以云的方式交付安全

郭濤

有一項云服務，像野火一樣，傳播極快。

2017年9月，這項服務推廣到亞太地區，它可以幫助用戶將那些未知內容上傳到云上進行分析和判定，在充分利用全球共享威脅數據的同時，滿足用戶對數據主權和隱私安全保護的要求。

這就是Palo Alto Networks推出的WildFire云服務。目前，Palo Alto Networks在全球150多個國家擁有約48000家企業用戶，其中近一半都采用了WildFire云服務。企業上云勢不可當，云中安全如影隨形。

快速增長的秘訣

Palo Alto Networks大中華區總裁陳文俊表示，2005年成立、2007年推出第一款自主研發的防火墻產品、2012年才在紐交所上市的Palo Alto Networks還是一家年輕的公司。它的異軍突起正是得益于云計算、大數據、人工智能等在全球的快速普及。Palo Alto Networks依托的是一個創新、高效、統一的安全平臺，在持續進化的過程中形成了三大支柱——網絡安全、高級端點保護、云安全，這同時也是公司的三大業務重點。

近幾年，Palo Alto Networks一直保持著快速增長。最新的統計數據顯示，2018財年第二季度（2017年11月至2018年1月），公司全球收入達到5.42億美元，同比增長28.4%，同期亞太地區營收增長為33%，而中國的業務增長速度超過了亞太區。陳文俊表示，公司十分重視中國業務的發展，正在尋找更多機會進行投資。尤其是在云安全、端點防御等方面，Palo Alto Networks將進一步擴大與本地伙伴的合作（比如本地的云服務商），同時加強培訓。

Palo Alto Networks在客戶中的認可度和接受度大幅提升，陳文俊認為，這首先要歸功于公司在技術和產品上的領先性和差異化優勢。陳文俊舉例說：“我們的安全產品深入到網絡7層，可以更好地感知應用，有效減少被攻擊面，而以前主要集中在網絡3層的安全產品則很難實現。另外，我們的安全產品可視化程度非常高，不僅可以識別網絡流量，而且可以高效識別內容和應用，從而更好地預知未知的威脅，并可在短短5分鐘內實現自動化防御，安全防護范圍覆蓋數據中心、云和邊緣。”

云安全消費新模式

Palo Alto Networks大中華區技術總監耿強表示，企業上云是一個循序漸進的過程，應用和數據從現有數據中心逐步向云端遷移，許多非核心的應用已經遷移到云上，而核心業務還是留在本地或私有云中，混合云的模式是很多用戶的首選。讓數據在本地數據中心與云，甚至多云之間自由流動，現有的技術完全可以實現，只是云端的安全防護體系還有待進一步完善，應采取更高層次的保護措施。

相比國外，中國企業客戶的云化進程相對謹慎，許多客戶仍處于研究階段。中國的云服務商在云產品和服務的數量、功能上與國外成熟的云服務商相比還有差距。在安全方面，國外很多企業都設有首席安全官這一職位，企業安全是一項獨立的職能，而國內的一些大型企業雖然也有安全部門，但更多地是將安全作為基礎架構中的一部分而已。

Palo Alto Networks一直以推動云安全的發展為己任，并在云安全產品上不斷推陳出新。最近，Palo Alto Networks向公眾展示了其配備全新云端功能的下一代安全平臺，這些全新功能專為防御云端網絡攻擊而設計，將為運行于混合云和多云環境中的客戶提供全面、一致，并能與云端基礎架構和工作負載直接集成的安全工具。

云技術的演進迫切需要一種全新的網絡安全技術為其保駕護航。這一新型網絡安全技術要覆蓋云技術的每一個細微之處，助力企業實現對有效安全功能的順暢部署和管理。Palo Alto Networks的下一代安全平臺可以提供跨傳統網絡與云端的一致性防護，將對公有云的保護范圍從原有的AWS和Azure擴展到Google云平臺。特別值得一提的是，基于API保護的一款SaaS服務Aperture，可對云資源進行探測和監測，防止敏感數據丟失，同時監測有風險和可疑的管理員行為，并對因為安全配置錯誤和惡意軟件肆意傳播所帶來的風險提供額外的防護。

作為Palo Alto Networks下一代安全平臺的重要組成部分，云端行為分析器Magnifier將機器學習運用于網絡、端點和云數據，可對針對性攻擊、內部威脅和端點攻擊進行精準檢測和防御。人工智能、機器學習技術與安全的結合是大勢所趨。越來越多的安全廠商推出了基于機器學習甚至深度學習的安全產品和解決方案。耿強表示，在安全領域，機器學習技術的應用并不是什么新鮮事，WildFire云服務在剛推出時就采用了機器學習技術。另外，通過收購，Palo Alto Networks也在不斷加強其產品的分析能力。耿強稱，Palo Alto Networks Magnifier是業界首個可輕松消費的云端行為分析服務，能夠自動識別和防御攻擊者，阻止其隱藏于網絡或展開網絡攻擊。Magnifier已經與Palo Alto Networks下一代安全平臺實現了深度融合，并結合Palo Alto Networks的日志服務，基于可擴展的敏捷云端機器學習技術，共同實現高精度的攻擊探測。

耿強特別提到，Palo Alto Networks下一代安全平臺的一個重大創新是Palo Alto Networks的應用框架，包括Magnifier在內的許多新的功能和服務都是基于應用框架進行交付的。應用框架帶來的最大改變是用戶安全消費模式的改變，不僅Palo Alto Networks可以基于這一應用框架進行新產品、新功能的開發，而且第三方的軟件開發商也可以通過開放API在此應用框架上進行開發，用戶使用這些新產品、新功能的方式與使用蘋果商店中的應用程序無異。這才是一種理想的云消費模式。

陳文俊表示，將安全以云的模式進行交付，這是Palo Alto Networks產品演進的一個核心思路。

在推動云安全產品持續演進的同時，Palo Alto Networks還推出了增強型PA-220R下一代防火墻，它可以有效阻截工業控制系統（ICS）和監控數據采集系統（SCADA）網絡環境下的網絡攻擊。PA-220R下一代防火墻滿足了諸多行業對性能和可靠性的標準要求，包括變電站、發電廠、工廠車間等。另外，Palo Alto Networks還宣布為其PAN-OS操作系統推出全新的硬件和功能更新，進一步助力企業實施以應用程序為基礎的控制，強化企業安全。Palo Alto Networks已推出PAN-OS 8.1、PA-3200系列、PA-5280、增強版PA-220R，以及兩個新型號的M系列管理工具。

保持一定的“安全潔癖”

對于企業用戶來說，安全問題必須長抓不懈，特別是在企業云化的過程中，保證應用和數據遷移過程中，以及上云之后的安全十分重要。陳文俊表示，所有企業都應該保持一定水平的“網絡潔癖”，定時備份數據，并為系統和應用及時打補丁，盡量縮小數字資產的受攻擊面。

2018年，云安全問題仍是重中之重。曾有國外媒體報道，有企業因為錯誤配置AWS S3 bucket功能而導致敏感信息泄露。受一系列公有云安全事故和網絡風險不斷高漲的影響，一些用戶質疑公有云的安全，這就需要企業采取更有效的安全措施，保護云端安全。

特別提醒一點，企業用戶千萬不要以為云化就是將數據和應用遷移到公有云中，然后就萬事大吉了。其實，公有云服務商并不會大包大攬，通常情況下只提供計算、存儲、網絡資源和服務，而云中數據安全的事還是要用戶自己負責。因此，用戶對于云安全這件事在任何時間都不能放松警惕。

陳文俊還談到了零售行業的安全問題。零售交易所依賴的平臺與以往相比將面臨更大的危險，其安全保障措施也不夠周全。加密貨幣的價格飆升使得網絡罪犯不斷變換花樣，犯罪手法難以預測。傳統的安全防御措施已經捉襟見肘，需要采用創新的更加全面、高效的保護策略和措施。

索要比特幣不再是勒索軟件的唯一目的。陳文俊表示，2018年，勒索軟件攻擊將擴展到商界以外。去年，在中東地區爆發的一個勒索軟件的變種RanRan，向企業要求的就不是贖金，而是要受害者設計網站公然對抗地區執政者。盡管2017年針對Mac的勒索軟件不多，但預計2018年針對Mac的勒索軟件數量將有所上升。由于發動勒索軟件攻擊對技術要求不高，勒索軟件即服務（Ransomware-as-a-Service， RaaS） 的攻擊模式也變得可行。不幸的是，勒索軟件攻擊的成功次數可能會繼續上升。

面對各種新的安全威脅，企業先要樹立信心，然后就是采取行之有效的策略和措施，進行積極的應對和防御。“確保云上的數據安全是企業用戶和云供應商共同的責任。”陳文俊表示，數據是企業重要的戰略資產，確保數據的完整性是實現安全的關鍵。