云安全：从入侵防御系统中学到的经验

人工智能驱动的公有云技术的发展正在改变企业“默认保护”的游戏。

我最近有机会向一位行业分析师介绍人工智能AI在解决公有云安全方面的快速进步。分析人员和我都在探索入侵防御系统(IPS)的开始和商业化，并且多年来一直持怀疑态度，仅仅因为安全技术能够防止威胁或主动攻击，客户不一定会处于保护模式。

即便在今天，我也估计80%的网站IPS是在仅检测模式下运行的，而且虽然运行的很好，但基于主机IP下可能只在60%的企业环境中部署为仅检测和警报。

在我们的谈话中，我们两个人都出现了一个问题：客户是否准备开启保护?或者更具体的说，为什么客户现在可以启用保护件?自从我与分析师进行初步讨论以来，我一直在寻找一种更完整的方式来阐明为什么我认为IPS历史无法回答为什么默认情况下为云中运营的企业启用保护的问题。

无论是否具有下一代或NG前缀，IPS都应以独立方式运行，有点像防火墙，独立分析本地流量和数据流，识别特定事件或攻击技术，发出警报，以及(如果在预防模式下操作)阻止或终止该流。由于三个严重的异议，企业安全团队通常不愿意启用IPS阻止。

• 预防决策是在IPS设备级实时进行的，依赖于在网络中特定的时间和物理位置检查流媒体流量。因此，IPS不是“情景感知”，如果不定期执行专家环境调整，则会导致高水平的误报率。
• 在当地针对所检查的交通流和数据流进行预防行动，虽然IPS可能最适合检测企业内该物理位置的特定威胁，但通常不是采取预防措施的最佳位置。
• IPS可用的预防方法相当粗糙，从防火墙级别的流量阻塞到执行会话终止的TCP重置，需要粗粒度的响应参数(例如，IP地址，端口号，协议)

在企业安全和威胁可见性方面，公有云和人工智能的使用非常简单，是游戏改变者。

客户的核心是为计算、存储或流量计量和计费客户，同时具有动态平衡工作负载和按需弹性扩展的透明功能，提供不同于传统企业网络架构中的环境可见性和控制水平。

虽然大多数公共云提供商的内置安全产品与其企业网络同类产品具有相同的术语，但他们几乎没有相似之处，因为他们专门针对该提供商的云构建，并受益于独特的环境可见性，共享日志记录和警报处理，跨产品分析，内置自动化和编排API，以及越来越先进的AI功能。