前言

2019年RSA大会上,安博通继续深入调研了以网络安全可视化为主的厂商及其核心产品与技术,为读者带来第一手资料。在RSA2019热词榜中,云安全超过网络安全和数据安全跃居第一位。网络安全可视化产品与技术,自然少不了在云环境下的发力,已然在云环境下开始了一轮新的比拼,我们将在下文中做详细分析说明。

一、2019安全策略可视化平台全球三大发展趋势

在2019年RSA展会调研中,我们发现网络策略可视化平台类的产品呈现出以下三个主要的发展趋势:

1、 全面支持各种云环境

面对复杂的混合IT基础架构,安全运维团队如何做到轻松管理全网所有防火墙及路由交换设备的安全策略,并利用精准的拓扑映射和分析,确保网络和应用的连接以及安全性是安全策略可视化类产品旨在解决的核心问题之一。早年间,混合IT基础架构主要体现在防火墙、路由器、交换机与负载均衡等安全连接技术(网络连接与安全控制)的混合;多品牌设备异构的混合。但随着各种共有云、私有云以及混合云的大行其道,企业与组织也在积极将其核心业务迁移到云环境中,因此当前混合IT基础架构还多了一层传统物理环境、虚拟化环境与云化环境的混合,策略可视化类产品也面临着能够有效管理整个异构性物理网络和混合云平台中的安全控制层,并最终平衡业务敏捷性和安全性的需求。

在新的混合IT基础架构环境下,采用云策略并迁移应用程序以利用云的规模经济时,他们的安全态势面临新的复杂性和风险。而领先云供应商的安全控制和网络体系结构彼此不同,并且与内部数据中心的安全控制和网络体系结构有根本区别,因此策略可视化类产品支持和兼容混合云平台环境中的安全策略管理刻不容缓。

其实早在2017年RSA上,我们就依稀看到了各厂商均宣称对 AmazonWeb Services ( AWS ) 和其他云计算环境的支持,对 Virtual Private Cloud ( VPC ) 的部署和变更进行及时响应,提供基于云环境的可视化分析,但实际更多还是在预研和Demo阶段。而在2019年,我们看到了几乎所有厂商均能通过有效管理跨混合云和物理网络环境中的安全控制层,提供及时策略变更可视性、风险评估和合规分析,提供统一的安全策略管理并获得整个企业的一致性安全性和合规性。更有比较激进的厂商Tufin,在原有策略管理平台基础上增加了对云环境的支持,同时新发布了一款专门针对公有云环境下的安全策略管理平台TufinIris。

目前基本所有厂商均支持对主流混合云服务提供的安全组和实例进行采集解析并结合传统物理环境中的防火墙安全策略进行一致安全性和合规性分析,如:VMWareNSX,AmazonWeb Services(AWS),MicrosoftAzure,Cisco ACI和OpenStack等。

1.jpg

图:Tufin 最新发布的针对云环境下的策略管理平台Tufin Iris

2.jpg

图:SkyBox 在混合云环境下绘制的网络拓扑

3.jpg

图:FireMon最新发布的混合云环境下策略管理白皮书 

2、策略下发补全策略管理闭环

安全策略的全生命周期管理一直是安全策略管理类产品提供的核心功能之一,在前两年调研过程中,我们发现Algosec、Skybox等厂商均将闭环的策略清理和开通流程设计为工作流功能的形式,并针对尽量详细的流程定义,通过Step byStep的步骤式操作,站在用户视角进行过程控制。通常典型的策略开通过程包括了发起请求->技术细节确认->风险评估->实施细节确认->最终校验等几个步骤和环节。在策略管理工作流程的引导下,用户将会对每一项业务变更执行精细化的5步管理,在每一步中逐步分析影响后进行评估,流程上不断进行审批,直到最终流程闭环。

上述策略管理功能似乎已做到业务闭环,但实际细想,其实缺少了很重要的一步,那就是策略的远程下发。有点类似快递进小区的最后一公里,看似简单的最后一公里,却由于各防火墙品牌命令行差异、API接口提供程度、写入操作安全性等多方面因素和考量,前两年各厂商在实际远程下发功能方面很少提及或有意被忽略。但随着策略管理业务闭环的切实需要,以及企业和组织对自动化运维程度要求越来越高,策略下发似乎变成了无法逾越的沟壑。庆幸的是在今年,我们看到了至少Algosec、FireMon、Tufin等几个厂商产品在最新版本中均能支持主流国际品牌防火墙的安全策略远程下发,在实现技术原理方面也基本以API接口和Command两种方式为主。同时在本次RSA上,安博通展示的国内唯一专注于安全策略可视化分析方向的综合类平台产品:“晶石”安全策略可视化平台也已经支持防火墙安全策略模拟仿真分析及策略下发验证功能,并支持华为、思科、Juniper、山石、天融信等品牌防火墙,且后续还将陆续支持更多国产品牌防火墙。

4.jpg

图:Tufin 安全策略命令行生成及下发更新至目标设备

5.jpg

图:FireMon策略计划同意后会直接在设备上实施策略

6.jpg

图:安博通业务开通及策略下发与验证 

3、基于策略与路径分析攻击面

2018年我们在RedSeal展台上看到了其率先与Rapid 7合作联合推出漏洞治理方案以及基于核心资产漏洞被利用或被攻击分析的应用场景,这似乎给其它厂商带来了在策略管理与应用挖掘方面进一步拓展的灵感。在今年的RSA上,FireMon、Algosec、Skybox以及安博通不约而同提出了与网络攻击面相关的功能和方案,将安全策略管理类产品在安全策略全生命周期管理、自动化运维等基本功能和价值之外的安全分析能力与价值提到了新的高度。

“攻击面”是企业与组织的基础架构中可以利用的资源总和,随着新计算功能(虚拟,软件定义网络,物联网,容器,公共云,私有云,联合网络)的兴起,攻击面已经在多个方向上扩展,这对安全专业人员来说是一个巨大的麻烦。如何有效对攻击面进行量化及可视化分析,并针对缩小已知攻击面提供合理建议甚至是具体措施无疑将是安全管理员所期望的。虽然在安博通产品经理看来,目前几家厂商给出的攻击面分析与缩小攻击面方案或产品功能在实际应用过程中还有待进一步的完善,相互之间还有很多可借鉴之处,但整体而言,我们很有信心并期待各家均会在此方向上做出更大的突破。

7.jpg

图:FireMon缩小攻击面方案及功能演示

8.jpg

图:安博通主机攻击面量化分析

二、参展厂商分析

从2016年开始,我们持续关注防火墙策略管理领域的国内外厂商,从参展厂商来看,最近三年几乎没有太大变化,主要还是5家国际厂商和1家国内厂商为主。前两年安博通看RSA系列文章中已对几家厂商基本情况做过详细介绍,此次,我们将重点介绍各家厂商的产品新特性和新动向。

Tufin

Tufin今年相比其他几家的产品迭代和更新可谓是最大的,一方面在原有策略管理平台基础上增加了对云环境的支持,同时新发布了一款专门针对公有云环境下的安全策略管理平台TufinIris;另一方面进一步优化和完善防火墙安全策略运维功能,支持策略工作流模板的自定义,支持对策略的修改,对策略下发顺序的管理等方面非常细致和易用。

Tufin的优势在于防火墙安全策略运维管理,在这一领域Tufin无疑是最佳的能力者,从今年新特性和新动向来看,Tufin的意图很明显,一方面想继续保持防火墙策略运维管理方面的领导者地位,同时在新的云环境和云安全大趋势和背景下,希望能先发制人,快速抢占云环境下安全策略管理的市场。

9.jpg

图:Tufin Iris通过对云策略监控自动发现显示所有应用程序

FireMon

FireMon展示了最新的基于混合云环境下的策略管理平台,但从产品功能演示方面除了兼容更多的云平台、VPC安全策略之外,没有发现太大的变化。

10.jpg

图:FireMon针对混合云环境下安全策略平台架构 

FireMon今年最大的亮点是收购了一家专门做网络拓扑的公司Lumeta,以补足其在全局网络拓扑分析方面的弱点,但在现场演示时我们还没有看到引入并集成后的效果,不过还是很期待FireMon新的拓扑分析。

另外FireMon虽然在缩小网络攻击面方案较成熟,但产品化功能体现得并不是很明显,还有待进一步提升。

综合来看,今年FireMon产品功能变化不是太大,但在云环境支持、网络拓扑、攻击面等方面都很清晰看到了FireMon已经做好了充足了准备,现阶段正处于蓄能蜕变的阶段,我们拭目以待。

Redseal

Redseal的核心能力在于策略路径的网络拓扑地图计算,最新的网络拓扑已经可以支持各种云环境策略参与计算和分析,其网络拓扑地图业绩领先水平似乎依然无法撼动。

Redseal一直以来给人的感觉都是一家持续创新的厂商,今年同样给我们带来了小惊喜,那就是它针对下一代防火墙的策略解析和分析增加了七层应用维度(L7 APP ID)。虽然从功能演示来看,可选的APP不超过10项,且无法得知针对异构品牌防火墙场景下应用如何统一定义和区分,目前这个创新还不够成熟,但我们认为这个功能的引入将对安全策略管理带来不小的改变,比如基于应用的策略检查、路径分析等将会更加精准。

11.jpg

图:RedSeal针对下一代防火墙支持应用配置的解析和分析 

Algosec

以工作流+业务流相结合FireFlow一直是Algosec 引以自豪的核心能力,我们在调研中发现,FireFlow依然是Algosec重点介绍和演示的功能,该功能又在去年基础上丰富了不少,或者说是“复杂”了不少,主要是我们比较担心这么灵活复杂的流程模板如何教会给客户管理员使用。除此之外,Alogosec在此次展会上并未展现出特别具体的技术能力进步,似乎保持在舒适领域而不敢突破,创新技术的枯竭,必然导致产品竞争力的逐年下滑。

12.jpg

图:Alogosec自定义复杂的策略工作流审批模板 

Skybox

Skybox的流程化组织能力是其重要的核心能力之一,但比较遗憾的是在Skybox Change Manager平台上依然还不能支持安全策略的远程下发。与Algosec情况相似,Skybox在此次展会上也并未展现出特别具体的技术能力进步。但与Algosec不同的是,Skybox更侧重在安全分析,且今年在攻击面可视化、漏洞与威胁分析、防火墙合规性等方面均有不少更新和加强,产品更加靠近安全管理平台的定位。

13.jpg

图:Skybox基于漏洞攻击路径模拟分析 

安博通 

安博通作为国内安全可视化的先行者,今年第三次亮相RSA大会,展示了国内唯一专注于安全策略可视化分析方向的综合类平台产品:“晶石”安全策略可视化平台。

安博通基于前几年在安全策略可视化方面不断的积累,今年最新发布的“晶石”安全策略可视化平台(V1.7版本)在系统底层算法优化、业务组织编排、系统UI与交换体验等方面做了较大的调整和更新,同时补充了攻击面分析、策略风险分析、策略模拟仿真、策略远程下发等诸多新功能和能力,产品竞争力以及给客户带来的实际价值显著提升。

14.png

图:安博通新版策略可视化平台功能架构 

「晶石」以安全策略分析及控制能力为核心,具备策略优化清理、安全风险分析与策略智能运维三大功能体系,致力于为用户提供安全、可控、合规的网络安全基础架构管理解决方案,帮助用户实现安全策略精细化管理,缩减网络攻击面,缓解网络威胁。同时,大幅降低安全策略运维难度,提升运维效率。

安博通策略可视化产品经过三四年的不断打磨和迭代,已基本达到国际主流厂商的能力和水平,且在网络攻击面分析、策略命中与收敛分析等方面已经具备一定的领先优势。特别是近一年来在国内率先提出攻击面可视化方案,并自主研发攻击面分析建模、量化攻击指标等多项创新技术,在广大金融、运营商、政企等客户中已形成良好口碑。

安博通策略可视化产品目前暂不支持云环境中的策略分析和管理。一方面,由于国内外IT基础架构设施差异,国内大型企业和组织在虚拟化、云化方面较国外普及程度要晚至少一到两年,这便给我们预留了一定的时间窗口;另一方面,安博通策略可视化技术团队已经在云环境支持方面做了预研与Demo,计划会在2019年底全面适配支持国内主流云平台安全策略管理。

小结

众所周知,中美之间在IT技术领域之前一直存在显著差距,尤其是在芯片、OS、网安等方面尤为突出。但从此次RSA大会来看,网安之间的差距正在缩小。安博通网络安全可视化的快速发展只是中国网安产品技术和企业实力的缩影,今年参展的每家中国企业均展示了最新成果并在各自领域与国际主流厂商产品逐渐看齐,中国力量发展迅猛,相信在不远的将来必将凭借领先的技术进一步站上国际舞台。

*本文作者:安博通,转载请注明来自FreeBuf.COM

当我们谈论流量安全产品时,它可能包含了防火墙、IPS、WAF甚至NPBs等基于网络流量实现安全功能的产品,这些都归类在Network Security范畴。从方案的分层来看,流量安全产品位于底层,除了直接处置安全问题外,还负责为SIEM、UEBA等高层安全方案提供原始信息,笔者对2019 RSAC上的多品类流量安全产品进行了综合视角观察。

新介质仍未进入主战场

新通信介质的出现,常常被期待成为安全革命的推手。自云安全大火后,众多厂商纷纷后悔没有赶上第一批红利,所以对新介质上的新安全方案格外敏感,力图提前布局上车。今年的RSAC上,A10 Networks等公司着重宣传了5G & IoT 安全方案,Palo alto也在今年2月发布5G ready的K2系列下一代防火墙。

1.jpg

图1:A10 Networks提出的5G/IoT安全方案

在展台沟通中,厂商工作人员表示目前在美国市场,IoT、工控、5G等介质安全尽管概念炒得很热,但产业链不够成熟,距离大规模落地应用仍有距离,这与国内的现状基本类似。云安全已经火热了多年,在今天仍然不能完全兑现其商业价值,而其它新介质上的安全方案也还未进入主战场。

为经典架构的脆弱性持续买单

谈到流量威胁,众多安全问题的源头还要追溯到经典互联网架构下的协议设计,这些协议是在互联网绝对安全的前提下设计的,存在天然的安全缺陷,典型的例子就是今年的主角DNS协议。

2.png

图2:Palo Alto介绍DNS安全特性

在会场的Speaking Session上,Palo alto宣讲了其DNS安全新方案,也是其威胁防御的新主打特性,使用Machine Learning和威胁情报手段预测和封堵恶意域名,以及阻止恶意数据通过DNS隧道进行传输和C&C攻击,Zscaler、梭子鱼等公司也都发布了DNS隧道安全解决方案。

让人感到新旧恍惚的是,在2019年,世界最顶尖的安全公司使用最先进的技术,在解决1984年发布协议存在的问题。由于经典架构中通信协议已经形成事实标准,大量应用在其基础上已经枝繁叶茂,所以根部的协议的更新非常缓慢,对经典架构的不断加固是永恒的主题。

SD-WAN观察:远不止安全

SD-WAN2018年的国内安全圈大火的流量IP,笔者走访调研了RSAC上的大部分SD-WAN厂商,以下是三点直观感受。

首先,SD-WAN可能不是纯安全公司的菜。SD-WAN方案的核心是更好地解决调度、性能、云访问等通信问题,而安全只是附加项。领先的SD-WAN提供商,要么是通信厂商同时具备安全方案,例如Cisco;要么是专注于通信技术,而通过与专业安全厂商合作的方式解决流量安全问题,例如Aryaka。对于纯安全公司,一般不具备强大的通信基因,很难提供整体方案,转而对SD-WAN整体提供商进行安全能力输出,可能是更好的选择。

3.png

图3:Aryaka SD-WAN方案中与安全厂商合作

其次,SD-WAN方案的关键是资源驱动,而非技术革命。优秀的SD-WAN方案需要提供快速部署、实时的云数据中心APP拉取、本地CDN接入等服务,这需要服务商提供综合性资源。一些国内的SD-WAN方案激进地提出使用SDN控制完全替代传统协议,是完全不现实的,经典协议(例如OSPF)非常复杂,大型广域网的网络收敛非常复杂,绝非一朝一夕够随便替代。

第三,SD-WAN作为feature出现。在Fortinet等厂商的流量安全产品中,SD-WAN作为一个新feature出现,由传统的路由协议、隧道等技术解决连通性问题,再通过SD-WAN针对特定的应用实现高级设定,分支边界依然是NGFW和UTM的市场,并没有CPE设备的革命出现。

4.png

图4:Fortinet提供支持SD-WAN特性的NGFW/UTM

先手棋:情报+预测

5.png

图5:提出领先一步的概念

流量安全产品从基因起源就处于滞后位置,传统的特征匹配对于0day等未知威胁无能为力,所以厂商普遍提出转后手为先手的概念,也就是Palo alto提出的“Stay a step ahead”。在本次RSAC,厂商主要通过以下两个手段来解决这个问题:

威胁情报

流量安全产品接入威胁情报后,其理论的特征范围从本地扩大到整个云情报库,威胁情报的更新频率非常迅速,可以弥补容量短板;出现突发安全事件时,情报平台可紧急推送消息到流量安全产品,联动完成自动紧急防护,从而解决实时性问题。总体而言,针对长久以来的顽疾,情报接入是一剂对症的良药。

6.jpg

图6:来自中国的领先威胁情报厂商微步在线展台

分析预测

在自适应安全理论中,事前预测是重要的一环,流量安全产品一般使用深度分析实现预测。在算法方面,一种常见方法是贝叶斯网络,这种方法常用于预测天气、疾病和市场趋势,有着广泛的应用。简单而言,贝叶斯网络是有向概率图,构建的关键是事件关联逻辑和概率赋值,再将综合概率近似转化到独立概率的计算上,例如我们可以根据资产的漏洞状况、补丁状况、访问可达性来预测其受到外部攻击的概率。

7.png

图7:贝叶斯网络举例

解还是不解,是个问题

对于SSL加密流量的安全检测,业界有两种技术方向,即解密方式和不解密方式。

Gigamon针对SSL流量提出一次解密全栈安全的解决方案,旨在降低多个设备重复SSL解密带来的巨大性能消耗,也让网络结构更清晰。在此方案中,Gigamon推荐将所有流量镜像到NPBs设备完成流量预处理、SSL解密和实时阻断,再接入旁路部署的流量安全设备进行安全检测。

8.jpg

图8:Gigamon一次解密方案

如果用户不想采购额外的NPBs设备或改变网络架构,可以使用不解密直接进行安全检测的方案。在Cisco等厂商提出的方案中,通过识别TLS原数据中Client Hello报文内容、报文的长度和顺序、会话的方向和流量比例等内容,再应用机器学习方法,直接实现威胁检测或者流量应用识别。

9.png

图9:Cisco提出无需解密的TLS原数据威胁检测

两种方案对比之下,各自的缺陷都比较明显,在性能成本和检测率方面难以达到平衡,对于企业级用户来说,SSL流量安全仍然会是重要的难题。

历史重现?

在能见度有限的雾天,一个人走到岸边看着一眼望不到边的水域,那么这个人无法分清眼前的是湖还是海,这个场景和目前的流量安全产品市场有些相似。随着业界生态逐步成熟,两三年前还能吸引眼球的威胁情报、未知威胁分析、沙箱等名词,目前已经几乎成为流量安全产品的标配,各领先厂商提供的方案趋于相同,差异性缩小。

在UTM时代我们曾遇到过与今天类似的遭遇:产品堆砌大量特性、模块间缺乏逻辑关联、产品同质化严重。时势造英雄,Palo alto首先推出了以三个ID为灵魂的NGFW产品,一举引领了时代潮流直到如今。历史总是相似的,如今流量安全产品再次面临10年前特性堆积的局面,当量变已经足够时,质变的历史机会是否已经在向我们再次挥手?

10.jpg

图10:Palo Alto引领风潮的三个ID架构

聚变:趋势建议

笔者认为,流量安全产品的技术积累已经接近聚变的临界点,以下三个趋势将会在下一代产品设计中产生价值,可作为产品规划的参考。

发现新ID

2019年RSAC创新沙盒的冠军是Axonius,其主要业务是网络安全资产管理,这说明了资产在网络安全领域的重要性,所以资产ID将会是新一代产品的重要ID。对于流量安全产品来说,沿用原有基于USER-ID的安全思路,显然无法贴切地解决资产安全问题,流量安全的下一步重点将是面向资产化。

除了资产ID以外,基于Credential(凭据)、社交网络账户的攻击频发,相关领域的创新公司大量涌现,这些新ID都是在原有USER-ID、APP-ID、Context-ID的架构上继续提炼和升华,笔者认为新一代产品需要挖掘更多ID,并基于这些ID构建新一代架构,就像当年Palo Alto做的那样。

11.jpg

图11:RSAC 2019创新沙盒冠军Axonius

云管端三管齐下

对于流量安全产品来说,其局限性在于通过流量分析可以获取的信息范围非常有限,例如,资产信息是无法完全通过流量分析获取准确信息的,这时就需要通过与Endpoint产品进行结合,从而获取一手的最准确的资产信息。

为了保持先手,流量安全产品必须依赖云情报和云分析。

所以,对于一个成熟的流量安全产品方案,笔者认为其应该具备以下的要素:

情报云:使用威胁情报等方式解决未知威胁和突发事件响应

分析云:使用先进的分析方法实现事件预测

终端联动:与Endpoint产品联动获取资产信息,覆盖主机安全层面

12.jpg

图12:SOPHOS提出的云管端一体威胁检测方案

智能化大势所趋

未来三年内,Deep Learning等AI技术的可获取性将会进一步增强,计算资源预计也会更加强大,流量安全设备现在提供的攻击事件链式分析、协议脆弱性分析、异常行为和流量发现将能够以更低的成本提供更聪明的方案。同UTM到NGFW的革命一样,下一代产品不会仅仅是大量技术堆砌,而一定会融入更多现在安全管理类产品的特性,例如可详细定制的工作流和业务流,届时的流量安全产品可能发展成具备更多机器人属性的Better产品。

13.png

图13:2019 RSAC主题:Better

结语

笔者所在的公司多年来专注于网络安全通信操作系统套件的研发工作,对Network Security领域产品的发展保持长期关注。本文试图站在系统平台的角度追踪流量安全产品的热点和趋势,为安全圈的小伙伴分享规划调研所需的一手信息。

自2009年左右下一代防火墙问世后,多年来还未有更新的品类名称出现,但从技术走向分析,自2015年后产品智能化发展趋势已经非常明确,到今年已经完成了大量的成熟技术的积累。在此时间,产品发展可能再次面临由量变产生质变的重要节点,值得我们重点关注。

*本文作者:安博通,转载请注明来自FreeBuf.COM

当前,众多组织机构都必须针对——由其网络中成千上万个潜在的可利用攻击向量组成的——网络攻击面进行防御。随着新应用和技术的不断推出、新漏洞的不断发现,攻击面的规模和复杂性也在不断扩大。

在这样的情况下,攻击者具有压倒性的优势,他们可以在任一时间、任一地点、利用任一漏洞发动攻击,而防御者必须做到全时、全网、全面。如何实现网络攻击面的监测、评估与收敛是防御者亟需解决的问题。

网络攻击面可视化平台采用 Gartner 提出的自适应安全架构,将安全基础架构建模与脆弱性评估技术相结合,计算给定网络系统的安全拓扑,实现资产、网络拓扑、安全访问控制、漏洞与威胁等要素的关联分析。

1.jpg

平台能够对给定网络系统脆弱性的暴露程度进行评估,进而对其安全状态做出客观评价,并运用数据可视化技术对攻击面状态进行实时监控与分类指标呈现,实现:

· 安全路径与资产安全状态关联,安全拓扑端到端可视化;

· 重要资产与脆弱性定位,攻击面收敛与防御体系优化;

· 脆弱性关联网络暴露面,漏洞优先级精确评估;

· 网络异常与攻击事件定位,事件路径分析与溯源。

平台旨在通过提高网络自身免疫力,增强对内部、外部威胁的防御能力,将对各种威胁的被动防御上升为主动部署,打造全面清晰的网络安全防御体系作战地图。能够有效解决传统防御的被动处境,为防御体系增加强大的实时监控和响应能力,帮助企业和机构有效预测风险,精准感知威胁。

2.png

平台分为数据采集、数据处理和数据应用三个层级。数据采集层分别通过SSH、Telnet、TCP等协议以模拟登陆、分光镜像及Agent的方式采集设备配置、网络流量、敏感信息、服务器日志等数据。这些数据存储到数据处理层的分布式文件系统和分布式列存储数据库中,以数据建模、机器学习、网格计算、关联分析等方法进行数据的融合分析计算。其结果为数据应用层提供数据支撑,通过监控大屏、Web门户两种方式提供攻击面分析与控制、攻击面态势监控服务。同时提供第三方接口,支持与其他安全管理产品进行功能结合。

平台从六个维度的可视化出发,对它们进行智能关联和综合分析,全面提升安全防御能力,为用户的核心业务安全保驾护航。

2.jpg

1、网络安全策略可视化

针对防火墙、路由器、交换机等网络节点设备的安全访问控制策略进行优化、检查、分析,梳理出空策略、过期策略、隐藏策略、冗余策略、宽松策略、可合并策略六种可优化策略,协助运维人员对其进行精简和优化。收缩网络访问权限,降低网络安全风险。

其中,隐藏策略即一条范围较宽的允许策略将后续配置的一条禁止策略隐藏,这意味着需要关闭的一条通道未关闭,那这条通道就有可能被攻击者利用。宽松策略意味着开放的网络端口或允许的网络对象范围大,极有可能开放了一些不必要的网络权限,被攻击者利用的可能性增大。平台可对隐藏策略和宽松策略做到有效筛查,从而规避由其引发的网络风险。

4.jpg

2、安全基础架构可视化

实现防火墙、路由器、交换机等设备配置信息的自动提取与解析,解析内容包括对安全访问路径产生影响的路由信息、访问控制、NAT策略。运用可视化技术生成网络安全拓扑,体现安全域划分及安全域内业务系统、网络、安全设备节点、网络逻辑的连接关系和安全访问关系,从而实现全网安全基础架构的可视化展示。

通过基础架构的可视化展示,管理者可以清晰看到核心业务资产在网络中的分布、业务系统与网络对象之间的逻辑连接与访问控制关系,在此基础上看清当前安全域的划分与安全控制设置是否合理;在发生安全事件时,还可以为事件处置提供决策依据。如当某一区域某一主机中毒时,可以从网络拓扑上分析如何对这个主机进行隔离,防止病毒近一步蔓延,为病毒查杀工作争取时间。

3、网络暴露面可视化

支持以某一业务或服务器为目的,进行安全访问关系的查询,直观展现网络中哪些源对象可以通过什么端口、协议访问目的。反之,支持以某一安全域、网段、主机等为源,展示此源对象能够通过什么端口、协议访问网络中的哪些对象。

5.png

基于以上功能,可以发现网络安全控制存在的风险,全面掌握重要信息系统与核心关键数据的安全性和风险点。比如,以某一重要业务主机为目的进行查询,网络中哪些对象能够通过高危端口访问此主机,由此发现网络中的危险访问通道。再如,基于某一终端域为源进行查询,此终端可以通过哪些端口访问网络对象,由此分析病毒在网络中的传播路径。

结合业务流程、应用架构、数据架构等网络现状,在安全基础架构图层上查询与展示安全路径,实现从源到目的多条网络路径的可视化。当通过暴露面分析功能发现网络对象间存在含风险的访问关系后,可通过此功能进一步查询具体路径细节,为网络路径风险处置提供依据

通过业务访问关系的梳理,设定安全域间、业务间、用户与业务间的网络安全访问控制策略矩阵,并对基线矩阵进行持续监控,当发生安全访问关系的非法、非授权修改时,相关区域闪红告警,提示运维人员及时处置。

4、重要主机资产可视化

帮助用户从安全角度自动构建细粒度资产信息库,支持对业务层资产精准识别和动态感知,让保护对象清晰可见。使用Agent-Server 架构,提供 10 余类主机关键资产清点,200余类业务应用自动识别,并拥有良好的扩展能力。

· 自动化构建资产信息,资产清晰可见

可在 15 秒内,不打扰正常运行的情况下,自动构建主机业务资产结构,集中统一管理。随时发现网络环境内没有纳入安全保护的主机,确保安全覆盖无死角。对高价值、高敏感业务资产进行针对性建模,与风险发现、入侵检测功能配合提供保护。

· 资产变化实时通知,安全不再落后于业务

平台对资产持续监控,保证监控数据与实际业务数据的一致。对一些需要特殊关注的敏感资产,发生变化可实时或定时通知,实现资产动态保护。

· 灵活的检索方式,快速定位关键

结合通用安全检查规范与安全事件的数据需求,形成细粒度资产清点体系。利用多维度视图,引导用户轻松获得需要的资产信息;借助多角度搜索工具,帮助用户快速定位关键资产信息。

5、脆弱性风险可视化

帮助用户精准发现内部风险,帮助安全团队快速定位问题并有效解决安全风险,并提供详细的资产信息、风险信息以供分析和响应。

· 提高攻击门槛,有效缩减 90% 攻击面

在资产细粒度清点的基础上,持续、全面地发现潜在风险及安全薄弱点。根据多维度的风险分析和精确到命令行的处理建议,用户可及时处置重要风险,从而大大提高系统的攻击门槛。

· 企业风险可视化,安全价值清晰可衡量

持续监测所有主机的安全状况,图形化展现企业风险场景。为安全决策者动态展示企业安全指标变化、安全走势分析,使安全状况的改进清晰可衡量;为安全运维人员实时展示风险分析结果、风险处理进度,提供专业可视化的风险分析报告,使运维工作价值得到可视化呈现。

· 持续性监控分析,及时发现最重要的风险

主动、持续地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等,并结合资产的重要程度,准确定位最紧急的风险,帮助企业快速有效解决潜在威胁。另外,不断增加最新漏洞的检测能力,实现紧急安全事件快速响应。

6、网络入侵可视化

提供多锚点的检测能力,能够实时、准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段。

· 多锚点的检测能力,实时发现失陷主机

通过多维度的感知能力叠加,对攻击路径的每个节点都进行监控,并提供跨平台多系统的支持能力,保证能够实时发现失陷主机,对入侵行为进行告警。

· 不依赖对漏洞和黑客工具的了解,有效发现未知黑客攻击

结合专家经验,威胁情报、大数据、机器学习等多种分析方法,通过对用户主机环境的实时监控和深度了解,有效发现包括“0day”在内的各种未知黑客攻击。

· 对业务系统“零”影响

Agent 以其轻量高效的特性,在保证对用户主机安全监控的前提下,不对其业务系统产生影响,为用户的主机安全提供高效可靠的保护。

· 结合资产信息,为响应提供最准确的一线信息

在独有的资产管理能力支持下,不只能发现入侵,更能够提供深入详细的入侵分析和响应手段,从而让用户精准有效地解决问题。

一、再谈NPBsTAP

在上篇文章(流量可视化如何做到1+1+1>3)中我们分析过由TAP(分流器)、NPBs和业务分析系统三者组成的1+1+1解决方案架构。其中TAP产品主要负责分流和负载,而NPBs产品主要负责提取和分析。在国内的应用语境中,一般我们谈到TAP产品会称之为“网络分流器”,而谈到NPBs产品会称之为“流量探针、流量传感器、流量可视化”等。在进一步介绍SDN驱动方案之前,笔者想先就分流器产品和流量探针产品之间的区别,做个简要的说明。

1.jpg

“1+1+1”解决方案架构示意图

分流器:前级、偏重载荷层面、高性能、硬件方案

从功能方面分析,分流器产品提供三个最重要的特性,第一个是编辑报文处理,例如增减或删除VLAN/VxLAN/NVGRE/GRE/ERSPAN等协议标签、编辑报文的IP/MAC地址、在报文中增加字段(例如timestamp)、报文截断、隧道封装等。第二个是分流负载,例如多进单出、单进多出、多进多出(如M:N模型)、HASH负载、分担负载等。第三个是载荷级别DPI,例如基于载荷内容进行数据脱敏、数据去重、同源同宿、会话和分片跟踪等,高性能方案中分流器产品可以提供N段关键字的全包浮动搜索。这里要解释的是,一般意义的上分流器支持的内容识别仅停留在Payload级别上,实现在整个报文的固定位置匹配精确或浮动的特征码,此分析粒度不足以直接服务安全和性能分析。举例来说,当APT分析系统需要提取所有包含.doc和.pdf文件作为附件的邮件内容,并计算文件HASH值或将原始文件上报时,就不适合直接使用分流器解决问题。

从部署位置上看,分流器一般位于前级位置,需要处理T/10T级别的大流量,所以分流器产品常采用ATCA架构/FPGA芯片等超高性能硬件方案,相应地,高性能要求也降低了其功能灵活性和丰富度。

流量探针:后级、偏重应用内容层面、丰富功能特性、业务系统对接

在部署位置上,NPBs产品一般位于分流器/交换机产品的后级,偏重于流量应用层内容解析,具备较为丰富的功能特性,而绝对处理性能相比分流器产品较低。例如,当业务系统需要分析应用表现和链路质量时,往往需要采集设备提供包含区域链路、应用流速、应用排名、流量占比、应用延时、协议重传等等内容的综合性信息,或者当业务系统需要进行安全分析的时候,需要采集设备学习和建立流量模型,识别流量应用层内容,并在流量超出模型范围一定比例阈值或者出现特定应用内容时采取告警和信息上报。类似这样的业务需求,需要NPBs产品能够提供比分流器产品更深层的分析能力,不仅需要提供L7应用层级别的内容识别能力,还需要支持排名、建模、异常发现等数据分析能力。正是凭借这些能力,NPBs产品才能够为复杂的业务分析和安全分析提供原始材料。

二、全NPBs方案的缺点

了解了分流器产品和NPBs产品的主要区别后,我们继续讨论一种应用场景:多分支机构组网下的业务分析。需求如下图所示:假设某组织有50家分支机构,通过广域网专线和互联网VPN方式混合搭建总部和分支之间的通道,内网中有数百个业务系统正在使用,用户需要进行流量采集,并围绕业务使用和内网安全进行数据分析。

2.png

多分支机构组网示意图

针对此需求,由于所有用户和业务系统的交互流量都要进行分析,所以看似合理方案应该是在50个分支机构和总部的出口设备上旁路部署NPBs产品,进行流量采集分析,示意图如下:

3.png

全NPBs组网方案示意图 

但是如果仔细考虑,会发现上述全NPBs方案还有不少的问题,例如:

·  无法实现灵活的按需采集

当只需要分析某些特定的分公司或应用系统时(可能正在发生紧急问题),或单独针对新上线业务进行分析时,无法简便地做到只牵引需要的流量,这导致尽管部署了全NPBs方案,但业务实时生效的NPBs设备比例很低,造成巨大资源浪费。

·  流量初步过滤处理能力不足

很多NPBs产品偏重于流量识别和数据分析,但在前级处理过滤流量的能力不足,在使用全NPBs方案时,对去重、截断、负载等操作支持不佳,导致输入的无效流量过大,NPBs分析的效率较低。

·  方案造价较高

相比分流器方案,NPBs产品处理性能较低,而且由于无法实现按需采集和初级过滤,往往实际分析仅100Mbps的特定业务流量时,却需要按照链路配置1Gbps性能的NPBs产品,造成整体产品选型成本偏高。

三、下一代NPBs产品的要素

与下一代防火墙的概念类似,为了解决NPBs产品面临的一些问题,Gigamon、Big Switch Networks等NPBs厂商提都出了下一代NPBs产品的概念和要素:

1、融合TAP能力

越来越多的NPBs产品开始支持分流器产品的特性,增加流量初级过滤的能力,反之,越来越多的分流器产品也在支持NPBs产品的特性,从而提升流量深层识别能力。虽然从架构层面上看,两款产品在各自的专用领域基本无法做到互相替代,但在较通用的场景下,例如企业级广域网和数据中心,对专用的高性能分流器并不存在刚需,此时融合初步分流器能力的NPBs产品就会非常适用。

2、深层解析和可视化呈现

4.jpg

IXIA Vision系列NPBs产品

在IXIA的NPBs产品序列中,其可视化能力定义为四个层级,从网络层、报文层、安全层和应用层逐渐递进,作为产品的高附加值特性存在,可见深层解析能力和可视化呈现能力是NPBs产品的重要指标。客户对NPBs产品的要求不再仅停留在网络层和报文层的通用功能,而是需要深入到业务层面进行定制化识别,以及较强的本地可视化呈现能力。

3、安全和性能分析融合

关于NPBs产品的下游分析系统,笔者目前观察到两个主要应用方向,其中一个是性能分析方向,采集各个层面的流量瞬时值、流量统计值、业务延时、抖动、开销、错误、原始报文等信息,提供给NPM/APM等各类性能管理产品;另一个方向是安全方向,通过采集流量中的IP地址、URL、文件HASH、HTTP协议详细内容等信息,实现入侵行为、病毒查杀、威胁情报、文件沙箱等安全产品。不论是性能方向还是安全方向,NPBs产品都需要与下游产品进行深度融合,按照不同下游产品的要求进行数据接口对接,完成从流量到业务的衔接。

4、SDN集中控制能力

对于业务节点较为分散、不同节点间业务差异较大、节点上的业务按需变更的场景,SDN驱动是通用的解决方案,NPBs产品的部署与上述场景符合度很高。对于流量分析业务,除了按照固定的规律将不需要的流量前级过滤掉之外,也需要按照业务需求实时变更下发分析策略,一旦将方案从全流量分析变为按需分析,单点NPBs产品的性能要求即可降低,从而降低整体方案的成本。

四、Big Switch提出的SDN驱动下一代NPBs集群部署方案

针对上述问题,笔者关注到NPBs领域的厂商Big Switch Networks提出了针对企业私有云场景的Big Monitoring Fabric解决方案,该方案的核心为SDN驱动的下一代NPBs集群,主要内容包括:

1、NPBs产品集群部署

与机框式路由器和交换机的设计类似,除了背板外,机框式NPBs产品也会提供过滤接口板(Filter Ports)、分发接口板(Delivery Ports)和业务接口板(Service Ports),分别实现前级过滤、复制分发和业务处理,如图所示。

5.jpg

机框式NPBs产品拆分示意图

当我们把每一部分拆分为独立NPBs产品,并使用SDN控制器进行整体管理时,就得到了一张跨广域网的NPBs产品集群网络:

6.png

SDN驱动下一代NPBs产品集群部署方案示意图

在这张网络中,进一步将端口细化为如下角色:

·  Tunnel Ports

跨广域网传输时,在NPBs产品间一般使用隧道互连,例如L2-GRE Tunnel,这些隧道上的端口被归类为Tunnel Ports,可见下一代NPBs产品也应当考虑支持常见的隧道技术。

·  Filter Ports

用于流量分析前的前级过滤,进行报文去重、解封装等操作,根据实际业务要求将不需要的流量先去除,这部分其实是融合了传统分流器产品的特性。

·  Delivery Ports & ServicePorts

完成流量识别和数据分析后,将信息以数据接口的形式上送到各类分析服务系统,或者将过滤出的流量发送给高性能NPBs产品进行汇聚。另外,对于性能分析和流量回溯业务,在Deliver Ports和Service Ports上还需要上传NetStream/Netflow甚至原始报文等信息,这也对NPBs产品提出了更高的要求。

2、SDN控制器总体调度

在多台NPBs产品使用独立方式部署的情况下,为了将所有NPBs产品进行统一纳管协作,需要引入SDN控制器进行总体调度,从而将多台产品组成一台逻辑上的大NPBs产品(BigMonitoring Fabric ),这种模式具备以下优势:

·  流量按需调度

通过SDN控制器下发策略,可以实时控制流量调度的范围,提前将不关心流量过滤,尽量保持只处理需要的流量,避免被动的全流量分析。通过按需调度,单台NPBs产品处理性能要求降低,从而实现成本降低。

·  面向意图的北向接口(Intent NBI)

在私有云环境下,业务上下线变更频繁,催生了不少NPBs产品的分析需求,例如对于新上线业务的及时发现,以及快速应用识别和应用归类。当前,SDN控制器已经逐渐实现了系统能力的开放,力图实现面向用户网络操作意图的北向接口(Intent NBI)。SDN控制器通过北向接口与用户的业务系统对接后,将用户高层次的业务意图转化为NPBs产品部署策略进行下发,实现自动化管理。

·  业务平滑扩展

在SDN驱动模式下,不论是NPBs产品或是业务分析工具链需要部署变更,都可以在现有架构下平滑变动,无需改变底层配置。相比高端机框式的NPBs产品,集群内的NPBs产品部署更加分散,单点的变更更加灵活,可以实现业务平滑升级扩展。

3、下一代NPBs优势

在方案中,下一代NPBs产品充分发挥了相对传统产品的优势,通过融合TAP功能在Filter Ports进行早期过滤,并通过Openflow协议等方式实现SDN控制器统一管控,解决了按需部署和平滑变更等问题。在后端,下一代NPBs提供丰富的融合方式,如NetStream/Netflow、Syslog、文件上传等,与多种业务分析工具链进行有机融合。

五、业界观察

作为老牌SDN玩家厂商,Big Switch Networks早在2012年就发布了业界著名的完全开源SDN控制器Floodlight,凭借强大的稳定性和易用性,以及对Openflow协议的良好支持,Floodlight已经成为业界主流的SDN控制器之一。Big Switch Networks基于自己强大的SDN能力,在各个领域推出了SDN驱动的解决方案,而在网络流量领域,Big Switch Networks首先推出了分流器TAP产品,然后又引领了下一代NPBs产品发展,充分发挥了其Cloud-First Networking (CFN) 方向上的技术特长。

7.jpg

Big Switch Networks公司解决方案

在国内,与Big Switch Networks发展路线相似,同样具备强大SDN基因的盛科网络,也推出了SDN驱动的分流器TAP 产品以及SDN安全服务链产品。

六、结语

观察由分流负载+提取分析+数据应用组成的1+1+1>3整体方案,三个组成产品之间的边界正在逐渐模糊,存在进一步深度融合的趋势。

随着SDN产业成熟,各类SDN应用方向已经进入落地应用阶段,比如近期在国内大火的SD-WAN方向就是一个例子。对于国内众多的流量分析方向产品来说,不论是分流器产品或是NPBs产品,引入SDN相关技术驱动都不失为一个可以考虑的技术方向。

安博通作为国内网络安全可视化技术的引领者,对网络安全可视化平台进行深度调研。安博通产品经理发现,在过去的一年中,不论是产品、解决方案本身还是未来发展方向,都呈现两极分化的趋势:有的在扎实奋进中上升,而有的在停步不前中坠落,我们将在下文中给出详细分析。

2018四大发展趋势

我们发现安全策略可视化平台品类的产品呈现出以下四个主要的发展趋势:

 

 一、发展闭环的策略和事件架构

看到下面这张图片,长期关注Gartner或安博通的读者不会陌生:

2.jpg

图:Gartner提出新一代自适应安全防御架构

上图是Gartner提出的新一代自适应安全防御架构,强调通过预测、检测、防御和响应的流程实现持续监控与分析,完成闭环防御流程。在今年的RSA会议中,安全策略可视化厂商也纷纷提出类似的架构,例如:

3.jpg

图:Redseal提出快速事件调查架构 

4.jpg

图:Skybox提出自动化策略生命周期管理架构

5.jpg 图:Algosec提出安全策略管理生命周期架构

同Gartner提出新一代自适应安全防御架构一样,各大安全策略可视化平台厂商都在纷纷强调“流程闭环”的重要性。在2017年的调研中,策略可视化厂商大都只能提供“检测+防御”能力,即可以根据计算的路径地图进行异常检测告警,也可以据此来使用其他安全设备进行防御威胁,但不具备闭环事件的能力,产品方案更加倾向于“运维工具和威胁中心”。而2018年我们看到更多的厂商在丰富自身的解决方案,希望提供“检测+防御+预测+响应”的全流程能力,将产品方案提升到“防御体系”的高度。说到底,可视化产品方案的终极目的还是通过可视呈现来提升安全响应能力,而非为了可视化而可视化。

 

为了实现全流程生命周期闭环,各厂商纷纷进行能力大融合,在平台上支持或完善简单的功能组合:策略路径地图+威胁情报+漏洞分析+风险预警+报表推送+异常告警+策略梳理+响应策略下发,不管实际效果如何,这套方案至少在纸面上走完了“检测+防御+预测+响应”的全流程,在价值层面能够切实地闭环解决某些特定的安全威胁(例如勒索病毒),而不是总在威胁发生后马后炮地给出应急响应方案,这说明策略可视化平台厂商的意识取得了进步。

 

另一方面,为了满足闭环流程,厂商纷纷推出响应类特性。例如,Redseal推出Best Practice(最佳实践)功能,在该功能中Redseal平台对所有设备的操作进行记录,并根据内建的数据库来提示认为可能存在风险的操作,及时提醒用户进行修复响应,以便第一时间缩小攻击面,控制风险范围。

6.jpg

二、用户视角的精细化过程管控

在调研中,安博通产品经理发现,各大厂商相比去年更加强化了工作流(workflow)的概念,尽管各家的命名不同,但其本质都比较类似:将闭环的流程设计为工作流功能,并针对尽量详细的流程定义,通过Step by Step的步骤式操作,站在用户视角进行过程控制。

 

例如,Skybox在系统中使用Ticket概念支撑工作流,系统中定义多个Ticket并行管理,需要在每个Ticket内定义工作流程,流程包括:发起请求->技术细节确认->风险评估->实施细节确认->最终校验的5步。Ticket和用户进行绑定,包括用户创建Ticket、管理自己的Ticket、请求Ticket、处理实施需求、关闭或分析Ticket,高级用户能够处理下级用户的Ticket。

7.jpg

图:Skybox Ticket流程

 

在Ticket流程的引导下,用户将会对每一项业务变更执行精细化的5步管理,在每一步中逐步分析影响后进行评估,流程上不断进行审批,直到最终流程闭环,对于系统内多个正在执行的Ticket和其他工作,使用TASK(任务)概念来进行并发管理。

8.jpg

图:Skybox TASK管理

 

我们最早发现Workflow概念,是在Tufin厂商的产品中,Tufin使用Workflow对策略变更进行过程管控,在2018年Tufin继续加强workflow的功能,其流程包括发起请求、业务审批、目标风险分析、风险回顾和确认(升级版)、技术设计、确认等步骤,通过逐步升级的风险分析,确保策略管理可在长生命周期内进行闭环。

9.jpg

图:Tufin Workflow

 

另一个新特性是,各厂商开始支持用户分权功能,即:可定义不同用户可读写的数据、功能模块范围,也可以定义用户间的级联关系,从而有效地支持复杂的组织架构中多用户不同职权的需求。

10.jpg

图:Redseal用户权限设置

 

三、面向业务、服务业务、运营业务

业务、业务还是业务,在2018年,安博通产品经理看到了各家厂商将产品与业务更紧密的贴合,站在业务运营者的角度执行调度工作。

例如,Alogosec提出Business Flow概念,例如下图中定义网银业务的Business Flow,其子业务还包括CRM业务、ATM业务等等,针对不同的业务进行过程管理。在Business Flow中,产品从原有的管理员视角中跳出,不再关注于策略、子网、IP,而是直接站在业务角度去分析风险和执行处置。虽然从技术角度这个转变并不一定非常困难,但其贴近用户、提升体验、凸显价值的产品设计思路非常值得借鉴。

 11.jpg

图:Algosec Business Flow

 

对于用户来讲,一项重要的业务就是合规(Compliance)。在产品中,各大厂商也针对合规业务给出了解决方案,例如在Skybox产品进行业务录入和访问关系录入时,其定义并非全靠安全基线(Baseline),而是根据合规需求(例如PCI)提供现成的合规配置模板调用,让合规业务落地变得更为简单。

 12.jpg

图:Skybox基于模板进行合规业务定义

 

Firemon公司在2018年推出了新品GPC(Global Policy Controller),该产品的理念是直接服务业务、省去中间步骤,在下文的Firemon厂商简析中我们将会介绍该产品。

 

安博通产品经理认为,产品从功能化到业务化的转变,意味着产品希望在最终用户端能得到更广泛的验证,也意味着产品开始走向平稳发展阶段。

 

四、应用环境和数据来源大爆发

从应用环境来看,各大厂商在2018年均推出了公有云部署方案,主要表现为对AWS和Microsoft Azure的支持,而且宣称支持当业务从端切换到云环境时,能够提供不间断的服务。此外,Alogosec等厂商还提出,其产品可以应用于工控领域以及容器领域(例如Docker),可见除了产品特性的纵向增长,各厂商也开始发展产品应用场景的横向增长。

13.jpg

图:Algosec部署适应性

 

此外,从信息来源来看,部分厂商的安全策略可视化平台目前可以支持从SDN环境、SIEM、扫描器、EDR软件等方面采集信息,这种信息来源的爆发式增长,对产品的数据处理和分析能力提出了更高的要求,对于用户来说,从越多的来源获取情报,就能获得越好的安全保障。

14.jpg

图:Redsel信息来源展示

 

安全策略可视化平台厂商分析

Redseal

概述:横向比较来看,与2017年一样,安博通产品经理认为Redseal依然是发展势头最为良好的一家,从产品方案可以看出Redseal在研发上进行了较大的投入,在技术方向上有领导意义。

 

核心能力:Redseal的第一个核心能力在于策略路径的地图计算,安博通产品经理认为在路径地图层面目前Redseal还是处于业界领先水平。

 15.jpg

图:Redseal策略路径计算地图

 

此外,Redseal在叠加能力方面也在持续投入。自2017年推出与Splunk结合的大数据方案后,在2018年Redseal又与Rapid 7合作联合推出漏洞治理方案,其流程可以实现“发现攻击路径、资产扫描分析、完整路径抓取、漏洞配置修复”的闭环漏洞治理流程。

16.jpg

图:Redseal & Rapid 7漏洞闭环方案

 

此外,Redseal与Splunk在大数据领域持续保持合作,在2018年又增加了多个领域的信息来源,其大数据处理的核心能力也在持续进步中。

 

新产品特性:与Rapid 7的联合漏洞治理方案、用户分权控制、多信源采集等。

 

优劣势分析:Redseal无疑是一家持续创新进步的厂商,所以其核心优势在于研发投入支撑充足,产品迭代迅速,在策略路径计算和能力叠加方面,Redseal的架构具备很强的可扩展性。

 

劣势方面,Redseal在运维方面看起来较为薄弱,例如Redseal并不能提供像Tufin一样好的Workflow和Business Flow工具来帮助用户运维业务和进行过程管理,在业务面向性上相比其他厂商有所差距。

 

Skybox

概述:Skybox在过去的一年中加强了Workflow、TASK等过程管理方面的功能特性,其产品非常贴近业务,在合规方面具备很好的适用性,在漏洞发现和处置方面一直保持不错的势头。

核心能力:Skybox的流程化组织能力是其重要的核心能力之一,如前文所展示的,其Ticket和TASK两个模块构建的工作流工具,能够适应复杂的多任务、多策略、多用户的运维工作,又能够对合规需求给予良好的支撑。

 17.jpg

图:Skybox合规功能界面

 

新产品特性:Ticket、Task、合规功能等。

 

优劣势分析:Skybox的优势在于强大的过程管理,以及详尽的漏洞信息分析,似乎对于那些具有强烈安全需求的用户更加合适。而Skybox的劣势在于其数据分析和展现能力,其策略路径地图等界面的易用性、多级钻取能力、关联分析能力一直不算太强,似乎不是一个适合“大屏展现”和“态势分析”的平台。

18.jpg

图:Skybox策略路径地图

 

Algosec

概述:安博通产品经理在调研中发现,Alogosec在此次展会上并未展现出特别具体的技术能力进步。另外,Algosec在安全策略可视化平台产品维度上,与其他厂商相比亮点稍显不足,在各方面都有能力但都不突出。

 

核心能力:Algosec的核心能力是Business Flow即业务流,在与安博通产品经理的交流中,Alogosec的产品经理一直在强调Workflow + Business Flow的技术是业界唯一,也是最为贴近用户实际应用的解决方案,安博通的产品经理认同此看法,业务流的确应该是产品发展的一个目标方向。

19.jpg

图:Algosec产品界面

 

新产品特性:工作流+业务流结合等解决方案。

 

优劣势分析:Algosec的优势在于全面,策略路径、威胁治理、合规流程、策略运维都能够支持。但劣势在于平均,其在各个领域都不能做到领先,有些缺乏产品的核心主旨和打动用户的能力。

 

Tufin

概述:Tufin是一家非常专注的厂商,在防火墙安全策略运维方面它无疑是最佳选择,在其他领域Tufin并不涉足太多。

 

核心能力:Tufin的核心能力在于对防火墙安全策略的控制,其方案与各大领先防火墙厂商紧密耦合,包括Palo Alto、AWS、NSX、Fortinet、Check Point、Cisco等等,而且对每个厂商防火墙的解决方案都能完全支持其独特的策略组织方式,加之优秀的策略翻译、策略体检打分等模块,可以说Tufin在策略运维这一领域做到了极致。

20.jpg

图:Tufin与各防火墙厂商的场景化方案

 

此外,Tufin在工作流方案方面是最早的提出者,其工作流功能的成熟度也非常高。

 

新产品特性:Tufin几乎没有所谓的“新特性”,其解决方案与以往并没有本质区别,只是不断地在加强对其他厂商的新品、新版本和云环境的适配,保持其在策略运维领域的领导者地位。

 

优劣势分析:Tufin的优势在于防火墙安全策略运维,在这一领域Tufin无疑是最佳的能力者。其劣势在于全面性不足,在策略路径分析、能力叠加、漏洞治理等方面均比较薄弱。但是,专注到极致的产品在细分领域能够保持领先,也是一条非常值得学习的路线。

 

Firemon

概述:在2018年的RSA展会中,Firemon主要推荐其GPC(GLOBAL POLICY CONTROLLER)新品,该产品是2018年安博通产品经理所看到为数不多的具有创新性的平台产品之一,但在应用层面,安博通产品经理认为落地难度较大。

 

核心能力:Firemon的核心能力依然围绕着安全策略,今年推出的新品GPC,其核心理念是消除中间环节,让策略直接服务业务。

 

GPC主要的功能是进行业务变更时的安全策略下发,解决的应用场景举例如下:在内网环境中部署有20-30台安全设备,服务于数万条业务,这些内容使用GPC进行监控。当某些业务的访问关系需要变更时,可以直接使用GPC产品配置业务访问关系的修改,点击生效后,GPC会根据策略路径自动计算出安全设备的策略修改方案,并将推荐的几种可行方案提交用户,用户选择其中一种方案并提交后,GPC会针对所有安全设备基于方案进行策略下发和业务验证,全过程中无需运维人员参与。

 21.jpg

图:GPC产品demo

 

在安博通产品经理调研过程中,GPC产品是为数不多的进行大规模配置变更的产品之一。传统上,安全策略可视化平台领域主要进行采集、分析、呈现而不是变更,GPC敢于投入走出这一步体现了Firemon老牌玩家的底蕴。安博通产品经理认为GPC产品在技术上存在非常大的价值,能够确实解决大规模防火墙策略配置的繁琐问题,也能让业务变更更加顺利,让整个策略领域的产品具备了更加重要的地位。但是,从实际应用落地方面来看,企业单位对于策略和业务的变更都有一套成熟的流程要求,是否能够允许软件平台直接对业务进行变更?在很多地方是明显行不通的,所以这个问题可能导致GPC产品的应用场景偏窄,影响其快速打入市场,还需要时间来检验。

 

新产品特性:2018年主推GPC新产品。

 

优劣势分析:Firemon的优势在于其大胆的产品布局策略,GPC产品的发布在业界产生了不小的反响,代表了Firemon的技术创新能力得到认可,但这个产品未来的发展还要看用户的接受度如何。而Firemon的劣势与Skybox类似,在策略路径展现和数据分析方面显得较为薄弱,在合规运维方面也没有太多亮点。

 

安博通

概述:安博通作为国内安全可视化的领导者,2018年安全策略可视化自适应分析平台产品引起了关注。安博通产品方案整体性较强,能力叠加方案具备一定创新性,在国内已有多个成熟应用案例。

 

核心能力:安博通产品的核心能力在于其叠加方案:策略路径+流量分析+安全事件,在分析逻辑上从看见、看深到看透逐步深入,对安全态势的把控更加贴切。从所有厂商的横向比较中来看,安博通产品是唯一支持叠加流量分析能力的策略可视化平台,而在工作流、策略运维、策略路径、漏洞治理等能力融合层面不具备明显短板,综合能力较强。

22.jpg

图:安博通在展会上与用户交流产品方案

 

新产品特性:除了独创的策略路径+流量分析+安全事件的三合一方案之外,安博通还在用户组织架构、业务告警、违规路径、拓扑搜索等方面推出新产品特性。

 

优劣势分析:安博通的优势在于,从核心能力叠加方面,融合程度非常高且具备独特性,是所有厂商中唯一具备“流量”维度的可视化分析平台,在部分模块的技术水平方面,甚至已经领先于美国厂商。而在业务流、合规模板、策略转换等技术领域,解决方案的完善性和UI易用性还可进一步提升,并加强贴近业务的程度。

 

中美对比小结

通过连续几年的调研和对比,安博通对安全策略可视化平台领域的产品具备了较为深入的理解。

 

分析美国策略可视化平台厂商过去一年的变化,有的在升起,有的在坠落:一些厂商他们在升起,持续进行研发投入迭代和解决方案优化升级,努力解决用户问题,找到方向推出亮点产品;而另一些厂商他们在坠落,保持在舒适领域而不敢突破,创新技术的枯竭,必然导致产品竞争力的逐年下滑。

 

分析美国策略可视化技术发展趋势,有的在升级,有的在坠落:不论是闭环生命周期架构、能力融合、业务流程管理还是新数据来源,这些技术发展趋势在用户视角上看的确在不断上升,更加贴近应用场景;但是,从产品技术角度分析,这些解决方案背后的技术逻辑更加偏向于适配、跳转、UI界面翻译、组织形式上的“量变”,而并非我们第一次认识Redseal、Skybox产品时看到的全新理念层面的“质变”,有些产品更偏向于功能的“堆砌”而并真正未达到“融合”的程度,当以创新著称的美国厂商们不能取得质变时,不得不说是一种坠落。

 

观察中美厂商之间的技术实力对比,有的在升起,有的在坠落:以安博通为代表的中国安全可视化力量,以较晚的起步时间取得了长足的产品进步,提出了独特的解决方案维度,在RSA大会上发出了自己的声音,处于良好的上升态势;而美国的安全可视化力量似乎遇到了创新的瓶颈,当力量对比此消彼长时,对美国的网安力量来说,更像一种坠落。

 

诚然,对比美国一流的安全可视化厂商,以安博通为首的中国可视化产品还显得不够成熟,部分模块的呈现风格、业务组织和数据源接入能力还有一定差距。但我们相信,通过持续的跟进和投入,一定有中国厂商在国际舞台绽放的一天。雄关漫道,吾辈还需多多努力,与君共勉。