云主机安全生态中的难题:安全能力原子化

数字化转型的趋势推动下,业务全云化已成绝大部分用户的共识,虽然路径不尽相同,公有云、私有云、混合云、行业云各有千秋,但在各种云的部署清单中,有一项内容——云主机的安全问题——作为必答题,已经牢牢占据了自己的一席之地。VMWare、华为、新华三、浪潮等等,这些云厂商的项目在哪里,云主机安全的目标客户就在哪里。

这就是我们所说的云主机安全生态。

云主机01.png

生态中的核心难题

云主机安全生态中,云厂商和安全企业深度绑定,云的设计、建设、实施各阶段,安全企业全程深度参与,云建成之后,用户的业务迭代变化,云计算环境随之迭代,云主机的安全能力也随之升级迭代。

这是一个生态逐渐归为稳态的过程,在这个过程中,生态中的各方逐渐进化,形成一种相对稳定的状态。这个状态在相当一段时间内保持不变,此时,这个生态的中心位置,就是核心生态位。

好的核心生态位,能够使中心物种与生态中其他物种持续形成某种互惠互利、互为依赖的状态。这里有两个必要条件:

1、他为己用;

2、己为他用;

将核心生态位的两个必要条件,对应到云原生安全的场景中来:

1、云→赋能→安全能力;

2、安全能力→赋能→云;

“云赋能安全能力”很好理解,防火墙、防病毒、漏扫等传统主机安全产品,借助云的特性,增加了威胁情报能力、协同联动能力、一定程度的自动化处置能力等“云特性”,实力大大增强,分别变成了NGFW、主机云查杀、HIPS等等进化“物种”。

对于“安全能力赋能云”,这里的难点在于:

用户业务场景的变化频率越来越频繁,变化周期越来越短。为了与之相适应,原有云环境开始大量向虚拟化、容器、无服务进化,云环境的更新迭代速度开始不断加快。此时的云环境,需要的不是简单的安全合规,更不是将安全设备像砖头一样堆砌的安全能力。

即便是最灵巧的砖瓦匠,能处理的最小单位还是砖头、砂石。砖头和砂石硬抛上云端,也一定会掉下来。砖头一样的云主机安全能力,注定是要“被淘汰的物种”。

只有跟上云环境的迭代速度,才有可能成为“己为他用”的安全能力,才谈得上对云赋能。什么样的安全能力才能跟上云环境的迭代速度呢?和云一样构造的水分子?仍然不够。要细化成原子级的安全能力才行。

云主机安全生态的最核心难题,是安全能力原子化的问题。

提到原子化,就想到CrowdStrike。它通过模块化+API+SaaS化的方式,为用户设计、建设、交付端点安全产品及订阅式威胁情报,这使其能够从容应对用户的业务场景变化。如果用户需求发生变化,计算环境随之变化,它的原子化安全能力能够及时响应,完成安全能力的快速迭代。原子化,让CrowdStrike的能力交付始终与用户的业务迭代相适应。

但CrowdStrike的原子化有其特殊性,国内的安全市场难以直接复制。国内虽然已有不少安全企业,将身上背负的砖头与砂石——传统安全产品,实现了“云化”改造,达到了一定程度的“他为己用”,但对于“己为他用”,国内企业必须寻找自己的方式,形成原子化的安全能力。

亚信安全,尝试解决了这个难题

亚信安全的方式是,打破不同产线、不同部门间的既有壁垒,将原有云主机安全产品,进行原子化解耦,基于用户需求场景,把原子化能力沉淀于平台,打造可编排、可调度、可汇聚的原子化云主机安全能力。

举例来说,传统的PDR模型,亚信安全将其切分成了14个原子化模块:

识别 → 资产发现

检测 → 基线扫描、漏洞扫描、行为监测、进程监测、文件扫描

防护 → 文件防篡改、网络入侵防护、访问控制、数据防护

响应 → 日志聚类、告警队列、验伤、文件隔离

对照着Gartner提出的CWPP模型,亚信安全最新发布的信舱(DS)云主机安全产品(Deep Security 20)实现了主机防病毒、HIPS防漏洞、EDR、主机加固、应用程序管理、完整性监控、主机防火墙、日志审计等原子化能力插件。

云主机02.png

如果用户的场景偏重业务持续性,就以检测模块为主,以深度包检测模块(虚拟补丁)进行交付;如果用户的场景偏重APT检测与溯源,就以EDR模块为主,辅以威胁狩猎服务进行交付;如果用户的场景偏勒索或挖矿病毒,就以整体一体化方案为主进行交付。

以原子化模块为基础,才能真正满足用户的需求场景。满足了用户需求场景的解决方案,才是真正的解决方案。

来源:数世咨询

上一篇:Xloader恶意软件开始针对Mac用户

下一篇:政府使用间谍软件打造一言堂