云網時代的安全框架

丁海驁

“最近在上海進博會，我在施耐德展臺上看到很多開關，我突然就想：工業革命的時候，電力發明可能是最重要的發明，沒有電力就沒有光明，更沒有生產線。但試想如果電力的安全解決不了，就沒有電力的使用。那么電力那時候的安全靠什么？不就是開關，是阻斷能力——因此也許5G時代的安全，一個非常重要的能力，就是阻斷能力：像工業時代的開關一樣，該斷的時候能斷下來。”田溯寧，亞信聯合創始人、寬帶資本董事長日前在亞信安全主辦“2020第五空間戰略發展高峰論壇”上談到5G云網時代的安全時強調，新時代要求的三個網絡安全能力：阻斷能力、控制能力和免疫能力，只有具備了這樣的能力，才能保證身處這一時代的人類，能夠真正“征服數據的海洋，到達智能世界的彼岸。”

網絡安全從互聯網時代起，就一直是一個萬眾矚目的話題。亞信安全總裁陸光明表示，自互聯網時代到移動互聯網時代，再到云計算、邊緣計算、物聯網、智能終端……隨著IT能力的不斷提升，數據滲透的業務邊界一直在加速、持續地擴大。到現在，隨著5G帶來的云網一體化，以及中國“新基建”所推動的數字社會和數字經濟的大趨勢，對于數據和網絡來說，完全沒有邊界的新世界已經呼之欲出。很顯然，傳統的圍墻式安全方案已經沒有辦法真正保障用戶數據和信息的安全。從某種程度上，現階段的網絡安全已經不再是一個技術和產品層面的進階，而是需要一次從整體邏輯和架構上的徹底重構。“未來，單一的產品不可能解決我們現有的安全問題，我們需要構建一個防御體系、一個防御框架，整體解決我們不同企業的安全問題。”亞信安全CDO吳湘寧強調，安全的規劃、安全的設計，以及安全場景的推進，都要圍繞“兩個思路”推進，第一，防御必須是多元化和相關聯的。第二，威脅的感知、認知和預知需要通過基于威脅數據的智能化安全服務來完成。

“所謂的多元化，需要我們在防住傳統的一些已知威脅以后，還要通過行為監控，通過偵測與響應去抵擋10%的未知的可疑的威脅；相互關聯指的是端點和身份的拉通，可以讓我們的數據更加真實，更多元化地定義威脅的所在。”吳湘寧認為，數據是最重要的資產，同樣，威脅數據也是威脅防御最重要的資產。而基于對數據的學習，通過機器學習和人工智能，能使得未來的防御更加智能，從而擺脫以往完全靠人力的現狀。“這是提高安全效率運維效率的一個關鍵。”吳湘寧說：“基于這樣的認知，亞信安全提出了基于安全智能的產品框架。而這個框架正是未來亞信安全所有產品發布的基礎，也是我們的安全理念——融合安全主動防御的全部思想。”

基于全新的安全智能產品框架，在本屆論壇上，啟航5年的亞信安全重磅發布了“AI2亞信安全智能框架”，通過多層次立體化協同聯動機制，發布五款安全解決方案：云網安全中臺、XDR2.0、泛在身份一體化、超洞察威脅情報和5G MEC安全。

其中，在亞信安全公開發布的資料中，云網安全中臺是實現用安全能力打通全業務鏈的平臺，具備設備納管、整合與編排、決策與自動處置、服務化、能力開放和安全業務輸出六大核心安全能力。

“如果我們要建一個普通的一層小房子，那么可能不需要打地基、不需要考慮火災和安全通道。但是，如果建的是一座高樓，那么安全逃生設備、安全消防設備都必須提前考慮。因此，對于企業用戶而言，在云網架構下，安全不應該是信息基礎建設的增值服務，應該是建設時一并考慮。”吳湘寧強調，云網安全中臺不是產品，而是一個基于云架構的安全解決方案。其邏輯上應該是與網絡中臺、AI中臺一起，為業務中臺和數據中臺提供必要的基礎支撐：“這是一種基于IaaS層的安全能力的云化和資源池化。同時這些安全的資源池和云化的產品在安全本身的前提下，需要提供開放的統一管理接口和調度接口，被亞信安全的安全中臺利用，從而更好地融入到企業云平臺的安全能力中，使它具備安全業務的整合能力。”

而XDR2.0是繼亞信安全在2019年發布XDR1.0基礎上做的升級，在原有1.0的基礎上，XDR2.0通過端點安全、身份安全、網絡及郵件等安全產品匯聚了行為數據、資產數據和漏洞數據。“今天，人工智能可以與人類下棋，可以做醫療的診斷。那么人工智能的運維離我們還遠嗎？”吳湘寧說：“威脅感知能力是基于亞信安全的XDR1.0基礎上提供的威脅的統一語言。正是有了威脅的統一語言，使得我們今天談到的人工智能、機器學習可以變為現實。”而此次發布的XDR2.0，這是“從威脅感知到威脅認知”：“有了對威脅的認知，基于我們現在智能的分析，基于我們現在AI的輔助，我們才能做到AI的智能的輔助運維。”

對于其他幾個新品，泛在身份一體化，強調身份即安全，以業務為導向，按身份進行訪問控制，貫穿所有業務應用，原生身份數據和隱私保護，建立云網環境全域身份管理系統；而超洞察威脅情報則包括威脅知識庫、網絡空間測繪庫、情報搜索引擎、威脅報告、病毒庫更新、黑白名單管理、資產漏洞掃描、產品聯動等八大模塊，可以提供威脅情報云服務以及API接口，為網絡安全產品賦能。

吳湘寧還重點談到了5G MEC安全。“5G安全是個新生事物，因為5G本身剛剛誕生也沒多長時間，它本身原有的代碼安全可能還需要很長時間去解決。而5G架構也還在建設當中，它遇到的問題我們可以看到很多，但這一切都會隨著業務的變化而改變。但是，今天我們看到，最需要保護的或者最有可能受到威脅的，是MEC（邊緣計算技術）下沉而導致攻擊面增多：所有的網絡威脅和網絡攻擊在MEC上都有可能重演，因此MEC安全作為端點安全的延伸是我們必須要重視的。”從這個角度看，亞信安全此次發布的5G MEC安全就是通過將端點、網絡、身份等安全能力進行整合，以安全網元或SDSec方式布署，達到電信級高可靠、高性能、高可管的要求，通過業務編排實現5G MEC網絡的安全防御、檢測、防護和響應。

寫在最后

隨著數字化社會的到來，網絡安全的話題無論如何強調，都不過分。在一個云網融合的時代，在一個強調數字孿生的社會里，的確需要一個新的關于數據安全、業務安全的全新框架和邏輯。只是，這種框架和邏輯，依然需要不斷的迭代和驗證，從而實現安全與應用和業務的平衡成長。