普通消費者眼裡,戴爾是老牌PC廠商,在普通IT從業者眼裡,戴爾是最大的伺服器廠商,在關注數據存儲的人眼裡,戴爾是全球最大的存儲系統提供商。但從現在開始,戴爾要強化在安全領域的存在感了。
2022年10月,戴爾大談安全話題,與此前幾年不同的是,戴爾此次並非只談數據備份、兩地三中心容災方案和應對勒索軟體的Cyber Recovery數據避風港,還帶著對安全行業現狀的思考,從自己的優勢領域切入,提出現代安全的概念。
戴爾指出了強化現代安全的三個方面:保護數據和系統、提升網絡彈性和降低安全複雜性。本文將簡要介紹為什麼要加強現代安全和如何加強現代安全,希望對企業安全建設方面的工作能有所幫助。
現代安全的基礎:零信任架構
有數據預測,到2025年,全球因網絡犯罪橫遭的經濟損失將達到10.5萬億美元,隨著安全威脅不斷迭起,信息安全面臨越來越嚴峻的挑戰。導致企業安全問題加劇的原因有很多,戴爾著重指出了多雲時代的影響。
傳統的安全模式是先擁有並控制基礎架構,然後沿著網絡邊界開始布防。而隨著多雲時代的來臨,很多企業都有了公有雲資源,基礎架構向雲延伸,無法沿著網絡邊界進行布防。也就是說,傳統安全方案不能解決現在的安全問題。
從以往的實踐來看,傳統安全工作都是漸進式地應對一個個出現的安全問題。在戴爾科技集團大中華區市場部高級顧問李君鵬看來,必須進行一次徹底的變革,需要採用零信任模式,因為,零信任能為IT環境帶來明確的控制。
零信任架構有三個原則:第一個,要確保當前環境中所有的設備和實體都是已知的,為此,需要反覆驗證和確認;第二個,顯式地聲明設備和實體可以進行的行為,並只能進行這些允許的行為;第三個,要能監控和分析行為,及早發現安全威脅。
零信任架構屬於非常嚴格的安全管理,在具體的實現層面,包含三個層次,分別是業務控制層、控制平面和基礎架構層面,業務控制層在業務層面進行安全設定,控制平面執行這些設定,基礎架構層面負責在基礎架構層面執行安全設定。
在實際部署中,由於缺少明確的定義,各個層之間沒有很好的融合,經常需要企業自己進行很多設置,所以,零信任架構進行的並不順利。
戴爾作為全球最大的IT基礎設施提供商,在基礎架構層面上有明顯優勢。李君鵬表示,戴爾正在整個業界實現零信任的集成,讓零信任更簡單地被採納,減輕客戶集成的負擔。
戴爾將零信任視為基礎架構端到端生命周期不可缺少的一部分,從產品設計、開發、製造、交付、部署和維護,甚至最後產品停用都貫穿其中,整個生命周期中都採用了零信任技術架構。而這,都為戴爾幫助企業加強現代安全打下了基礎。
戴爾認為可以通過「保護數據和系統」、「提升網絡彈性」和「降低安全複雜性」,三部分來加強現代安全。
加強現代安全:保護數據和系統
在保護數據和系統方面,戴爾提出了整體安全願景。
從底層可信賴基礎架構開始、到雲架構層、到應用層、再到設備層全盤考慮,並提出了解決各個層次安全問題的方法或者具體方案。
之所以能全盤考慮,主要還是因為戴爾是全球最大的IT供應商,在企業面前有端到端的整體存在,從客戶端到伺服器、存儲、網絡都一應俱全,並且,所有這一切都有內置的安全,都實現了零信任架構。
在基礎架構之上,戴爾能為雲架構層的安全管理帶來更高的一致性,也就降低了管理的複雜性。從應用層來看,戴爾與包括VMware在內的合作夥伴合作,幫助企業在雲環境中實現一個統一的視圖。為企業在開發應用、託管應用和組織管理應用時提供了一致的操作層。
在設備層,隨著企業聯網設備越來越多,安全管理也面臨更大壓力,戴爾不僅提供了強大的設備集成能力,還通過端點安全技術對所有類型和所有的設備提供保護和管理。
在保護數據和系統方面,戴爾認為安全需要轉型。比如,從先開發應用後做安全的模式轉變為內在的安全,在應用開發階段就加入進去;從信息安全團隊單獨負責安全轉變為由DevOps、基礎架構、網絡團隊進行統一參與;以及從以威脅管理為中心向以業務為中心轉變。
在具體實踐層面,戴爾根據NIST安全框架,在識別、保護、檢測、響應和恢復五個維度上都有具體的對應,這也體現了戴爾作為提供多種基礎架構IT供應商的優勢。
正如李君鵬所言,「隨著保護企業IT環境變得越來越複雜,與一個可信賴的合作夥伴合作,提供跨整個IT範圍的廣泛的解決方案,而不是嘗試跨多個供應商和協議拼湊端到端覆蓋,這樣做更有意義。」
加強現代安全:提升網絡彈性
NIST安全框架已是安全實踐上的一個共識,NIST框架的前四個部分是網絡安全的範疇,而最後一部分是恢復,完整的NIST框架就構成了網絡彈性能力。一直以來,戴爾非常看重恢復能力,重視構建網絡彈性戰略。
網絡彈性戰略指的是,不管發生設備故障、網絡故障,還是災難威脅、網絡威脅,業務都能正常運轉的能力,網絡彈性戰略需要藉助各種技術手段讓業務持續運作,不能讓企業遭受損失。本質上,這都是從業務角度進行的思考。
戴爾科技集團大中華區數據保護技術總監李岩在與許多企業的溝通中了解到,很多企業在被攻擊後基本沒有太好的辦法,通常都是先斷網,然後立馬報警,最後,等著國家網絡安全部門來開展調查,這一過程可能會持續較長時間,期間將不得不承受較大損失。
網絡彈性戰略考慮了安全防護手段被突破後的情況,解決的是被突破之後如何保障業務運行的問題。為此,就需具備恢復手段,這裡所說的恢復手段指的網絡恢復,它是一種解決方案,而且是整個網絡彈性戰略里最關鍵的一個組成部分。
然而,翻開許多企業在安全方面投入的分配數據,識別/保護部分大概是10-20%,檢測部分大概是70到80%,在響應部分的投入微乎其微,在恢復上的投入幾乎為零。如果恢復上的投入有所增加,那將帶來更多收益,對恢復的投資將幫助企業提高投資回報率。
戴爾認為,可以通過構建「三位一體」的數據保護策略和框架,來增加恢復手段。
所謂「三位一體」,指的分別是:所有的數據都需要做備份,重要的數據需要準備災難恢復解決方案,最後,企業的黃金數據、最核心的數據需要放到「數據避風港」里。
「數據避風港CyberRecovery」是戴爾的一套方案,設計用來防止金融行業數據受到威脅,所以,各種設計都用了最嚴格的標準,使用了一堆「狠活兒」。
首先,為了讓數據不被黑客觸碰到,「數據避風港CyberRecovery」使用了Air-Gap(氣閘)進行了物理隔離,「數據避風港」里備份的數據與生產環境是完全斷開的,縱使黑客有通天本領也無法觸碰這些數據。
第二,「數據避風港CyberRecovery」不允許數據進行改動,不可被篡改,即使是內部的人員也不能對其進行刪改。第三點,為了確保備份來的數據是安全的,會做許多智能分析。
在實際使用中,如果生產環境遭受攻擊,就需要從「數據避風港CyberRecovery」里恢復數據,為了保證安全,「數據避風港CyberRecovery」會短時間內打開閘門,快速對數據進行恢復,從而將業務系統恢復到正常狀態。
李岩還表示,對關鍵數據的保護和恢復能力,但純靠一個解決方案是不夠的,還需要一些方法,比如,對數據進行分類,選出哪些是需要放到「數據避風港」里,此外,還涉及到人員和流程管理的許多問題。
其實,安全問題歷來就很複雜,涉及到硬體、軟體、業務流程和人員操作流程等多個方面,也正因如此,構建現代安全才特別提到了「安全複雜性」的問題。
這就是加強現代安全的第三個方面:降低安全複雜性。
複雜性是安全的敵人,當企業要管理的東西越來越多,安全風險就會越來越多。戴爾認為,自動化、智能化和整合能應對這一問題,將更多的人工智慧和機器學習注入到這些安全工具當中,可以更好地管理威脅。
從李君鵬的介紹中了解到,戴爾基於雲的監控和分析軟體——CloudIQ結合了主動監控、自動通知、推薦、機器學習和預測分析等功能,可用來降低基礎架構的安全風險。除了工具,戴爾的安全管理團隊可以為企業提供安全支持服務,能夠幫助客戶降低安全的複雜性。
結束語
戴爾並不是一家安全公司,但考慮到如今IT架構方面的變化,戴爾在安全方面的責任也越發重要,憑藉在基礎架構領域方面的優勢,戴爾在零信任架構的落地,在數據和系統的保護以及網絡彈性方面的價值也非常顯而易見。