毋庸置疑,我们现在处于一个云无处不在的时代,特别是混合多云已经成为企业数字化转型的常态。有报告显示,76%的企业已经在使用2到15种混合云,98%的企业预测他们将在3年内使用多个混合云。
不过,IBM商业价值研究院的调查报告显示,到2021年,98%的受访组织机构计划会采用混合架构,然而仅有38%的组织机构将拥有运行混合环境所需的程序和工具。
阻碍企业上云的因素包括企业对于安全问题、数据保护和协议、可用性以及云管理的考虑。
特别是云安全,IBM大中华区安全事业部总经理陈文丰告诉记者,云安全是一个很重要的议题,当企业上云之后,他们所要考虑的安全问题更复杂。“为了帮助企业应对云时代的安全挑战,IBM提供了很多安全解决方案,比如QRadar、Cloud Identity、Guardium和Secret Server等。”
近日,IBM Cloud Pak for Security的发布更是让IBM在云安全方面的产品矩阵更加完整。该平台创新性地实现了业界首次无需从原始数据源移动数据而能连接任意安全工具、云和本地部署的系统。
IBM Cloud Pak for Security的“台前幕后”
现在企业面临的安全形势非常严峻,比如连锁酒店、快递业等大型企业时不时在新闻里被报道的数据泄露事件。为此,企业在安全方面进行了大量投资。
陈文丰表示,混合多云环境要求安全部门进行复杂的集成。当企业把关键业务迁移到混合云环境,安全数据会分布在不同的工具、云、IT环境,这样造成的漏洞威胁会更大、非常复杂,导致安全部门的维护成本非常高。
通常大型企业采用二十种到五十种安全工具,这些工具在企业上云之后彼此是互相不通的,对于安全管理而言这是很大的挑战。超过半数的安全部门表示,他们很难把数据与不同的安全和分析工具集成在一起,也很难跨云环境把数据整合起来以发现高级威胁。
从2019年12月1日,国内等保2.0(网络安全等级保护制度)正式实施,企业需要实现从基础设施到云安全、大数据等多维度的保护,重视安全的防范。
陈文丰说,在混合多云时代,我们注意到三个特征。那就是容器化、开源技术和AI安全的功能。“不管是公有云、私有云或者混合云,这三个特性非常明显。”
IBM的Cloud Pak for Security是采用Red Hat OpenShift等开源技术开发的,而这些技术是企业云环境的基础。在这些开放灵活的构建模块上开发的Cloud Pak for Security支持跨任何云或者本地环境,轻松实现“容器化”部署。
随着企业不断添加新的云部署和迁移,Cloud Pak for Security可以轻松地适应这些新环境并支持不断扩展——客户甚至能够将敏感和关键任务工作负载放到云中,在中心安全平台上持续监视这些负载并进行控制。
除此以外,作为开放网络安全联盟(Open Cybersecurity Alliance)的创始成员之一,IBM和其他20多家组织正在共同研究开放标准和开放源代码技术,以实现产品的互操作性,避免安全行业的供应商锁定问题。
陈文丰表示,开放网络安全联盟依托开放云代码的技术,实现各家安全产品在开放的世界更有效地互通、互联、整合。
“对于云安全,IBM基本上是两个思路,第一个思路是Security for Cloud,如何保证云的安全。第二个思路是Security on Cloud,我们如何通过云提供安全解决方案。Cloud Pak for Security的理念就是通过云、容器化方式提供解决方案。” IBM大中华区安全事业部技术总监张红卫说。
IBM Cloud Pak for Security的过人之处
Cloud Pak for Security是采用IBM首创的开源新技术的第一个平台,它能够搜索并转换来自各种来源的安全数据,汇集企业多云IT环境中的关键安全洞察。这得益于其构建在Red Hat OpenShift容器平台,因为容器可以实现跨云,实现与各个数据源的连接、管理统一流程的集成。
张红卫表示,IBM Cloud Pak for Security可以无缝运行在任何环境中,无论是本地、私有云还是公有云。“Cloud Pak for Security是一个平台,越来越多的IBM安全能力会放到这个架构。我们先推出了两个服务能力,第一个是Data Explorer(联邦搜索与调查,Federated Search & Investigation),第二个能力叫SOAR (Security Operation & Automation Response)——Resilient,就是安全编排和自动化响应。”
利用Cloud Pak for Security的联邦搜索与调查Data Explorer应用,安全分析师能够非常顺利地跨任何安全工具或者跨云进行搜索威胁。Cloud Pak for Security是业界第一款不需要将数据迁移至平台即可进行安全分析的工具。
张红卫说,Cloud Pak for Security提供了统一的数据服务,通过接口可以连接各种各样的数据源。“数据在安全分析中起到了关键作用,比如SIEM(安全信息和事件管理)把所有的日志、数据收集起来,通过关联分析发现里面的真正威胁和告警,针对真正的威胁和告警进行处理和响应。IBM QRadar就是SIEM。”
但是现实是我们现在面临的是海量多样化的数据,SIEM的数据已经无法支撑现有的安全分析,我们需要更多的数据源。“IBM利用边缘计算的概念,推出了Federated Search & Investigation。我不移动你的数据,只跟数据之间建立一个连接,然后就可以通过Federated Search & Investigation 的命令下达下去,分析各个数据源,把相应的结果反馈给我,在终端进行展现。这就是IBM的联邦调查和搜索的能力。”张红卫解释说。
这也是IBM参与OCA联盟的原因,联盟的目的是通过建立统一的标准、协议,甚至开源的代码,让联盟之间、成员之间可以进行数据交换、信息交换,甚至是分享洞察。这比开放API更加便利,因为只是开放API,还需要考虑定制、功能开发等。而遵循标准和协议,可以直接做到开箱即用,这与开发API是不同的。
目前,Cloud Pak for Security包括了用于与流行安全工具进行预集成的初始连接器,这些工具来自IBM、Carbon Black、Tenable、Elastic、BigFix、Splunk,以及包括IBM云、AWS和微软Azure在内的公有云提供商。
“国内大部分态势感知平台是基于Elastic,IBM会和国内厂商进一步接触,实现产品和业务的对接。这是一个互利,对客户来讲是好的,过去的投资能够得到保障,我相信不管是国外的安全公司、还是国内的安全公司,应该朝这个方向去努力。”陈文丰说。
对于安全编排和自动化响应(SOAR)平台,Cloud Pak for Security提供了事件管理、自动化响应和威胁情报平台。
张红卫表示,安全分析和事件响应的主要功能就是威胁的侦测、威胁的调查、事件的编排和事件的自动化响应。辅助这些能力,我们需要AI的能力、威胁情报的能力。
Cloud Pak for Security与业界的SOAR产品不同,具有自己的特点。Cloud Pak for Security事件管理提供了知识库,而且针对不同的安全事件有一个响应的模板,可以基于这个模板定制化公司自己的响应流程,IBM的响应流程是模块化的,还包含一个隐私模块。
特别是IBM Cloud Pak for Security在统一的界面下可以把安全工作流与自动规程连接起来,IBM的安全编排、自动化和响应功能与Red Hat Ansible相集成,提供了更多的自动化规程。“我们Resilient和Ansible集成以后,很多自动化响应的工具和命令完全可以通过Ansible来完成,扩大了自动化响应的能力。”张红卫说。
Cloud Pak for Security还为托管安全服务提供商(MSSP)提供了模型,使这些提供商能够大规模的高效运营、连接安全孤岛并优化其安全流程。企业还可以使用各种IBM安全服务,例如,按需咨询、定制开发和事故响应等。
陈文丰表示,IBM在安全领域除了有软件、产品,也有咨询服务。“我们看到机会很多,不管是国外还是国内市场,IBM与合作伙伴一起推动整个安全市场的发展,护航客户的业务转型。”
【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】