如果说IT的表现是若干个0,那么安全就是0前面的1,因此没有一个IT管理者不重视安全建设。既便如此,意气风发的新一代互联网,仍然不可避免时不时被安全问题绊个趔趄。安全产品自身应该在哪些方面进行变革和完善,才能适应新的要求?我们将分两期来探讨。
一、下一代防火墙准备好了吗?
中高端用户需求的变化
出于业务系统本身的重要性考虑,中高端用户对于系统本身的高性能、高可靠性和功能的专业性等更为关心。一方面,用户不希望安全产品成为其中的性能瓶颈,而企业本身的大流量数据客观上对于性能提出了更高的要求,出现万兆甚至数十万兆的服务需求。另一方面,业务系统或者数据中心成为防护的重点,典型如企业的办公自动化系统,生产订单管理系统,供应链和财务体系等部门的业务服务器等,其系统遭受到攻击导致的系统瘫痪将对企业生产运营有非常严重的危害。
对于以上的安全防护,除了基础的安全域隔离之外,针对业务系统的安全漏洞产生的攻击防护变得尤其重要,此时FW和IPS入侵防御往往成为企业安全防护的主要技术手段。这也是下一代防火墙(NGFW)的概念中FW和IPS的功能往往被重点提及的原因。应该说这种FW和IPS特性的集成,在一定程度上可以简化企业的安全部署和实现一体化的管理,这自然是符合用户的期望。
“FW+IPS”的现实难题
业界厂商及第三方的咨询机构去研究或是试图去定义新的安全产品形态,并形成了一些对于下一代防火墙产品的初步定义,其中就包括在防火墙产品中集成IPS特性的这个技术点。这一定义积极的一方面是它在理论规划上满足了用户的期望,但是在实现方式和效果上,仍然存在明显的技术缺陷需要解决。
专业性不足,漏报率高
高性能、高可靠以及专业的功能是用户对安全最关键的技术要求,尤其是针对诸如IPS这种需要进行深度报文过滤的系统,其本身的技术实现方式并没有成型的技术标准,不同厂商在实现方式上的差异很可能导致相差悬殊的检测效率和性能表现。与独立的IPS设备相比,大多数厂商宣称的通过软件集成方式将FW和IPS进行集成的实现方式,在专业性上存在不足。
众所周知,IPS产品核心的能力体现在多层次化的检测引擎、高效的匹配算法、丰富的特征库数目、以及对未知特征的快速分析和响应。专业的IPS设备,在层次化引擎处理方面,包含基础的基于正则表达式的固定字符串特征匹配、异常协议的分析检测、基于自学习流量模型的异常流量检测、针对未知特征的虚拟机模拟检测、以及借助IP信誉技术对访问内容的安全威胁预警等技术手段。这些技术手段的实施,在有效保证检测准确率的同时,对处理器资源也有非常严重的消耗,导致设备的性能无法轻易达到万兆以上。而通过软件集成到FW中的IPS特性,出于对性能的考虑,无论是在威胁检测的方式或是有效的特征库数目方面,和专业的IPS设备相比差距很大。部分厂商在实现过程中,为了获得相对较高的吞吐性能,对于大部分的流量,只是采取简单的基于固定字符串的模式匹配,甚至只是开启少部分的攻击特征库,以便大流量快速的通过,由此可能产生威胁检测漏报。
综合性能不理想,实际部署不乐观
现阶段在防火墙中集成的IPS特性,由于本身的业务处理流程的差异,其防火墙和IPS等特性的性能之间相互存在很大的影响,导致设备的综合性能不理想。一般情况下,设备标称的往往是理想情况下单特性开启情况下的最佳性能,而在实际的部署环境中,当FW/IPS等功能全部开启后,因为处理流程的整合,其综合的性能指标会有明显的下降;尤其是对于IPS特性,其性能测试涉及到多个方面的因素影响,如其测试使用的攻击流量协议类型、攻击流量特征是否被分片、攻击特征库的激活数目,测试的背景流量设置和引入到IPS检测引擎的攻击类型等。不同的环境设置所产生的结果会有很大的差异。
美国《网络世界》于2009年和2011年针对宣称支持NGFW的两个厂商的产品组织进行的两次测试显示:A厂商的防火墙集成IPS特性,在没有开启IPS特性时,其防火墙可以达到其宣称指标,但是在IPS特性后,即使按照该厂商的推荐开启和攻击流量相关的部分特征库,在没有发送任何攻击流量的情况下,设备的FW性能直线下降超过60%;发送超过10G以上的混杂攻击流量后,设备显示仅仅有不到1G的流量经过了IPS的检测处理并产生了一些攻击日志,其他的大部分流量直接被BYPASS,造成了测试攻击报文的漏报。对B厂商NGFW产品进行测试,将标称超过千兆IPS性能的产品部署在40M的实际Internet环境中,和另外一台同样环境下的独立IPS设备进行对比测试,结果显示该厂商的NGFW产品没有表现出可以匹敌专业IPS设备的攻击检测的适应性和准确率 【As with most IPS-in-a-firewall products, the product doesn't match the flexibility and power of dedicated IPS products】
基于上述的分析,在解决诸如IPS特性的性能和效率的矛盾等问题上,目前谈论的NGFW下一代防火墙仍然任重而道远。面对业务系统的安全防护需求,通过机架式防火墙辅助高端的IPS盒式产品,或者是模块化的FW和IPS的组合,在功能的专业性和性能的可扩展性上,相比较NGFW产品具备明显的优势,仍然会是高端用户首选方案。
二、网络与安全的融合
在早期的企业IT信息化的过程中,网络与安全缺乏统一的规划设计,在建设基础网络的同时并没有充分考虑到安全的建设,以至于在发现安全风险的同时只能进行补丁式的安全防护升级,而随着新一代互联网(NGIP)的发展,成熟的安全服务如FW或IPS等开始融合到云联网、基础承载网以及物联网,这种融合也是客户需求的直接体现:
高性能的网络安全基础架构的融合,为用户部署安全增值业务应用提供了条件
早期的安全产品,因为其本身百兆或者多千兆的性能,在大型数据中心的部署过程中,只能是将少部分的流量重定向到旁路部署的安全设备进行处理,安全并没有成为整个流量的基本属性。而现阶段,随着10G,20G甚至100G的安全硬件平台的出现,高性能的基础网络已经可以融合叠加同样高性能的安全业务,以至于在同一个基础架构的物理节点上,就可以对外提供数十G甚至上百G的网络转发和安全增强查服务,这种基础架构的融合让安全的云网络部署成为可能。
网络安全的融合,有助于建设绿色数据中心
在云计算环境下,大量、独立的安全设备对于数据中心的空间占用、系统布线工程以及电源系统有着更多的要求,而高性能的安全硬件模块和基础网络的融合,既可以有效规避上述几方面的要求,减少噪音降低能耗,又能在系统故障时通过简单的热插拔备份等方式保证系统的可持续性运行,符合当前建设绿色数据中心的需求。
企业对于简易化维护管理的需求,要求网络和安全进行管理层面的融合
管理员除了对数据中心的网络设备和安全设备进行例行的日常维护外,还要根据业务的变更及时调整与之相关联的网络设备和安全设备的配置,如变更网络设备的接入端口、VLAN或ACL配置、监控设备状态、调整安全策略、设定安全事件告警条件等。为了避免在不同管理系统之间来回切换造成的配置错误风险等,用户需要面向业务的、统一的网络安全管理平台来提升管理员的工作效率。
三、未来的安全管理产品如何适应云计算的要求?
在安全的发展过程中,安全管理一直有着非常重要的作用。一方面,它通过对多个设备的统一的策略配置和设备管理,在安全产品规模部署的情况下,实现简易化的部署方式,节省维护成本。另一方面,安全管理平台又是整个安全解决方案的窗口,通过对安全设备产生的各种安全日志的收集分析,生成清晰全面的多种TOP N的攻击报表,便于管理员及时了解整网的安全状况,增强了整网安全的可视性;
尽管现阶段的安全管理平台已经可以较好的满足上述的职责要求,但是应对未来的云计算环境,安全管理平台将会面临一些新的需求:
- 如何更好的整合安全事件和日志的差异性,适应多厂商、多类型设备混合组网的需求?
- 如何适应虚拟化环境下的安全策略管理和部署?
- 如何及时感知虚拟化环境下的业务迁移,实现安全策略的及时调整和动态迁移等等。
- 为了有效解决这些潜在的问题,未来的云安全管理平台将着重在以下几个方面实现升级:
集成与开放
在企业的网络安全建设过程中,为了建设相对全面的防御体系,势必涉及到多种不同类型的安全设备的部署,典型如防火墙产品、IPS入侵防御产品或者是流量分析系统等。如果管理员利用其产品配套的管理软件如FW manager,IPS manager或者是Traffic manager进行日常的维护监控,势必造成管理效率的低下;同时,大型的网络安全环境下,因为安全建设的补丁式叠加和产品选择标准上的差异,在同一个网络安全环境下,很可能存在多个安全厂商的多类型产品同时存在:如为了可靠性考虑选择2个防火墙厂商的产品做异构安全防护、或者选择不同的厂商分别提供诸如IPS和流量防护等产品;此时,如何解决不同厂商配置方法上的差异,如何实现多类型安全设备的统一日志管理和事件关联分析,是需要考虑的关键需求。
为了满足用户的上述需求安全管理平台的增强要从以下两个方面进行增强:一方面需要增强自身的组网及服务提供能力,集成对本厂商多类型安全设备的统一配置管理和事件分析功能,并且可以通过定制化的手段,实现对其他主流厂商的安全日志的支持;另一方面,针对多厂商设备混合组网的实际情况,各设备厂商的安全管理软件,需要从配置管理和事件分析两个角度提供标准的API接口。通过这种API接口,厂商自身的安全管理平台以Agent代理方式,完成上层第三方安全管理平台对本地设备的配置下发及安全事件的格式转换,为企业的统一安全管理平台的建设创造条件。
如图1所示,交换机路由器等网络设备的安全日志、FW/IPS等安全设备的安全日志、以及类似关键服务器的安全日志,本身在各自的管理平台上可以得到展现。同时,厂商管理平台实时事件分析Agent模块,对这些安全日志进行预定的格式转换,重新发送到上层的统一安全事件管理平台,以实现整网安全事件的统一分析。
图1 统一的安全管理平台组网示意图
虚拟化的资源管理
和传统的网络环境不同,虚拟化环境下的安全管理平台,其面向对象不再是单一的厂商物理设备。因为虚拟化实例的广泛使用,整个云中的安全设备已经虚化成了一个包含多个虚拟单元的资源池。此时的安全管理软件平台,无论是在设备配置管理还是安全日志分析等方面,都需要基于单个虚拟化设备资源来进行。同时,对于这些虚拟化单元,还需要更进一步,将传统的单一用户管理升级到多用户可以同时管理的模式中来,在完成初始化的用户虚拟化资源分配和绑定后,后续的任何操作,都应该可以基于不同租户的不同管理员进行;每个管理员都可以随时对本企业的安全资源进行策略配置调整,管理维护企业本身的安全事件分析报告。
安全策略的自动迁移调整
虚拟化环境下的虚拟机自动迁移,是云计算环境的重要特征之一。为跟随这种虚拟机的迁移,业务系统本身的资源配置以及该虚拟机的接入端口属性都在积极响应并提供适配的手段。而要想实现安全策略的跟随迁移,要求安全管理平台提供重要的技术支撑,主要的技术要求将包括:
及时建立起网络中的每个虚拟机和安全策略组的对应关系,实现全局的虚拟机安全策略统一规划和管理;
- 及时感知虚拟机的迁移动作,并获取虚拟机迁移后的网络位置信息,以此来触发安全策略的迁移;
- 根据迁移后的虚拟机信息,探测计算出迁移后的虚拟机所对应的安全设备,为下一步的安全策略调整做准备;
- 基于上述信息自动调整安全策略,将该虚拟机对应的安全策略组重新下发到新的安全设备上,完成整个安全策略的迁移。在这个过程中,安全管理平台可以有效整合各方面资源,实现安全策略的动态迁移。
四、结束语
在新一代互联网的变革中,“云安全”的概念日益被用户所接受。安全产品自身的发展、安全与网络的融合以及虚拟化等对安全防护带来了新的促进和挑战。云安全不仅要解决常规的安全防护,更要对云带来的虚拟化能高效的适应,要能实现安全的智能管理。 
