路沙

此前，當(dāng)IBM正式推出五款Cloud Paks產(chǎn)品之后，業(yè)界就在期待著，下一個(gè)或下一批Cloud Paks產(chǎn)品將會(huì)聚焦哪個(gè)領(lǐng)域，又將以一種什么樣的技術(shù)形式呈現(xiàn)在行業(yè)面前。俗話說：“念念不忘，必有回響?！盜BM就是這樣喜歡“投其所好”，11月，在行業(yè)最為關(guān)注的安全防護(hù)層面適時(shí)發(fā)布了Cloud Pak for Security——一個(gè)基于開源技術(shù)，建立在OpenShift平臺(tái)之上，并且能夠?qū)崿F(xiàn)跨云數(shù)據(jù)洞察及實(shí)時(shí)響應(yīng)的安全防護(hù)平臺(tái)。

時(shí)至今日，在全球范圍內(nèi)因黑客攻擊而造成的數(shù)據(jù)泄漏事件早已屢見不鮮。與此同時(shí)，隨著GDPR、《網(wǎng)絡(luò)安全法》及“等級(jí)保護(hù)2.0”等政策標(biāo)準(zhǔn)的發(fā)布實(shí)施，來自內(nèi)外部的安全“枷鎖”也使得企業(yè)的安全防護(hù)愈發(fā)顯得捉襟見肘，破綻百出。據(jù)IBM大中華區(qū)安全事業(yè)部總經(jīng)理陳文豐介紹，在IBM開展的一項(xiàng)調(diào)研中，78%的受訪者表示企業(yè)的數(shù)據(jù)保密能力極為重要，但只有20%的受訪者完全信任與之開展業(yè)務(wù)的企業(yè)有能力保護(hù)其數(shù)據(jù)隱私。

多云及混合云的時(shí)代，有48%的用戶沒有有效的安全管理工具，所以在上云過程中，面臨著來自數(shù)據(jù)、應(yīng)用、開發(fā)等諸多層面的安全挑戰(zhàn)。而為了更好地實(shí)現(xiàn)云安全防護(hù)，一種開源、標(biāo)準(zhǔn)化、跨多平臺(tái)及智能化的安全防護(hù)手段漸成行業(yè)“剛需”，基于此，Cloud Pak for Security應(yīng)運(yùn)而生，并致力于滿足行業(yè)對(duì)于云安全防護(hù)的所有想象。

踐行混合多云時(shí)代的安全防護(hù)之道

“世上本沒有路，走的人多了就成了路。”誰又是第一個(gè)走上去的人呢？無論是人生旅途抑或是行業(yè)實(shí)踐都需要先行者。

在陳文豐的解釋中，Cloud Pak for Security是采用IBM首創(chuàng)的開源新技術(shù)的第一個(gè)平臺(tái)，并透過開源技術(shù)實(shí)現(xiàn)了任意安全工具的連接互動(dòng)以及基于不同數(shù)據(jù)源的安全數(shù)據(jù)的分析、狩獵和自動(dòng)化響應(yīng)。在這里，關(guān)于云安全的洞察似乎盡收眼底。而借助IBM大中華區(qū)安全事業(yè)部技術(shù)總監(jiān)張紅衛(wèi)的場(chǎng)景化描述，Cloud Pak for Security則顯得愈發(fā)具像化。

張紅衛(wèi)提到，目前，Cloud Pak for Security推出了聯(lián)邦搜索與調(diào)查 Data Explorer （Federated Search & Investigation）和SOAR （Security Operation & Automation Response）安全編排和自動(dòng)化響應(yīng)兩項(xiàng)技術(shù)能力。IBM基于邊緣計(jì)算的理念，推出了聯(lián)邦搜索和調(diào)查的功能。在不移動(dòng)數(shù)據(jù)的情況下，通過在各個(gè)數(shù)據(jù)源當(dāng)中建立連接，然后進(jìn)行命令下達(dá)，就能夠?qū)崿F(xiàn)在各個(gè)數(shù)據(jù)源中的數(shù)據(jù)搜索和調(diào)查，并最終將反饋結(jié)果在防護(hù)終端上進(jìn)行展現(xiàn)。

“為了應(yīng)對(duì)海量數(shù)據(jù)下無法有效查看日志和區(qū)分告警事件的情況，行業(yè)內(nèi)推出了SIEM平臺(tái)，通過SIEM將所有的日志、數(shù)據(jù)收集起來，并通過關(guān)聯(lián)分析發(fā)現(xiàn)里面的真正威脅和告警，針對(duì)真正的威脅和告警進(jìn)行處理和響應(yīng)。不過，如果將所有的數(shù)據(jù)都放到SIEM當(dāng)中進(jìn)行分析和調(diào)查，又會(huì)出現(xiàn)成本過高和存儲(chǔ)壓力過大的問題。而聯(lián)邦搜索和調(diào)查這項(xiàng)技術(shù)能力就基于邊緣計(jì)算的理念有效解決了這一問題。”張紅衛(wèi)進(jìn)一步解釋道。

關(guān)于SOAR，IBM的核心產(chǎn)品是Resilient?！拔覀兛梢栽囅肓硗庖粋€(gè)場(chǎng)景，當(dāng)你發(fā)現(xiàn)一個(gè)安全事件的時(shí)候，就會(huì)牽涉到包括人和人、人和設(shè)備、設(shè)備和設(shè)備的自動(dòng)化響應(yīng)問題，所以我們推出了基于安全編排和自動(dòng)化響應(yīng)的SOAR平臺(tái)?！睆埣t衛(wèi)如是說。

具體來講，IBM Resilient包含了事件管理、自動(dòng)化響應(yīng)以及威脅情報(bào)三個(gè)平臺(tái)，并且通過Cloud Pak for Security將這些平臺(tái)功能進(jìn)行了高效集成。這樣一來，與業(yè)界同樣的SOAR產(chǎn)品相比，Resilient內(nèi)在優(yōu)勢(shì)在于針對(duì)不同的安全事件都有不同的響應(yīng)模版，而基于這個(gè)模板能夠便于定制企業(yè)自身的響應(yīng)流程。此外，Resilient的響應(yīng)流程和隱私保護(hù)也是模塊化的，并且與Red Hat Ansible相集成，提供了更多的自動(dòng)化規(guī)程。以隱私保護(hù)為例，當(dāng)你的一個(gè)安全事件牽涉到個(gè)人隱私的時(shí)候，它會(huì)根據(jù)所在行業(yè)和所在地區(qū)判斷應(yīng)該遵守哪些法律法規(guī)，并基于這些法律法規(guī)去采取行動(dòng)。

打造開放、標(biāo)準(zhǔn)、連接的安全體系

從整體來看，目前Cloud Pak for Security已經(jīng)實(shí)現(xiàn)了三項(xiàng)初始功能：在不移動(dòng)數(shù)據(jù)的情況下獲得安全洞察、自動(dòng)的快速響應(yīng)安全事件以及在任何地方運(yùn)行，并獲得開放的安全連接。 “IBM之所以推出Cloud Pak for Security，很大一部分原因是基于容器的概念。容器的好處是可以跑在任何的平臺(tái)之上，只要容器能架構(gòu)的平臺(tái)，這個(gè)產(chǎn)品就可以部署上去，不依賴任何廠家、任何品牌、任何服務(wù)器?！睆埣t衛(wèi)這樣說道。

對(duì)此，陳文豐提到，當(dāng)企業(yè)把關(guān)鍵任務(wù)遷移到混合云環(huán)境，安全數(shù)據(jù)會(huì)分布在不同的工具、云、IT環(huán)境當(dāng)中，所以造成的漏洞威脅會(huì)更大，進(jìn)而導(dǎo)致安全部門的維護(hù)成本會(huì)非常高，非常復(fù)雜。有了Cloud Pak for Security以后，就可以更容易地去緊密連接安全生態(tài)上面的眾多產(chǎn)品技術(shù)。

事實(shí)上，針對(duì)當(dāng)前企業(yè)用戶面臨的信息安全新挑戰(zhàn)，IBM安全已經(jīng)在行業(yè)內(nèi)發(fā)布了三大戰(zhàn)略：云安全、人工智能響應(yīng)平臺(tái)和數(shù)據(jù)保護(hù)，以幫助企業(yè)化解越來越多的行業(yè)挑戰(zhàn)。

在云安全方面，IBM從三個(gè)關(guān)鍵領(lǐng)域全面保障云安全：安全的身份及網(wǎng)絡(luò)、數(shù)據(jù)和工作流程保護(hù)、威脅應(yīng)對(duì)與合規(guī)管理。在人工智能響應(yīng)平臺(tái)方面，IBM SOAR則是業(yè)界第一個(gè)人工智能響應(yīng)平臺(tái)。而作為SOAR的核心產(chǎn)品Resilient，是能夠?qū)κ录M(jìn)行自動(dòng)快速編排和響應(yīng)的端到端平臺(tái)，它可以智能、統(tǒng)籌且自動(dòng)化的方式，幫助安全人員在一個(gè)平臺(tái)上無縫協(xié)作，抵御攻擊。在數(shù)據(jù)保護(hù)方面，IBM則推出了數(shù)據(jù)安全系統(tǒng)Guardium與特權(quán)賬戶系統(tǒng)Secret Server。實(shí)際上，這些技術(shù)能力在此次發(fā)布的Cloud Pak for Security上都已經(jīng)或即將被有效集成，并實(shí)現(xiàn)近一步的完善和創(chuàng)新。

不過，在陳文豐看來，縱觀國(guó)內(nèi)外在安全領(lǐng)域的形勢(shì)變化，IBM一直在引領(lǐng)變革。而IBM的目的是打造一個(gè)開放、標(biāo)準(zhǔn)、連接的安全體系，在這樣一個(gè)體系內(nèi)通過用開放云代碼的技術(shù)，把各家安全層面的產(chǎn)品技術(shù)更有效地互通、互聯(lián)，從而能夠在開放的世界里面更有效地進(jìn)行整合。這樣所帶來的一個(gè)好處就是，能夠?qū)⑵髽I(yè)內(nèi)部來自不同企業(yè)的安全工具更有效地利用和調(diào)用起來。為此，IBM率先實(shí)施了開源項(xiàng)目，使安全工具在整個(gè)安全生態(tài)系統(tǒng)中能夠自然地協(xié)同工作。作為開放網(wǎng)絡(luò)安全聯(lián)盟（Open Cybersecurity Alliance）的創(chuàng)始成員之一，IBM和其他20多家組織正在共同研究開放標(biāo)準(zhǔn)和開放源代碼技術(shù)，以實(shí)現(xiàn)產(chǎn)品的互操作性。