安全编排:一切防护皆软件定义

发表于 讨论求助 2021-10-12 14:53:52

如果说软件定义安全与以往的安全架构有什么区别,那么最大的不同应该是它体现的软件化、自动化和随需而变的敏捷性,而这些特性都是通过面向不同场景的安全应用所体现的。

应用编排:软件定义安全的灵魂

安全应用是以软件形态交付的,如Web应用、脚本或是后台守护进程等。通常每个安全应用实现一个或若干个安全功能,如Flow异常分析、系统脆弱性评估、用户和个体行为的画像。但在软件定义安全的设计中,安全应用对外提供可编程的应用接口,如RESTful API、Web Service接口、消息队列和管道等中间件接口,那么在一些复杂的场景中,可以存在更上层的安全应用,通过调用一系列其他应用的应用接口,快速有逻辑性地完成多种安全功能。

以用户行为画像为例

◆ 首先,网络流量分析应用可先通过对收集到的流量进行格式化、建模,建立正常访问基线;

◆ 然后,资产分析应用评估出企业的重要资产,结合企业已有的ERP和CRM系统的API获得员工身份信息;

◆ 接着,安全审计应用获得安全设备上传的实时日志;

◆ 最后,UEBA(User and Entity Behavior Analytics)应用将上述多维度的信息和访问记录还原成可理解的用户和个体行为,从而找到如离职员工访问内网的数据库等异常事件。

可以说,安全应用的可编排特性是软件定义安全的灵魂,原因有两点:

安全业务的逻辑可被软件定义

安全应用提供了应用接口,也就具备了被外部软件重新定义其执行逻辑的能力,从而发挥更强大的作用。一个脆弱性评估应用不只用于日常的合规性巡查,还可成为企业安全检测-防护/修复/响应/取证的闭环中重要前导部分。这个应用与防护/修复应用编排,可以衍生出日常漏洞处置的应用;这个应用与响应应用编排,可以衍生出如爆发突发安全事件时打虚拟补丁的应用;这个应用与取证应用编排,可以衍生出重大安全事件出现后的快速排查应用。随着安全需求越来越多样性,安全业务的逻辑可被软件定义,企业所拥有的安全能力会越来越丰富。

安全应用本身可以被软件定义

如前所述,安全应用本质上与其他通用应用没有区别,都是软件形态的。在网络上提供服务的安全应用其实就是软件即服务(Software as a Service,SaaS),其部署、升级的过程都应该可通过平台即服务(Platform as a Service,PaaS)的应用接口被软件定义。近年来随着如Docker等PaaS技术的成熟,这些应用的部署可以不考虑底层的硬件环境(Baremetal、专用硬件或预装操作系统的客户服务器),其运行环境一致可靠,同时应用的升级也可以做到实时、增量、可控。

当然应用编排也存在一些问题,例如应用对外提供的应用接口没有通用标准,这也需要安全行业的厂商一起协作,开放自有的接口,并制定统一的规范,形成良性的生态。

在线商店:交付革命

互联网自诞生伊始就在深刻地改变世界,“工业4.0”、“物联网”、“O2O”、“BYOD”这些流行词都是互联网与工控体系、嵌入式系统、百姓日常生活和企业办公等场景结合后诞生的新模式,可以说互联网的敏捷、开放和丰富的资源给这些传统事物带来了新的变革。


软件定义安全本质是借助应用的灵活逻辑实现安全方案的“软化”,那么这些应用从何而来,这些应用的逻辑因何而变?在软件定义安全发展到应用成熟的阶段,这些问题就会被提出。


可预见到,软件定义安全的体系与互联网结合几乎是必然的。没有互联网支撑的应用交付,任何精妙的安全体系终究会落后于日益变更的业务系统,或败在日益变化的攻击手段。安全应用(Security APP)会演化成安全即服务,使得安全应用时刻处于最有效和最新的状态。从这个角度看,提供安全平台即服务的在线商店(Security APPStore)的概念也是顺理成章。

应用商店有以下优点:

应用交付便捷快速

设想现在的安全产品交付过程,用户首先需要通过销售了解产品功能介绍,与售前人员沟通后,根据需求确定部署方案,以及产品规格和配置,然后下单购买。根据库存和生产情况,通常经过数周到数月产品才能到货,厂家再安排工程实施人员布线、加电、配置和调试,此时宣告交付完成。如果运行时遇到硬件故障等无法解决的问题,还需要退换货,通常又要花上数周甚至数月的时间。这里还不涉及人工的例行系统更新和遇到安全事件时的紧急补丁应用的开销。由此可看出传统模式有三个问题:时间开销大;售前售后人员成本高;运维难度高、受人员素质影响大。

如果安全应用通过在线应用商店交付,客户可以浏览、搜索在线应用,找到感兴趣的应用,即可点击试用或购买。

通过这种方式,安全应用可很快下载并部署到客户环境的服务器上,整个过程通常在分钟到小时级。因为应用的研发和运行环境一致,所以应用下载之后就能正常运行,节省了大量配置的时间开销。

应用更新也是类似,通过增量更新的方式,花费时间更短。可见这种方式大大缩短了安全应用交付、部署和运维的时间开销。

应用研发成本低

标准化加SaaS化的云端应用商店,大大降低了交付的边际成本,因为购买1个应用的成本与购买100个应用的边际成本几乎相当,节约了大量的人工成本。

安全应用商店这种模式不仅为客户提供了时间、产品质量等方面的良好体验,还降低安全厂商的成本,提高了生产效率。

此外,应用商店也可构建一个安全生态,容易通过标准的方式规定应用的规格和接口,从而实现应用编排,进一步强化了已有的安全能力。


‍‍‍‍下载《软件定义安全白皮书PPT》请点击文末“阅读原文”‍‍‍‍‍‍‍



请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

点击下方“阅读原文”查看更多
↓↓↓ 
发表