上文介绍了戴尔大谈零信任架构的原因,也提到了现代安全的三大要素,分别为:信任的基础、简化的零信任采纳和网络恢复计划。事实上,戴尔作为全球大型IT基础设施提供商,能提供多种网络安全能力来构建现代安全,帮企业提高业务弹性。
比如,数据保护能力、检测和响应能力、自动化能力、业务连续性方案、网络恢复方案以及安全专家服务团队,这些都能帮企业提高业务弹性。
可以说,戴尔在安全方面颇有积累,不仅如此,戴尔做安全的优势也很明显。
戴尔做安全的优势
戴尔是全球范围内最大的IT供应商之一,而且是少数拥有从核心到边缘、到云的多种基础架构的供应商,这种依靠丰富的产品类型和超强的市场覆盖造就的影响力非常难得。
所以,能以此来为企业提供端到端的整体安全性,就是戴尔做安全最大的优势。
戴尔基于这种优势提出了整体安全愿景,覆盖基础架构、云、应用到设备四个层次。
基础架构层面。戴尔提供可信赖的基础架构,并且可以跨终端、跨服务器、跨存储、跨网络等多种安全控制点来执行安全策略。对用户而言,戴尔遍布全球的企业用户可以享受到一致性为安全管理带来的种种便利。
在多云架构层面。企业需要的是统一的云安全策略,安全需要企业内部职能领域之间分担责任,过程通常有些复杂。戴尔及其合作伙伴提供的平台,可为网络功能和威胁管理提供统一的策略,从而有助于统一多云环境中的安全管理。
在应用开发层面。戴尔和合作伙伴合作提供了一种一致的操作层,企业用户可以在这里开发、托管和管理应用程序。通过戴尔与VMware的合作,企业用户可以通过单点登录在统一的数字工作空间中发布一系列应用。
在设备管理层面。戴尔利用跨多种设备集成的能力,为数字工作场所提供安全能力。随着企业的物联网设备越来越多,高效的安全管理也显得越来越重要,企业可以使用戴尔的端点安全技术进行保护和管理,并且不需要考虑设备的品牌。
戴尔解决安全问题,推动现代安全转型
戴尔指出了如今安全领域存在的三大问题,也是业内普遍关注的问题。
首先,如今的安全程序基本都是在应用开发完成后加入进来的,通常在应用程序和流程设计完成之后才考虑安全部分,然后,努力让安全适合现有的操作。
同时,如今的安全过于零碎和分散,由于安全通常是由一个个开发团队来定义的,每个开发团队关注的重点都不尽相同,因此,从整体视角来看,就是一幅各自为政的局面,不利于整体。
第三,如今的安全策略缺乏与业务的关联。由于安全通常只考虑安全本身,并没有考虑业务本身的需求。这就会出现,因为要处理安全问题而影响业务的局面,可能会对关键的运营职能产生影响,甚至中断业务。
与业内的呼声一致,戴尔认为,安全必须做出转变,向现代安全转变。
首先,安全性必须是内在的。这里所强调的是,安全能力应该在应用程序开发、固件开发和设备系统开发之初就融入进去,要和被保护的架构天生就融在一起,也就是常说的“安全左移”。
同时,信息安全团队要和其他开发团队进行统一,包括与DevOps、基础架构/云团队等进行统一,如何统一呢?比如,可以共享通用的工具和一致的策略,也就是常说的“DevSecOps”。
最后,对于安全策略和业务关联的问题。应该根据业务来做安全规划,既要与IT团队集成,还必须与业务战略集成,从而让应用程序和基础架构更好地关联,从而减少对业务的影响。
戴尔认为,现代安全必须是内置的、统一的、情景关联的。换句话说,安全策略和技术必须与体系结构、应用负载以及业务目标相统一。
戴尔的安全实践:以NIST网络安全框架来保护数据和系统
现代安全所涉及的转变非常之大,那么,在具体的实施层面,要从何下手呢?
戴尔的做法是遵循安全业内普遍遵循的NIST网络安全框架,NIST框架有五个关键支柱:
识别,以确保用户了解业务中的所有资产、风险和组件;
保护,确保用户保护业务中的人员、供应链、产品和所有资产;
检测,专注于持续监控事件和异常;
响应,确保用户有适当的流程和计划来处理检测到的任何事情;
恢复,确保用户在发生重大问题时可以恢复;
对应的五个关键支柱里,戴尔在端点、网络、多云、服务器/HCI、存储和数据保护五大类产品方案中都埋布了安全控制点。
如图所见,戴尔的安全设计非常全面,内容也比较多。
为了直观地呈现戴尔在安全做的工作,我找到了这份《Dell EMC PowerEdge服务器的网络弹性安全》白皮书,看一看企业用户都熟悉的PowerEdge服务器是怎么做的。
白皮书中介绍的是14代和15代PowerEdge内置的安全功能,这些功能主要由戴尔远程访问控制器(iDRAC9)来实现。按照NIST框架来组织的话,这些功能主要分成了保护、检测和恢复三部分:
保护:“保护”功能是NIST网络安全框架的关键组成部分,也是白皮书最长的章节。“保护”功能强调在生命周期的各个方面保护服务器,包括BIOS、固件、数据和物理硬件。
检测:检测强调能够对服务器系统内的配置、健康状态和更改事件的完整可见性。检测恶意网络攻击和未经批准的更改,主动引起 IT 管理员的关注,尽快发现问题。
恢复:“恢复”要强调的是要快速。快速将BIOS、固件和操作系统恢复到已知良好的状态;安全地停用服务器或重新调整服务器的用途。
PowerEdge历来重视安全。比如,在保护阶段,系统引导过程中使用了加密的信任根认证BIOS和固件,这使得任何对硬件的非授权改动(哪怕换个没有戴尔数字签名的风扇)都会导致系统无法正常开机使用。全是为了防止有人对硬件做手脚。
戴尔在硬件层构建了网络弹性架构,除了PowerEdge服务器,PowerMax高端存储的安全设计也遵循了NIST安全框架。
《Dell PowerMax网络安全》白皮书介绍了高端存储PowerMax中用于网络检测、保护和恢复的各种功能,虽然没有严格按照NIST的分类进行分类,但是还是列举了一些主要的功能点。
比如,新发布的PowerMax 2500/8500阵列使用一个不可变的、基于芯片的硬件信任根(HWRoT)以加密方式确认 BIOS 和 BMC 固件的完整性。这部分明显属于NIST框架里“保护”的部分。
CloudIQ使用安全的戴尔科技集团网络,并托管在安全的戴尔IT云中,从客户的数据中心和边缘位置的戴尔存储和服务器上,收集、存储和评估安全配置信息。支持包括PowerEdge服务器和存储多个产品。它能为PowerMax做监控和故障排除,能为用户的不当配置做一些纠正建议,也可以用机器学习和预测分析来识别异常。
文档中提到CloudIQ有两种异常检测,一种是检测延迟异常,能分析工作负载对延迟的影响,另一种与安全相关,叫“数据缩减异常检测”,如果检测到异常,则可能是有可疑活动或出现了潜在的勒索软件威胁。
如今勒索软件非常猖獗,见诸报道的就有很多新闻,比如,2022年,英伟达、征信巨头TransUnion、印度航空公司SpiceJet、哥斯达黎加政府、美国出版业巨头Macmillan等都有一些报道。所以,PowerMax新增的安全功能还是非常有针对性的。
戴尔提出加强现代安全
从勒索软件事件来看,尽管许多组织有较强的安全防御能力,但安全防线还是被屡屡突破并被勒索,可见安全形势的严峻,这也是包括戴尔在内的许多业内大厂关注现代安全,遵循NIST框架提升现代安全的根本原因。
加强现代安全分为三个方面,首先就是用零信任架构、NIST框架的做好对数据和系统的防护,企业可以利用整个IT生态系统中的整体存在的硬件和流程中的内在功能,实现安全方法的现代化。
没有万无一失的防护,当防护手段被突破,必须要考虑如何进行恢复,这是NIST框架的最后一个环节,也是提升现代安全的第二个方面——提升网络弹性,最后,加强安全的第三个方面是降低安全的复杂性。
到底如何提升网络弹性和降低安全复杂性,且听下回分解。