134      阿裏雲  技術社區[雲棲]

看年營收150億元的邁克菲如何做雲安全？

芯片巨頭英特爾於2011年以77億美元的價格收購了安全廠商邁克菲，後者在2014年成為英特爾的一個部門Intel Security，並於本周正式宣布，完成出讓51%的股份，再次獨立運營。據英特爾的年度財報，2016年安全業務收入達到22億美元，以目前的匯率換算成人民幣， 超過150億元，堪稱世界上最大的網絡安全廠商之一。

看年營收150億元的邁克菲如何做雲安全？-E安全

以殺毒業務起家的邁克菲，目前業務已經拓展到包括端點安全、數據安全、安全運營和數據中心與雲安全的四大類業務線，其中數據中心與雲安全為當前及未來業務發展的重中之重。

一、雲是大趨勢 異構化給安全帶來巨大挑戰 隨著IT係統的普及和發展，一些大型企業開始把自己的IT部門獨立出來，不僅為企業本身服務，還可以對外提供服務，完成從一個成本中心到利潤中心的角色轉變。

而雲計算的出現，無疑更加推動了這種轉變的趨勢。越來越多的企業在利用雲技術在給自身提供IT資源的同時，把資源向外輸出，安全服務也同樣如此。

今年2月份，雲安全聯盟發布了一份基於全球2000多家大中型企業客戶所做的雲安全現狀調查。調查發現，與2015年相比，許多一開始使用私有雲的企業，往公有雲遷移的趨勢非常明顯，轉向公有雲、混合雲，後者的模式被越來越多的大型企業所接受。

看年營收150億元的邁克菲如何做雲安全？-E安全

不僅如此，還有一些企業認為與其建立私有雲，自己維護安全，可能還不如交給資源更豐富、能力更強的公有雲。

但目前國內雲平台的架構非常不統一，無論是公有雲還是私有雲，無論是虛擬化、雲管理平台還是SDN，僅OpenStack就有許多變種。即使在一個大客戶的雲環境裏，由於不同的業務部門，根據不同的業務需求，在不同時期進行采購，最終形成了多種虛擬化程序、各種版本雲管理平台，甚至是公有雲和私有雲環境同時存在的局麵。

如何在這種混合、異構的環境下做安全，就成了一個非常大的挑戰。

二、可視化與威脅情報 解決異構環境帶來的係統複雜性，首先要保證環境中各項資源在IaaS層麵的可見性。這裏需要一個能夠適配不同虛擬化環境的安全管理平台，並通過統一的連接器與各個不同的係統接口連接。

在操作係統層麵，通過這個連接器，可以盤點不同雲環境裏麵的資產，如虛機、操作係統。在安全層麵，則可以查清安全組、訪問控製列表、黑白名單、防病毒等安全信息同步，發現問題後再根據需求把正確的安全策略下發回去。

可視化的意義就在於發現並解決問題。最直接的就是通過收集各種安全組的信息，識別未經保護的資產，發現安全策略的配置錯誤，發現惡意攻擊等。通過與外部威脅情報結合，把各種數據做關聯，可以進一步識別高級威脅。

GTI(即全球威脅情報)是邁克菲運營多年的的威脅情報係統，也是世界上最大的網絡安全威脅情報係統之一。此外，邁克菲還於數年前推出了數據交換層(DXL)技術，不同的安全產品、甚至不同廠商的產品均可以通過這個平台進行威脅情報交換。現在全球已經有幾十家廠商的產品使用這個係統進行情報交換，其中就有華為。

在數據交換標準方麵，DXL能夠支持STIX格式和TAXII協議，通過現有產品比如邁克菲的SIEM或者威脅情報交換軟件(TIE)能夠支持這類標準化的格式進行情報管理和交換。但這STIX/TAXII的問題在於，並沒有提供相應的軟件和基礎架構。這就意味著用戶隻能自已建立威脅情報係統去兼容這兩種標準，而不是直接利用現有的開源軟件進行威脅情報交換。對於某些用戶而言，不夠方便和靈活。

目前DXL已經開源，Github上就可以看到源碼及SDK，任何想使用DXL進行威脅情報交換的安全廠商或用戶，都可以自由接入。

看年營收150億元的邁克菲如何做雲安全？-E安全

這種統一化的安全管理平台，好處非常明顯，用戶不用考慮自身的雲環境，就可以直接采用，但前提是需要解決兩個問題：

一、技術問題，即雲環境中各種虛擬化程序及管理平台的適配性。如邁克菲的ePO安全管理平台，就支持Xen/KVM/VMware/Hyper-V等多種虛擬化平台，以及開源的各種版本的OpenStack為代表。

二、是雲服務商為安全管理平台開放各種係統的接口(API)，這並非技術問題，而是企業之間的合作意願問題。

三、基礎架構安全與服務器安全

基礎架構安全可簡單分為網絡層和主機層，典型的安全產品如網絡IPS和防病毒。在網絡層與主機層，邁克菲的安全方案與同類解決方案最大的區別在於二者的聯動性。

由於安全人員的短缺，尤其是高水平安全人員的匱乏，自動化安全運維已經成為今後的發展方向。而自動化安全運維的關鍵就是，基於低誤報、低誤判的情況下，去做自動化的聯動。

例如，防病毒軟件在一個端點上發現了一個可疑程序，經APT防護係統檢測後確認有問題。這時防病毒軟件不隻是在這台端點簡單殺掉行了，而是會通過聯動機製把這個惡意程序的IOC(攻陷指標)反饋到所有的虛機上，並且反饋到IPS上去攔截，防護範圍遍布整個網絡架構，即使後端那些沒有部署安全產品的端點也受到相應的保護，這就是自動化聯動帶來的快速、高效和準確。

傳統的IPS防護的重點在於數據中心的南北向流量，頂多去做一些內部的安全隔離分區。但現在的IPS，已經開始兼管東西向流量的安全檢測和防護。同時結合多種分析技術和威脅情報，極大的降低誤報率。

服務器安全與PC或虛擬終端安全有所不同，它對資源的占用比較敏感，因此部署安全軟件必須考慮CPU、內存等資源消耗，以及運行的穩定性。邁克菲公司為用戶提供了豐富的服務器安全軟件選項，可以針對性的解決不同用戶的安全痛點，主要有防病毒、白名單、主機IPS、虛擬補丁、基線管理、審計、合規、數據庫服務器安全等。例如，如果用戶對關鍵服務器的資源占用比較在意，可以選用白名單方式對服務器進行保護。

四、安全中間件解決SDN適配 與各種虛擬化應用類似，SDN(軟件定義網絡)也有著各種不同的流派。因此，雲安全平台也需要兼容各種SDN才能符合平台級產品的定位。

在SDN的適配方麵，同樣也需要一個連接器。邁克菲通過一個名為 Open Security Controller(OSC)的免費組件提供北向和南向的接口。前者負責不同SDN的接口，南向對接各種安全管理設備，如IPS。這種連接器就像一個安全中間件，一端獲取不同SDN的資源配置要求，另一端則動態的從網絡安全資源池獲取設備，去部署和分發。

目前許多安全設備廠商的做法是針對不同的SDN，如思科的ACI、Vmware的NSX、OpenDaylight等，開發不同的版本去逐個兼容，這就極大地帶來了日後版本更新升級維護的困難。安全中間件則解決了這個問題，不管北向的SDN如何改變，隻需相應地修改中間件即可，省去了很多的適配、兼容性等問題。

安全中間件的做法，為南北向之間提供了一個抽象層，可兼容不同的SDN。

我們知道，雖然目前SDN的普及率還很低，報告顯示在企業用戶中隻有5%到6%的使用率。大部分私有雲隻是做了服務器虛擬化，實現純粹軟件定義網絡的完全雲化，還有一段路要走。但它一定是未來的趨勢，一個規模非常龐大的市場。SDDC(軟件定義數據中心)已經是必然，而這也是邁克菲目前階段重點關注的方向。

五、整體解決方案才能真正有效

沒有任何一家安全企業能夠包打天下，廠商之間需要協同聯動，打造整體安全解決方案，才能有效的解決安全問題，這一理念已經成為業內共識。

邁克菲成立了安全創新聯盟(SIA)，目前已經有200餘家安全及相關領域廠商成為聯盟成員，包括了應用與數據庫安全、認證與加密、雲及其他安全、數據內容保護、端點/BYOD和移動管理、應急響應與取證、網絡安全及管理、風險與合規等細分領域。國內的網絡廠商華為於去年10月底正式宣布加入SIA，目前聚焦於數據交換層麵的合作。

看年營收150億元的邁克菲如何做雲安全？-E安全

熟悉安全行業的人都知道，在IPS、端點安全、數據安全等領域邁克菲均處於領先地位。但少有人知道在2015年，邁克菲對其產品線做了一次非常大的調整，停止了許多非核心的產品的研發，如郵件網關、漏洞掃描和下一代防火牆等，把資源集中到核心優勢產品上，即上麵介紹的端點安全、數據安全、安全運營和數據中心與雲安全四大安全解決方案。

安全牛評

不同廠商之間或安全產品之間的聯動，目前主要通過開放不同的API(應用程序接口)來實現。但這種方式最大的弊端在於，安全產品的多樣性和複雜性，不同類別、不同品牌、不同型號、不同廠商等等，在這種情況下做基於API進行關聯的模式，非常低效，難於維護和管理。而一個開源性質的數據交換協議，則可以很好的解決這一問題。這就是 Open DXL 應運而生的最大意義。

本文轉自d1net（轉載）

最後更新：2017-08-13 22:25:45

  上一篇：  javascript模仿QQ、微博動態識別網址轉換為超鏈接

  下一篇：  Navigate.重器| 新華三集群路由器出“大招”