就像,每座城市都需要一座应急指挥中心;每家企业也都需要Cloud Pak for Security,因为Cloud Pak for Security,就类似于企业安全系统中的“指挥中心”。或许,在未来三年内每家企业都会接受混合多云架构,每家企业也会因此接受Cloud Pak for Security,有云的地方,就应该有安全。
欢迎“Cloud Paks”家族新成员
首先要欢迎“Cloud Paks”家族的新成员,Cloud Pak for Security的出现,使如影随形的安全,出现在混合多云环境的各个角落;企业在将核心应用系统迁移上云时,也不再有后顾之忧。
这就是Cloud Pak for Security的价值,而了解IBM此技术策略的背景,时间可回到4个月前。2019年8月,IBM在全球正式发布“Cloud Paks”企业级全栈式云解决方案。此被认为是IBM对“混合多云时代”的重新定义,可解决企业在上云过程中的一切难题。当然,这也是IBM以340亿美元收购红帽后,交出的一份“成绩单”。
IBM Cloud Paks将应用支持、自动化、数据工具、应用集成、多云管理等多种功能融合在一起,在中国已正式推出的解决方案包括:IBM Cloud Pak for Data、IBM Cloud Pak for Multicloud Management、IBM Cloud Pak for Application、IBM Cloud Pak for Integration、IBM Cloud Pak for Automation,以及最新的Cloud Pak for Security。
当然,安全是“Cloud Paks”拼图中的一块重要模板。或者说,如IBM这样一家对云计算有着最深理解的企业,也理应对云安全有更深刻的理解。2012年至今,IBM在云计算、分析、安全领域,已获得超过9000项云科技的专利,专利数量超过任何一家公司。而IBM安全事业部则始终扮演护航者的角色,其每天在130多个国家和地区,监控700亿次安全事件,而且在过去40余年中,已获得超过1万项安全专利。
数据不跑路,安全也不跑腿
言归正传,话题回归“混合多云”和“安全”。相关数据显示:全球已有76%的企业将2~15种业务系统,部署在混合云中,未来三年,98%企业将部署多种混合云解决方案。而与此同时,过去5年,企业因数据泄露造成的成本损失上升了12%,目前平均成本达到392万美元。这就是说,企业需要保护的系统和数据越来越多,而且可能分散在不同的环境,传统安全策略正在成为企业上云的绊脚石。
此即为Cloud Pak for Security的推出背景。而其设计理念颇有颠覆性,可理解为“数据不跑路,安全不跑腿”。在混合多云环境中,无需移动原始数据源,即可实现多维度数据整合,并由此发现高级安全威胁。同时,仍是无需移动原始数据源,其可成为单点安全的“黏合剂”,实现不同安全设备和分析工具之间的集成联动,并由此触发自动化响应。
详细说明,Cloud Pak for Security基于Red Hat OpenShift等开源技术开发,要知道OpenShift可是行业中最完善的企业级Kubernetes平台。也正是因为容器平台与生俱来的环境适应性,Cloud Pak for Security实现了如影随形的安全,“其可安装部署在本地传统IT架构、私有云、公有云等任何环境,而且可以统一界面进行操作。” IBM大中华区安全事业部总经理陈文丰说。
联接产生美
目前,Cloud Pak for Security平台中,首期推出两项能力模块:Data Explorer(联邦搜索与调查,Federated Search & Investigation);安全编排和自动化响应(SOAR,Security Operation & Automation Response)。逐一进行解释:
“联邦搜索和调查”模块,可认为是SIEM系统的延伸,即在发现安全威胁后发起调查。通常企业安全架构由数十种设备组成,这是基本刚需,并不算奢侈。但问题也由此而来,众多安全设备每天都在生着产海量日志数据,这显然已超出了人脑的处理能力。不仅如此,传统固定阈值触发告警的模式,完全不经过大脑分析,这也必然会频繁诱发告警错报、漏报、告警风暴等问题。
此前,业内通常部署SIEM平台,解决上述问题。但在实际应用中,要将所有数据都塞进SIEM系统,并不可行也不现实。首先,此方式成本较高,毕竟SIEM系统通常依据日志存储量进行计费;其次,塞进所有数据也会对系统造成较大负担。例如将PB级数据,植入金融防欺诈平台中,将极大滞缓系统分析效率。
与此“集中计算”的理念相比,“联邦搜索和调查”则是借用了边缘计算概念。IBM不做数据的“搬运工”,只建立数据之间的联接。在SIEM系统数据不足以支撑调查时,“联邦搜索和调查”模块既可搜索互联网数据,也可联接HR等业务系统。通过各数据源信息补充, 其即可形成判断,并快速形成响应。
联动产生美
再来理解“安全编排和自动化响应”的价值。传统安全架构模型,以及安全运维理念,均存在诸多槽点。例如只重视能力短板,而无视产品间的架构缝隙;只重视产品堆砌,而忽视方案联动。
而Cloud Pak for Security的作用类似一座井然有序的城市应急指挥中心。“安全编排和自动化响应”模块可实现人和人的联动、人和设备的联动,以及设备和设备的自动化响应,其功能相当于安全编排与自动化(SOA, Security Orchestration and Automation)、安全事件响应平台(SIRP)和威胁情报平台(TIP, Threat Intelligence Platform)三种技术的融合。
不仅如此,在“安全编排和自动化响应”模块中,已经建立形成“知识图谱”,并植入“隐私模块”,此两项功能也是IBM独有的能力。针对不同安全事件,企业可以“知识图谱”为模板,自主定制响应流程。而如果安全事件涉及个人隐私,“隐私模块”则可根据各国隐私保护的法律、法规、条例,采取应对措施。
开放产生美
上述即是Cloud Pak for Security现有能力,此后IBM的诸多安全能力,也将陆续迁移至该平台。不仅如此,基于开发的容器化技术,目前,IBM已与CyberArk、Fortinet、SafeBreach、Tufin、McAfee 等20余家安全企业,联合成立Open Cybersecurity Alliance(开放网络安全联盟)。
该联盟基于开放的云代码技术,实现各安全品牌设备之间的互通互联,既保护了用户的既有投资,也实现了各类安全功能的有效整合。“而联盟伙伴之间不需基于API接口进行复制定制,遵循相同的协议标准,即可实现开箱即用地集成。”IBM大中华区安全事业部技术总监张红卫最后说。
