扩展边界防御从RSA2015看边界防御技术融合

  【天极网网络频道】网络安全技术的一个重要分支是边界防御技术，在真实的网络物理边界处对合法的、不合法的访问进行控制，长久以来被认为是易于使用且有效的。但随着攻击手段的进步，以及新型网络技术的发展，边界防御开始变得不那么有效起来。传统边界防御的不足是明显的，包括无法识别未知威胁，对云数据中心虚拟网络支持不足，特别是对无线接入存在管控盲区。

  刚刚过去的RSAC 2015盛会上，旧金山会场的喧嚣仍历历在目，就在写这篇文章的同时，邮箱里还在不断收到会议上拜访过厂商的回访邮件。笔者一直比较关注提供边界防御技术的厂商，从这次大会现场厂商展示重点以及宣传资料上来看，厂商采用了多种新型技术与边界防御技术融合，或把边界防御形式进行转换，所谓功夫在“边界”之外，最终目的还是在边界处发挥作用，笔者把这些新技术形式暂时称为“扩展边界防御”，下面笔者就为大家分享一下，如何通过与新技术融合以及转换形式，实现边界防御的“扩展”

  与“沙箱”、“云”技术的融合，以Palo Alto Network(以下简称：PAN)的WildFire解决方案为例，WildFire本身是一个架构在公有云上的威胁分析、发现、同步服务，其可以接受PAN的NGFW产品传送的可疑流量进行分析(比如沙箱)，发现APT的蛛丝马迹，并把分析的结果形成威胁情报信息实时推送给其所有NGFW设备。接入这个公有云体系的设备除了PAN的NGFW产品外，还包括其GlobalProtect技术保护下的所有移动终端，这样通过WildFire体系的威胁分析能力，PAN使得网关设备和移动设备都具有了对APT的边界防御能力。再如Fortinet推出的FortiSandBox产品，这个产品是以沙箱为核心的硬件威胁分析设备，通过和Fortinet自家的FortiGate产品进行联动，由FortiGate传送可疑流量给FortiSandBox进行分析，依据分析的结果判定FortiGate产品是否要对此流量放行。再如AhnLab推出的AhnLab MDS产品，这个产品也是以沙箱为核心的硬件威胁分析设备，与Fortinet不同的是，AhnLab在会场上重点宣传的是MDS与终端设备的联动，通过安装在终端上的Agent程序把可疑文件在正式进入操作系统运行前“Holding”，送给MDS进行分析，再根据分析结果决定是否允许此文件进入操作系统运行。

  与“大数据”、“机器学习”等技术的融合，本届RSA大会，有一类厂商使用“大数据”、“机器学习”等技术做为分析手段，识别未知的安全威胁，并把识别的结果做为威胁情报服务有偿提供给边界防御技术厂商，从而极大扩展了边界防御可识别的威胁类型、内容。以Bit9+Carbon Black的解决方案为例，该方案主要作用于终端操作系统边界，通过Bit9的白名单服务与终端策略结合可决定哪些文件能进入操作系统运行，Carbon Black则是对白名单服务的补充，这种技术通过在终端部署“Recoder”程序捕获应用程序行为，通过大数据分析发现危险的应用程序行为，并且提供和其他集中分析平台如SOC的集成接口，两者合成的威胁情报云为边界防御技术厂商如PAN，Check Point提供服务。再如Webroot推出的BrightCloud解决方案，该方案凭借Webroot宣称的第三代“机器学习”技术，建立了一套多维度的互联网信誉体系，这些维度包括IP、URL、File等，并通过和PAN这样的边界防御技术厂商集成最终发挥其作用。

  与“虚拟化”技术的融合，今天的云计算中心存在两种类型的网络流量，“南北向”和“东西向”，“南北向”通常指虚拟化核心层应用和外部互联网的来往流量，这类流量使用物理边界防御技术即可控制;“东西向”通常指虚拟化核心层内不同租户的不同应用、或同一租户的不同应用之间的来往流量，这一类流量由于部分在虚拟交换机或实体交换机上进行传递，而使得物理边界防御技术无法奏效。仍以PAN的解决方案为例，通过软件虚拟化技术把其PANOS以纯软件的形态部署成虚拟机实例，和其他租户的虚拟应用同处在一个虚拟化环境下，通过云计算管理软件的调度，把PAN OS部署在不同租户之间，或同一租户的不同应用之间，目前支持VMWare NSX，亚马逊，KVM等云环境。再看Lancope的解决方案，笔者认为这种方案是非常适合边界防御技术集成的，这个方案基于Netflow技术，收集物理或虚拟交换机，以及虚拟机实例上的流量，其称为FlowSensor。Lancope用其称为FlowCollector的设备接收这些流量，并通过Management Console统一管理这些设备。Lancope对收集到的这些流量进行行为分析，建立一段时间内的行为基线，当收集到的实时行为数据与基线有所偏离时触发报警。据Lancope提供的资料显示，目前其技术已经和PAN、Check point等厂商结合用于边界防御，并和Radware这样的厂商集成用于抗DDos。

  通过本届RSA大会，笔者对“边界防御”有了新的认识，国外领先厂商通过各种技术手段，对边界可防御的安全威胁类型，以及边界防御的形式作出了充分的扩展。