关于下一代安全的几点思考
这篇文章发在绿盟科技技术内刊的2011年9月,总第14期上。主要总结了对安全业界当前实践的三个观察,提出了下一代安全体系的可能发生的三个变革 – 更加智能、面向服务、行业精细分工。应该看到,这些思考还是粗糙的,不成系统的,在逻辑上也不完整,仅供大家讨论参考。这一期技术的下载地址是: http://www.nsfocus.com/images/6_about/journal/6_10_014_j.pdf
1前言
坦白说,写本文的主要目的是反思,反思的目的是探讨和研究潜在可行的变革和创新。
虽然网络安全作为一个产业已经走过了十几年的历程,但是,应该看到网络安全产业界还处于一个相当不成熟的初步阶段,作为行业里的一个老兵,这样说内心里很不舒服也不情愿。对于行业实践中的这些“不成熟”笔者在前文“网络安全发展的战略回顾”[ZL1][ZL2]中已有不少列举,举例说:
• 网络安全相当程度上依赖于基于IP五元组之上的边界防护模型,明显落后于互联网和IT应用技术的发展
• 产业界尚未形成相对成规模的产业内分工,大多数用户和提供者处于低于规模水平的运作状态。
• 产业界的大部分维护建设工作由人工完成,自动化程度很低。
• 网络安全设备种类繁杂,之间缺少有效的集成和互动,智能化水平很低。
• 保护对象的业界缺少相对完备和公认的方法工具等评价安全投入的产出价值。
• 等等
所谓“下一代”是一个很模糊的词,本身并没有确切的时间段来区分,有点和稀泥的意味。“战略回顾”一文中描述了过去十多年时间里0.1、1.0、2.0三个时代各自的特征,也尝试着提出了Security NG的一些猜想。本文的“下一代”在“战略回顾”一文基础上,尝试将“下一代”更加具体化,与业界的实践建立更多的联系。
本文后面三节分别拣选了三个方面探讨当前安全实践中可能存在的“问题”。第2节将分析当前安全实践中基于IP五元组的“城堡”防护模型,第3节将分析以硬件盒子为主的安全产品形态方面的问题,第4节将分析安全产业在分工和互信、互动方面的问题。同时,在每个小节也提出了相应的下一代安全体系的可能特征。
2 从城堡向智能化安全演化
考察其工作机理,当前以防火墙(或者UTM)、入侵检测、漏洞扫描为主体的网络安全体系,相当程度上,主要依赖于基于IP五元组之上的边界防护模型。
打个比方,当前的网络安全体系有点像古代的城堡,将重要资产(例如数据中心、企业网、等)使用高高的城墙团团围住,设立几个坚固的城门和吊桥来检查放行被认为“安全”的人、货物、车辆等。
图1:古代城墙与现代都市
在古代,因为经济活动简单、城市规模很小,城墙+城门的架构很好地满足了安全和交通的“平衡”需求。随着城市规模的扩大和攻防武器的进步,城墙成为都市奢侈的观光景点。现代城市的安全系统演变为分布式的视频监控系统、移动巡查系统、快速响应系统等,城市的安全性和方便性(性能)获得新的平衡。
我们看到,近两年来,基于应用、用户和内容的安全控制已经随着下一代防火墙概念的逐渐普及获得了越来越高的重视。其背后的原理是因为数据和用户(What, Who)在云计算和移动互联网年代要比基于 IP 的位置(Where)更为稳定,相应制定的安全策略更贴近于业务的实际需求。
基于应用、用户和内容的安全控制比“IP五元组”先进了很多,但是还远远不够。
智能化
智能化(intelligent)的安全是相对于当前机械的、基于既定IP五元组和已知手法的安全来说的。
人工智能是智能机器所执行的通常与人类智能有关的功能,如推理、规划、解决问题、抽象思维、理解复杂概念、从经验学习等 [AI]。人工智能从 正式被提出作为一个学科已经有40多年了,从学术、技术到应用都取得了长足的发展,直接促成了很多生产领域的“革命”,举例说,目前电信运营商和互联网公司基本上都普遍地采用人工智能(数据挖掘)技术提高客户分析、收入保障、决策支持、业务推荐等相关能力和客户体验。
网络安全领域,目前普遍来看,人工智能技术的应用还非常匮乏,限于一些基本的基于规则或策略的相关处理。这个发展不足有各方面的原因,但是缺少足够数量、质量较高的数据被认为是目前网络安全领域走向更进一步“智能化”的一个关键瓶颈。
例如,安全业界普遍匮乏实际的运营指标、运营记录、安全事件、事件根源分析等基础数据,所谓“最佳实践”大多是建立在各种调查问卷和安全顾问和专家的个人经验和观察上的。这些调查问卷大都没有公开调查问卷的问题设计、答卷人的分布和选择过程、分析过程等,经常看到各种调查问卷结果之间的相互矛盾和冲突,结果并不十分可信[NewSchool]。
同时,大量的各种各样的安全设备每天都产生海量的各种数据(例如日志和告警),但是,业界缺少安全数据相关的标准,并且对安全“元数据”的重视也远远不够,这些原因都间接地弱化了安全“智能化”的基石,同时也大大限制了安全管理中心(SOC)类产品(或称作解决方案)的实际功能效果,只能徘徊于在较为狭窄的“事件管理”领域,无法提供更高价值的策略优化和决策支持等功能。
有专家提出业界需要进行一系列关键变革来“修复”当前SOC实践的这些不足[SOC],如下图2所示,其中“智能化”是一个关键。
图2:SOC需要进行一系列关键的变革
除了在SOC的“智能化”之外,安全信誉技术[LXP]、安全态势感知[WWD][LWF]、行为异常检测等概念、理论和模型被提出来并逐步得到应用。这些“智能化”努力都是下一代安全体系建设中的重要环节。
3 从硬件向服务演化
在前面的十多年实践中,硬件盒子在安全产品中大行其道,占领了大部分的市场份额。硬件盒子本身并无对错,只是当我们把目光转向所保护的业务和应用时,却发现它们已经发生了很大的变化。
从早年的的中间件、企业应用集成EAI、面向服务架构SOA,到近年的虚拟化和云计算,数据中心本身和应用计算架构的“焦点”已经逐渐由“硬”变“软”,变得越来越“虚拟”。以看似玲琅满目的各种大大小小的硬件盒子构成的网络安全解决方案在满足用户需求、适应用户环境上越来越吃力,如图3所示。这一点在互联网企业的安全需求和解决方案上显得最为突出。
图3:硬件盒子的产品形态难以适应“虚拟”化的计算环境
“吃力”不仅仅是因为技术架构和集成方面的距离,并且,硬件、软件、服务、虚拟镜像等的运维、要求的技能、相关配置变更等流程、财务等都不尽相同。
面向服务
面向服务架构SOA的提出已经有很多年了[SOA],IT服务管理(ITSM)也提出有很多年了,两个“服务”都已经获得广泛的认可和部署,IBM还提出了服务科学的概念[IBM]。面向服务的、松耦合的架构成为解决复杂系统设计的一个重要方法,IT运行维护服务化也成为现代IT业正在逐步走向成熟的标志之一。
“服务”有很多意味,服务意味着提供者和消费者,服务意味着可以度量和计价,服务意味着松耦合、开放和分工… 如图4所示,安全“服务化”将提供者和消费者显式地分离开来,他们不必是同一个管理部门、不必是同一个开发厂商、不必是同一开发平台或语言…
图4:安全“服务”的提供者和消费者
帐号认证授权或许是最早被“服务化”的安全产品,后来,漏洞扫描和评估、日志服务、安全事件监视管理等也加入到安全“服务”清单上来。目前,在云计算和软件作为服务SaaS的浪潮下,云安全联盟已经设立了安全作为服务(SECaaS – Security As A Service)的专门工作组,并准备在云安全指南的第三版中为安全作为服务增加专门的一章。
面向服务的安全架构(SOSA – Service Oriented Security Architecture)是SOA和SECaaS的结合点[SOSA],从目前的研究和实践来看,也存在很多挑战,例如安全元数据的设计和标准化、任务的调度、系统的复杂度和性能,以及测试验证难度等。
应该注意, “服务”和“硬件盒子”并不是相互替代的关系,而主要是“焦点”的转移,就如同数据中心发生的云计算“演化”类似,也有点像浏览器和操作系统之争。
4 从DIY走向精细分工
行业里的同行们并不“快乐”,或者说,安全的用户和提供商都有很多“痛”。“痛”有很多原因,从用户侧来看,可能由于:
• 缺乏专业人员、知识技能、各种资源
• 认为安全供应商不了解用户的业务,对提供商的服务及时性和效果都不满意
• 安全产品很封闭,用户无法自助配置来快速满足业务需求
• 安全产品防护效果不佳,对大量涌现的各种网络攻击和恶意代码感觉无能为力,或者“慢半拍”,等等
从安全供应商侧来看,“痛”可能由于:
• 对用户的各种产品和服务定制要求觉得“无理”和“应接不暇”
• 安全产品越来越难驾驭,到处都是“信息孤岛”,难以集成、关联
• “服务”价格很低,或经常被“搭送”,
• “用户产出”很不稳定,资源和能力都很难相应规划
• 用户不愿分享,缺少机会了解用户的业务和安全产品实际运行情况,对突然的安全事件无法针对性的及时响应,等等
以某些典型用户的运维活动为例或许可以发现一些端倪。参加下图5,大部分安全运维资源投入到了安全补丁、身份管理、安全事件响应、漏洞扫描和评估、安全配置检查稽核、以及其它各种由于缺少安全技能和工具导致的“救火”活动上;除此之外,有少部分的资源可以投入到防火墙入侵检测等安全设备的策略的检查和调优、安全总体状况评估、将安全嵌入建设项目和配置变更管理流程等;最少部分的资源投入到了深入了解业务的内在安全需求、安全核心能力的开发与供应商管理等。
但是事实上,大部分网络安全的管理者和专家都认为,安全资源投入的产出价值与刚才的投入是相反的,也就是说,目前投入产出高的部分、最值得投入资源去做的事情却因为金字塔底部的重复性操作的拖累而无法投入。
图5:安全运维资源之金字塔分析
缺少有效的“分工”以及“规模”效应是目前行业整体运营效率较为低下的一个主要原因,也是行业不够成熟的一个重要特征。
用户和提供商建立互信和精细分工
从亚当斯密出版国富论开始,到当前互联网和云计算奉行的“半成品时代”理念[WBF],每一次重大的产业革命都伴随着重要的行业间和行业内的重新分工。
云计算是催化剂,其本质是计算和IT作为服务提供,提供者和消费者分离,各自更加专注,实现规模效应,并且提供商方面得以通过云服务、云接口等新形式重新整合供应链,并保持很大弹性。
云计算作为一种思想将会“催化”网络安全业内的决策管理层的思路,重新评估不同细分领域的投入产出,行业内的纵向分工将会出现更多的机会。
来自网络安全,尤其是数据安全,的顾虑一直是阻碍安全外包和数据分享的重要原因之一。随着相关法律法规的逐步完善,安全提供商在企业运营和内控方面也逐步走向成熟,用户和提供商、提供商之间的互信关系将会逐步建立起来,走向精细分工的阻碍将会进一步弱化。
5 结束语
网络安全作为一个行业规模不大,但是涉及的技术和产品却很复杂,数十种“主要”的产品类别,复杂到即使是一个资深专家也不一定能说得全、说得清楚。行业里的产品提供商很多,规模又相对偏小。“复杂”碰到“偏小”或许是国内行业整体生产效率相对偏低的原因之一。
文中问题提了不少,不过,从积极的角度去理解,这些问题也可以被看作“未被满足的需求”,用一句话总结就是,下一代安全体系将会具备智能化、面向服务、更加精细化的分工和互动等基本特征。
本文观点见仁见智,不代表任何组织机构官方意见,限于笔者学识和所掌握信息,难免挂一漏万,优势偏颇,请各位读者明察指正。
致谢
本文部分原始图片取自互联网,主要参考和引用已注明链接和出处,恕不一一致谢。
参考文献
[AI], http://en.wikipedia.org/wiki/Artificial_intelligence
[IBM] http://www.slideshare.net/ifoundry/ibm-service-science-management-engineering
[LWF]李文法,孙铁,王卫东,探析网络安全态势感知,绿盟技术内刊,2010年四期,总第12期
[LXP]李鸿培,信誉技术在安全领域中的应用,绿盟技术内刊,2011年第一期,总第12期
[NewSchool] Adam Shostack, Andrew Stewart, “The New School of Information Security”, Addison-Wesley, 2008
[SOA] http://en.wikipedia.org/wiki/Service-oriented_architecture
[SOC] http://www.darkreading.com/security/security-management/228300332/soc-2-0-a-crystal-ball-glimpse-of-the-next-generation-security-operations-center.html
[SOSA] Cristian Aurel OPINCARU, Service Oriented Security Architecture – applied to Spatial Data Infrastructures, Doctoral Dissertation, 2008
[WBF]吴伯凡,http://finance.sina.com.cn/leadership/20110523/15499884461.shtml
[WWD]王卫东,网络安全态势感知体系探讨,绿盟技术内刊,2011年第一期,总第12期
[ZL1] 赵粮,中国网络安全发展十年,绿盟技术内刊,2010年第四期,总第8期
[ZL2] 赵粮, 2010安全回顾,绿盟技术内刊,2011年第四期,总第12期
Recent Comments