12 月 2 日,第四届世界互联网大会“互联网之光”博览会的创新发布区上众星云集,来自云计算、人工智能、大数据、网络安全等前沿科技领域的数十家企业带来了各自的首发新品,向参观者展示了各个行业内的众多先进创新成果。记者注意到,除了目前大热的人工智能、大数据等领域技术发展迅速之外,网络安全这一相对低调神秘的领域,今年也曝光出许多“黑科技”,成为了今年发布会上的吸睛亮点。
北京卫达信息技术有限公司(简称“卫达安全”)是发布会上为数不多的网络安全企业之一,也是其中尤其引人注目的一匹黑马。他们在发布会上推出了一款专门针对云平台的安全防护系统——“幻境”云平台下的虚拟化解决方案,号称是“改变游戏规则,打破传统防御思路”的颠覆性产品。针对这一令人惊喜的发现,记者带着强烈的好奇心,对它进行了一番深入探究。
云平台的发展与安全挑战
作为一种统一管理、灵活调度、便捷配置的新型资源利用模式,云平台以其高效、迅速、经济的特点广受各行各业欢迎。然而,随着基于云平台的网络应用不断发展,针对云平台的威胁也层出不穷。除了传统的网络威胁之外,云服务的虚拟特性也带来了很多新的风险。卫达安全的新品发布演讲者——卫达公司创始人兼CEO张长河在介绍“幻境”云平台下的虚拟化解决方案时讲到,目前云平台主要面临五大安全挑战:
1.云平台网络资源集中,攻击目标变大
在一个设计不当的云服务数据库中,攻击者通过进入一个账户便可以进入与该服务相关的其他账户,与传统网络中分散的攻击目标相比,云平台为攻击者选择“猎物”提供了“便捷服务”。
2.云平台边界被打破,攻击范围扩大
云的快速布局和自动化是一把双刃剑,如果存在漏洞,危害的传播也会更迅速。云平台上的虚拟空间之间失去物理界限做屏障,传统IT架构下的隔离原则失效,原来的可信边界被彻底被打破,一旦网络被攻击,影响范围比传统网络更广,扩散速度更快。
3.虚拟空间周边环境不明确,形成虚拟空间黑洞
云服务供应商在公开提供服务的同时难以有效识别和屏蔽黑客的恶意租用,难以限制使用者意图,黑客一旦合法进入云平台并突破边界隔离,便可以对平台上的用户发动攻击,对整个云服务系统造成威胁。
4.虚拟终端监控受限,威胁隐患加深
云平台上虚拟终端之间的通信无法被全程监控,若出现异常通信很难第一时间被发现,延长了威胁处置事件,带来深层安全隐患。
5.传统防御手段被动落后,无法应对云平台的复杂多变
目前大部分的安全防御产品主要基于传统网络架构而开发,多采用硬件设备形式,不适应云平台的虚拟化环境,导致云平台防御产品和应用相对空白;此外,每个安全节点各自为战,缺少实质性的联动,难以适应灵活多变的云平台服务,造成虚拟空间之间的防御不够体系化。
这些安全隐患制约着云技术的进一步发展。一旦有威胁爆发,可能会给云平台运维者及云上用户造成不可估量的损失,而问题的根本原因在于现有的云平台安全防护方法对网络攻击缺乏统一、有效的防御手段。因此,一个能够有效应对网络攻击、对云平台网络进行一体化防御和监管的安全系统对于云平台的应用至关重要。
有效防御需创新思路,卫达安全成为黑马的秘诀在哪里?
针对以上困境,张长河总裁在发布会上给出了卫达安全的解决思路。卫达安全通过从理念和技术两方面进行创新,成功研发出了能够有效抵御网络威胁、全面覆盖虚拟空间、整体保护云上虚拟网络安全的防御系统。
卫达安全在发布会上展示的这一新品——“幻境”云平台下的虚拟化解决方案以其全球首创的“智能动态防御”技术为核心,打破了长期以来固化的静态网络防御思路,转变了传统防御的被动模式,并融合了人工智能、虚拟化、软件定义网络(SDN)等一系列最新科技成果,能够实现虚拟级的威胁检测与隔离,快速发现并阻断虚拟应用之间东西向的网络攻击,提前处置威胁,对云平台实施动态、一体化的防御保护。
这些一一击中云平台安全痛点的“干货”功能,令“幻境”云平台下的虚拟化解决方案成为了今年世界互联网大会“互联网之光”博览会上吸睛无数的最“靓”新品之一。
然而如此完善的防御功能,卫达安全是如何做到的呢?
根据发布会上的介绍,“幻境”云平台下的虚拟化解决方案所采用的“智能动态防御”技术是核心秘诀。该技术在动态防御的基础上,结合了中国传统经典《孙子兵法》中的战术思想和时下最前沿的人工智能技术,开创了一种颠覆传统网络安全理念的新思路,彻底改变网络安全防御的游戏规则。
事实上,卫达安全在发布会上列举了“幻境”云平台下的虚拟化解决方案的数个技术特色,每一条都堪称重量级:
1. 拥有动态变换网络环境和网络结构,能够在保持原有网络配置完整性的基础上,通过隐藏虚拟主机的真实IP地址,为虚拟主机分配动态虚拟IP地址,使用户正常网络应用不受影响的情况下实现网络拓扑和虚拟主机的网络身份高速随机跳变。
2. 应用人工智能技术,能够通过机器学习形成行为记忆,深入分析和识别网络攻击行为,有效感知网络运行状况,主动改变防御策略,实现随势而动,具有更大的灵活性和适应性。
3. 利用全息伪装技术,将不同网络节点数字化描述,全息虚拟大量与真实节点功能一致的虚拟空间,通过较少的投资、较少的资源消耗,可以在网络中部署大量高仿真的伪装节点和虚开端口,动态随机的改变网络节点属性,迷惑攻击者,破坏其识别能力。
4. 设置极具诱惑力的高仿真虚拟节点作为“哨兵节点”,开放一些容易被黑客攻击的常用服务来诱捕攻击者,实时监测不符合动态变换规则的异常网络行为,从而可以提前一步完成对网络环境的动态认知。
5. 运用先进的软件定义网络(SDN)设计理念,以虚拟应用为基本防护单位,能够有效区分正常行为和攻击行为,建立牢固的边界隔离。
6. 采用微隔离技术,将每个虚拟空间定义为一个独立的逻辑网络,能够将所有通信限制在自己的独立子网之中,进行实时监控,一旦发生网络攻击可以快速定位,进行封堵,有效避免攻击扩散。
7. 通过流可视技术,采用全流量串接接入的方式,能够实时截获和分析所有通信数据,并将其按照不同种类结构化进行存储,实现对整个云平台上通信过程和数据流向的全程监控。
乌镇峰会为起点,卫达安全将助力云平台更安全可靠的发展
在“智能动态防御”技术和一系列前沿成果的支持下,“幻境”云平台下的虚拟化解决方案由此拥有了以下几大典型特征:
1.不以先验知识为基础,有效抵御未知威胁
不基于先验知识的特征码识别,仅改变信息系统内部的状态和结构,通过自身变化破坏了攻击过程依赖的环境或数据,从根本上阻止攻击发生,既防范已知风险,更能够防御因漏洞而产生的各类未知威胁。
2.在网络中制造“迷雾”环境,拉高攻击成本
通过提供误导性的网络拓扑结构、流量以及行为观察结果,增加混淆信息,增加网络的不确定性、欺骗性及迷惑性,使攻击者无法摸清网络状况,找不到攻击目标,即使长时间潜伏收集信息也难以实施行动,极大增加攻击者的攻击难度,提高攻击代价。
3.设置重重陷阱,主动封堵攻击
营造动态网络环境,并结合动态防御算法设置伪装节点和虚开端口,迫使攻击者在极大概率下触发“陷阱”并产生告警,使系统实时对攻击源进行定位和封堵,斩断攻击链的第一环,实现事前主动防御。
4.消除网络黑洞,令安全事件最大程度可控
对网络实现全覆盖监测,能够监控并分析任意节点之间的通信,改变了传统的单层防御方式,实现多点联动,纵深防御,使攻击事件影响可控,最大限度降低损失。
据了解,目前“幻境”云平台下的虚拟化解决方案分别支持Raw、Qcow2、Vmdk 三种云镜像格式,可部署在VMware、Openstack、Hyper-V云平台环境下,具有广泛的适用性。
在发布会现场,记者注意到卫达安全的这一新品引起了许多在场观众的浓厚兴趣,演讲一结束张长河总裁便被众人围拢,现场观众纷纷上前咨询交流,足见业内对云平台安全的关注以及对新技术的期待。随着云技术的大范围推广,云安全问题必将成为影响和制约云计算发展至关重要的因素,但现有的云安全产品无论在技术还是理念上仍然有些相形见绌,要跟上云时代的快速发展,需要走的路还很长。从今年的世界互联网大会来看,在创新这条路上,卫达安全这匹黑马或许将成为这个行业的颠覆者,新路径的开拓者。