隨著越來越多的信息通過云端傳遞，對(duì)于安全的關(guān)注點(diǎn)也從原來的端點(diǎn)安全，轉(zhuǎn)移到了交付的應(yīng)用程序、數(shù)據(jù)安全和用戶體驗(yàn)上。

作為一家有線和無線領(lǐng)域領(lǐng)先的高科技公司，Aruba表面上看起來是一家網(wǎng)絡(luò)基礎(chǔ)設(shè)施廠商，但是安全其實(shí)一直是它的魂魄。Aruba從創(chuàng)立之初就很重視安全，其許多產(chǎn)品和解決方案都是圍繞安全這個(gè)核心來展開的。

云安全技術(shù)趨勢下的發(fā)展戰(zhàn)略

傳統(tǒng)的安全架構(gòu)和技術(shù)仍然是必需的，它能夠很好的控制連接和訪問，對(duì)網(wǎng)絡(luò)邊界進(jìn)行有效的防護(hù)，并且能夠阻止“已知”攻擊。但它們所依賴的一些假設(shè)和條件已經(jīng)不再普遍適用。

隨著智能終端和物聯(lián)網(wǎng)應(yīng)用的普及，用戶的移動(dòng)性越來越強(qiáng)，因此網(wǎng)絡(luò)的邊界越來越模糊;同時(shí)，現(xiàn)在的應(yīng)用和管理的發(fā)展趨勢趨于云端化。

隨著越來越多的信息通過云端傳遞，對(duì)于安全的關(guān)注點(diǎn)也從原來的端點(diǎn)安全，轉(zhuǎn)移到了交付的應(yīng)用程序、數(shù)據(jù)安全和用戶體驗(yàn)上。這種焦點(diǎn)的轉(zhuǎn)移，也讓業(yè)界面臨著更多的問題，網(wǎng)絡(luò)廠商既要保證數(shù)據(jù)安全，并提供良好的用戶體驗(yàn)，同時(shí)又要使信息保持完整性和開放性。

最后，現(xiàn)在的攻擊行為的發(fā)起點(diǎn)往往是在企業(yè)內(nèi)部，因此云應(yīng)用服務(wù)商很難區(qū)分哪些是正常的用戶行為，哪些是惡意的用戶行為。就此，Aruba中國區(qū)總裁謝建國發(fā)表了一些看法。他認(rèn)為，未來云安全的發(fā)展趨勢包含如下幾個(gè)部分：

第一為“開放性”。傳統(tǒng)的安全技術(shù)都是一個(gè)個(gè)倉桶式的解決方案，這些安全倉桶之間缺乏一種有效的聯(lián)動(dòng)機(jī)制，造成其很難應(yīng)對(duì)目前和將來的攻擊行為。

比如，一臺(tái)防火墻阻斷了一個(gè)非法訪問或者是某種已知攻擊行為，但是它無法與網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行聯(lián)動(dòng)，這將造成兩個(gè)問題：其一，無法快速定位問題終端，因?yàn)榉阑饓χ荒芸吹焦粽叩脑碔P，但是無法確切知道攻擊者的身份、終端類型等信息;其二，不能形成安全閉環(huán)，無法通知網(wǎng)絡(luò)基礎(chǔ)設(shè)施將問題終端隔離，因此攻擊者會(huì)一直連在網(wǎng)絡(luò)上，嘗試第二次、第三次攻擊。

所以，Aruba希望未來的安全解決方案能夠建立一種開放和標(biāo)準(zhǔn)的生態(tài)環(huán)境，并且身體力行。目前，Aruba已與全球100多家廠商共同建立了生態(tài)環(huán)境，這些廠商包括傳統(tǒng)安全廠商、終端管理廠商（MDM）、SIEM廠商和網(wǎng)絡(luò)基礎(chǔ)廠商等。Aruba與這些合作伙伴進(jìn)行信息互享，同時(shí)也能互相進(jìn)行安全聯(lián)動(dòng)，從而形成安全閉環(huán)。

第二是大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用。傳統(tǒng)的安全技術(shù)是一種被動(dòng)模式，在這種模式下，安全管理員只能努力維持現(xiàn)狀，只能對(duì)已知攻擊做出響應(yīng)。并且，當(dāng)問題發(fā)生時(shí)，傳統(tǒng)的安全系統(tǒng)告警并不足夠智能，總結(jié)起來，原因包括以下幾點(diǎn)：首先，需要大量的手工工作來清除日志噪聲;然后，確定需要處理的真實(shí)和最關(guān)鍵的目標(biāo);最后，采取幾個(gè)步驟將不同的數(shù)據(jù)關(guān)聯(lián)起來，再診斷根本原因—這需要花費(fèi)數(shù)小時(shí)甚至數(shù)天的時(shí)間來理解和修復(fù)安全問題。

2018年的安全分析報(bào)告顯示，目前87%的終端劫持攻擊行為，只需耗時(shí)數(shù)分鐘甚至更少，而68%的被劫持終端需要等到數(shù)月甚至更長才能被發(fā)現(xiàn)。因此，未來的安全管理模式會(huì)從以事件為驅(qū)動(dòng)的模式向以大數(shù)據(jù)分析為驅(qū)動(dòng)的模式進(jìn)行轉(zhuǎn)移，在這個(gè)新的模式中可以實(shí)現(xiàn)自動(dòng)化的安全閉環(huán)。

在這個(gè)新的模式中，大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)是關(guān)鍵。通過大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)，我們能夠主動(dòng)跟蹤用戶行為，識(shí)別異常，同時(shí)以網(wǎng)絡(luò)實(shí)體為中心自動(dòng)關(guān)聯(lián)相關(guān)信息，最后可以與網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全設(shè)備形成自動(dòng)的安全閉環(huán)。

目前，Aruba已經(jīng)在全線產(chǎn)品中引入大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)，其中Introspect產(chǎn)品能對(duì)異常的用戶實(shí)體行為進(jìn)行探測，更加智能。

第三，數(shù)據(jù)采集在很長一段時(shí)間內(nèi)仍然需要下沉到網(wǎng)絡(luò)邊緣。Aruba認(rèn)為，在各種云端應(yīng)用還沒有完全打通之前，數(shù)據(jù)采集仍然需要下沉到網(wǎng)絡(luò)邊緣。

比如，一個(gè)用戶半夜在office365突然下載了大量的公司文檔，而作為office365的服務(wù)提供商無法判斷這到底是一種正常行為還是一種有風(fēng)險(xiǎn)的信息泄露問題。因?yàn)?，他們除了自身的?shù)據(jù)以外，無法關(guān)聯(lián)這個(gè)用戶其它相關(guān)的實(shí)體信息，因此也就無法對(duì)這個(gè)行為進(jìn)行有效的分析。

如果將數(shù)據(jù)采集下沉到網(wǎng)絡(luò)邊緣，便可以通過SIEM平臺(tái)、認(rèn)證服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施采集用戶的相關(guān)信息，并將這些信息送往大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)分析平臺(tái)，由此平臺(tái)來進(jìn)行智能的數(shù)據(jù)關(guān)聯(lián)、識(shí)別異常行為。

比如通過采集DNS數(shù)據(jù)來判斷此用戶是否有DGA異常行為，通過采集網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)來判斷是否有外部鏈接到這臺(tái)終端，也可以通過采集郵件服務(wù)器數(shù)據(jù)來分析此用戶是否隨后向第三方個(gè)人郵箱發(fā)送了大附件的郵件。同時(shí)，依據(jù)此用戶的日常行為基線（比如一般在什么時(shí)間訪問office365，是否經(jīng)常下載大量附件等），將以上所有這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)，并且加以全面細(xì)致的分析，只有這樣，才能夠識(shí)別判斷出此用戶的行為是否為一種異常行為，以便完成下一步的指令。

如何構(gòu)建針對(duì)物聯(lián)網(wǎng)的身份認(rèn)證授權(quán)體系

Aruba認(rèn)為未來的身份認(rèn)證授權(quán)體系不僅僅是針對(duì)用戶的準(zhǔn)入授權(quán)，而應(yīng)該包含對(duì)終端的識(shí)別和準(zhǔn)入授權(quán)。

物聯(lián)網(wǎng)的應(yīng)用是未來的一個(gè)發(fā)展趨勢，在萬物互聯(lián)的時(shí)代，將會(huì)有海量的物聯(lián)網(wǎng)終端設(shè)備連接到網(wǎng)絡(luò)中，包括攝像頭、各種感應(yīng)器、人體穿戴式設(shè)備、門鎖、交通工具和家用電器等。

而這些物聯(lián)網(wǎng)終端往往是啞終端，因此很難采用傳統(tǒng)的安全認(rèn)證方式對(duì)這些終端進(jìn)行認(rèn)證，比如802.1x認(rèn)證、portal認(rèn)證等。而如果采用MAC地址認(rèn)證，在對(duì)這些終端所傳輸?shù)臄?shù)據(jù)進(jìn)行加密這方面又將面臨很大的難題。而這些物聯(lián)網(wǎng)終端的安全性勢必會(huì)是未來的關(guān)注重點(diǎn)，比如幾年前發(fā)生在美國的攝像頭被劫持事件，造成了全球DNS根服務(wù)器被攻擊的嚴(yán)重后果。

因此，Aruba提出了一些行之有效的解決方案：

一是對(duì)開放網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行加密。目前在無線領(lǐng)域廣泛使用的WPA2加密算法，其實(shí)在開放的網(wǎng)絡(luò)下對(duì)數(shù)據(jù)不做任何加密，這就意味著無論是采用portal認(rèn)證，還是采用MAC認(rèn)證的終端，在通過無線傳輸數(shù)據(jù)時(shí)都是用明文進(jìn)行傳輸?shù)?。因此，Aruba率先開發(fā)了WPA3加密算法，這可以使得未來的終端在開放網(wǎng)絡(luò)下也可以對(duì)數(shù)據(jù)鏈路層進(jìn)行加密。

二是應(yīng)用機(jī)器學(xué)習(xí)對(duì)終端類型尤其是物聯(lián)網(wǎng)終端進(jìn)行識(shí)別和分類。既然啞終端無法采用傳統(tǒng)的認(rèn)證方式，那么就需要去主動(dòng)識(shí)別這些終端，最后通過這些終端的類型動(dòng)態(tài)地分配安全策略。

但是要識(shí)別出物聯(lián)網(wǎng)終端，依靠傳統(tǒng)的特征庫是很難實(shí)現(xiàn)的。比如，同樣是Android系統(tǒng)的終端，它可能是一個(gè)攝像頭、可能是一個(gè)人體穿戴式設(shè)備，甚至可能會(huì)是一輛汽車，因此需要一種更先進(jìn)、更智能的方式來識(shí)別和分類這些終端。

目前Aruba ClearPass認(rèn)證平臺(tái)已經(jīng)具備了應(yīng)用機(jī)器學(xué)習(xí)來識(shí)別終端的能力。此方案是一個(gè)云端化的解決方案，能夠在網(wǎng)絡(luò)邊緣采集這些終端的靜態(tài)屬性（比如MAC地址、DHCP指紋、SNMP等），以及網(wǎng)絡(luò)流行為（比如使用的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用類型、傳輸?shù)臄?shù)據(jù)類型等），并對(duì)其行為進(jìn)行分析（比如訪問某個(gè)固定的IP地址或是域名）。通過這些數(shù)據(jù)，可以實(shí)現(xiàn)不依靠傳統(tǒng)的特征庫便可對(duì)終端進(jìn)行識(shí)別。

與此同時(shí)，通過這個(gè)云平臺(tái)，利用眾包機(jī)制，能夠進(jìn)一步優(yōu)化識(shí)別精度。一旦對(duì)終端進(jìn)行了精確的識(shí)別和分類以后，Aruba ClearPass認(rèn)證平臺(tái)就可以依據(jù)這些信息返回不同的認(rèn)證結(jié)果和授權(quán)策略，以此來達(dá)到智能的準(zhǔn)入和授權(quán)。