前言
随着等保2.0从2019年12月1日开始实施,我国网络安全行业正式进入强监管时代,满足等保要求已成为各大企事业单位信息化建设中不能忽视的重要环节,也促使着各企业网络安全建设工作由“自选动作”向“规定动作”加速转变,市场需求的持续释放,为供给侧提供了良好的发展机遇,近些年围绕等保市场的网络安全产品和服务不断推陈出新,例如云安全资源池、安管一体机、等保测评服务等,这些技术手段的出现在一定程度上切实解决了一些中小企业合规能力不足的问题,也加速推进了企业网络安全能力由被动合规向高质量发展阶段迈进。
从90年代发展至今,我国网络行业经历了最初由防火墙、IDS等单一产品主导向产品市场逐步细分向解决方案转型再到现在由云计算、大数据等技术驱动的应用场景变迁,在这个过程中,我们深刻感觉到网络安全行业的两个特点愈发明显---技术专业化和产品碎片化程度越来越高,对于中小企业而言,如何在近20大类80小类的网络安全产品中正确选择合适的产品和方案,是每个企业在做安全与合规建设时面临最棘手的问题。
从供给侧来看,随着客户云应用场景与合规需求的不断升级,我国网络安全企业陆续推出了面向云上安全的集约化综合解决方案---安全资源池产品,并由此推演出面向非云客户的一站式安全能力交付平台---安管一体机产品,可以说这两款同根同源的产品对于在新场景和新要求背景下的中小企业来说,是其等保合规建设强有力的安全赋能平台,特别是在非云客户的网络中,安管一体机由于可以降低客户合规成本、缩短交付周期、便于运行维护等特点,受到中小企业客户的广泛关注,下面也将从6个方面来介绍这款汇聚中国特色与智慧的网络安全产品---安管一体机。
一、产品介绍
随着云安全资源池产品的普及并逐渐为客户所接受,通过将软件与硬件解耦,以超融合作为底层支撑平台,将多种安全产品汇聚并建立统一的安全管理与功能集成平台,成为了目前市场上安管一体机产品的主要实现方式。有过一定从业经历的小伙伴,在若干年前也许也见过类似的组合方案---产品组合式机柜,即在一个机柜中预安装N种安全产品连同机柜一起打包出售,无论是现在的安全一体机还是早期的“安管一体机柜”,其初衷都是为了解决大部分客户因为技术能力不足导致无法自主选择和部署安全产品的核心需求,随着虚拟化技术的不断发展,安管一体机产品的问世并日趋成熟使得我们距离这个目标越来越近。
不同于以软件形式为主的安全资源池产品,安管一体机为软硬一体形态,硬件平台采用可靠性和性能相对较好的X86平台(按照性能不同采用工控机或服务器硬件),利用超融合及NFV技术将多种安全OS灌装于虚拟化平台上,并通过大容量的硬件配置(数十核CPU、数百G内存、T级容量缓存盘和数据盘)来支撑多个安全组件的正常运行和协同工作,最后由安全管理平台进行统一的应用编排和集中管理,最终实现对客户的一站式安全赋能与供给。
二、主要特性
安管一体机产品的主要功能特性分为3个方面:
1、安全组件数量:常见的安全组件超过10种以上,包括:防火墙、IPS、WAF、VPN、运维安全管理、漏洞扫描、数据库审计、日志审计、EDR、配置核查、网络审计、负载均衡等。安全组件的数量决定了产品整体安全能力的覆盖范围,虽然未来可以按需弹性扩展,但每款产品硬件都有默认支持的最大组件数量,需要考虑所选硬件是否可以支撑未来因为网络场景升级或需求变化而发生的组件扩容情况。
2、安全管理平台功能的全面性和易用性:从产品功能组成来看,安全组件负责输出各类安全能力,而安全管理平台则是整个产品的管理和控制中枢,负责对安全组件的管理编排及全局的日志和告警的信息处理。其中安全管理平台的关键特性应具备:
全局可视化:通过管理端可以全局性视角查看网络的整体运行状态、安全态势和攻击事件并以可视化方式进行展现。
系统资源和运行状态监控:具备对宿主机及其上层的虚拟安全资源的全面监控能力,保证使用者可以实时了解系统资源的使用情况和安全组件运行状态及可用性。
安全组件管理:通过管理端即可实现对各种安全组件的授权、升级及全生命周期管理。
自动流量编排:通过定义受保护资产的IP地址,管理端具备自动完成引流配置并进行策略下发的能力。
单点登录:从管理平台登录后即可登录开通的所有安全组件,无需二次登陆。
3、多组件日志汇聚和关联分析能力:大多数产品很好的实现了安全防护能力的一体化,包括多种格式日志的汇聚存储和统一在线展示,但如何通过对海量日志进行关联分析来洞察整体网络的安全风险,是目前大多数产品亟待强化的重要能力,在如今越来越注重检测与响应的时代,日志综合分析研判是必不可少的安全管理要素之一。
三、适用场景
1.安管一体机部署方式比较灵活,串联无需引流,旁路模式下引流的方式可分为以下3种:
策略路由方式:通过在核心交换上配置策略路由将需要保护的业务数据引向安管一体机进行检测过滤,适用于FW、IPS、WAF等组件。
交换机镜像方式:在交换机上配置端口镜像规则,将审计业务的流量引入安管平台,适用于数据库审计、网络审计等组件。
IP地址互通方式:在受保护端点上配置对应规则实现与安管平台网络互通即可,适用于日志审计、漏洞扫描、EDR等组件。
2.通过不同形式的引流,将安管一体机与客户业务系统进行无感式衔接,实现对业务系统的安全防护来满足监管合规要求,结合实际应用场景来看,大致可分为以下3种:
等保二级场景:对于一些企业规模较小、对安全建设投入少的客户来讲,由于合规要求相对不是很高,安管一体机是比较契合客户实际情况的技术选择,通过防火墙、EDR、网络审计等少部分组件即可覆盖网络架构、边界防护、入侵防范、访问控制、恶意代码和安全审计等技术控制点,通常在客户现有核心交换+出口路由的基础上旁挂一台安管一体机即可实现快速组网与合规能力的补充。
等保二级应用场景
等保三级场景:由于等保三级对安全防护设备要求做HA配置,并且很多等保三级客户的网络已具备一定规模,带宽和网络流量比较大,采用安管一体机FW组件可能存在安全建设投入大、性能不足、原有设备无法利旧等问题,因此在等保三级场景中,可考虑采用安管一体机的非网关型组件,比如日志审计、数据库审计、网络审计、运维审计、EDR等,对于防火墙、IPS、VPN等安全防护设备,可采用独立的硬件产品,实际效果和性价比会更好。
云租户场景:对于业务上云的客户来讲,安全防护将面临两个选择:1、选择云运营方提供的安全资源池,2、买多种硬件设备堆叠到云环境,当面对要过等保的情况时,如果云运营方不能等保相关安全服务时,客户选择安管一体机将是更好的替代多硬件设备堆叠的方案,从等保要求的控制点和组件的选择上来看,以旁路审计及其对应的组件为主,例如EDR、日志审计、数据库审计、运维审计等。
四、与独立产品的区别
1.从产品的整体架构上来看,因为是在集计算虚拟化、存储虚拟化、网络虚拟化的超融合技术架构之上构筑多种安全应用系统,其底层超融合平台的效能和可靠性对上层安全组件的功能、性能和稳定性影响较大,也是安管一体机产品的核心能力所在,在大部分安管一体机产品中,计算虚拟化主要采用KVM技术,网络虚拟化采用SDN和VxLAN等,存储虚拟化则大多采用Glustfs和Ceph技术等,在选购产品时,除了安全管理平台和上层安全组件的关键功能特性外,产品超融合平台的技术成熟度和稳定性也是不可忽视的重要因素。
2.从各组件OS的功能特性上来看,其与独立产品的差异不大,可以满足等保技术要求中【网络和通信安全】、【设备和计算要求】、【应用和数据安全】中三级及以下的有关要求,但受限于硬件资源和虚拟化平台的支撑能力,在实际性能方面还是要低于独立盒式产品,网关型组件吞吐量最大位于10G左右,审计类组件最大可监控和审计点位在100点左右,综合来看,可以满足目前大部分中小企业客户场景的需要。
3.在产品选型方面,安管一体机主要的选型指标其实与独立产品一样,主要考虑性能、硬件两方面,选择与自身场景性能匹配的安全组件即可,不同产品型号的硬件配置所支持的组件数量和组件性能不同(对未来组件扩充和性能影响较大的硬件包括CPU、内存、硬盘),如果网络未来有扩容和升级的可能,则要选择与未来网络规模匹配的高性能安全组件所对应的硬件配置和型号,在接口方面,大多数产品的接口类型和数量比较丰富,可扩展性也较强,按需选择即可。
五、应用价值
每一款新产品的问世和其市场发展必然有它的立命之本,不同于其他新领域和新技术方向,作为整合多种既有安全技术的集大成者,安管一体机最突出的核心能力不是单点防护能力、也不是多维审计能力,而是做到了将原有多种安全产品的能力进行汇聚和统一管理,真实从客户业务场景和实际需求出发,解决客户选产品难、用产品难的关键问题,也正是因为这种以客户为本的全新姿态,才使得产品迅速受到市场和客户认可,从2017年至今,安管一体机市场厂商数量快速增长,目前已达到十余家之多。
下面结合客户关键问题来分析安管一体机产品的主要应用价值:
1.面对合规要求,不知如何选择对应的产品,盲目添加各种硬件安全设备,硬件堆叠情况加重。
安管一体机集成了满足合规要求的必要安全能力,通过将安全产品模块化并配置不同等级的合规模板,使得各安全组件有序关联并协同工作,做到以软件定义安全为基础的安全能力按需扩展,2U机型即可实现原来需要多个硬件设备的效果,面对等保二/三级、安全审计、云租户等多种场景实现模式化的交付方案,为客户减少不必要开销,降低合规成本。
2.面对多种产品,方案制定和产品采购周期无法控制,项目建设周期达到数月以上。
安管一体机以1台2U硬件一站式交付原来多个产品堆叠才能输出的安全能力,无论是前期的方案制定和后面的产品采购,只面对单一品牌和渠道,大幅缩短项目建设周期。
3.多种产品上线后缺乏有效的联动和统一管理策略,运维成本加剧,而且出问题后要面对多个厂商沟通,无法快速响应和处置安全事件。
在将安全产品模块化和安全能力服务化的同时,安管一体机以安全管理平台为管理中心,实现对多个安全组件的统一管理与集中运维,提供单点登录、服务编排、全局安全事件监控等可以提升安全运营效率的关键特性,而且在面对安全事件或者设备故障时,只需面对单一厂商沟通,沟通成本大幅缩减,实现真正意义上安全服务闭环。
六、产品局限性
在产品价值凸显的同时,目前安管一体机产品也存在如下局限性因素:
1.可靠性:由于所有安全组件都构筑在同一硬件平台之上,因此对产品可靠性提出了更高的要求,不同于传统堆叠式安全防护模型,单点故障影响的范围有限,安管一体机承载的安全组件所覆盖的业务流量和范围较大,因此大部分厂商都推出了多重HA机制,从安全组件HA到整机HA机制,但为此开销也势必增加,这也是需要客户平衡的因素,毕竟除了满足例如等保三级中有关高可用性的合规要求外,也要保障日常业务的稳定性。
2.性能:与独立X86产品多则100G吞吐的性能相比,目前安管一体机产品在性能方面仍存在较大提升空间,其底层虚拟化技术对产品性能仍存在较大抑制和影响,受此因素影响,目前产品的主要市场仍集中在中小型企业级市场,未来随着性能不断优化提升,市场将会进一步扩大。
3.边际成本:从产品付费模式上来看,安管一体机通常包含2部分开销:1、硬件开销,即购买指定型号在未扩展任何安全组件时的固定开销,硬件不同价格不同,2、软件开销,即扩展安全组件的费用,按需付费即可。因为要承载较多的安全组件运行,安管一体机的硬件配置要远高于单独的盒式产品,也造成硬件成本较高,如果客户只购买较少的安全组件,其硬件+安全组件的价格可能会高于传统独立产品,而在购买较多安全组件的条件,才能获得较好的边际收益