那么，瞻博網(wǎng)絡(luò)的軟件定義安全網(wǎng)絡(luò)（SDSN）解決方案如何幫助您做好新IT基礎(chǔ)架構(gòu)環(huán)境下的企業(yè)信息安全規(guī)劃的呢？

　　我們簡(jiǎn)單的盤點(diǎn)一下自2016年下半年以來，全球大型的安全事件：

　　2017年2月，知名云安全服務(wù)商Cloudflare被曝泄漏用戶HTTPS網(wǎng)絡(luò)會(huì)話中的加密數(shù)據(jù)長達(dá)數(shù)月。

　　從這些事件可以看出，很多安全問題沒有得到足夠的重視，比如物聯(lián)網(wǎng)安全，當(dāng)我們家用的空氣凈化器、電飯鍋被黑客用于DDoS攻擊時(shí)，我們甚至都不知道如何去給它設(shè)置一個(gè)密碼。黑客組織在技術(shù)上始終保持著領(lǐng)先，戰(zhàn)略上始終保持著主動(dòng)，作為被動(dòng)防御又缺乏安全專業(yè)技術(shù)的普通公司，企業(yè)信息安全似乎成了一個(gè)偽命題了。

　　有一種觀點(diǎn)，認(rèn)為物聯(lián)網(wǎng)和企業(yè)安全距離還有點(diǎn)遠(yuǎn)，有的企業(yè)網(wǎng)絡(luò)是完全隔離的內(nèi)網(wǎng)，比如傳統(tǒng)的銀行。那么完全和Internet隔離的內(nèi)網(wǎng)似乎就沒有問題了嗎？這也是物聯(lián)網(wǎng)安全沒有得到足夠重視的原因之一。類似的觀點(diǎn)還有，有的企業(yè)IT基礎(chǔ)架構(gòu)主要依靠公有云，公有云自身有很強(qiáng)的安全保障，公有云還可以提供很多安全服務(wù)，不用擔(dān)心安全問題。而無數(shù)的歷史經(jīng)驗(yàn)證明，沒有問題往往意味著更大的隱患。

　　以Yahoo事件為例，兩次被曝出5億和10億用戶賬戶泄漏，尚且不知道有沒有重疊，如此龐大的用戶賬戶泄漏，為什么Yahoo沒能防止，甚至是沒有察覺到？一種說法認(rèn)為，黑客組織采取了一種被稱為緩慢出血（Slowbleed）技術(shù)，少量的數(shù)據(jù)難以被察覺的持續(xù)流出，經(jīng)過數(shù)周、數(shù)月甚至數(shù)年時(shí)間，流出的數(shù)據(jù)在外部組合起來得以如此龐大。

　　從Yahoo事件可以得到幾個(gè)關(guān)鍵詞——高級(jí)威脅、持續(xù)、內(nèi)部，而這正是傳統(tǒng)的企業(yè)網(wǎng)安全模型薄弱的環(huán)節(jié)。傳統(tǒng)的網(wǎng)絡(luò)安全是在網(wǎng)絡(luò)的出入口部署安全設(shè)備，如防火墻、入侵防護(hù)、應(yīng)用安全控制等等，也就是邊界安全模式。

　　高級(jí)威脅主要的實(shí)現(xiàn)方式是通過精心偽裝的惡意軟件（Malware），并不一定是程序，可能只是一個(gè)Word文檔，穿過邊界到內(nèi)部主機(jī)，再由內(nèi)部主機(jī)主動(dòng)連接外部的控制主機(jī)（C&C Server），因?yàn)閮?nèi)部訪問外部默認(rèn)是安全、不加限制的，使得CC主機(jī)得到控制權(quán)后，就可以為所欲為了。因此，在傳統(tǒng)安全模式下，對(duì)高級(jí)威脅是無力防護(hù)的，同樣無法防護(hù)的還有零日攻擊（Zero day attacks）。

　　對(duì)于云安全，公有云提供商的關(guān)注點(diǎn)往往在云基礎(chǔ)設(shè)施的安全性和可提供的安全服務(wù)上，對(duì)于用戶使用云過程中的安全問題，是缺乏關(guān)注的，比如典型的“帳號(hào)劫持”問題。另外混合云架構(gòu)會(huì)為企業(yè)網(wǎng)絡(luò)帶來一個(gè)私有云與不同層次的公有云（SaaS、PaaS、IaaS等）之間復(fù)雜的連接，如何做好安全控制和降低風(fēng)險(xiǎn)，是一個(gè)更大的挑戰(zhàn)。

　　瞻博網(wǎng)絡(luò)的軟件定義安全網(wǎng)絡(luò)（SDSN）解決方案，提供了一個(gè)很好的思路。瞻博網(wǎng)絡(luò)SDSN倡導(dǎo)從“網(wǎng)絡(luò)安全”到“安全網(wǎng)絡(luò)”的轉(zhuǎn)變，也就是無邊界安全或者零信任安全模式其核心思想是認(rèn)為網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)都是獨(dú)立的安全邊界，都可以進(jìn)行安全威脅的檢測(cè)和防護(hù)動(dòng)作。我們做一個(gè)形象的比喻，就如一棟大樓由只在入口設(shè)置安保人員，變成為每一個(gè)房間、甚至每一個(gè)人設(shè)置一個(gè)私人保鏢保護(hù)。

　　除了自身探測(cè)的威脅情報(bào)，Sky-ATP系統(tǒng)可以接收來自第三方安全機(jī)構(gòu)的情報(bào)，實(shí)時(shí)共享，同時(shí)支持『定制情報(bào)』的輸入（Custom feeds）。

　　SDSN的應(yīng)用場(chǎng)景還有數(shù)據(jù)中心、運(yùn)營商邊界網(wǎng)等，包括虛擬化數(shù)據(jù)中心的虛擬分區(qū)間安全控制，運(yùn)營商邊界Cloud CPE設(shè)備上部署的虛擬安全服務(wù)管控等，本文旨在探討企業(yè)網(wǎng)安全規(guī)劃的思路，方案部分不再做詳細(xì)的分享。

　　值得一提的是前文提到的銀行網(wǎng)絡(luò)問題，視乎和Internet隔離就安全了，同時(shí)來自Internet的威脅情報(bào)，諸如CC主機(jī)信息等對(duì)于內(nèi)網(wǎng)來說也沒有價(jià)值。事實(shí)上對(duì)于行業(yè)用戶來說，需要的是針對(duì)自身網(wǎng)絡(luò)的威脅情報(bào)，比如一個(gè)Web Server某一天突然主動(dòng)發(fā)起了一個(gè)FTP會(huì)話，可能就是一個(gè)有價(jià)值的威脅情報(bào)，而這樣的情報(bào)沒有任何外部資源可以提供，這就需要行業(yè)用戶自己挖掘。

　　目前有一些安全公司已經(jīng)在提供用于威脅情報(bào)挖掘的大數(shù)據(jù)平臺(tái)解決方案，而部分行業(yè)客戶已經(jīng)開始部署。自己挖掘數(shù)據(jù)有一定的滯后性，但經(jīng)過一定時(shí)間的積累，是能夠真正起到作用的有效投入。而前文提到的SDSN支持的定制情報(bào)特性（Custom feeds），在此場(chǎng)景就可以很好的融合，通過將大數(shù)據(jù)平臺(tái)挖掘的情報(bào)輸入給PE，PE可以進(jìn)行統(tǒng)一管理，或者實(shí)時(shí)下發(fā)策略給網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行攔截，就成為一個(gè)行業(yè)專用的實(shí)時(shí)威脅防護(hù)平臺(tái)。

　　軟件定義安全網(wǎng)絡(luò)并不只是一個(gè)口號(hào)，同時(shí)帶來了一些很好的思路，簡(jiǎn)單總結(jié)如下幾點(diǎn)，可以作為企業(yè)信息安全規(guī)劃的參考：

　　在高級(jí)威脅面前，作為防護(hù)者，技術(shù)是永遠(yuǎn)落后于黑客組織的，諸如精心偽裝的Malware、零日攻擊問題，利用技術(shù)手段很難防護(hù)，而通過獲得全面的威脅情報(bào)，比如黑客組織的CC地址、GEOIP等，Malware雖然做了各種的精心的偽裝，但是最終無法偽裝其行為，當(dāng)其臥薪嘗膽之后連往外部的CC主機(jī)之時(shí)，通過策略的聯(lián)動(dòng)就可以實(shí)時(shí)攔截下來，使其前功盡棄。

　　如果你的網(wǎng)絡(luò)是專有網(wǎng)絡(luò)，那么外部的威脅情報(bào)可能沒有價(jià)值，那么需要考慮如何自力更生挖掘?qū)儆谧约旱那閳?bào)信息，例如搭建內(nèi)網(wǎng)的大數(shù)據(jù)分析平臺(tái)。

　　未來十年，企業(yè)在安全建設(shè)的投入增長將超過40%，安全管理會(huì)像網(wǎng)絡(luò)管理一樣普遍和深入。盡早搭建安全管理平臺(tái)，把威脅情報(bào)、策略控制、風(fēng)險(xiǎn)管理等整個(gè)網(wǎng)絡(luò)的安全集中統(tǒng)一的管理起來，不失為一個(gè)好的主意。

　　安全管理平臺(tái)需要能夠支持全網(wǎng)節(jié)點(diǎn)的策略下發(fā)能力，這就需要解決網(wǎng)絡(luò)節(jié)點(diǎn)多品牌產(chǎn)品的兼容性問題，例如瞻博網(wǎng)絡(luò)的SDSN解決方案，除了支持瞻博網(wǎng)絡(luò)的產(chǎn)品外，逐步會(huì)支持第三方的網(wǎng)絡(luò)設(shè)備策略控制。

　　這里的每一個(gè)點(diǎn)，不僅限于網(wǎng)絡(luò)節(jié)點(diǎn)，包括服務(wù)器、存儲(chǔ)、PC、工作站、IP音視頻，以及可能接入網(wǎng)絡(luò)的所有智能終端等等，零信任安全是安全發(fā)展的必然的模型，為你的每一個(gè)點(diǎn)都設(shè)置一個(gè)私人保鏢吧。

　　高級(jí)威脅已臨，SDSN刻不容緩，SDSN倡導(dǎo)從“網(wǎng)絡(luò)安全”到“安全網(wǎng)絡(luò)”的轉(zhuǎn)變。一直以來我們都重點(diǎn)關(guān)注威脅帶來的風(fēng)險(xiǎn)，而輕視了降低風(fēng)險(xiǎn)的重要性。攻擊是不擇手段的，比如現(xiàn)在流行的社交媒體攻擊，黑客組織可能通過清理貴公司的垃圾桶，就可能獲取到非常有價(jià)值的信息。通過技術(shù)手段增加安全性的同時(shí)，也要考慮降低風(fēng)險(xiǎn)的投入。一個(gè)比喻：應(yīng)對(duì)入室盜竊的威脅，選擇一，可以投資一套閉路監(jiān)控系統(tǒng)，提升安全性，這樣入室盜竊發(fā)生后，可以通過監(jiān)控錄像找到線索嘗試追回；另一種選擇，通過投資更換一套更高級(jí)的門鎖，就可以有效降低入室盜竊的風(fēng)險(xiǎn)。