云中的安全之墻

郭濤

在云計算時代，如何才能最有效地防御攻擊？在云中建立一堵安全之墻嗎？要如何建？PAN-OS 8.0是Palo Alto Networks要建的云中安全之墻的基石。

安全是一個永無止境的話題，黑客與企業(yè)客戶和安全廠商之間是此消彼長的關系。隨著技術的發(fā)展，以及安全需求的變化，黑客的攻擊手段在改變，企業(yè)客戶和安全廠商的防御手段也隨之精進和完善。

提到Palo Alto Networks，很多人最熟悉的可能就是它的下一代防火墻產品。防火墻顧名思義，就是在企業(yè)的內部和外部之間建立一堵“安全的墻”，將非法入侵和安全隱患拒之墻外。

百度百科上對下一代防火墻的定義是：下一代防火墻是一款可以全面應對應用層威脅的高性能防火墻，它通過深入洞察網絡流量中的用戶、應用和內容，借助全新的高性能單路徑異構并行處理引擎，為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業(yè)務，并簡化用戶的網絡安全架構。

從這一定義中，我們可以找到幾個關鍵詞，清楚地描述下一代防火墻與傳統(tǒng)防火墻的最大區(qū)別：全面、洞察、一體化、簡化。其實，這幾個關鍵詞并不是只適用于防火墻這一類產品，而是云時代安全產品所要具備的基本功能和特性。

前不久，Palo Alto Networks發(fā)布了公司成立十多年來最重要的一款產品——PAN-OS 8.0。從記者的角度理解，所謂最重要：一方面是指PAN-OS 8.0是Palo Alto Networks最核心的產品平臺，是Palo Alto Networks技術創(chuàng)新的集大成者；另一方面，PAN-OS 8.0是應云計算時代安全需求所生，針對云安全提供了創(chuàng)新的技術和功能，集中體現(xiàn)了未來安全產品的走勢。

安全防護的四個基本面

新年新氣象。2017年，Palo Alto Networks不僅發(fā)布了最新的安全產品，也迎來了中國業(yè)務的新掌門人——Palo Alto Networks 大中華區(qū)總裁陳文俊。剛剛上任不久的陳文俊在針對中國媒體的PAN-OS 8.0發(fā)布會上顯得意氣風發(fā)，他表示：“Palo Alto Networks已經發(fā)展成為一家全平臺防御解決方案提供商，從網絡端到整個數(shù)據(jù)中心，從云計算的接入到各種終端設備的接入，我們都可以提供成熟的解決方案。PAN-OS 8.0主要解決的就是云計算的安全問題?！?/p>

在云計算時代，如何才能最有效地防御攻擊？也在云中建立一堵安全之墻嗎？如何建？

Palo Alto Networks給出的答案是，可以從4個方面不斷提升安全解決方案的有效性，包括全面可視化、減少被攻擊面、防御已知威脅和防御未知威脅。無論是移動終端、網絡還是云，如果你不能及時發(fā)現(xiàn)安全攻擊和威脅來自哪里，那么防御就是一句空話。因此，有效防御的前提是必須實現(xiàn)可視化。有全面可視化做基礎，無論攻擊源自哪里，我們都可以看得見，然后就可以找到適合的解決方案來防御。

現(xiàn)在，黑客的攻擊通常都是群體作戰(zhàn)，而不是一個人，這樣攻擊的成本更低，被攻擊者也更難防御。對于企業(yè)來說，如果你“暴露”的越多，讓黑客能夠輕易找到防御的薄弱環(huán)節(jié)，那么企業(yè)受到的攻擊就會越多。“如果企業(yè)能有效減少被攻擊面，那么相應的，黑客的攻擊成本會上升，攻擊的成功率也會降低?！标愇目”硎?。

對于已知的威脅，我們通常會為其打上標簽，而且各安全廠商已經有很多成熟的解決方案來應對這些已知的威脅。比如，Palo Alto Networks已有的智能云，已經在全球范圍內實現(xiàn)了所有客戶設備的同步，在美國或歐洲發(fā)現(xiàn)了安全威脅，5分鐘之內就會將這一消息通過智能云通知全球的設備商，從而做出及時的防御和動作。這些技術目前已經十分成熟。

現(xiàn)在也可以采用AI、機器學習、行為分析等技術手段進行動態(tài)分析、靜態(tài)分析、異常檢測、深度解析等，從而更有效地防范未知的威脅。

上面談到的這些應該注意的問題和相關的技術其實并不新鮮，有些甚至屬于老生常談，但為什么在面對一些突如其來的安全攻擊時，有些企業(yè)還是會處在“被動挨打”的地位呢？究其原因，他們沒能將這些單點的安全解決方案形成一個有機的整體。VMware首席執(zhí)行官帕特·基辛格曾表示，抵御安全攻擊，響應速度并不是核心，而是如何將支離破碎的安全保護進行更有效的整合，實現(xiàn)安全架構的簡化。這才是安全轉型的關鍵。

“一個企業(yè)若想抵擋全面的攻擊，就必須擁有集成化、一體化的安全防御解決方案，所有的網絡、端口和云都要防護起來，而且要具有自動發(fā)現(xiàn)安全威脅的能力，并確保在任何時間、任何地點使用任何設備的體驗是一致的?！标愇目”硎?，“我們可以提供所有功能無縫集成、協(xié)同工作的全平臺安全解決方案，全面防御已知和未知的威脅，讓云安全這堵墻越來越堅固。”

云安全的基石

Palo Alto Networks 大中華區(qū)技術總監(jiān)耿強表示，隨著各類云（包括公有云、私有云、混合云，以及SaaS）的快速普及 ，網絡安全邊界變得越來越脆弱。用戶可以隨時隨地使用任意設備從云中讀取數(shù)據(jù)，導致在網絡和終端之間傳輸?shù)膽煤蛿?shù)據(jù)數(shù)量大幅增加，這進一步增加了網絡威脅的覆蓋范圍和復雜程度。Palo Alto Networks自主研發(fā)的下一代安全平臺能夠讓用戶無論身處何處，都可以安全地啟用應用程序和內容，防御已知和未知的攻擊，同時簡化安全操作和基礎設施，安全地使用新的云基礎設施。

PAN-OS 8.0在原有功能的基礎之上，進一步增強了自動化、機器學習和威脅防御能力，一下引入了70多個全新的功能。耿強歸納了PAN-OS 8.0的五大創(chuàng)新之處：多元威脅防御，有效阻止惡意軟件，實現(xiàn)自動保護；憑證盜竊防御，防止自動化的憑證盜竊和濫用；云安全，提高各主流云的可視性、控制力和規(guī)模；規(guī)?；芾?，大幅提高Panorama的性能和自動化程度；使用全新的硬件，提供高性能SSL解密。

耿強表示，在云安全方面，Palo Alto Networks能夠提供一致的安全機制，無論是硬件、軟件還是操作技能都是一樣的，合作伙伴和客戶無需重新學習即可操作。Palo Alto Networks的安全解決方案可以很好地支持亞馬遜AWS和Azure公有云，并進一步增強了與VMware NSX的集成性，提升了私有云部署的自動化水平，此外還能與OpenStack、ConfigDrive集成，實現(xiàn)NFV的自動化部署等。

值得關注的是，PAN-OS 8.0采用了一些新的技術：阻止沙盒逃逸技術，具備全新的100%定制化虛機管理程序（Hypervisor）和裸機分析環(huán)境的WildFire服務，旨在自動識別和防止最具逃逸性的威脅；自動命令與控制簽名，使用全新專用有效負載簽名生成引擎，能夠更快防御攻擊者的回呼企圖；自動集成威脅情報，將MineMeld應用程序集成到AutoFocus服務中，企業(yè)的安全運維團隊可以輕松獲取多個數(shù)據(jù)源，加速整理全部威脅情報，創(chuàng)建自定義字段，并自動快速修復下一代防火墻，以及通過第三方SIEM解決方案或資產管理產品通知SOC小組；為管理人員提供快速準確情報的管理功能，通過Panorama網絡安全管理，融合Traps高級終端保護日志，以及附加的防火墻日志，增加與威脅指示器的相關性，并自動快速更新到下一代防火墻，以阻止攻擊者橫向移動，并通過第三方IT服務管理和網絡安全響應系統(tǒng)（如ServiceNow）通知IT部門，從而降低安全團隊的操作負擔。

耿強還特別提到了PAN-OS 8.0新增的憑證防盜功能。憑證盜竊是網絡攻擊者威脅和操縱企業(yè)以獲取寶貴資產的常見手段之一，而PAN-OS 8.0新增的憑證防盜功能，能夠將可疑鏈接通過電子郵件發(fā)送到WildFire，實現(xiàn)增強的機器學習分析。如果該網站被認定為釣魚網站，PAN-DB將自動更新釣魚URL數(shù)據(jù)庫、阻截該網站并阻止用戶訪問該網站。Palo Alto Networks的下一代防火墻內置一個基于策略的多因子認證框架，這種獨特的功能使防火墻可以輕松執(zhí)行多因子認證，以阻止網絡攻擊者借助盜取的憑證或受損的終端，在網絡中橫向移動并訪問敏感數(shù)據(jù)。為了確保實現(xiàn)以上效果，Palo Alto Networks的下一代防火墻在網絡級別、身份驗證和身份管理框架下，與多個下一代身份訪問管理供應商，以及其他策略執(zhí)行工具進行整合。

“我們支持全球大多數(shù)的公有云，更重要的是在性能上有大幅度提升。”耿強表示，“我們擁有一個完整的安全平臺，并從客戶和應用的角度出發(fā)，依靠內容感知，及時發(fā)現(xiàn)潛在威脅，提供端到端的全面安全防護。在云計算時代，我們的安全保護能力得到了進一步延伸和增強?！?