本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:针对企业的安全防护资源和防护手段的局限性,提出了基于安全态势感知的智能决策与联动防护方案。方案采用安全态势感知,对骨干网络、云上安全服务和企业端点安全设备日志进行异源数据分析,实现实时攻击预警;针对攻击预警,进行智能决策形成预判结果和防护建议;根据防护建议对防护服务和设备进行联合调度,通过动态策略调整,形成对目标的有效保护,从而形成一套云网端的闭环防护体系。
关键词:安全态势感知;智能决策;联动防护;动态调整
doi:10.12045/j.issn.1007-3043.2022.11.011
前言
随着云计算、虚拟化等新技术的大力推广,云网融合作为一个战略性的、网络型的基础设施被大力推进,基于云网融合的安全生态也随之蓬勃发展。从IT基础架构走向云网融合的过程中,安全不再是简单的安全设备叠加的攻击防护,而需要形成基于云网端一体化协同防护的安全方案。
当前各大安全厂商与云网运营商都参与到安全生态的建设中,发挥各自的优势。行业内的很多安全设备厂商也在转型升级,提出基于云上的各种安全威胁防护方案。从实际应用场景来看,一些云服务商会利用一定数量的安全设备搭建防护资源池,过滤一些攻击流量,为云上企业提供安全加固,但是针对超大攻击(上千 Gbit/s 甚至更多的反射攻击),云服务商通过扩大防护资源池已经无法满足安全需求,云上网络带宽已成为其防御瓶颈。对于企业客户来说,一般会部署一些防护设备,比如IDS、IPS、防火墙、云WAF等,但由于运维人员对安全专业知识的欠缺和对安全设备日志的分析能力不足,在应对攻击时的防御效果和时效性较差。对于网络运营商来说,除了具备丰富的网络数据资源和网络策略配置条件外,随着云计算的发展,也需要在云上部署一些安全防护资源应对大网的安全威胁。
从以上应用场景看,企业甚至云服务商都无法针对传统应用、资产或云化平台等所有可能面临的安全威胁部署全方位、全维度的安全防护能力。如果网络运营商、云服务商和企业端的安全能力形成联合调度和统一管控,就可以充分发挥网络、云端安全服务和企业安全设备的优势,从而灵活地应对未知的安全威胁。从该角度出发,作者提出基于安全态势感知的智能决策与联动防护方案。
其中企业通常会在公有云、私有云上部署一些扩展性强、防护效果优的云安全防护服务,比如云WAF、云扫描、云高防、云探针等,随着对环境的适应,这些服务可以为企业的安全需求提供一定的定制化功能。部分未上云的企业则会在企业网络上部署一些针对性的安全设备,比如安全检测和防御设备 IDS、IPS、防火墙等,这些设备主要解决“最后一公里”的安全问题,此类设备的防护日志以及告警数据的精准度较高,针对性也更强。运营商在骨干网边缘节点部署大量的分布式云安全防护节点,网络广度比企业更广泛,防护能力也更全面。运营商除了安全能力最重要的就是网络流量数据,骨干网或城域网上能够收集到流量的诸多属性(as号、流量路径、攻击 ip、攻击协议、流量大小、国别),而这些属性为攻击预测的准确性提供更高的贡献度。
