在影响采用公有云的顾虑当中,环境的安全性排在前三之一。“因此,在的云计算战略当中,包括ArcSight在内的安全产品将能够为惠普所提供的云计算进行保驾护航。”惠普全球副总裁、惠普企业安全总经理宋海燕女士在接受记者的独家采访时表示,“惠普将把安全的理念真正地贯彻到惠普所提供的每一个(云)业务当中去,使得每个都是可用的。”宋海燕女士对惠普安全业务的自信从何而来?惠普在云计算安全方面,又有什么战略?请看比特网的采访报道。
中间为惠普全球副总裁、惠普企业安全总经理宋海燕女士
比特网:现在是云计算时代,很多企业都整合,走向云数据中心时代。在这个过程中,企业出现的安全事件主要集中在哪些方面?
宋海燕:有很多客户原来是在一个安全的网络上访问,而他的云计算部署往往是渐进的,这其中就不可避免会有一些安全方面的漏洞产生。黑客往往是在客户的云还没有很完备的时候找出漏洞来获取信息,其获取信息的方式也多种多样,其中也包括各种App应用。实际上,安全事件所借用的手段本身并没有革命性的变化,但安全事件所造成的影响通过云计算这一工具和环境被极大地放大了。例如,以的安全事件为例,他的PS网络是针对全球用户的云服务,出现安全事件之后就会对企业造成非常大的影响。事实上,在2012年的一些重大安全事件之后,有相当一部分公司都跟惠普进行联系,很快就启用了管理机制——他们发现,通过惠普的安全软件能够保护最关键的信息,能够用最好的监控来及时发现漏洞。
比特网:在云计算的环境中,虚拟机的应用非常普遍,利用虚拟机实施攻击会变得更加隐蔽,更不容易发现。那么,您认为应该如何应对?
宋海燕:从信息监控的角度来看,这并不是什么大问题。以后,计算机上的信息都是可以展示的。即使关闭了某一个虚拟机,我们在关闭时也会去寻找关闭该虚拟机的具体原因。以公有云为例,惠普会有遵循一个严格的标准进行数据收集——当新的虚拟机产生时,惠普就会开始做数据收集。而当虚拟机关闭时,相应的监控数据就已经完毕并放置到相应的文件当中了。
在此,我要强调一下,Arcsight最大特点是其监控是立体化的,不是单点监测。例如,当有新的虚拟机产生时,我们就要把它跟IT的哪个部分有关系的数据收集好,将来不管发生了什么,都会对它都有相应的监控。因此,当虚拟机的状态发生变化时,在虚拟环境当中如何监控追踪,在惠普的解决当中已经能够得到妥善的解决,我们可以通过相应的关联词查到。
比特网:我们也相信惠普在技术上能够收集到这些数据。但虚拟化的数量特别多,而且现在的数据来源也非常广泛。这就意味着需要收集的数据可能会爆炸性地增长。那么,惠普如何高效地采集?如何发现日志文章当中哪些信息是有用的,哪些确实是可以被删除的,有什么方式可以辨别?
宋海燕:在安全领域,很早就提到了的问题,只是当时还没有大数据的概念。Arcsight在做关联的时候,是通过一个非常智慧的架构来实现的。这个架构有两个特点,一是能够让产品很快地接入;二是可以提供一个标准化的接口。实际上,在安全领域,很多厂家在数据、产品方面都有很多不同的安全标准,中国也有很多安全方面的特殊需求。因此,惠普的理念是将产品的日志标准化,规范化,就好像在中国推广普通话一样,虽然各地都有方言,但大家在一起交流时会有一个统一的标准。应用统一标准的好处是,根据写好的报表、写好的规则,当一个新的信息源进来之后,只要他符合标准,那么这些报表和规则就可以马上使用。
作为对比,竞争友商的方式是把每一个不同的厂家写在不同的报表里,每进来一个就经历一个新的开发过程。从大数据的角度来看,我们最新的一个处理日志的软件版本是自行开发的,非常高效,其功能与Vertica很相近。作为对比,新软件管理下的效率提升了20倍,存取的数据也增大了很多倍,做报表也快了很多。总体来说,惠普安全对大数据的解决方案是,将日志管理和事件管理放到后台,能够跟进大数据的要求。
比特网:您也提到,当用户从一个安全的网络环境逐步向云环境迁移时,最容易受到安全攻击。这时候,用户单纯依赖单点式的防卫就会显得不够了,会需要更多的防卫方案。惠普在这方面有什么优势?
宋海燕:惠普在做产品设计和开发中,将主动和智能放在了非常重要的地位。ArcSight是做监控的,这就要求能够尽早地、非常主动地找到这些信息,让用户对安全风险进行评估。主动在某种意义上就是搜集各种各样的信息。例如,惠普有一个威胁研究中心,研究上哪些站点、终端设备(例如)等是已经被认为是有问题,现在其安全库已被Arcsight进行了整合,这就意味着ArcSight可以非常主动地为客户服务,可以每两个小时检查一下安全威胁。
另外一点是智能化,像刚才举的例子,10分钟内我们就把内部危险进行了扫描,这完全依赖智能判断。同时,单点的每个行动都是可以登录,但一些用户相关的行为规范,惠普已经做成了模式化,形成了基础。
比特网:在谈到智能化的时候,很多安全产品都引入了信誉系统这一概念,我们也知道ArcSight当中也有类似的系统。但是,安全事件的发生并不是一个孤立的事件,是一连串行为动作所形成的。因此,要建立一个有效、精准的信誉系统,需要厂商有一套完整的安全产品体系,有齐全的安全功能在整个安全事件的链条当中进行有效监测。在这方面,惠普ArcSight有什么优势?
宋海燕:ArcSight 是一家全球领先的企业安全风险管理软件提供商,其产品可以将网络中来自不同设备的安全事件报告集合在一起,所管理的安全产品除了、、和其他安全产品外,还接收来自、、、主机系统和应用程序的日志报告,使其标准化、相互进行关联,然后以报表的形式展现出来,因此,可对整个网络系统提供完整的事件整合、关联、事件响应和报告,并且,所有这些功能都集成在一套解决方案之中。ArcSight的最大特点是,它能够配置一个庞大的网络系统中的安全威胁管理,可对庞大的安全事件信息进行关联分析,因此,它是大型行业的安全管理解决方案。
例如,我们可能看到有些人去了一个不该去的网站,但他不该去的这个网站,我们不能马上认为他是恶意的。同时,企业有30万员工,不可能对某一个人实施那么久的监控,但他去了陌生网站,可以放在预警区域,我们的一些规则专门会他去发什么文件出去做进一步的监控。如果在这个监控中发现用了安全威胁,可以把我们送出去的件进行归类分析,如果归类分析发现可能会造成严重后果,我们可能把这个人再放到更高一点的预警区,这就使我们花的都是非常有目的的。
* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。