖了执行采集层、动态分析层、智能进化层,让网络安全更安全、更智能,更简单。
等保2.0还处于初级的阶段
会议当日,自然资源部信息中心副主任总工程师、国家电子政务专家委员会委员顾炳中受邀出席,分享主题为《基于等保2.0的安全建设思考》的精彩演讲。
顾炳中表示:“等保2.0实施以来,受到了各方重视。但是2.0之后的时至今日,新的安全技术和理念才刚刚开始创新,新的安全设备与解决方案有很多,等保2.0仍处于初级的阶段。”
他指出,等保2.0时代,安全的形势与需求发生了根本变化,压力巨大。比如:管理的要求越来越严,标准越来越高,尤其受此次疫情影响,政务服务的互联化需求明显,云与大数据的发展提出了更高的要求。面对复杂的安全形势,各个行业用户对态势感知平台建设与应用需求明显加大,尤其是互联网+政务平台的建设步伐,在疫情之下更是全面提速。
“然而,对于业务部门来讲,不可能维护多个平台。锐捷基于‘网络+安全’理念,将网络的运维和态势感知实行有机结合,这种将多个平台综合成一个平台进行统一管理的方式,有利于降低行政成本,提高政务部门的安全运维能力。”顾炳中总结说:“等保2.0尚在路上,有待各方共同努力。”
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】