在時尚界,“中國風”是一個鮮明的標籤,代表了一種獨特的東方氣質和韻味,是一種蘊含大量中國元素,並適應全球流行趨勢的藝術形式或生活方式。“中國風”不僅被廣泛應用於流行文化領域,今天還被華為引入了網絡安全領域。
在近一個月內舉行的“2018華為網絡安全中國行”各站活動上,不僅背景音樂是柔美的中國風,演講PPT採用潑墨技法的中國山水作為點綴,而且華為網絡安全領域總經理宋端智為配合活動氣氛還換上了唐裝,在介紹華為網絡安全技術和解決方案時更是引經據典,四字成語頻出。華為要為網絡安全界引入一股清純的“中國風”,也是“華為風”。
“大全而”的前提是聚焦
大家都知道,華為可以提供端到端的IT基礎設施解決方案,並且對其中的華為服務器、存儲、網絡產品也十分熟悉,但是華為網絡安全業務似乎一直都在“潛行”。雖然華為網絡安全擁有超過2500人的研發團隊和2892項專利,穩居國內一線安全廠商陣營,但是華為網絡安全以前很少進行市場宣傳,這次“2018華為網絡安全中國行”可以說是華為網絡安全有史以來最大規模的市場活動。
華為網絡安全要搞大事情?華為要給中國乃至全球的網絡安全領域帶來一股清新之風——融匯了智能的軟件定義安全。
把數字世界帶入每個人、每個家庭、每個組織,構建萬物互聯的智能世界——這是華為的新願景。智能的世界就不能沒有智能的連接、智能的安全。華為的目標是積極構建網絡安全能力,並用網絡安全為客戶和社會創造價值。這也是華為舉辦“2018華為網絡安全中國行”的初衷。
隨著雲計算、大數據、人工智能、物聯網等技術和應用的興起,安全市場也劃分得更細,一些初創的安全廠商針對某一具體應用場景,利用某一點的技術優勢,就一躍而成為某一安全細分領域的佼佼者,比如雲安全、大數據安全、智能安全等。從華為做事的一貫風格來看,要麼不做,要做就要做到最好,覆蓋硬件平臺、軟件系統,提供一個大而全的解決方案。在網絡安全領域,華為也是如此嗎?
宋端智表示:“華為有能力提供大而全的網絡安全解決方案,但我們首先會聚焦。當前,以SDSec為代表的軟件定義安全解決方案就是我們的業務重點和焦點。”
提到大而全,第一層含義,華為本身就像是一部內部各個零件咬合得非常精準的機器,不同的產品和業務部門之間總是保持協調一致,比如網絡安全部門會與網絡產品部門形成合力,將華為在芯片、網絡技術等方面的優勢充分發揮出來,從而保證安全解決方案的完整性、協同性和高效性;第二層含義,華為做網絡安全一定會聚焦自己所擅長的並聚合業界頂尖的力量,聯合合作伙伴一起為客戶提供完整、有效的防護,比如終端安全可以找江民和亞信,應用安全可以找盛邦,這些安全合作伙伴也都積極參與了“2018華為網絡安全中國行”,現身說法。
“一切的目的都是為了幫助客戶解決問題,消除安全隱患,所以華為要牽頭提供一個完整的安全解決方案,避免因多個不同產品拼湊在一起可能導致的不兼容或出問題後的相互扯皮現象。我們致力於在一個統一的框架下,提供一個整體的安全解決方案方案,這樣才能更有針對性地消除用戶的應用痛點,帶來更多價值。”宋端智表示,“在此之上,我們會建立一個最廣泛的安全商業聯盟,並持續推動其發展。我們希望聯盟成員的產品之間要具有互補性,而且每個成員都是各自細分領域的頂級廠商,既具備很強的技術能力,又有相互合作的強烈意願,大家可以共同成長。”
軟件定義安全將全面爆發
網絡安全的現狀是“攻易守難”。傳統的網絡安全防禦通常是“老三樣”——被動防禦、單點防禦、人工運維。對此,華為有點“看不慣”。
宋端智指出:有些企業採用安全解決方案不是為了防禦而是為了合規,有一種“應付”的心態,總想逃避或減輕自己的責任,這是本末倒置;一些企業更多考慮的是如何在安全問題發生後進行事後補救,而不是提前預防;各種預測手段不斷增加,導致安全告警氾濫,告警的準確性難以保障,這讓用戶感到無所適從,而真正的安全隱患不能得到及時處置;一些用戶重視感知,反而忽視了響應,其實感知的關鍵不是感知本身,而是感知之後要有動作和響應。
針對這些問題,華為能帶來什麼改變?基於軟件定義安全構建一個主動防禦體系。在2018MWC世界移動通信大會期間,華為面向全球發佈了全新的SDSec安全解決方案,創新性地引入針對虛擬化場景的安全控制器SecoManager,實現了跨多雲、多分支的統一安全業務編排與管理,讓網絡與安全深度協同,實現策略聯動,主動防禦威脅,為企業構建智能的防護體系。
Gartner對SDSec的定義主要是限定在雲環境中的動態資源分配下發以及對雲環境的保護。基於Gartner的定義,很多廠商都推出了所謂的SDSec解決方案。華為雖然沿用了SDSec這個名詞,但對其內涵進行了擴展,並不侷限於雲環境中的資源調度和管理,而是普遍適用“軟件定義”的概念,用軟件來定義幾乎所有的相關功能,除了數據中心網絡,辦公網絡、物聯網等也可以用軟件來定義其安全功能。
華為SDSec安全解決方案就像一個“變形金剛”,主要由“分析器、控制器和執行器”組合而成,同時又融入了人工智能技術,實現了檢測智能、處置智能和運維智能,變被動防禦為主動防禦,變單點防禦為全網協防,變人工運維為智能運維。這三大轉變讓華為的網絡安全方案變得與眾不同。
分析器相當於人的“大腦”,它以大數據智能安全分析系統(CyberSecurity Intelligent System,CIS)為核心組件,具備對包括APT高級可持續威脅在內的各類安全威脅進行檢測的能力,可基於大數據、AI技術進行精準檢測、態勢感知、Kill-Chain溯源等。輔助的分析器還包括華為FireHunter沙箱,可對50餘種常見文件類型進行檢測。控制器相當於人的“中樞神經”,它以SecoManager安全控制器為核心組件,實現面向多租戶的全生命週期安全策略管理、業務編排。控制器可以取代一些傳統的網管設備。執行器(採集器)相當於人的“四肢”,主要負責安全防禦動作的採集上報和執行。
華為SDSec安全解決方案一經推出便引起了廣泛關注,一些私有政務雲、銀行客戶目前已經在使用或測試華為SDSec安全解決方案。Gartner於2017年7月發佈的新興技術成熟度曲線顯示,軟件定義安全已經到了大規模商用的臨界點。SDSec為安全政策的執行帶來了速度和敏捷性。宋端智表示,SDSec將是華為網絡安全的一個新增長點。
“四大絕技”傍身
2017年,華為發佈SDSec安全解決方案時,還是一個雛形或者說是一個框架。華為也只是與國內小範圍內的客戶進行過交流。如今半年多過去了,華為SDSec安全解決方案變得更加“豐滿”,大家對軟件定義安全的概念也有了更清晰的認知。華為還與京東、招商銀行等客戶進行聯合創新。華為未然實驗室也把SDSec當成一個標靶,不斷優化,使它更加成熟。
宋端智打比方說,華為SDSec具有十八般武藝,其中四大技能讓人津津樂道。
“火眼金晴”——基於AI的檢測,讓安全威脅無所遁形。基於動態行為機器學習和Hypervisor層檢測技術,華為SDSec安全解決方案可以進行全面流量檢測,精準辨識惡意文件,準確率達99.5%,加密流量也可以實現不解密檢測。
據宋端智介紹,從6年前開始,位於德國慕尼黑的華為實驗室就開始研究安全與機器學習、人工智能技術,這些都是華為第三代沙箱的基礎技術。另外,華為雲是一個最好的“實驗場”,華為的網絡安全技術可以在這裡得到檢驗和應用,然後再進一步優化。
“全民皆兵”——網絡設備變身探針和執行器,可以定點清除威脅。全民皆兵是一個非常形象的比喻,交換機、路由器、安全設備和各種終端都是“兵”,處處皆可防禦,從而將傳統的單點防禦變成全網防禦,網絡設備、安全設備以及終端可以實現採集和執行,按需調度。
“天羅地網”——華為首創基於網絡設備的交互誘捕陷阱,藉助網絡設備實現全網覆蓋,誘捕陷阱可以自動化批量部署,無處不在,從而實現網絡安全聯動和實時防禦。宋端智比喻說,這就叫請君入甕,讓威脅插翅難逃。
“運籌帷幄”——這就像是每個企業都有一個“諸葛亮”,穩坐中軍,按需調度,協同聯動,實現策略的全局管理和自動優化。其實,這就是華為SDSec安全解決方案中的控制器在發揮作用,指揮網絡和網元做出及時響應。
對於用戶來說,先進而智能的技術是不可或缺的,但是用戶更需要的是一個“交鑰匙”的解決方案,自動形成一個安全閉環,主動發現威脅並可一鍵處置,然後將處置的結果自動通知用戶。用戶不必關注整個處理的細節。這大概就是主動安全防禦的最高境界,也是華為網絡安全追求的目標。
7月3日上海站,為為期近一個月的“2018華為網絡安全中國行”系列活動畫上了一個圓滿的句號。不過,我們都明白,這並不是一個終點,而是華為網絡安全的新起點。一幅以軟件定義安全為主題的帶有“華為風”的中國水墨畫正緩緩展開。
閱讀更多 濤哥說事 的文章
