飞塔：用开放心态重建网络安全架构

　　软件定义网络已逐步被大众认可并接受，随之而来的就是网络边界无法通过物理设备来隔离了，更多的新型威胁也随之而来。那么怎样更新安全解决方案来应对网络带来的威胁挑战呢？一些安全厂商基于云计算环境和虚拟网络这些网络架构新的特点纷纷提出新一代安全解决方案。

　　安全解决方案供应商飞塔在近期推出了“Fortinet Security Fabric”（安立方）架构解决方案。作为能够实现从物联网到云计算无边界环境端到端防御的全新架构，飞塔“安立方”从“无缝、智能、开放”三个维度，集成了信息安全技术最新的先进特性，通过收集本地和全球网络的威胁情报，实现面向未来企业安全防御体系的完美升级，协助用户应对不断变化的威胁挑战。

　　16年威胁情报分析经验

　　如今，威胁情报市场可谓炙手可热，新兴公司不断涌现，飞塔“安立方”中提及的威胁情报分析功能拥有着引人注目的成绩。据了解，飞塔实验室从2000年前开始进行威胁情报系统研究，共收集230TB威胁样本、18000条入侵防御规则、5800个应用程序控制规则，并针对2.5亿个网站进行了78种分类，发现了279个“零日威胁”。

　　2016年，飞塔实验室每分钟即可拦截2.1万封垃圾邮件、抵御47万次网络入侵、瓦解9.5万个恶意程序、封锁16万个恶意网址、阻止3.2万个僵尸网络，以及完成了4300万个网站分类。飞塔实验室的数据显示，2016年亚太地区面临的网络安全威胁日益增加，其中利用漏洞的攻击相比2015年同比增长51%，僵尸网络同比增长20%，而勒索软件增长更是高达390%，相对于全球来说，中国市场面临的网络安全威胁更加严峻。对此，飞塔中国区总经理李宏凯表示，会在现有基础上加大对于中国市场的研发投入、技术支持、市场培育力度，并针对中国本地客户的需求实施定制化的业务策略。

　　产品繁多但联动防御效果差

　　过去的十几年时间里，用户对整个网络安全的掌控能力依然非常薄弱，因此，它们不再需要安全厂商简单地提供一款或几款硬件产品，它们需要一套可以自己掌控的整体安全解决方案。此外，每家安全厂商都生产和推销各自的设备，如果没有一个开放性的平台就无法对整体网络设备实行有效管理，当然也无法确保其避免受到威胁。这些来自于不同厂商（或者同一厂商但不同时期）的设备之间可能无法有效联通，因此使其整体安全防御性能大打折扣。

　　此外，安全这个概念正在逐渐失去边界性。无线网的应用也进一步加快了这一进程。无线网络的应用使网络连接更加快捷便利，但也带来了一些安全挑战。

　　这是现有的网络安全面临的问题之一。此外，现有的网络安全架构无法满足用户需求。很多用户觉得目前很多安全厂商的安全防御解决方案无法跟上恶意攻击技术发展的速度。所以，安全架构更新就非常重要了。飞塔近期除了收购梅鲁（无线设备厂商）外，又收购了AccelOps公司（网络安全监控和分析解决方案领导者）。以上收购进一步打通了飞塔网络设备间的信息通道，并且可以实现有效的管理。这些网络设备和数据信息共享系统厂商正是为飞塔提出的“安立方”安全架构这一长远目标在布局。

　　“安立方”应运而生

　　物联网和云计算的不断加速普及，为企业级用户绘制了一幅广阔的数字化蓝图。但是，在这个高度移动和分布式的网络中，设备、用户、应用和服务的增加，致使网络边缘更加模糊，渗透性也更强。由数十个安全设备堆砌而成“偶然型安全结构”，不仅扩大了受攻击面，更不能实现统一管理、不能共享威胁情报、不能智能联动，致使安全失控。虽然相关网络安全设备也发展进化，但是其发展方式并不能与物联网和云计算等相关技术的发展同步，而这正是飞塔推出“安立方”架构的重要原因。

　　李宏凯表示：“随着网络边界的模糊化，企业用户已经很难像以前那样部署基于物理边界的安全解决方案，而分布式网络更要求信息安全解决方案中融入全球网络威胁分析系统，这给拥有16年网络威胁情报分析经验的飞塔提供了机会。”

　　网络环境日益复杂，那么下一代安全网络到底要具备哪些能力才能够应对更多潜在的安全威胁呢？飞塔认为，下一代安全网络需要具备三个特点，那就是无缝、智能、开放。飞塔中国技术总监谭杰表示：“作为专为下一代数字化商业网络而设计的改进型安全措施，飞塔‘安立方’采用了紧密集成的安全技术架构，不仅可以集成到分布式网络中，更以全球共享网络和本地网络威胁情报为核心，提供协调一致的威胁响应，动态适应不断变化的威胁趋势。具体来讲，就是从‘无缝、智能、开放’这三个维度去迎接未来信息安全的挑战。”

　　“安立方”解决方案强调“多维度的安全防御”，形成“从物联网到云的端到端防御”，实现综合性安全策略的深度和广度部署。全新的架构不仅可以灵活扩展，以满足容量和性能要求，也能够根据用户的业务特点进行横向扩展，从物联网到终端，跨越分布式网络和数据中心，最后到达云服务，实现无缝追踪数据，全程确保应用安全。其中，“安立方”架构提供了跨越分布式企业网络，从物联网到云服务的无缝保护，飞塔多路径并行处理（PPP）以线速对数据包和应用协议进行检查，并深度分析非结构化内容。

　　首先，”安立方“从平台支持、网络支持、第三方扩展、防火墙特性、策略控制和IT运维等多个方面，实现了APT等定向式攻击的多重安全技术防御。

　　其次，平台不仅覆盖了有线和无线网络接入层，更采用了多点侦测与沙箱共享机制，协助用户有效防御APT攻击，利用多安全设备联动，切断APT攻击链。而从策略和日志角度来看，”安立方“虽是单一协同实体，但它允许单台设备元素共享全球和本地威胁情报，以及威胁防御信息，而这恰恰是“智慧大脑”的关键所在。

　　最后，“安立方”采用了一系列定义明确的开放式API，允许技术伙伴将其产品灵活地接入平台，这包括管理程序、SDN控制器、云安全、用于检测零日威胁的沙箱，以及通过日志和策略管理。

　　全面联动改变安全架构

　　“我们希望逐渐把自己从单纯卖产品、卖硬件这样一个供应商的角色转变成提供一个集前端分析到后端硬件为一体的安全平台的系统集成商。我们提出的‘安立方’架构能让用户能够真正体验到安全防御的结果和效能，这个是我们觉得这种新的安全架构的概念能够给用户带来的好处。”李宏凯认为，“这种平台带来的好处是，能把你原来死的产品，或者是静态的产品变成动态的。我们提出安全协同的概念，把内网（包括部门之间安全的设备、无线端访问设备）联动起来，形成一个整体概念的网络客户，感知网络威胁。”

　　无论技术来自何方，所有的技术和产品必须连接得更为紧密，这样才能进一步提高防御水平。提高防御水平首要的就是建立安全威胁感知分析平台。它可以使安全厂商在威胁事件，无论是漏洞事件，还是病毒事件发生时，都能通过此平台为安全厂商和用户提供一个有理论依据的分析结果，从而得出某些事件的关联程度。这种安全威胁感知需要通过很多的设备协同来完成，这就是所谓安全协同。李宏凯表示：“一个事件发生了，虽然今天并没有产生事故，但管理员仍然可以发现有人入侵了网络，管理员能够清楚地知道下一步该做什么，飞塔‘安立方’安全解决方案会给用户提供建议，用户执行一个动作就可以拦截掉威胁。用户通过安立方解决方案提供的平台能够感知到网络威胁的每一步走向。这对未来网络安全发展是非常重要的。”

　　渐进式改良构建新生态链

　　这样一个安全架构是否会对企业和机构早期的安全部署产生影响，是否需要完全更换早期安全设备和网络设备？如果答案是肯定的，那么这种变革势必会造成浪费。这也是很多企业和机构在信息化和安全改革过程中比较关注的问题。带着这个疑问，笔者询问了谭杰，他表示：“其实我们无论是安全架构改革或者是IT建设都不是搞革命，并非推出新的解决方案，就把以前的方案全部推翻，这是一个渐进式的改良。另外，有的用户不仅使用飞塔的产品，也采用其他厂商的产品，也可以考虑选用大数据平台，把各个安全孤岛整合在一起，这实际上也是对现有解决方案的提升。这个平台也可以跟一些友商的产品进行对接，构建新的生态链，为用户创造更多价值。”

　　当听到与友商合作这个话题时，笔者好奇，飞塔新的生态链都包括哪些内容，飞塔针对中国市场在未来有哪些策略跟进？对此，李宏凯表示：“飞塔希望给整个安全市场带来一些新的概念和声音。飞塔目前正在跟进已有客户，去尝试推广新的‘安立方’安全架构的理念。给老客户的安全设备进行升级换代，把传统的基于社会的安全防御解决方案更新为基于架构的安全防御解决方案。面对新客户，飞塔会要求前端的销售和渠道教育都推广这样的理念。”

　　飞塔提出的下一代网络安全解决方案似乎并非独立构建的，而是由一个安全圈来共同完成的，如何使它形成一个完善的体系呢？答案就是开放，打造一个内部情报共享平台，通过建立大数据平台来整合安全孤岛。如何能够在各厂商之间也形成一个情报共享、信息整合、快速联动的机制呢？这就需要有一个安全的大数据平台。无论是飞塔的设备，还是第三方的设备，所有与网络系统相关的设备产生的数据都将被收集到一个平台中进行整合、分析，以及风险评估。这涉及业务重要性、漏洞数量，以及危险程度等很多方面。飞塔“安立方”期待和众多伙伴共同打造这个生态系统。飞塔需要去跟它们做交互、集成，让飞塔“安立方”通过各种各样的API接口，在不同的云平台上工作。

　　开放不仅意味着风险，同时也意味着将有更多的优质资源和更多的优秀服务出现。

　　■本报记者 赵明

关注读览天下微信， 100万篇深度好文， 等你来看……