下一代防火墻在“云”中？

那　罡

十幾年來,盡管防火墻性能和功能上都有很大提升,但其最基本的原理大多仍然是檢測靜態(tài)的地址表。很顯然,對于不斷變化的僵尸網(wǎng)絡(luò),這樣的防火墻即使性能再高,也難以施展,未來應(yīng)該屬于新一代的防火墻——“云”火墻。

在信息產(chǎn)業(yè)中,安全是一個(gè)令人尷尬的行當(dāng)。計(jì)算、網(wǎng)絡(luò)、存儲等廠商可以驕傲地歷數(shù)近年來技術(shù)性能的突飛猛進(jìn),而安全產(chǎn)業(yè)在不斷地發(fā)展和投入之后,面對的卻是越來越多、越來越麻煩的安全問題。

僵尸成“云”

如果想要進(jìn)一步說明情況的惡化,除了不斷見諸報(bào)端的安全事件,我們還可以試著問這樣一個(gè)問題:和過去相比,今天,成為一名黑客,或者發(fā)動(dòng)一場網(wǎng)絡(luò)攻擊,究竟是更困難還是更容易了呢?答案顯然是后者,就像Facebook信息安全負(fù)責(zé)人Max Kelly在不久前一次網(wǎng)絡(luò)安全事故后談到的:“網(wǎng)絡(luò)攻擊與犯罪現(xiàn)在正變得前所未有的容易,發(fā)動(dòng)一次攻擊就像是去超市購物一樣簡單?！?/p>

不單是Facebook,類似的抱怨在今天的網(wǎng)站中早已屢見不鮮。就在7月份,炙手可熱的Twitter網(wǎng)被人搞得頻繁斷線,造成用戶無法登錄;美國政府網(wǎng)站也遭到大規(guī)模DDoS攻擊,導(dǎo)致長時(shí)間癱瘓;而針對各種商業(yè)網(wǎng)站的攻擊更是屢見不鮮。

為什么越來越多的商業(yè)競爭者喜歡采用這種方式打擊對手?亞馬遜戰(zhàn)略研究員Jeff Barr說的這句話也許就是答案:“對于依賴網(wǎng)絡(luò)實(shí)現(xiàn)業(yè)務(wù)運(yùn)營的企業(yè)來說,這樣的網(wǎng)絡(luò)攻擊就如同在路上挨了一悶棍,在暈倒的時(shí)間里什么都有可能發(fā)生。而且重要的是,你很難找到究竟是誰給了你這一棍?！?/p>

思科研究員兼首席網(wǎng)絡(luò)安全研究員Patrick Peterson在最近發(fā)布的安全報(bào)告中特別談到,因?yàn)樯虡I(yè)利益原因?qū)е碌木W(wǎng)絡(luò)攻擊在不斷攀升,低廉的犯罪成本再加上利益的驅(qū)動(dòng),使得僵尸網(wǎng)絡(luò)變得越來越難以控制。

就拿最近一段時(shí)間大名鼎鼎的Conficker蠕蟲來說,這個(gè)最早于2008年11月20日被發(fā)現(xiàn)的,以微軟的Windows操作系統(tǒng)為攻擊目標(biāo)的計(jì)算機(jī)蠕蟲病毒,到了今年年初,就被《紐約時(shí)報(bào)》報(bào)道其至少感染了900萬臺計(jì)算機(jī),而殺毒軟件廠商F-Secure更聲稱感染達(dá)到了驚人的1500萬臺。

直到今天,雖然相關(guān)補(bǔ)丁已經(jīng)出現(xiàn)很久,但憑借多個(gè)變種版本,Conficker 蠕蟲仍將數(shù)百萬個(gè)系統(tǒng)控制在其魔掌之下,締造了迄今為止規(guī)模最大的僵尸之“云”。這些僵尸網(wǎng)絡(luò)被以極為低廉的價(jià)格,租借給懷有不同目的的犯罪分子,利用這些資源實(shí)施網(wǎng)絡(luò)拒絕服務(wù)攻擊,或者通過SaaS模型散布垃圾郵件和惡意軟件。

而反觀安全防護(hù)技術(shù),卻遲遲未能見到革命性的進(jìn)展。以企業(yè)應(yīng)用中最為常見的安全防護(hù)產(chǎn)品——防火墻來說,雖然也經(jīng)過了幾代的發(fā)展,從軟件到硬件、從單核到多核,但其根本的被動(dòng)防護(hù)的原理卻基本沒有改變,這也使得其面對變幻多端的僵尸“云”威脅時(shí),總是一籌莫展難以應(yīng)對。

人們不禁要問,出路究竟在哪里?

下一代防火墻“云”中來

“信息安全的出路,最終也需要從‘云中尋找,而所謂的‘云其實(shí)也就是互聯(lián)網(wǎng)?！惫鶓c的話開門見山,作為思科安全產(chǎn)品事業(yè)部的技術(shù)專家,郭慶顯然對網(wǎng)絡(luò)和安全都有著非常深刻的認(rèn)識,“今天的安全問題之所以讓人困擾,根源就在于網(wǎng)絡(luò)的主要特征,正從傳輸向著智能化的云計(jì)算演進(jìn),正是這一變化,使得新的安全威脅變得更加難以防范?！?/p>

郭慶認(rèn)為,越來越龐大的互聯(lián)網(wǎng)正在逐步具備“智能”與“感知”的特性,而這些特性,也恰恰是今天的信息安全產(chǎn)品所需要具備的,也只有具備了這些特性,新一代的信息安全防護(hù)體系,才能真正發(fā)揮作用。

“現(xiàn)在很多安全產(chǎn)品都面臨著巨大的挑戰(zhàn),比如‘防火墻無用論在國外早已有人提出,并且贊同的聲音不少。” 郭慶談道,“雖然這樣的言論有失偏頗,但也不無道理,回顧防火墻的發(fā)展歷史,從以Check Point為代表的軟件防火墻,發(fā)展到硬件防火墻、ASIC防火墻,再到今天熱鬧一時(shí)的UTM,盡管性能和功能上都有很大提升,但其最基本的原理大多仍然是檢測靜態(tài)的地址表。很顯然,對于不斷變化的僵尸網(wǎng)絡(luò),這樣的防火墻即使性能再高,也難以施展,未來應(yīng)該屬于新一代的防火墻——‘云火墻”(如圖1所示)。

那么,這種從“云”中而來的防火墻究竟具備什么樣的特性?與傳統(tǒng)的防火墻產(chǎn)品相比又有怎樣的區(qū)別呢?

“云”火墻最本質(zhì)的特點(diǎn),就是它的動(dòng)態(tài)化和智能化,而其技術(shù)實(shí)現(xiàn)的途徑,就是充分利用“云”進(jìn)行動(dòng)態(tài)實(shí)時(shí)的威脅信息集中采樣與共享,從而最終實(shí)現(xiàn)主動(dòng)應(yīng)變的安全服務(wù)?！惫鶓c進(jìn)一步解釋道,“思科擁有目前全球最龐大的安全威脅監(jiān)測網(wǎng)絡(luò)SensorBase,這就是新一代防火墻的‘云端(如圖2所示)。它可以持續(xù)收集威脅的更新信息。這種更新的信息包括互聯(lián)網(wǎng)上已知威脅的詳細(xì)信息,連續(xù)攻擊者、僵尸網(wǎng)絡(luò)收獲者、惡意爆發(fā)和黑網(wǎng)(Dark Nets)等。通過將這些信息實(shí)時(shí)傳遞到‘云火墻,可以在僵尸網(wǎng)絡(luò)等惡意攻擊者有機(jī)會損害重要資產(chǎn)之前及時(shí)過濾掉這些攻擊者?！?/p>

云安全的實(shí)質(zhì)

由于現(xiàn)在互聯(lián)網(wǎng)信息呈爆炸趨勢,每天新出現(xiàn)的數(shù)據(jù)以TB計(jì)算,如此巨量的網(wǎng)頁、視頻、郵件、文件,任何一個(gè)商業(yè)公司都無法把它們都全部、實(shí)時(shí)地標(biāo)明安全等級,并存儲在數(shù)據(jù)庫里供用戶進(jìn)行安全查詢。

不過,盡管“云”火墻相對傳統(tǒng)的防火墻技術(shù)有了很大的提升,但是距離建立起一套真正的現(xiàn)代信息安全防護(hù)體系還有著相當(dāng)?shù)木嚯x。不過,最重要的是,我們可以從中看到邁向未來安全的關(guān)鍵路標(biāo),而這也正是云安全的本質(zhì)。

以云計(jì)算為代表的現(xiàn)代信息體系正變得日益龐大和復(fù)雜,對于這類復(fù)雜多變的體系,現(xiàn)代模糊數(shù)學(xué)的創(chuàng)始人扎德有一條經(jīng)典的互克原理:“在足夠復(fù)雜的系統(tǒng)里面,當(dāng)某種量描述得越精確,那么這種量描述的意義越模糊?！睋Q句話說,在一個(gè)復(fù)雜的系統(tǒng)中,所有的因素都相互制約影響。

因此對反映系統(tǒng)的量確定得越具體,那么這個(gè)量對系統(tǒng)的描述就越不準(zhǔn)確。這是系統(tǒng)自身固有的矛盾,與測量方法和理論沒有關(guān)系。就如同一個(gè)人無法抓住自己頭發(fā)把自己提起來,這與他如何用力以及力氣大小無關(guān)一樣。

正因?yàn)檫@樣的矛盾,使得云時(shí)代的安全防護(hù)重心,逐步遠(yuǎn)離過去那種對性能或功能的片面追求,而是轉(zhuǎn)向更著重于基于網(wǎng)絡(luò)之云的智慧感知與靈活應(yīng)對。

最后,記者想借用思科首席安全研究員Patrick Peterson的一個(gè)比喻,在Twitter攻擊事件后,Patrick Peterson形容僵尸網(wǎng)絡(luò)強(qiáng)大的威力對于這些網(wǎng)站而言,就像是“用手雷去攻擊蚊子”。

同樣的,如果你仍然堅(jiān)持在傳統(tǒng)的安全思路下花費(fèi)重金、提升處理性能,就如同希望這只蚊子有一天能強(qiáng)壯到抵御手雷一樣,那將是一條真正的不歸路。