芯片巨頭英特爾于2011年以77億美元的價格收購了安全廠商邁克菲，后者在2014年成為英特爾的一個部門Intel Security，并于本周正式宣布，完成出讓51%的股份，再次獨立運營。據(jù)英特爾的年度財報，2016年安全業(yè)務收入達到22億美元，以目前的匯率換算成人民幣， 超過150億元，堪稱世界上最大的網(wǎng)絡安全廠商之一。

以殺毒業(yè)務起家的邁克菲，目前業(yè)務已經(jīng)拓展到包括端點安全、數(shù)據(jù)安全、安全運營和數(shù)據(jù)中心與云安全的四大類業(yè)務線，其中數(shù)據(jù)中心與云安全為當前及未來業(yè)務發(fā)展的重中之重。

一、云是大趨勢 異構(gòu)化給安全帶來巨大挑戰(zhàn) 隨著IT系統(tǒng)的普及和發(fā)展，一些大型企業(yè)開始把自己的IT部門獨立出來，不僅為企業(yè)本身服務，還可以對外提供服務，完成從一個成本中心到利潤中心的角色轉(zhuǎn)變。

而云計算的出現(xiàn)，無疑更加推動了這種轉(zhuǎn)變的趨勢。越來越多的企業(yè)在利用云技術在給自身提供IT資源的同時，把資源向外輸出，安全服務也同樣如此。

今年2月份，云安全聯(lián)盟發(fā)布了一份基于全球2000多家大中型企業(yè)客戶所做的云安全現(xiàn)狀調(diào)查。調(diào)查發(fā)現(xiàn)，與2015年相比，許多一開始使用私有云的企業(yè)，往公有云遷移的趨勢非常明顯，轉(zhuǎn)向公有云、混合云，后者的模式被越來越多的大型企業(yè)所接受。

不僅如此，還有一些企業(yè)認為與其建立私有云，自己維護安全，可能還不如交給資源更豐富、能力更強的公有云。

但目前國內(nèi)云平臺的架構(gòu)非常不統(tǒng)一，無論是公有云還是私有云，無論是虛擬化、云管理平臺還是SDN，僅OpenStack就有許多變種。即使在一個大客戶的云環(huán)境里，由于不同的業(yè)務部門，根據(jù)不同的業(yè)務需求，在不同時期進行采購，最終形成了多種虛擬化程序、各種版本云管理平臺，甚至是公有云和私有云環(huán)境同時存在的局面。

如何在這種混合、異構(gòu)的環(huán)境下做安全，就成了一個非常大的挑戰(zhàn)。

二、可視化與威脅情報 解決異構(gòu)環(huán)境帶來的系統(tǒng)復雜性，首先要保證環(huán)境中各項資源在IaaS層面的可見性。這里需要一個能夠適配不同虛擬化環(huán)境的安全管理平臺，并通過統(tǒng)一的連接器與各個不同的系統(tǒng)接口連接。

在操作系統(tǒng)層面，通過這個連接器，可以盤點不同云環(huán)境里面的資產(chǎn)，如虛機、操作系統(tǒng)。在安全層面，則可以查清安全組、訪問控制列表、黑白名單、防病毒等安全信息同步，發(fā)現(xiàn)問題后再根據(jù)需求把正確的安全策略下發(fā)回去。

可視化的意義就在于發(fā)現(xiàn)并解決問題。最直接的就是通過收集各種安全組的信息，識別未經(jīng)保護的資產(chǎn)，發(fā)現(xiàn)安全策略的配置錯誤，發(fā)現(xiàn)惡意攻擊等。通過與外部威脅情報結(jié)合，把各種數(shù)據(jù)做關聯(lián)，可以進一步識別高級威脅。

GTI(即全球威脅情報)是邁克菲運營多年的的威脅情報系統(tǒng)，也是世界上最大的網(wǎng)絡安全威脅情報系統(tǒng)之一。此外，邁克菲還于數(shù)年前推出了數(shù)據(jù)交換層(DXL)技術，不同的安全產(chǎn)品、甚至不同廠商的產(chǎn)品均可以通過這個平臺進行威脅情報交換。現(xiàn)在全球已經(jīng)有幾十家廠商的產(chǎn)品使用這個系統(tǒng)進行情報交換，其中就有華為。

在數(shù)據(jù)交換標準方面，DXL能夠支持STIX格式和TAXII協(xié)議，通過現(xiàn)有產(chǎn)品比如邁克菲的SIEM或者威脅情報交換軟件(TIE)能夠支持這類標準化的格式進行情報管理和交換。但這STIX/TAXII的問題在于，并沒有提供相應的軟件和基礎架構(gòu)。這就意味著用戶只能自已建立威脅情報系統(tǒng)去兼容這兩種標準，而不是直接利用現(xiàn)有的開源軟件進行威脅情報交換。對于某些用戶而言，不夠方便和靈活。

目前DXL已經(jīng)開源，Github上就可以看到源碼及SDK，任何想使用DXL進行威脅情報交換的安全廠商或用戶，都可以自由接入。

這種統(tǒng)一化的安全管理平臺，好處非常明顯，用戶不用考慮自身的云環(huán)境，就可以直接采用，但前提是需要解決兩個問題：

一、技術問題，即云環(huán)境中各種虛擬化程序及管理平臺的適配性。如邁克菲的ePO安全管理平臺，就支持Xen/KVM/VMware/Hyper-V等多種虛擬化平臺，以及開源的各種版本的OpenStack為代表。

二、是云服務商為安全管理平臺開放各種系統(tǒng)的接口(API)，這并非技術問題，而是企業(yè)之間的合作意愿問題。

三、基礎架構(gòu)安全與服務器安全

基礎架構(gòu)安全可簡單分為網(wǎng)絡層和主機層，典型的安全產(chǎn)品如網(wǎng)絡IPS和防病毒。在網(wǎng)絡層與主機層，邁克菲的安全方案與同類解決方案最大的區(qū)別在于二者的聯(lián)動性。

由于安全人員的短缺，尤其是高水平安全人員的匱乏，自動化安全運維已經(jīng)成為今后的發(fā)展方向。而自動化安全運維的關鍵就是，基于低誤報、低誤判的情況下，去做自動化的聯(lián)動。

例如，防病毒軟件在一個端點上發(fā)現(xiàn)了一個可疑程序，經(jīng)APT防護系統(tǒng)檢測后確認有問題。這時防病毒軟件不只是在這臺端點簡單殺掉行了，而是會通過聯(lián)動機制把這個惡意程序的IOC(攻陷指標)反饋到所有的虛機上，并且反饋到IPS上去攔截，防護范圍遍布整個網(wǎng)絡架構(gòu)，即使后端那些沒有部署安全產(chǎn)品的端點也受到相應的保護，這就是自動化聯(lián)動帶來的快速、高效和準確。

傳統(tǒng)的IPS防護的重點在于數(shù)據(jù)中心的南北向流量，頂多去做一些內(nèi)部的安全隔離分區(qū)。但現(xiàn)在的IPS，已經(jīng)開始兼管東西向流量的安全檢測和防護。同時結(jié)合多種分析技術和威脅情報，極大的降低誤報率。

服務器安全與PC或虛擬終端安全有所不同，它對資源的占用比較敏感，因此部署安全軟件必須考慮CPU、內(nèi)存等資源消耗，以及運行的穩(wěn)定性。邁克菲公司為用戶提供了豐富的服務器安全軟件選項，可以針對性的解決不同用戶的安全痛點，主要有防病毒、白名單、主機IPS、虛擬補丁、基線管理、審計、合規(guī)、數(shù)據(jù)庫服務器安全等。例如，如果用戶對關鍵服務器的資源占用比較在意，可以選用白名單方式對服務器進行保護。

四、安全中間件解決SDN適配 與各種虛擬化應用類似，SDN(軟件定義網(wǎng)絡)也有著各種不同的流派。因此，云安全平臺也需要兼容各種SDN才能符合平臺級產(chǎn)品的定位。

在SDN的適配方面，同樣也需要一個連接器。邁克菲通過一個名為 Open Security Controller(OSC)的免費組件提供北向和南向的接口。前者負責不同SDN的接口，南向?qū)痈鞣N安全管理設備，如IPS。這種連接器就像一個安全中間件，一端獲取不同SDN的資源配置要求，另一端則動態(tài)的從網(wǎng)絡安全資源池獲取設備，去部署和分發(fā)。

目前許多安全設備廠商的做法是針對不同的SDN，如思科的ACI、Vmware的NSX、OpenDaylight等，開發(fā)不同的版本去逐個兼容，這就極大地帶來了日后版本更新升級維護的困難。安全中間件則解決了這個問題，不管北向的SDN如何改變，只需相應地修改中間件即可，省去了很多的適配、兼容性等問題。

安全中間件的做法，為南北向之間提供了一個抽象層，可兼容不同的SDN。

我們知道，雖然目前SDN的普及率還很低，報告顯示在企業(yè)用戶中只有5%到6%的使用率。大部分私有云只是做了服務器虛擬化，實現(xiàn)純粹軟件定義網(wǎng)絡的完全云化，還有一段路要走。但它一定是未來的趨勢，一個規(guī)模非常龐大的市場。SDDC(軟件定義數(shù)據(jù)中心)已經(jīng)是必然，而這也是邁克菲目前階段重點關注的方向。

五、整體解決方案才能真正有效

沒有任何一家安全企業(yè)能夠包打天下，廠商之間需要協(xié)同聯(lián)動，打造整體安全解決方案，才能有效的解決安全問題，這一理念已經(jīng)成為業(yè)內(nèi)共識。

邁克菲成立了安全創(chuàng)新聯(lián)盟(SIA)，目前已經(jīng)有200余家安全及相關領域廠商成為聯(lián)盟成員，包括了應用與數(shù)據(jù)庫安全、認證與加密、云及其他安全、數(shù)據(jù)內(nèi)容保護、端點/BYOD和移動管理、應急響應與取證、網(wǎng)絡安全及管理、風險與合規(guī)等細分領域。國內(nèi)的網(wǎng)絡廠商華為于去年10月底正式宣布加入SIA，目前聚焦于數(shù)據(jù)交換層面的合作。

熟悉安全行業(yè)的人都知道，在IPS、端點安全、數(shù)據(jù)安全等領域邁克菲均處于領先地位。但少有人知道在2015年，邁克菲對其產(chǎn)品線做了一次非常大的調(diào)整，停止了許多非核心的產(chǎn)品的研發(fā)，如郵件網(wǎng)關、漏洞掃描和下一代防火墻等，把資源集中到核心優(yōu)勢產(chǎn)品上，即上面介紹的端點安全、數(shù)據(jù)安全、安全運營和數(shù)據(jù)中心與云安全四大安全解決方案。

安全牛評

不同廠商之間或安全產(chǎn)品之間的聯(lián)動，目前主要通過開放不同的API(應用程序接口)來實現(xiàn)。但這種方式最大的弊端在于，安全產(chǎn)品的多樣性和復雜性，不同類別、不同品牌、不同型號、不同廠商等等，在這種情況下做基于API進行關聯(lián)的模式，非常低效，難于維護和管理。而一個開源性質(zhì)的數(shù)據(jù)交換協(xié)議，則可以很好的解決這一問題。這就是 Open DXL 應運而生的最大意義。