前言
近日,知名信息技术研究和顾问公司Gartner发布了最新一期的2021安全和风险管理趋势报告,综述了2021信息技术行业的八大安全和风险管理趋势。
其中,第一点提到了“网络安全网格”技术:
网络安全网格是一种可以在最需要的地方部署控制措施的现代化安全方法。网络安全网格不是让每一个安全工具在“孤岛”中运行,而是通过提供基础安全服务以及集中策略管理和协调,使各工具之间实现互操作性。现在许多IT资产都在传统企业边界之外,而网络安全网格架构使企业机构能够将安全控制措施扩展到分布式资产。
相比2020年的趋势报告,同样是第一点 —— “XDR提高准确性和生产力”:
扩展型检测和响应(XDR)解决方案如今不断涌现,它可以自动收集和关联来自多个安全产品的数据,以改进威胁检测,并提供事件响应功能。例如,触发电子邮件、端点和网络警报的攻击行为可以合并为单个事件。扩展型检测和响应解决方案的主要目标是提高检测准确性,提高安全操作效率和生产力。
两者含义相同,都提到了核心理念—XDR,讲述了“融合”、“关联”、“扩展”的价值。足见XDR在当今安全运营领域的重要性。这也与我们的产品理念不谋而合。本文我们来简单从技术发展角度聊聊XDR产品思考。
从服务网格到安全网格
“安全网格”似乎又是一个新名词,但是以云原生角度来看,这并不是一个新的概念。类似的概念 —— Service Mesh(服务网格)已经成为云原生(Cloud Native)中非常重要的基础概念之一。
当下关于云的技术趋势一直是将计算模式和计算能力进行碾压研磨,变得更加细粒度、灵活。从系统流程架构层面,计算、存储、网络、安全、中间件、大数据处理、人工智能等等每个环节都已经被完全拆分解耦,可以进行各种灵活的组合封装;而从计算能力纬度,硬件虚拟化,操作系统虚拟机,应用环境隔离,容器,进程隔离,微服务,servless,函数计算等等,计算能力的尺度也被划分的越来越精细。
这一切的表象是为了去IOE,更好的发挥大规模廉价硬件的价值,更底层的原因则是业务发展的要求。技术的趋势一定程度上是为了配合业务的趋势,即现在的“业务大爆炸”。“大爆炸”则带来了两个很大的挑战,第一是业务复杂度指数级上升,第二是业务的变化速度越来越快。于是IT架构演化出Service Mesh(服务网格)的概念。
Service Mesh(服务网格)简单来说做了两件事,先是“拆”,再是“合”。通过“拆”,将业务模块和业务支撑模块剥离;业务模块是定制的、特定功能性的;而业务支撑模块是通用的、共性的。于是将架构拆成了一个个双模块组合的形态,即所谓的边车(Sidecar)形态。再通过“合”,将共性的业务支撑模块连接起来,构成了网格化网络,网格之间互相通信、配合、协调,由一套控制系统统一管理。
这样的服务网格最起码带来了两大好处:
首先是将业务逻辑和基础组件进一步解耦,用“零信任安全“理论来解释就是将“控制面”和“数据面“解耦,让业务方开发者专注于业务逻辑的实现,不需要考虑基础的、通用的问题,进而解决了业务变化速度过快造成的响应难题。
其次通过服务网络形成了控制组件之间的共同支撑标准,赋予了业务原生所不具备的弹性、扩展、安全等能力。当然直接这样“拆”和“合”并没有解决复杂性的难题,只是进行了转移,好在业内有如Istio等框架接收了复杂性,解决了复杂度问题。
安全网格的控制中枢 — XDR平台
理解了Service Mesh(服务网格)的核心理念,我们自然会联想到,“安全”也是系统的通用属性之一,能否通过类似的思路,将“云原生”变成“安全原生“,构建一套安全架构体系呢?上述提到的复杂度的问题是否也有一套类似的安全运营平台来承载呢?
答案当然是可以,这就是极盾科技的析策平台。
我们更细化的看一下Service Mesh(服务网格)的架构,包含"Service","Proxy","Control",分别对应了业务逻辑,代理执行和控制中台。在安全架构体系中"Service"是我们需要保护的业务,例如邮箱、代码、办公系统、IT环境等等;“Proxy”是我们对接的单点安全产品和设备,负责具体的执行和数据、报警信息的流入流出,例如WAF,防火墙,NTA,NIDS等等;而“Control”则是析策平台的定位,负责将“分析和决策统一到同一个平台”,解决灵活性,复杂度等通用难题。
从服务网格(Service Mesh)到安全网格(Security Mesh),析策XDR平台给客户带来革命性的安全运营架构,拓展了安全运营的边界。
这带来许多传统大数据安全产品无法达到的优势:
1.不改变客户已有的安全投入,而是帮客户发挥已有安全平台的能力,产生1+1>2的效果。
2.“安全原生“,对于原生没有安全能力的平台,快速让其升级为“安全Plus”版本;对于已拥有一定的安全分析能力,但是不够灵活和强大的安全产品做单点增强。
3.安全运营能力的内置和复用,通过将安全运营经验固化到系统里,可以帮助客户持续积累和共享安全运营经验能力。
4.更深度的打破安全数据孤岛。
还有其他很多优势点不再一一列举。
关于XDR产品的思考
析策作为定位安全运营综合性平台,“用户体验”、“效率和智能化”、“效果可持续性”是我们最为关注的三个点,并且他们之间也是相辅相成,互相促进的。
在产品研发之前,经过反复讨论和优先级的确认,我们把棋子落在两个最核心的关键点上: 实时性和自适应能力。
析策可以在10毫秒以内瞬时完整上百个规则策略和模型的完整运行,“瞬时”返回检测结果,这对于安全行业大多数现有离线或者半实时的检测方式是巨大的提升。新一代的安全攻击早已不满足t+n方式的检测,hvv等需要快速响应的场景更是加剧了这一需求。
自适应解决了效果可持续性,背后通过智能化能力帮助用户掩盖了系统使用和更新过程的复杂度,通过异常识别、非监督算法、自动化推荐等技术,系统在后台并行优化现有模型,并持续计算最终效果。一旦用户触发了反馈,可以一键更新已有的规则策略和模型。通过这种即时反馈机制,又可以促进使用者的持续打标,最终形成闭环,达到“越用越好用”的效果。
以上就是我们对Gartner最新的安全趋势报告的一些思考解读,欢迎大家随时交流,也欢迎更多的朋友试用极盾的析策平台,并给我们提出好的建议。