1.1 自适应安全架构
安全资源池与业务资源池之间一般采取松耦合的方式,即两套资源池各自独立部署,只在管理平台层面互相开放接口,进行必要的信息共享。便于安全服务商与云服务商之间建立清晰的运维职责界面,同时便于安全服务商履行最终用户赋予的对云服务商进行监督和审计的职责,确保最终用户的利益。在特定场景也可根据用户需求,提供安全资源池与业务资源池紧耦合的解决方案。
1.1.1 设计背景
ASA防护体系的设计初衷是:再严密的防线都是会被攻破的(尤其是针对常年缺少维护和升级、采用静态安全策略和规则的安全产品),所以应持续地进行威胁检测、恶意行为分析,及时发现网络和系统中的安全事件,及时调整安全策略并修复漏洞,对事件进行详尽的调查取证。通过获取的安全事件信息,指导下一次安全评估,实现准确“预测”。
1.1.2 架构特点
ASA架构强调贯通预测、防护、检测、响应等各阶段的安全威胁一体化闭环处理流程、各种安全能力的融合与协同联动,形成事前预测和防御、事中检测和响应、事后追踪溯源,并且以预防阶段作为整个安全防护体系的起点,相对传统安全防护体系是一个很大的进步。
自适应安全首先将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦,底层抽象为安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现一种灵活的安全防护。
自适应安全可以通过安全能力间融合联动,实现针对虚拟化资源池云环境下的常规威胁及高级定向威胁的防护和保障,融合联动安全的具体实现是通过集中化的云安全管理与服务平台加上虚拟化安全资源池内的产品和服务,进行松耦合的模块化对接,形成预测、防护、检测、响应的闭环体系。
ASA架构贯穿始终的是安全策略(policy)的制定形成与应用调整,强调持续的可视化安全检测与安全风险评估(针对用户、系统、行为、负载、网络等)。
ASA架构全生命周期安全管理涵盖以下四个循环往复的阶段:
1)预测:根据对各类安全威胁情报信息的掌握分析,并结合系统自身暴露面的分析,形成安全态势感知,并对安全策略和系统基线进行调整(adjust posture)
2)防护:实施部署具体的安全策略(Implement posture),根据安全策略和系统基线等实现系统加固(Harden systems)、系统隔离(Isolate systems)、攻击防护(Prevent attacks)
3)检测:在检测阶段对安全态势进行监测(Monitor posture),具体包括安全事件检测(Detect incidents)、安全风险确认和识别(confirm and prioritize risk)、对安全事件造成的负面影响进行限制和遏制(Contain incidents)
4)响应:在响应阶段,通过补救(remediate)、设计/模型策略更改(design/model policy change)、调查事件/回顾性分析(investigate incidents/Retrospective analysis ,最终对安全策略进行动态调整(adjust posture),并作为下一次循环的反馈输入。
1.2 安全架构创新性
ASA架构通过在纵深防御体系全生命周期的不同阶段部署相应安全能力,旨在构建一个能进行持续性威胁感知、立体化防护、动态化威胁检测、协同化响应的自适应安全防护体系。
1.2.1 协同联动
云环境中需要部署多种安全能力,难以形成有效的统一管理与联动。各种安全能力之间的协同联动,需要突破异构、跨平台、跨厂商之间的安全能力集成与联动的技术难点。
启明星辰依托强大的研发实力和国内最为全面的安全产品线,积极推动研发公司内部各产线之间的产品协同联动机制,提托云安全管理平台提供的安全资源调度和协同能力,为客户打造协同联动的安全防御体系。
1.2.2 贯通闭环
云环境中现有的安全防护体系,在预测、防护、检测、响应等阶段之间往往相互割裂,启明星辰依托全线安全产品,在各阶段部署相应的安全能力,实现生命周期各阶段之间的安全策略传递和闭环反馈,根据对安全事件的最终响应处理结果和追踪溯源分析,对安全策略进行动态调整和完善,为客户打造无缝衔接的贯通闭环流程体系。
1.2.3 策略随行
针对云环境下数据中心网络拓扑灵活多变、数据流量动态变化、攻击态势动态变化、虚拟机动态迁移、虚拟资源弹性扩展等特点,启明星辰依托自身在人工智能、大数据分析、威胁情报等方面的技术积累,实现安全策略的自适应调整适配,包括拓扑变化自适应、流量变化自适应、攻击态势自适应、虚拟机迁移策略随行、虚拟机扩容策略随行等一系列安全策略自适应机制,为客户打造安全自适应和策略随行的智能防护体系。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
