前言
随着等保2.0从2019年12月1日开始实施,我国网络安全行业正式进入强监管时代,满足等保要求已成为各大企事业单位信息化建设中不能忽视的重要环节,也促使着各企业网络安全建设工作由“自选动作”向“规定动作”加速转变,市场需求的持续释放,为供给侧提供了良好的发展机遇,近些年围绕等保市场的网络安全产品和服务不断推陈出新,例如云安全资源池、安管一体机、等保测评服务等,这些技术手段的出现在一定程度上切实解决了一些中小企业合规能力不足的问题,也加速推进了企业网络安全能力由被动合规向高质量发展阶段迈进。
从90年代发展至今,我国网络行业经历了最初由防火墙、IDS等单一产品主导向产品市场逐步细分向解决方案转型再到现在由云计算、大数据等技术驱动的应用场景变迁,在这个过程中,我们深刻感觉到网络安全行业的两个特点愈发明显---技术专业化和产品碎片化程度越来越高,对于中小企业而言,如何在近20大类80小类的网络安全产品中正确选择合适的产品和方案,是每个企业在做安全与合规建设时面临最棘手的问题。
从供给侧来看,随着客户云应用场景与合规需求的不断升级,我国网络安全企业陆续推出了面向云上安全的集约化综合解决方案---安全资源池产品,并由此推演出面向非云客户的一站式安全能力交付平台---安管一体机产品,可以说这两款同根同源的产品对于在新场景和新要求背景下的中小企业来说,是其等保合规建设强有力的安全赋能平台,特别是在非云客户的网络中,安管一体机由于可以降低客户合规成本、缩短交付周期、便于运行维护等特点,受到中小企业客户的广泛关注,下面也将从6个方面来介绍这款汇聚中国特色与智慧的网络安全产品---安管一体机。
一、产品介绍
随着云安全资源池产品的普及并逐渐为客户所接受,通过将软件与硬件解耦,以超融合作为底层支撑平台,将多种安全产品汇聚并建立统一的安全管理与功能集成平台,成为了目前市场上安管一体机产品的主要实现方式。有过一定从业经历的小伙伴,在若干年前也许也见过类似的组合方案---产品组合式机柜,即在一个机柜中预安装N种安全产品连同机柜一起打包出售,无论是现在的安全一体机还是早期的“安管一体机柜”,其初衷都是为了解决大部分客户因为技术能力不足导致无法自主选择和部署安全产品的核心需求,随着虚拟化技术的不断发展,安管一体机产品的问世并日趋成熟使得我们距离这个目标越来越近。
不同于以软件形式为主的安全资源池产品,安管一体机为软硬一体形态,硬件平台采用可靠性和性能相对较好的X86平台(按照性能不同采用工控机或服务器硬件),利用超融合及NFV技术将多种安全OS灌装于虚拟化平台上,并通过大容量的硬件配置(数十核CPU、数百G内存、T级容量缓存盘和数据盘)来支撑多个安全组件的正常运行和协同工作,最后由安全管理平台进行统一的应用编排和集中管理,最终实现对客户的一站式安全赋能与供给。
安管一体机技术架构(示意图)
二、主要特性
安管一体机产品的主要功能特性分为3个方面:
1、安全组件数量:常见的安全组件超过10种以上,包括:防火墙、IPS、WAF、VPN、运维安全管理、漏洞扫描、数据库审计、日志审计、EDR、配置核查、网络审计、负载均衡等。安全组件的数量决定了产品整体安全能力的覆盖范围,虽然未来可以按需弹性扩展,但每款产品硬件都有默认支持的最大组件数量,需要考虑所选硬件是否可以支撑未来因为网络场景升级或需求变化而发生的组件扩容情况。
2、安全管理平台功能的全面性和易用性:从产品功能组成来看,安全组件负责输出各类安全能力,而安全管理平台则是整个产品的管理和控制中枢,负责对安全组件的管理编排及全局的日志和告警的信息处理。其中安全管理平台的关键特性应具备:
全局可视化:通过管理端可以全局性视角查看网络的整体运行状态、安全态势和攻击事件并以可视化方式进行展现。
系统资源和运行状态监控:具备对宿主机及其上层的虚拟安全资源的全面监控能力,保证使用者可以实时了解系统资源的使用情况和安全组件运行状态及可用性。
安全组件管理:通过管理端即可实现对各种安全组件的授权、升级及全生命周期管理。
自动流量编排:通过定义受保护资产的IP地址,管理端具备自动完成引流配置并进行策略下发的能力。
单点登录:从管理平台登录后即可登录开通的所有安全组件,无需二次登陆。
3、多组件日志汇聚和关联分析能力:大多数产品很好的实现了安全防护能力的一体化,包括多种格式日志的汇聚存储和统一在线展示,但如何通过对海量日志进行关联分析来洞察整体网络的安全风险,是目前大多数产品亟待强化的重要能力,在如今越来越注重检测与响应的时代,日志综合分析研判是必不可少的安全管理要素之一。
三、适用场景
1.安管一体机部署方式比较灵活,串联无需引流,旁路模式下引流的方式可分为以下3种:
策略路由方式:通过在核心交换上配置策略路由将需要保护的业务数据引向安管一体机进行检测过滤,适用于FW、IPS、WAF等组件。
交换机镜像方式:在交换机上配置端口镜像规则,将审计业务的流量引入安管平台,适用于数据库审计、网络审计等组件。
IP地址互通方式:在受保护端点上配置对应规则实现与安管平台网络互通即可,适用于日志审计、漏洞扫描、EDR等组件。
2.通过不同形式的引流,将安管一体机与客户业务系统进行无感式衔接,实现对业务系统的安全防护来满足监管合规要求,结合实际应用场景来看,大致可分为以下3种:
等保二级场景:对于一些企业规模较小、对安全建设投入少的客户来讲,由于合规要求相对不是很高,安管一体机是比较契合客户实际情况的技术选择,通过防火墙、EDR、网络审计等少部分组件即可覆盖网络架构、边界防护、入侵防范、访问控制、恶意代码和安全审计等技术控制点,通常在客户现有核心交换+出口路由的基础上旁挂一台安管一体机即可实现快速组网与合规能力的补充。
等保二级应用场景
等保三级场景:由于等保三级对安全防护设备要求做HA配置,并且很多等保三级客户的网络已具备一定规模,带宽和网络流量比较大,采用安管一体机FW组件可能存在安全建设投入大、性能不足、原有设备无法利旧等问题,因此在等保三级场景中,可考虑采用安管一体机的非网关型组件,比如日志审计、数据库审计、网络审计、运维审计、EDR等,对于防火墙、IPS、VPN等安全防护设备,可采用独立的硬件产品,实际效果和性价比会更好。
云租户场景:对于业务上云的客户来讲,安全防护将面临两个选择:1、选择云运营方提供的安全资源池,2、买多种硬件设备堆叠到云环境,当面对要过等保的情况时,如果云运营方不能等保相关安全服务时,客户选择安管一体机将是更好的替代多硬件设备堆叠的方案,从等保要求的控制点和组件的选择上来看,以旁路审计及其对应的组件为主,例如EDR、日志审计、数据库审计、运维审计等。
四、与独立产品的区别
1.从产品的整体架构上来看,因为是在集计算虚拟化、存储虚拟化、网络虚拟化的超融合技术架构之上构筑多种安全应用系统,其底层超融合平台的效能和可靠性对上层安全组件的功能、性能和稳定性影响较大,也是安管一体机产品的核心能力所在,在大部分安管一体机产品中,计算虚拟化主要采用KVM技术,网络虚拟化采用SDN和VxLAN等,存储虚拟化则大多采用Glustfs和Ceph技术等,在选购产品时,除了安全管理平台和上层安全组件的关键功能特性外,产品超融合平台的技术成熟度和稳定性也是不可忽视的重要因素。
2.从各组件OS的功能特性上来看,其与独立产品的差异不大,可以满足等保技术要求中【网络和通信安全】、【设备和计算要求】、【应用和数据安全】中三级及以下的有关要求,但受限于硬件资源和虚拟化平台的支撑能力,在实际性能方面还是要低于独立盒式产品,网关型组件吞吐量最大位于10G左右,审计类组件最大可监控和审计点位在100点左右,综合来看,可以满足目前大部分中小企业客户场景的需要。
3.在产品选型方面,安管一体机主要的选型指标其实与独立产品一样,主要考虑性能、硬件两方面,选择与自身场景性能匹配的安全组件即可,不同产品型号的硬件配置所支持的组件数量和组件性能不同(对未来组件扩充和性能影响较大的硬件包括CPU、内存、硬盘),如果网络未来有扩容和升级的可能,则要选择与未来网络规模匹配的高性能安全组件所对应的硬件配置和型号,在接口方面,大多数产品的接口类型和数量比较丰富,可扩展性也较强,按需选择即可。
五、应用价值
每一款新产品的问世和其市场发展必然有它的立命之本,不同于其他新领域和新技术方向,作为整合多种既有安全技术的集大成者,安管一体机最突出的核心能力不是单点防护能力、也不是多维审计能力,而是做到了将原有多种安全产品的能力进行汇聚和统一管理,真实从客户业务场景和实际需求出发,解决客户选产品难、用产品难的关键问题,也正是因为这种以客户为本的全新姿态,才使得产品迅速受到市场和客户认可,从2017年至今,安管一体机市场厂商数量快速增长,目前已达到十余家之多。
下面结合客户关键问题来分析安管一体机产品的主要应用价值:
1.面对合规要求,不知如何选择对应的产品,盲目添加各种硬件安全设备,硬件堆叠情况加重。
安管一体机集成了满足合规要求的必要安全能力,通过将安全产品模块化并配置不同等级的合规模板,使得各安全组件有序关联并协同工作,做到以软件定义安全为基础的安全能力按需扩展,2U机型即可实现原来需要多个硬件设备的效果,面对等保二/三级、安全审计、云租户等多种场景实现模式化的交付方案,为客户减少不必要开销,降低合规成本。
2.面对多种产品,方案制定和产品采购周期无法控制,项目建设周期达到数月以上。
安管一体机以1台2U硬件一站式交付原来多个产品堆叠才能输出的安全能力,无论是前期的方案制定和后面的产品采购,只面对单一品牌和渠道,大幅缩短项目建设周期。
3.多种产品上线后缺乏有效的联动和统一管理策略,运维成本加剧,而且出问题后要面对多个厂商沟通,无法快速响应和处置安全事件。
在将安全产品模块化和安全能力服务化的同时,安管一体机以安全管理平台为管理中心,实现对多个安全组件的统一管理与集中运维,提供单点登录、服务编排、全局安全事件监控等可以提升安全运营效率的关键特性,而且在面对安全事件或者设备故障时,只需面对单一厂商沟通,沟通成本大幅缩减,实现真正意义上安全服务闭环。
六、产品局限性
在产品价值凸显的同时,目前安管一体机产品也存在如下局限性因素:
1.可靠性:由于所有安全组件都构筑在同一硬件平台之上,因此对产品可靠性提出了更高的要求,不同于传统堆叠式安全防护模型,单点故障影响的范围有限,安管一体机承载的安全组件所覆盖的业务流量和范围较大,因此大部分厂商都推出了多重HA机制,从安全组件HA到整机HA机制,但为此开销也势必增加,这也是需要客户平衡的因素,毕竟除了满足例如等保三级中有关高可用性的合规要求外,也要保障日常业务的稳定性。
2.性能:与独立X86产品多则100G吞吐的性能相比,目前安管一体机产品在性能方面仍存在较大提升空间,其底层虚拟化技术对产品性能仍存在较大抑制和影响,受此因素影响,目前产品的主要市场仍集中在中小型企业级市场,未来随着性能不断优化提升,市场将会进一步扩大。
3.边际成本:从产品付费模式上来看,安管一体机通常包含2部分开销:1、硬件开销,即购买指定型号在未扩展任何安全组件时的固定开销,硬件不同价格不同,2、软件开销,即扩展安全组件的费用,按需付费即可。因为要承载较多的安全组件运行,安管一体机的硬件配置要远高于单独的盒式产品,也造成硬件成本较高,如果客户只购买较少的安全组件,其硬件+安全组件的价格可能会高于传统独立产品,而在购买较多安全组件的条件,才能获得较好的边际收益。
优秀产品和方案
方案1:深信服提供
客户痛点
1. 中小用户的合规痛点:合规背景下,在原有的安全架构之上完成快速的合规建设。
2. 多产品的管理痛点,多产品的安全管理带来大量的安全运维工作量。
3. 保护前期投资,能够通过扩展软件授权的模式扩展安全能力。
产品关键特性
1.统一的资产中心:统一的资产配置中心,通过统一的资产配置,供 XSec 平台所有安全模块进行调用。
2.统一网管中心:利用 SNMP统一配置监控所有的 资产的 CPU、内存、硬盘等状态信息并在平台页面统一预警。
3.统一日志中心:统一收集XSec 平台之上所有安全组件的日志,清洗后统一存储、统一检索。
4.统一集成中心:提供面向场景的模板化的安全能力交付方式,如合规模板、运维一体化模板,提供自助入口供用户自行集成。
5.安全运营中心:统一的安全运营中心,汇总所有的安全事件,通过关联分析后,用户可以统一处置安全事件并提供可视化的大屏。
客户关注的主要功能
1.资产的统一配置:平台支持统一的资产配置,安全能力可以直接调用资产信息,减少配置工作量。
2.多安全产品的管理统一:众多安全能力需要在同一个配置逻辑、界面中完成配置,减少多产品配置的工作量。
3.安全运营的统一:各安全能力能够在统一视角下汇总相关安全事件的告警、分析,提高安全处置的效率。
4.部署简单:提供多样的部署模式支持,能够支持网关、网桥模式部署。
5.扩展性:支持性能、功能在线扩展。
方案2:奇安信提供
客户痛点
1.需要快速高效的完成等保建设,而传统安全设备种类型号繁多,不同厂商、型号到货周期不同,系统联调复杂,安全建设周期冗长;
2.等级保护建设是一个完整的安全体系,对安全技术和运维能力要求高,需要简化运维,通过一体式或整合式的安全建设,统一管理所有安全能力;
3.安全预算有限,但同时需要进行等保建设并追求多种安全防护;
产品关键特性
1.安全能力一体化交付,按需赋能、弹性扩展,根据客户需求定义安全能力,可以随客户需求变化而做出调整;
2.安全功能组件实现统一管理,避免因设备分散而造成的繁杂运维工作,轻松实现安全处置闭环;
3.贴合等保流程,通过等保合规的测评项目管理功能,管理业务系统、梳理业务资产,为业务资产配置安全产品和下发策略,并根据等保测评要求进行自测评分;
4.支持对资产信息的展示及管理,包括资产属性信息的列表展示、资产过滤查询、资产相关安全信息关联展示等,并可以为资产配置对应的安全产品的防护策略;
客户关注的主要功能
1.快速完成产品的安装部署,支持一键部署、批量安全组件创建、服务链编排、安全策略批量下发等功能特性;
2.以资产为中心的安全策略统一配置和集中运维,支持对安全产品集中策略分发,包括配置防护资产、安全策略、添加扫描任务、添加审计资产等;
3.持续监测、安全可视化,通过丰富的安全态势感知视图,可以查看整体威胁态势、威胁类型、受攻击的主机和域名、攻击记录等数据,使安全产品从“合规”到“有效”。
方案3:天融信提供
客户痛点
1.采用硬件设备堆叠方式进行安全建设,建设周期长;
2.各类安全设备割裂,无法实现统一安全服务闭环;
3.网络架构固化无法随业务和政策要求及时调整;
4.单独运维管理各类安全设备,安全运维管理困难。
产品关键特性
1.丰富性:产品采用云计算技术将下一代防火墙、WAF、负载均衡、网络审计、数据库审计、日志审计、堡垒机、基线管理、漏洞扫描、VPN、EDR等安全网元整合;
2.便捷性:产品采用一体化交付,快速实现组网,不改变原有的网络拓扑结构;
3.扩展性:产品基于软件定义安全技术,可根据业务和政策变化灵活扩展安全能力;
4.稳定性:产品基于分布式存储架构设计,支持多副本数据存储,实现数据块实时备份,确保数据的可用性、完整性和可靠性。
客户关注的主要功能特点
1.快速合规:系统内置等级保护二级、三级合规套餐,支持客户根据等级保护建设要求一键开通,快速实现各个层次的安全防护,满足等级保护2.0标准的要求;
2.统一管控:系统支持所有的安全网元集中管理、资源监控及集中策略配置,帮助客户简化运维管理流程,使安全管理变得更加高效;
3.安全态势:系统以安全网元数据为基础,采用大数据分析技术从全局视角进行分析,多维度展示网络攻击事件,方便运维人员及时发现业务风险。
厂商列表
(安管一体机属于非国标/行标的新兴安全产品,无法通过国家权威部门的信息披露渠道查询,以上列表可能存在对厂商覆盖不全的情况,如有遗漏,欢迎大家在留言区留言,谢谢!)
声明:本文来自数说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。