云中的安全之墻

郭濤

在云計(jì)算時(shí)代，如何才能最有效地防御攻擊？在云中建立一堵安全之墻嗎？要如何建？PAN-OS 8.0是Palo Alto Networks要建的云中安全之墻的基石。

安全是一個(gè)永無(wú)止境的話(huà)題，黑客與企業(yè)客戶(hù)和安全廠商之間是此消彼長(zhǎng)的關(guān)系。隨著技術(shù)的發(fā)展，以及安全需求的變化，黑客的攻擊手段在改變，企業(yè)客戶(hù)和安全廠商的防御手段也隨之精進(jìn)和完善。

提到Palo Alto Networks，很多人最熟悉的可能就是它的下一代防火墻產(chǎn)品。防火墻顧名思義，就是在企業(yè)的內(nèi)部和外部之間建立一堵“安全的墻”，將非法入侵和安全隱患拒之墻外。

百度百科上對(duì)下一代防火墻的定義是：下一代防火墻是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻，它通過(guò)深入洞察網(wǎng)絡(luò)流量中的用戶(hù)、應(yīng)用和內(nèi)容，借助全新的高性能單路徑異構(gòu)并行處理引擎，為用戶(hù)提供有效的應(yīng)用層一體化安全防護(hù)，幫助用戶(hù)安全地開(kāi)展業(yè)務(wù)，并簡(jiǎn)化用戶(hù)的網(wǎng)絡(luò)安全架構(gòu)。

從這一定義中，我們可以找到幾個(gè)關(guān)鍵詞，清楚地描述下一代防火墻與傳統(tǒng)防火墻的最大區(qū)別：全面、洞察、一體化、簡(jiǎn)化。其實(shí)，這幾個(gè)關(guān)鍵詞并不是只適用于防火墻這一類(lèi)產(chǎn)品，而是云時(shí)代安全產(chǎn)品所要具備的基本功能和特性。

前不久，Palo Alto Networks發(fā)布了公司成立十多年來(lái)最重要的一款產(chǎn)品——PAN-OS 8.0。從記者的角度理解，所謂最重要：一方面是指PAN-OS 8.0是Palo Alto Networks最核心的產(chǎn)品平臺(tái)，是Palo Alto Networks技術(shù)創(chuàng)新的集大成者；另一方面，PAN-OS 8.0是應(yīng)云計(jì)算時(shí)代安全需求所生，針對(duì)云安全提供了創(chuàng)新的技術(shù)和功能，集中體現(xiàn)了未來(lái)安全產(chǎn)品的走勢(shì)。

安全防護(hù)的四個(gè)基本面

新年新氣象。2017年，Palo Alto Networks不僅發(fā)布了最新的安全產(chǎn)品，也迎來(lái)了中國(guó)業(yè)務(wù)的新掌門(mén)人——Palo Alto Networks 大中華區(qū)總裁陳文俊。剛剛上任不久的陳文俊在針對(duì)中國(guó)媒體的PAN-OS 8.0發(fā)布會(huì)上顯得意氣風(fēng)發(fā)，他表示：“Palo Alto Networks已經(jīng)發(fā)展成為一家全平臺(tái)防御解決方案提供商，從網(wǎng)絡(luò)端到整個(gè)數(shù)據(jù)中心，從云計(jì)算的接入到各種終端設(shè)備的接入，我們都可以提供成熟的解決方案。PAN-OS 8.0主要解決的就是云計(jì)算的安全問(wèn)題。”

在云計(jì)算時(shí)代，如何才能最有效地防御攻擊？也在云中建立一堵安全之墻嗎？如何建？

Palo Alto Networks給出的答案是，可以從4個(gè)方面不斷提升安全解決方案的有效性，包括全面可視化、減少被攻擊面、防御已知威脅和防御未知威脅。無(wú)論是移動(dòng)終端、網(wǎng)絡(luò)還是云，如果你不能及時(shí)發(fā)現(xiàn)安全攻擊和威脅來(lái)自哪里，那么防御就是一句空話(huà)。因此，有效防御的前提是必須實(shí)現(xiàn)可視化。有全面可視化做基礎(chǔ)，無(wú)論攻擊源自哪里，我們都可以看得見(jiàn)，然后就可以找到適合的解決方案來(lái)防御。

現(xiàn)在，黑客的攻擊通常都是群體作戰(zhàn)，而不是一個(gè)人，這樣攻擊的成本更低，被攻擊者也更難防御。對(duì)于企業(yè)來(lái)說(shuō)，如果你“暴露”的越多，讓黑客能夠輕易找到防御的薄弱環(huán)節(jié)，那么企業(yè)受到的攻擊就會(huì)越多?！叭绻髽I(yè)能有效減少被攻擊面，那么相應(yīng)的，黑客的攻擊成本會(huì)上升，攻擊的成功率也會(huì)降低?！标愇目”硎?。

對(duì)于已知的威脅，我們通常會(huì)為其打上標(biāo)簽，而且各安全廠商已經(jīng)有很多成熟的解決方案來(lái)應(yīng)對(duì)這些已知的威脅。比如，Palo Alto Networks已有的智能云，已經(jīng)在全球范圍內(nèi)實(shí)現(xiàn)了所有客戶(hù)設(shè)備的同步，在美國(guó)或歐洲發(fā)現(xiàn)了安全威脅，5分鐘之內(nèi)就會(huì)將這一消息通過(guò)智能云通知全球的設(shè)備商，從而做出及時(shí)的防御和動(dòng)作。這些技術(shù)目前已經(jīng)十分成熟。

現(xiàn)在也可以采用AI、機(jī)器學(xué)習(xí)、行為分析等技術(shù)手段進(jìn)行動(dòng)態(tài)分析、靜態(tài)分析、異常檢測(cè)、深度解析等，從而更有效地防范未知的威脅。

上面談到的這些應(yīng)該注意的問(wèn)題和相關(guān)的技術(shù)其實(shí)并不新鮮，有些甚至屬于老生常談，但為什么在面對(duì)一些突如其來(lái)的安全攻擊時(shí)，有些企業(yè)還是會(huì)處在“被動(dòng)挨打”的地位呢？究其原因，他們沒(méi)能將這些單點(diǎn)的安全解決方案形成一個(gè)有機(jī)的整體。VMware首席執(zhí)行官帕特·基辛格曾表示，抵御安全攻擊，響應(yīng)速度并不是核心，而是如何將支離破碎的安全保護(hù)進(jìn)行更有效的整合，實(shí)現(xiàn)安全架構(gòu)的簡(jiǎn)化。這才是安全轉(zhuǎn)型的關(guān)鍵。

“一個(gè)企業(yè)若想抵擋全面的攻擊，就必須擁有集成化、一體化的安全防御解決方案，所有的網(wǎng)絡(luò)、端口和云都要防護(hù)起來(lái)，而且要具有自動(dòng)發(fā)現(xiàn)安全威脅的能力，并確保在任何時(shí)間、任何地點(diǎn)使用任何設(shè)備的體驗(yàn)是一致的?！标愇目”硎?，“我們可以提供所有功能無(wú)縫集成、協(xié)同工作的全平臺(tái)安全解決方案，全面防御已知和未知的威脅，讓云安全這堵墻越來(lái)越堅(jiān)固?！?/p>

云安全的基石

Palo Alto Networks 大中華區(qū)技術(shù)總監(jiān)耿強(qiáng)表示，隨著各類(lèi)云（包括公有云、私有云、混合云，以及SaaS）的快速普及 ，網(wǎng)絡(luò)安全邊界變得越來(lái)越脆弱。用戶(hù)可以隨時(shí)隨地使用任意設(shè)備從云中讀取數(shù)據(jù)，導(dǎo)致在網(wǎng)絡(luò)和終端之間傳輸?shù)膽?yīng)用和數(shù)據(jù)數(shù)量大幅增加，這進(jìn)一步增加了網(wǎng)絡(luò)威脅的覆蓋范圍和復(fù)雜程度。Palo Alto Networks自主研發(fā)的下一代安全平臺(tái)能夠讓用戶(hù)無(wú)論身處何處，都可以安全地啟用應(yīng)用程序和內(nèi)容，防御已知和未知的攻擊，同時(shí)簡(jiǎn)化安全操作和基礎(chǔ)設(shè)施，安全地使用新的云基礎(chǔ)設(shè)施。

PAN-OS 8.0在原有功能的基礎(chǔ)之上，進(jìn)一步增強(qiáng)了自動(dòng)化、機(jī)器學(xué)習(xí)和威脅防御能力，一下引入了70多個(gè)全新的功能。耿強(qiáng)歸納了PAN-OS 8.0的五大創(chuàng)新之處：多元威脅防御，有效阻止惡意軟件，實(shí)現(xiàn)自動(dòng)保護(hù)；憑證盜竊防御，防止自動(dòng)化的憑證盜竊和濫用；云安全，提高各主流云的可視性、控制力和規(guī)模；規(guī)模化管理，大幅提高Panorama的性能和自動(dòng)化程度；使用全新的硬件，提供高性能SSL解密。

耿強(qiáng)表示，在云安全方面，Palo Alto Networks能夠提供一致的安全機(jī)制，無(wú)論是硬件、軟件還是操作技能都是一樣的，合作伙伴和客戶(hù)無(wú)需重新學(xué)習(xí)即可操作。Palo Alto Networks的安全解決方案可以很好地支持亞馬遜AWS和Azure公有云，并進(jìn)一步增強(qiáng)了與VMware NSX的集成性，提升了私有云部署的自動(dòng)化水平，此外還能與OpenStack、ConfigDrive集成，實(shí)現(xiàn)NFV的自動(dòng)化部署等。

值得關(guān)注的是，PAN-OS 8.0采用了一些新的技術(shù)：阻止沙盒逃逸技術(shù)，具備全新的100%定制化虛機(jī)管理程序（Hypervisor）和裸機(jī)分析環(huán)境的WildFire服務(wù)，旨在自動(dòng)識(shí)別和防止最具逃逸性的威脅；自動(dòng)命令與控制簽名，使用全新專(zhuān)用有效負(fù)載簽名生成引擎，能夠更快防御攻擊者的回呼企圖；自動(dòng)集成威脅情報(bào)，將MineMeld應(yīng)用程序集成到AutoFocus服務(wù)中，企業(yè)的安全運(yùn)維團(tuán)隊(duì)可以輕松獲取多個(gè)數(shù)據(jù)源，加速整理全部威脅情報(bào)，創(chuàng)建自定義字段，并自動(dòng)快速修復(fù)下一代防火墻，以及通過(guò)第三方SIEM解決方案或資產(chǎn)管理產(chǎn)品通知SOC小組；為管理人員提供快速準(zhǔn)確情報(bào)的管理功能，通過(guò)Panorama網(wǎng)絡(luò)安全管理，融合Traps高級(jí)終端保護(hù)日志，以及附加的防火墻日志，增加與威脅指示器的相關(guān)性，并自動(dòng)快速更新到下一代防火墻，以阻止攻擊者橫向移動(dòng)，并通過(guò)第三方IT服務(wù)管理和網(wǎng)絡(luò)安全響應(yīng)系統(tǒng)（如ServiceNow）通知IT部門(mén)，從而降低安全團(tuán)隊(duì)的操作負(fù)擔(dān)。

耿強(qiáng)還特別提到了PAN-OS 8.0新增的憑證防盜功能。憑證盜竊是網(wǎng)絡(luò)攻擊者威脅和操縱企業(yè)以獲取寶貴資產(chǎn)的常見(jiàn)手段之一，而PAN-OS 8.0新增的憑證防盜功能，能夠?qū)⒖梢涉溄油ㄟ^(guò)電子郵件發(fā)送到WildFire，實(shí)現(xiàn)增強(qiáng)的機(jī)器學(xué)習(xí)分析。如果該網(wǎng)站被認(rèn)定為釣魚(yú)網(wǎng)站，PAN-DB將自動(dòng)更新釣魚(yú)URL數(shù)據(jù)庫(kù)、阻截該網(wǎng)站并阻止用戶(hù)訪(fǎng)問(wèn)該網(wǎng)站。Palo Alto Networks的下一代防火墻內(nèi)置一個(gè)基于策略的多因子認(rèn)證框架，這種獨(dú)特的功能使防火墻可以輕松執(zhí)行多因子認(rèn)證，以阻止網(wǎng)絡(luò)攻擊者借助盜取的憑證或受損的終端，在網(wǎng)絡(luò)中橫向移動(dòng)并訪(fǎng)問(wèn)敏感數(shù)據(jù)。為了確保實(shí)現(xiàn)以上效果，Palo Alto Networks的下一代防火墻在網(wǎng)絡(luò)級(jí)別、身份驗(yàn)證和身份管理框架下，與多個(gè)下一代身份訪(fǎng)問(wèn)管理供應(yīng)商，以及其他策略執(zhí)行工具進(jìn)行整合。

“我們支持全球大多數(shù)的公有云，更重要的是在性能上有大幅度提升?！惫?qiáng)表示，“我們擁有一個(gè)完整的安全平臺(tái)，并從客戶(hù)和應(yīng)用的角度出發(fā)，依靠?jī)?nèi)容感知，及時(shí)發(fā)現(xiàn)潛在威脅，提供端到端的全面安全防護(hù)。在云計(jì)算時(shí)代，我們的安全保護(hù)能力得到了進(jìn)一步延伸和增強(qiáng)。”