e-works数字化企业网  »  新闻  »  记者观察  »  正文

Palo Alto Networks:构建下一代网络安全平台

2017年5月1日     来源:e-works        作者:e-works王聪       
关键字:网络安全  云安全  Palo Alto Networks  PAN-OS 8.0  
随着云计算的深入发展,使网络边界变得更加脆弱,由于用户可以随时随地使用任意设备向云端读取数据,导致在网络和终端之间传输的应用和数据数量大幅增加,为数据的泄漏和攻击带来了更多的维度。

    近年来,随着云计算、移动互联、大数据等技术的快速发展,企业在享受IT技术创新带来的益处之时,也遭遇了前所未有的安全风险。黑客利用各种途径获取用户隐私信息早已不是秘密,而针对各类企业、政府及组织机构的网络攻击也广泛出现,涉及业务机密甚至是国家安全的数据泄露风险正在加大,而传统基于端口的网络防护形式难以应对黑客复杂多变的动态攻击。

    特别是随着云计算的深入发展,使网络边界变得更加脆弱,由于用户可以随时随地使用任意设备向云端读取数据,导致在网络和终端之间传输的应用和数据数量大幅增加,为数据的泄漏和攻击带来了更多的维度。根据IDG最新的调查显示,2016年员工超过1000人的企业中有75%至少运行着一个云应用或云平台,对数据存储位置(43%)、云安全(41%)和固定供应商(21%)的担忧是企业在采用云技术时面临的三大挑战。在云安全问题上,由于管理层缺乏适当的对应策略,无法让云投资实现收益的最大化,私有云和混合云的采纳进展因此而放缓。

    正是看到这种趋势,作为全球领先的下一代防火墙供应商,Palo Alto Networks在PAN-OS 7.1的基础进行了全新升级,帮助企业应对新环境下的网络安全挑战。在日前举办的媒体沟通会上,Palo Alto Networks 大中华区总裁陈文俊和大中华区技术总监耿强为大家分享了云环境下的主要攻击特征、如何构建下一代安全平台以及Palo Alto Networks公司创建以来最大的产品发布-- PAN-OS 8.0,为企业在信息安全防护上带来了新的思路。

无

图1 Palo Alto Networks 大中华区总裁陈文俊

挑战:难以定义的安全边界

    如今,云计算变革着传统IT的构建模式,弹性灵活的资源配置为企业IT部署提供了更多可能。Palo Alto Networks 大中华区总裁陈文俊表示由于云端应用的增多,传统的网络边界正逐渐消失,可见性成了所有安全的基础,企业在云安全上需要从被动的防护转变为主动的持续检测和自动响应。这意味着,一方面,随着安全边界的模糊和互联网化以后,安全风险实际上变得更高;另一方面,业务云化让应用和数据高度集中,对安全标准的需求达到全新高度。这在工信部印发的《云计算发展三年行动计划(2017-2019年)》中也得到了体现,行动计划中高度重视云计算应用和服务发展带来的网络安全问题与挑战,结合云计算发展特点,进一步提升网络安全技术保障能力。这表明,云计算安全防护的管理和标准,以及应急预警等方面的预先防范,正进入全面落实阶段。

    与此同时,万物互联也为企业带来了更加多样化的安全风险。2016年我国物联网市场规模将突破9000亿元,从已经出台的《中国制造2025》以及《国务院关于积极推进“互联网+”行动的指导意见》等战略规划来看,已经涉及物联网产业的诸多方面。毫无疑问物联网设备市场将会不断扩大,然而对于攻击者而言,万物互联同样意味着可攻击的目标增多,攻击面在迅速扩大,相对应的信息安全防御链条则越来越长,防御思想也需要不断进化,信息安全防御面临很大的创新压力。

    最后,伴随着利益驱动,黑客在进行安全攻击时也更加有目的性,勒索软件的攻击行为也正以惊人的速度飙升,据统计在2016年大约有6.38亿次攻击尝试,比2015年的400万次增加上百倍。相较于国外而言,陈文俊表示中国企业内部员工信息安全意识长期都很薄弱,这又给不法分子造成了很多可乘之机。

    在这种环境下,陈文俊介绍企业在部署安全策略时应该集中在以下方面:

    1.全面可视化;

    2.减少攻击面;

    3.防御已知威胁;

    4.防御未知威胁。

    陈文俊表示相对于传统基于端口的防护策略,新的网络安全应该是基于整个网络平台一体化进行分析,需要对所有安全功能进行无缝集成,协同工作,将防御之道转化为产品并适用于所有用户、应用程序和地点,使企业可以自动发现并对网络和终端重新编程,防止已知和未知威胁。

 无

图2 新环境下的安全策略

创新:PAN-OS 8.0五大功能升级

    据Palo Alto Networks大中华区技术总监耿强介绍,Palo Alto Networks本次新推出的PAN-OS 8.0下一代网络安全平台,包括有网关、防火墙、端口、可视化以及多元威胁防御,形成了一套完整的方案。在这个安全平台里,各个部分的组件是可以相互进行协同工作,比如说在端点处发现了未知威胁,Palo Alto Networks可以上传到云端智能威胁云平台进行分析,在5分钟之内将最新出现的威胁下发到网关设备和端点,来防止最新出现的威胁。最新的PAN-OS 8.0的五大特点包括:

 无

图3  Palo Alto Networks 大中华区技术总监耿强

    1、云安全:耿强介绍面对日益扩大的云计算市场,PAN-OS 8.0版最重要的创新就是针对云安全的,新版本提供了AWS、Azure、NSX、Hyper-V、ESXi、KVM等多种云服务,能够为企业在各个环节提供一致的安全防御级别,实现了云上扩展并支持自动化安全防御。全新VM系列模式为业界带来最佳性能和最宽广覆盖,具有良好的扩展性和弹性。在 Azure拓展方面,可与App Gateway和 Load Balancer 实现集成;在AWS拓展方面,与Auto Scaling 和ELB/ALB实现集成,可实现安全的动态扩展,且与工作负载无关,无缝支持CloudWatch。同时,针对SaaS应用,新版本对现有PAN-OS 7.1 SaaS 报告的延展,通过基于用户群组及区域生成定向报告,帮助管理者深度理解SaaS使用情况,并且借助Panorama无须升级PAN-OS便可实现全部功能

    2、多元威胁防御: PAN-OS 8.0版由Palo Alto Networks独立开发的一套虚拟环境,通过启发式引擎,可将高逃逸性可疑文件动态导向裸机,并在纯硬件的环境下进行裸机分析,诱发恶意软件进行攻击,可实现高概率的反虚机检测。在8.0中,Palo Alto Networks集成MineMeld应用程序在AutoFocus服务中,通过多方的数据来源加速获取有效威胁情报,为Palo Alto Networks设备提供自动化防护,或与其他厂商安全系统实现集成。   

    3、凭证盗窃防御:大部分网络攻击都会在攻击过程的某些阶段涉及使用密码盗窃这一手段,凭证盗窃一直是全球范围内无数企业所共同面临的挑战。传统用来阻止凭证钓鱼的方法都是最基本的、需要人工手动并且数量极其有限,主要依赖培训员工在遇到钓鱼网站时能对其进行识别。Palo Alto Networks推出了业内首个多元化、可扩展和自动化技术,可有效防止基于凭证的攻击发生。Palo Alto Networks的下一代防火墙所提供的这些功能,可防止凭证被盗和滥用,辅助其他恶意软件及威胁防护产品,保障应用程序的启用功能,从而扩展企业客户防御网络攻击的能力。

    4、规范化智能管理: PAN-OS 8.0通过中央管理,将7000系列和端点的日志整合到中央管理上,当WildFire、威胁日志发现链接警报的时候,可以对应现有策略做自动安全操作,这就说明此IP是一个感染的,这样的用户出现问题的时候,就强制做双重认证的动作。

    5、全新硬件:云端部署和高流量对硬件性能也提出了更高的要求,为此, Palo Alto Networks在之前的基础上共发布了3个系列的全新硬件设备,包括三款高端PA—5200,两款中端PA—800,以及一款入门级PA—220。其中PA-800系列补足了中间层次的性能欠缺,满足客户从10~100G各个级别的需求,其中PA-7000甚至达到了200G的I/O传输。

协作:共享情报加强未知威胁防御

    现在,许多攻击者通常只编写一份恶意软件便分发给多个机构,这些软件之间往往只做稍微改动以规避检测。耿强表示黑客形成的黑色产业之所以可以对企业在线业务进行精准画像是因为他们通过不同渠道获取了各式各样了黑产数据库。政府网站和大型商业网站被黑客脱库,在黑客圈共享,经过数据清洗,形成庞大的黑产数据库。对抗黑产并不是某个人、某个企业等单方面力量就能够实现的事,必须采用行业共治的生态模式。对此,Palo Alto Networks还领导了Unit 42这一国际性威胁情报组织联盟,它的日常工作是负责Unit 42相关的威胁情报工作。通过情报共享,迫使网络攻击者在执行每次攻击之前,都要编写不同的程序,就可以增加他们的成本。如果这种共享能够在机构防御威胁时,自动且实时地得以执行,优势将呈指数级增长。

    值得一提的是,Palo Alto Networks还连同其他三家创始会员包括Fortinet, Intel, Symantec共同组建了网络威胁联盟(Cyber Threat Alliance, CTA)。今年二月,CTA宣布成为独立机构并新增Check Point和思科作为两家最新联盟创始成员加入。如今,6家会员通过团结协作、共同开发,使得CTA平台实现了信息准实时自动分享功能,解决了威胁情报分散和手动操作带来的难题。该平台可以更好地组织威胁情报并将其放入对敌手册(Adversay Playbooks) 中,可以将某个特定攻击相关联的所有信息放置在一个位置,借此提升数据语境的价值、质量和实用性,这一创新做法将抽象的威胁情报转变为可操作的现实防护措施,助力会员加快情报分析进程、加速将情报加载进特定产品的部署。

    为了强化成员间的持续性合作并激励发现更多可用威胁数据,CTA全新平台要求成员自动分享其情报,最少每天一次,同时对那些具有语境功能的特殊情报予以奖励。最终,成员会根据他们贡献的情报数量和价值被奖励以更高访问等级。此外,除了协调信息共享的核心任务,CTA还是业界首个由网络安全从业者设计并专有的行业协会。CTA将不仅担负着塑造行业最佳实践的重任,并为全球个人和组织用户持续提供最有效的安全方案。

责任编辑:王聪
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
文章推荐
博客推荐
视频推荐