云安全如何站队:SDN

消息来源: 绿盟科技博客         消息类型: 行业新闻         发布日期:2017-11-30

2017,云安全的问题又成了广大用户关注的重点,交流和需求明显的增多。可能一直以来,不管是传统的网络厂商,安全厂商还是云服务提供商,似乎始终没给云安全提出过一个合理的架构和解决方案,在经历了相当长一段时间的低谷期,伴随着近期一些新老感念的热炒,云安全似乎又重新占据了各个安全管理员的“心”。

云安全如何站队:SDN or NFV

对于云安全,笔者不能说了如指掌,但也确实一直关注着其动向,希望借由此文,帮助广大安全管理员对云安全有一个不同的认识。

一、SDN or NFV

众所周知,SDN(software defined network,软件定义网络)、NFV(network function virtualization,网络功能虚拟化)可以提升云平台在管理,组网,以及协同上的能力;因此,在云平台上引入SDN/NFV技术可以有效解决快速响应、资源调度、拓扑视图、需求感知等多方面的问题,可以说,基于SDN/NFV技术的云平台或者云数据中心是未来发展和演进的重要方向。

这里面不对SDN和NFV的概念、起源等做具体描述了,感兴趣的可以通过强大的搜索引擎去学习,但两者的区别还是要明确下的,具体如下图(来源互联网):

SDN和NFV的区别

从上图目标位置可以得出,SDN起源于园区网,成熟于数据中心,NFV多是一些电信运营商在做,这可能是很多安全厂商愿意往SDN上靠拢的原因,于是SDS(软件定义安全)的概念很早就被提出,而就我以及我交流的这些用户而言,大家更愿意把SDS理解成软件定义存储,且SDStorage软件定义存储已经有较为成熟的解决方案,而SDSecurity软件定义安全确始终还停留在理论实践阶段。

同样,从上图的适用范围(初始化应用),我们可以看到,SDN更多的处理的是OSI七层模型中的2-3层(网络、数据链路),而NFV更多的处理的是OSI七层模型中的4-7层,具体如下图(来源于互联网):

从上图我们可以明显的看出,对于网络安全设备,如防火墙,入侵检测/防御,WEB防护等更多的应该向NFV技术靠拢,然而,NFV同样是分离数据和控制平面,但其主要模式是通过部署标准化网络硬件平台,从而使得许多网络设备中的软件可以按需安装,修改,卸载,通过虚拟化软件功能的自动编排实现灵活的业务扩展,这种模式,可能是网络安全厂商不能接受或者说现阶段不能接受的。

二、SDN + NFV?

通过上一章节简单的对比可以得出,SDN和NFV是解决特定网络问题的。

不同点:SDN通过控制和数据平面的分离实现集中的控制,而NFV是软件和硬件的分离实现服务功能的虚拟化,即按需分配;

相同点:SDN/NFV都是架构从封闭到开放,从独享的硬件到共享的软件。

互补性:从二者的适用范围可以看出,两者的互补性是极强的,两者相加可以覆盖OSI七层模式的各个层面,可以说NFV的实现,离不开SDN 技术在流量方面提供的灵活性,而用户的业务功能的部署又需要依托于NFV架构,由此可见,SDN+NFV似乎是一种更加合理的解决方案。

三、超融合

近些年出现的一些概念,如超融合、区块链等,似乎与网络的关系越来越少,而随着网络发展而发展的网络安全,似乎更看不清自己的发展方向。

区块链是数据存储的应用模式,似乎和网络,安全相距更远,这里不多做介绍,超融合提供的是包括计算、存储、网络资源的平台,网络安全显然是网络资源的一部分,但目前主流的超融合方案全是计算与存储的融合,哪怕像Cisoc,华为这样的网络厂商,超融合方案中涉及网络的内容都相对较少,这是为什么呢?记得前一阵在网上看到一篇文章,提的是以”计算为主导,存储为区分,软件为核心,网络是未来“的发展轨迹,自己较为认同,可以说网络是其中非常重要的的一环,只是在目前以性能为瓶颈的大背景下,将网络功能融合进来似乎不太现实。

个人认为,超融合是SDN+NFV最佳实践,底层是共享的计算资源,存储资源以及网络资源,中间层实现软件定义存储,软件定义计算,软件定义网络等SDN功能,上层同样使用标准话的商用硬件,实现NFV的功能,并进行统一管理。

显然,超融合给出了一个相对合理的架构和模型,而安全显然是上层的一个主要应用,目前包括国内外的一些厂商,已经将安全作为其超融合解决方案的一部分,而安全超融合解决方案还需要不断完善并经受住市场的考研。

2018:首席安全官的新年规划

消息来源: 安全牛         消息类型: 行业新闻         发布日期:2018-01-05

大多数人都会有几个新年计划,减肥、锻炼、多陪陪家人等等,从企业战略集团(ESG)的调查研究和网络安全从业者的反馈来看,安全主管必须更贴近公司业务,提升员工生产力,现代化安全技术基础设施。以下5点是企业CISO们的新年规划:

2018:首席安全官的新年规划

1. 让网络安全成为企业文化的一部分

ESG/ISSA(信息系统安全协会)研究表明,24%的企业,其业务经理依然不能正确认识/支持网络安全。2018年,CISO必须扭转对网络安全的这种无知和漠然。那么,该怎样扭转呢?

齐心协力争取CEO的支持。与所有业务经理建立经常性联系。以业务经理能理解并据此行动的方式,更好地量化风险。在软件开发人员开始写代码之前,参与到业务过程计划中来。敦促人力资源部进行更多实践训练。经常到一线向员工了解情况。

2018年,CISO们必须尽力施为。能推动转变的人,就能对公司风险缓解产生个人影响。推动失败,那2019年可能就得另谋高就了。

2. 加大对网络安全人员的时间与资源投入

从ESG/ISSA研究报告《网络安全人员的生活与时代》可以看出,网络安全团队任务繁重,人手不足,且没有足够的培训以跟上技术革新步伐。49%的网络安全人员至少每周都有一次换工作的想法,如果他们没有得到公平的对待,留不住人才是必然的结果。

为缓解这些问题,CISO得尽全力保证网络安全人员工作开心,富有成效,活力满满。这意味着要在培训、指导项目和职业发展上做投入。为招募到新鲜血液,CISO还得尽力让自家企业成为网络安全上的卓越中心。这包括建立网络安全文化,与专业机构合作,让公司更多地参与到网络安全研究上来,以及确保员工时时受到激励。

3. 寻找引入高级威胁预防的机会

提升生产力的方法之一,就是采用新型高级威胁预防技术,尽可能地减小攻击界面。可采用的技术有:下一代终端安全软件、微分隔、安全DNS服务、威胁情报网关等等。高级威胁预防可减小安全噪音,让信息安全人员专注在高优先级事件上,为策略规划和技术发展投入更多时间。

4. 将安全技术导向集成和高级情报

2018年,CISO应专注在安全技术的合理化、整合及巩固上,目标是建立一个能收集、规范化、处理、分析并应对大量安全遥测数据的安全运营及分析平台架构(SOAPA)。

同时,企业应研究、测试、应用和部署人工智能安全工具。ESG研究表明,通过在现有安全工具中应用机器学习算法,比如在终端安全软件、网络安全分析、威胁情报平台和数据泄露防护(DLP)中应用,CISO的投资能获得最大的回报。人工智能可帮助企业在不引入新复杂项目的情况下,提升旧有技术的安全效能。

5. 致力于自动化并编配人工过程

网络安全方面,能自动化的都应该自动化。数据收集、可疑文件分析、简单缓解规则的应用等等,都可以自动化。比尔·盖茨总结了企业应用自动化技术中的两条规则:“企业所用任何技术的第一条规则是,对有效操作的自动化,可放大该效率。第二条规则是,对低效操作的自动化,会放大该无效性。”

换句话说,CISO应评估业务过程,追求过程改进,否则就将陷入自动化/编配低效过程的困境,发挥不出自动化的好处。

最后,CISO应对网络安全采取资产组合管理方式,找出可通过云方案或完全外包给MSSP/SaaS安全提供商的方式进行简化的领域。

CISO三大重点:安全功效、运营效率和业务支持。上述5个方面的计划就很贴合这3个重点,应可帮助CISO享受一个愉快的网络安全新年景。

服务热线
025-8660 3700

微信公众号