在
上文中,我們介紹了戴爾科技集團談零信任架構的原因,也提到了現代安全的三大要素,分別為:信任的基礎、簡化的零信任采納和網絡恢復計劃。
事實上,戴爾作為全球大型IT基礎設施提供商,能提供多種網絡安全能力來構建現代安全,幫企業提高業務彈性。
比如,數據保護能力、檢測和響應能力、自動化能力、業務連續性方案、網絡恢復方案以及安全專家服務團隊,這些都能幫企業提高業務彈性。
可以說,戴爾在安全方面頗有積累,不僅如此,戴爾做安全的優勢也很明顯。
戴爾做安全的優勢
戴爾是全球范圍內最大的IT供應商之一,而且是少數擁有從核心到邊緣、到云的多種基礎架構的供應商,這種依靠豐富的產品類型和超強的市場覆蓋造就的影響力非常難得。
所以,能以此來為企業提供端到端的整體安全性,就是戴爾做安全最大的優勢。
戴爾基于這種優勢提出了整體安全愿景,覆蓋基礎架構、云、應用到設備四個層次。
基礎架構層面。戴爾提供可信賴的基礎架構,并且可以跨終端、跨服務器、跨存儲、跨網絡等多種安全控制點來執行安全策略。對用戶而言,戴爾遍布全球的企業用戶可以享受到一致性為安全管理帶來的種種便利。
在多云架構層面。企業需要的是統一的云安全策略,安全需要企業內部職能領域之間分擔責任,過程通常有些復雜。戴爾及其合作伙伴提供的平臺,可為網絡功能和威脅管理提供統一的策略,從而有助于統一多云環境中的安全管理。
在應用開發層面。戴爾和合作伙伴合作提供了一種一致的操作層,企業用戶可以在這里開發、托管和管理應用程序。通過戴爾與VMware的合作,企業用戶可以通過單點登錄在統一的數字工作空間中發布一系列應用。
在設備管理層面。戴爾利用跨多種設備集成的能力,為數字工作場所提供安全能力。隨著企業的物聯網設備越來越多,高效的安全管理也顯得越來越重要,企業可以使用戴爾的端點安全技術進行保護和管理,并且不需要考慮設備的品牌。
戴爾解決安全問題,推動現代安全轉型
戴爾指出了如今安全領域存在的三大問題,也是業內普遍關注的問題。
首先,如今的安全程序基本都是在應用開發完成后加入進來的,通常在應用程序和流程設計完成之后才考慮安全部分,然后,努力讓安全適合現有的操作。
同時,如今的安全過于零碎和分散,由于安全通常是由一個個開發團隊來定義的,每個開發團隊關注的重點都不盡相同,因此,從整體視角來看,就是一幅各自為政的局面,不利于整體。
第三,如今的安全策略缺乏與業務的關聯。由于安全通常只考慮安全本身,并沒有考慮業務本身的需求。這就會出現,因為要處理安全問題而影響業務的局面,可能會對關鍵的運營職能產生影響,甚至中斷業務。
與業內的呼聲一致,戴爾認為,安全必須做出轉變,向現代安全轉變。
首先,安全性必須是內在的。這里所強調的是,安全能力應該在應用程序開發、固件開發和設備系統開發之初就融入進去,要和被保護的架構天生就融在一起,也就是常說的“安全左移”。
同時,信息安全團隊要和其他開發團隊進行統一,包括與DevOps、基礎架構/云團隊等進行統一,如何統一呢?比如,可以共享通用的工具和一致的策略,也就是常說的“DevSecOps”。
最后,對于安全策略和業務關聯的問題。應該根據業務來做安全規劃,既要與IT團隊集成,還必須與業務戰略集成,從而讓應用程序和基礎架構更好地關聯,從而減少對業務的影響。
戴爾認為,現代安全必須是內置的、統一的、情景關聯的。換句話說,安全策略和技術必須與體系結構、應用負載以及業務目標相統一。
戴爾的安全實踐:以NIST網絡安全框架來保護數據和系統
現代安全所涉及的轉變非常之大,那么,在具體的實施層面,要從何下手呢?
戴爾的做法是遵循安全業內普遍遵循的NIST網絡安全框架,NIST框架有五個關鍵支柱:
識別,以確保用戶了解業務中的所有資產、風險和組件;
保護,確保用戶保護業務中的人員、供應鏈、產品和所有資產;
檢測,專注于持續監控事件和異常;
響應,確保用戶有適當的流程和計劃來處理檢測到的任何事情;
恢復,確保用戶在發生重大問題時可以恢復;
對應的五個關鍵支柱里,戴爾在端點、網絡、多云、服務器/HCI、存儲和數據保護五大類產品方案中都埋布了安全控制點。
如圖所見,戴爾的安全設計非常全面,內容也比較多。
為了直觀地呈現戴爾在安全做的工作,我找到了這份《Dell EMC PowerEdge服務器的網絡彈性安全》白皮書,看一看企業用戶都熟悉的PowerEdge服務器是怎么做的。
白皮書中介紹的是14代和15代PowerEdge內置的安全功能,這些功能主要由戴爾遠程訪問控制器(iDRAC9)來實現。按照NIST框架來組織的話,這些功能主要分成了保護、檢測和恢復三部分:
保護:“保護”功能是NIST網絡安全框架的關鍵組成部分,也是白皮書最長的章節。“保護”功能強調在生命周期的各個方面保護服務器,包括BIOS、固件、數據和物理硬件。
檢測:檢測強調能夠對服務器系統內的配置、健康狀態和更改事件的完整可見性。檢測惡意網絡攻擊和未經批準的更改,主動引起 IT 管理員的關注,盡快發現問題。
恢復:“恢復”要強調的是要快速。快速將BIOS、固件和操作系統恢復到已知良好的狀態;安全地停用服務器或重新調整服務器的用途。
PowerEdge歷來重視安全。比如,在保護階段,系統引導過程中使用了加密的信任根認證BIOS和固件,這使得任何對硬件的非授權改動(哪怕換個沒有戴爾數字簽名的風扇)都會導致系統無法正常開機使用。全是為了防止有人對硬件做手腳。
戴爾在硬件層構建了網絡彈性架構,除了PowerEdge服務器,PowerMax高端存儲的安全設計也遵循了NIST安全框架。
《Dell PowerMax網絡安全》白皮書介紹了高端存儲PowerMax中用于網絡檢測、保護和恢復的各種功能,雖然沒有嚴格按照NIST的分類進行分類,但是還是列舉了一些主要的功能點。
比如,新發布的PowerMax 2500/8500陣列使用一個不可變的、基于芯片的硬件信任根(HWRoT)以加密方式確認 BIOS 和 BMC 固件的完整性。這部分明顯屬于NIST框架里“保護”的部分。
CloudIQ使用安全的戴爾科技集團網絡,并托管在安全的戴爾IT云中,從客戶的數據中心和邊緣位置的戴爾存儲和服務器上,收集、存儲和評估安全配置信息。支持包括PowerEdge服務器和存儲多個產品。它能為PowerMax做監控和故障排除,能為用戶的不當配置做一些糾正建議,也可以用機器學習和預測分析來識別異常。
文檔中提到CloudIQ有兩種異常檢測,一種是檢測延遲異常,能分析工作負載對延遲的影響,另一種與安全相關,叫“數據縮減異常檢測”,如果檢測到異常,則可能是有可疑活動或出現了潛在的勒索軟件威脅。
如今勒索軟件非常猖獗,見諸報道的就有很多新聞,比如,2022年,英偉達、征信巨頭TransUnion、印度航空公司SpiceJet、哥斯達黎加政府、美國出版業巨頭Macmillan等都有一些報道。所以,PowerMax新增的安全功能還是非常有針對性的。
戴爾提出加強現代安全
從勒索軟件事件來看,盡管許多組織有較強的安全防御能力,但安全防線還是被屢屢突破并被勒索,可見安全形勢的嚴峻,這也是包括戴爾在內的許多業內大廠關注現代安全,遵循NIST框架提升現代安全的根本原因。
加強現代安全分為三個方面,首先就是用零信任架構、NIST框架的做好對數據和系統的防護,企業可以利用整個IT生態系統中的整體存在的硬件和流程中的內在功能,實現安全方法的現代化。
沒有萬無一失的防護,當防護手段被突破,必須要考慮如何進行恢復,這是NIST框架的最后一個環節,也是提升現代安全的第二個方面——提升網絡彈性,最后,加強安全的第三個方面是降低安全的復雜性。