雲安全漫談(一)
接到老趙約稿,基本上撂抓兒就忘了,後來又是他提醒終於撐不住,準備寫點東西算是對自己這段時間學習的總結。
雲安全是什麽?
我最早聽到這個名詞是在2011年和趨勢的人聊天,他們在做這個東西,實際上原來這個東西就是一個雲端的殺毒軟件,瑞星&趨勢等等終端安全廠商都是這個概念的收益者,炒概念還是國內比較在行。
之後一大波的廠商對這個概念進行了詮釋和深度解釋,基本分為了3類:
1.終端派:
基本上都是終端安全廠商,出於對終端安全的解析進行了產品定位,所以你可以看到趨勢、賽門、瑞星等廠商的身影,他們的解決方案大都是以agent或無代理的方式提供的,從OS或者虛擬層進行防病毒、當然也有終端防火墻,防僵屍等功能,常見的應用場景為:虛擬桌面安全,私有雲安全等等。
作為行業的先驅,這些解決方案都比較穩定,叠代多嗎;當然了很大一部分都是在I/O 層面上做文章,網絡層面上就稍稍差一些。但最大的優勢就是客戶之前在考慮雲的環境規劃的時候大多漏掉了安全,要想補前帳就先要解決終端的問題,你都不能清除原有的病毒,誰還考慮你的解決方案。
2.網絡派:
大家都知道傳統安全的廠商裏是有一大批做網絡安全的,比如:天融信、綠盟、checkpoint、PA等等,隨著傳統安全設備的銷售買點被擠壓,利潤下降,那就要找個新的噱頭要忽悠客戶,雲安全落入了他們的視線。
網絡設備天然的高吞吐,大並發對客戶數據中心的數據處理不會造成瓶頸,所以網絡安全廠商的應用場景就變成了數據中心整體的安全架構設計,畢竟網絡、安全不分家,天然就有在架構上的說服力。
所以邏輯就變成了這樣,虛擬機是在雲上模板部署的,模板是安全的,數據中心是安全的,威脅來自哪裏?網絡
買個網絡安全解決方案吧,我們還有下一代防護墻(AV,AB,IPS,URL過濾一個都不能少)。
PS: 我也是這樣忽悠客戶的。
如果說優勢的話:
A:處理迅速(一言不合就隔離虛擬機,網絡嗎,沒網就無法傳播了)
B:架構層面比較清晰
C:緊跟技術潮流(SDN,微分段都支持)
D:分布式架構(大多數的X86的軟件架構都可以移植到虛擬機上,負載都在每個虛擬機)
當然處理問題就簡單的多了IPS虛擬補丁,隔離,齊活。
3. 公有雲派
這部分是最亂的也是最技術的,架構是公有雲廠商的,所以網絡上的4層以下的問題都可以在架構上解決。每個廠商對自己的VPV(VNET)網絡定義不同,基本上都在自己的圈子玩。然後帶著前兩派的人各為盟主。
特點就是:
關註的是最新的技術(hadoop,doker,機器學習,就問你這些傳統廠商見沒見過?你都不懂搞個毛線)
深入到代碼層面(最近的幾屆雲安全大會大家都談的是架構層面,你要不說個python啥的都不好意思和人家打招呼)
目前在傳統應用層面還有欠缺,當然了上公有雲的誰沒點高追求,誰不是上的應用類型比較標準化(web居多)。搞個WAF就能解決,你們都洗洗睡吧。
實際上雲安全已經脫離了之初的概念範圍,覆蓋了和雲相關的方方面面,從終端到網絡,從數據到用戶,單一的廠商基本上不可能提供一個完整的解決方案,而且CSA 、ISO、GB/T 22239.2 – XXXX一大堆的行業標準,總有一款適合你。
正所謂:三分歸一統,標準定乾坤。下期說說這些標準,如果有空的化。
雲安全漫談(一)