云应用在灵活度上有了很大的提升,但在安全防护方面,却愈发脆弱。我们必须认识到,无论现代的云原生应用有多么广泛的创新,都需要有与传统应用相同级别和相同敏感度的安全性。
应用上承企业系统,下启最终用户的操作,其本身就像一个隘口一样,肩负重任也是网络攻击者的众矢之的。加之,云计算技术的完善落地,云端应用在灵活度上有了很大的提升,但在安全防护方面,却愈发脆弱。我们必须认识到,无论云端应用需要有与传统应用相同级别和相同敏感度的安全性。
瞻博网络大中国区技术总监王栋在实践中不断发现云环境下应用存在的问题,“随着这些应用不断扩展,它们的组件逐渐被分布到多个异构云环境中,因此会引发安全漏洞并增加影响业务的安全隐患。”他明确指出,目前云环境下的应用在安全策略无效、可扩展性有限且不透明的环境中运行;为了叠加安全能力,安全管理员不得不在多个云环境中手动创建和管理一系列安全策略,使得安全策略数量激增;操作复杂性也不断提高,安全管理员无法清晰掌握各个应用之间交互的细节;随着云环境的边界变得模糊不清,原本基于边界的策略将无法有效预防威胁的横向传播,没有高可用性的、可扩展的横向威胁防御手段;另外,不统一的安全性策略还带来了合规风险。
瞻博网络大中国区技术总监 王栋
实际上,云端应用存在的安全问题比我们想象的更糟,疯狂追赶上市时间的应用开发者可能从一开始就没有全面考虑数据安全等问题,只为企业提供了初级工具来预防威胁,要想解决就只能将安全渗透到开发团队的核心,更精确地说是让它成为DevOps的关键策略。那么已有的云端应用就只能迷失在网络攻击的百慕大中了么?
据此,瞻博网络于近期宣布推出全新的瞻博网络Contrail Security微分段安全解决方案,该方案能够为企业和SaaS云供应商在多云环境下运行的应用提供有效的保护。瞻博网络本身在网络技术方面有很深厚的积累,通过分析安全产品在云环境中的应用问题,不断明确了软件定义和服务化对于安全产品适应云计算环境的重要性,此次发布的新品Contrail Security也是通过结合瞻博网络软件定义的安全网络平台(SDSN),推动真正且统一的网络安全平台扩展,自动威胁检测和执行,对安全威胁做出自适应的响应机制。
瞻博网络的思路是,传统安全基础庞大,而且绝对是有一定防护效果的,我们需要肯定传统安全防护方案的防护效果,但重点是如何沟通、协调最终利用这些安全模块,合作发挥最大防护效果。具体来说,Contrail Security致力于改变企业和SaaS云供应商在异构环境中对云应用防护、管理和监测的方式方法,目的是降低云端工作负载及应用所带来的高风险。王栋概括地表示:“Contrail Security的意图驱动型安全策略是通过现有安全控制和虚拟环境实现无缝互操作实现的,由此,自动应用流量监控和动态策略执行就可阻止内部威胁的传播,安全管理者可以在简化运维的同时获得良好的可视性和可控性。”
Contrail Security的“意图驱动策略”功能帮助安全管理员简化策略创建,在各种云环境中支持智能微分段;并利用分布式安全和网络策略进行防御编排,多执行点保护应用免受威胁侵袭;可视化方面,Contrail Security在混合云环境中提供可视化、分析和编排,同时通过“应用到应用”流程监控机制,降低来自未授权流量的风险;分析方面,提供关于应用交互的深度洞察,利用机器学习对异常现象进行检测并采取纠正措施。王栋补充,为了实现更加全面的安全防护,Contrail Security还能够与下一代虚拟防火墙进行集成,从而提供高级安全服务,确保业务安全。
另外,值得一提的是,提到应用,我们在关注安全问题的同时还有一个重要的关注点就是保障用户体验,然而,安全往往是最影响体验的模块。鱼和熊掌如何兼得?王栋介绍表示,Contrail Security向用户提供了一个安全保护的全新模式,正如前文所提到的,Contrail Security将防护能力分散在了各个计算节点上,减轻单点负担的同时能够突破边界安全的局限,反而提升防护能力,更改善用户体验。王栋补充:“理论上,单台服务器不但不会因为Contrail Security过载,反而能因多点部署而获得无限能力。”
Contrail Security通过结合意图驱动策略、跨环境的一致性、多个执行点、智能机器学习以及直观的模块和引导,保证了应用安全性,补足了业界安全产品在策略分发领域的短板,将为企业和SaaS云供应商在多云环境下运行的应用提供有效的保护,帮助用户实现业务突破。