云时代用“秩序”和“博弈”打赢安全这一仗

攻守问题自古以来就是一出博弈,就像一次兵临城下的叫阵,城外气势汹汹,甲光粼粼,城内坚壁清野,久攻不破,战线拖得越长就越应该经过心理上和成本上的考量,但攻守并不是绝对的,从某种意义上来说是相互转化的。所以,守方也可以静制动。第十届云安全联盟高峰论坛上,来自云安全联盟的各路专家为现代科技领域上的“攻防之战”赋予了新意义。

现在是一个虚拟化的时代,不见了高墙也不见了城下旌旗飘飘,数年前我们只需要保证网络的畅通,机器运行的完好就可以高枕无忧,但是现在我们需要周旋于来自各方各面的威胁,我们对于目前常用的防护手段并不陌生,但随着云计算不断的发展,我们所能触及到的边界也越来越大,正如柏拉图所说:我们知道的越多,未知也就越多,信息从我们的指缝间溜走,我们抓狂般地搜索每一个可能出现问题的环节,耗费了大量的物质和时间成本,绿盟科技首席战略官赵粮戏称之为:九龙治水的尴尬。

“攻防”之间的动态平衡

云对于大家来说都不陌生,但是一旦进入使用阶段就有一种“把自己的鸡蛋放在别人的篮子里”的不踏实感。但是不把自己的鸡蛋放到“别人的篮子”里去,就意味着在当今这个时代,还把钱塞进自家的土墙中保存,看似是一种“物理安全”其实根本不安全。一个信息化的时代,跟不上时代是一种更大的危机。赵粮认为应该从攻击和防守成本进行考量“在一般情况下攻击成本和防守成本是对等的,但是一旦某一点被打破,如BYOD技术的出现,都会破坏这种平衡”。我们就像在不停得加高城墙一样,两方成本在平衡中持续上扬,直到攻击者由于成本问题放弃攻击,这场持久战最终以守方获胜而剧终。

云时代用“秩序”和“博弈”打赢安全这一仗

兵来将挡:边界模糊化新对策

提及安全我们首先想到的是一个边界的问题,往往兵家必争之地都有着高高的城墙,网络安全也是一样,在云产生之前我们的边界是清晰的,严防死守就能解决一切问题,如漏洞扫描、渗透测试、杀毒、终端安全配合网络边界的安全就可以万事大吉,但是在云计算的环境下一切都发生了变化,让我们看不清“现实的边界”:边界已经逐渐模糊化、动态化。边界位置部署模式也发生变化,“云安全被逼到加密的死角”。

云时代用“秩序”和“博弈”打赢安全这一仗

云的形成,满足了我们各式各样的需求,虚拟化让我们做了更多不敢想也不可能做到的事情,与此同时云安全的复杂性也随之提高。如果采取“一把抓”的政策,把原先的安全问题和新产生的问题混在一起会在无形中制造一些纠缠不休错综复杂的矛盾。对此,北京启明星辰信息技术有限公司首席战略官潘柱廷提出了一个将可变和相对不变的信息加以区分的观点,这样可以只需要应对可变性带给我们的威胁,而相对不变的则不需要耗费过多成本。

“一般来说攻击者就是抓住了四个层面进行攻击的,云的出现改变了网、静态结构的问题,却并没有改变包、协议和标识、内容和语义的问题。”因此潘柱廷明确地将前两者分划为流安全,后两者划归为包安全。

云时代用“秩序”和“博弈”打赢安全这一仗

对威胁进行了“拆解”和分化之后,潘柱廷开始对这两种不同的威胁做针对性的解决:边界问题的根本是静态结构层面的问题,所以在云的环境下,我们必须换一个视角解决这种复杂的边界问题,即用流的视角来审视、规避并解决复杂边界问题,用相对清晰的流问题替换复杂而动态的边界问题。

“虚拟机涉及到过大的流量问题,并且虚拟机会迁移,因此旁路监测有一定的困难,把虚拟化环境需要监控的流量导出来,汇聚到外面,用硬件设备对其进行检测的方法可以解决。”潘柱廷先生认为边界在不断破解,虚拟化的域名边界并不是边界,而是多部虚拟机组成的运行的边界,是一个互相交叉、互相重叠的“边界”,物理意义边界的弱化,和逻辑边界意义的增强,虚拟化技术同时也提供了软件定义一切的可能。

云时代用“秩序”和“博弈”打赢安全这一仗

(图解:物理边界逐渐消失的情况下,逻辑边界变得清晰可见)

“分流的秩序”是打破“混沌”的根本途径

潘柱廷的主要观点是“秩序”:把“流”复制到一个虚拟化的环境下,在保持性能的前提下放到外部的硬件或者软件的虚拟化环境下进行深入的检测。把流和包的问题区分开。网络云从一般角度来说可以分为三层:操控层、数据分析层和设备控制层。在进行“流”检测时,可以用分流的手段进行分析检测。他还用北京的路网对此进行了比喻:并不是道路越宽流量越通畅,重点在于“秩序”。

云时代用“秩序”和“博弈”打赢安全这一仗

(图解:左侧A、B代表两个不同的物理机,其流量被精细分割,放入右侧的网络审计产品、sniffer或者蜜罐检测中。倒流过程就是流安全。)

层层剥离分解,让威胁无处藏身

我们目前面临的边界是一种综合流量的边界,对外和对内的流量鱼龙混杂,处于一片混沌的状态之中,潘柱廷认为解决此问题的最好办法就是:“秩序”,引导、分流和聚合体现出的是一种秩序,用秩序的方式来解决“流”的问题。“以往采用的是糖葫芦串的方式解决,也就是多产品串联的糖葫芦串式方案,不能实现统一的安全日志管理,单点故障容易导致全网瘫痪,且用户采购成本较高。”潘先生从应用方面解析了这种方法的有效性。“这种将流入的流量和流出的流量以及邮件按照层层剥离和分解的步骤解决。” 同时潘柱廷提出“流安全需要遵循的是良好的秩序原则,检测速度快,相对浅显;包安全遵循的是深度只是原则,检测速度相对较慢,比较深入,需要经过检测资源池。”

云时代用“秩序”和“博弈”打赢安全这一仗