华为安全业务发展目标:实现云管端“全体系防御”
2014-06-19 C114中国通信网 编辑:李明
C114讯 6月19日消息(李明)ICT技术的飞速发展在给企业带来巨大便利的同时,也产生了很多潜在的安全威胁。随着高级持续威胁(APT)、分布式拒绝服务(DDoS)等攻击的愈演愈烈,企业在信息安全方面正面临前所未有的巨大威胁和挑战。
对此,华为企业网络产品线副总裁、企业网络防火墙领域总经理刘立柱在接受C114采访时表示,华为希望在未来能够更加重视安全发挥的作用和形态,能够基于云、基于华为大数据的威胁感知和分析平台,真正有效地感知用户在安全上的状态。华为也会跟合作伙伴一起,基于全网安全态势感知平台而带来的安全管理服务进行合作,为客户提供最有效的实时防护。从运营商管道到企业管道甚至到每一个用户终端上,实现全体系防御,这是华为安全业务的发展路径和目标。
企业信息安全面临严峻挑战
当前,企业的信息安全形势十分严峻。随着移动通信技术、移动互联网的飞速发展以及BYOD趋势的到来,企业IT环境也在不断发展变化。在企业安全方面,原来传统安全边界已经逐渐消失;而随着私有云、公有云的发展,信息的交互方式也从传统有边界的数据中心,转变为边界不太清晰的形态。
因此,刘立柱认为,“企业安全在2014年最大的挑战,在于如何应对原有技术架构下的信息安全威胁。例如,APT和DDoS攻击仍是目前企业面临的最大安全威胁之一。”
华为企业网络产品线副总裁、企业网络防火墙领域总经理 刘立柱
与此同时,信息安全已经从防止内部泄密转向APT攻击的防御。尤其是对于金融、政府、军队以及很多高科技大型企业,信息安全的重要性越来越凸显。对于有组织、有预谋的APT攻击如何有效地防御已是热点问题。如果不能有效检测出威胁,并且进行相应的防御、革新信息防泄漏的方案,APT攻击的威胁会越来越严重。
此外,随着互联网业务迅猛发展,基于互联网业务的电商平台、互联网金融等业务对安全的要求也会越来越高,如何去保障这些业务的安全使用、防御网络上攻击的流量,包括洪水般的大流量DDos的冲击以及应用层的DDoS攻击,是摆在安全厂商和基础通信网络服务商面前的极其迫切的重要课题。
应对DDoS和APT攻击:全管道领域防护+全网安全协防
针对云管端各个领域基础设施的防护,华为都已经有了相应的安全产品。“随着BYOD趋势的到来,在终端领域华为也可以提供基于终端的数据安全。”刘立柱表示,华为希望在未来能通过全系列网络安全产品,为用户提供全管道领域的防护,既能提供基于网络的专用安全设备,也能够根据客户需求提供基于通用化平台软件的安全防御模式。
在应对APT攻击方面,刘立柱认为,我们不仅仅需要研究如何检测和防御APT攻击,更重要的是从基础的网络安全层面来考虑如何防御,包括从身份认证到内容的检测分析,到基于大数据的恶意检测软件,以及基于身份、内容,从互联网的出口去防御泄密,融合一体实现企业信息安全解决方案。
例如,华为在敏捷网络中提出了“全网安全协防”的概念,其中APT防护解决方案是“全网安全协防”重要的组成部分。据刘立柱介绍,华为基于“全网安全协防”中的大数据分析,针对安全隐患特别是渗透性的、带有长期潜伏的隐患进行持续性跟踪;建立起基于大数据分析的“全网安全协防”,获悉其所涉及到的和感染到的一些恶意攻击的特征,从而能够进行监控和分析,进而在信息防泄密上,做出准确的识别。
在应对DDoS攻击方面,华为推出了下一代Anti-DDoS解决方案。该方案基于高性能硬件平台开发,引入先进的检测机制,提供了独创的信誉安全体系,可实现超百种DDoS攻击防护,2秒内就可以完成攻击流量清洗。华为AntiDDoS8000是业界唯一单机可提供超100G DDoS防御能力的产品,为运营商、企业及数据中心提供了全面精准的防御新型DDoS攻击的利器。而随着互联网带宽的不断增加,DDoS攻击流量峰值将会不断刷新,对此华为将在2014年底发布支持单端口100G,单台设备1T防护性能的产品,这将是华为在DDoS防护领域的又一大突破。
此外,去年华为还联合创新工场旗下的国内云计算安全服务厂商安全宝,并携手互联网云主机厂商中云融信和互联网集成计算机解决方案供应商中网志腾,共同成立了“抗D联盟“,以协助中小企业应对日益严重的DDoS攻击问题。
拓展运营商安全运营服务模式
目前,华为在抗DDoS攻击方面已经有了许多成功的合作案例。据刘立柱介绍,“在国内,DDoS防御已经成为华为非常重要的安全业务之一。同时,华为DDoS防御方案也同样拓展到了海外市场,一类是做基础网络防护,为海外一些当地运营商部署DDoS防御解决方案;此外,还有很多运营商希望能够为其企业客户提供DDoS防御服务,而这也是华为所认同的安全运营服务模式。”
“尤其是在国内运营商市场,采用华为DDoS防御方案的客户非常多。目前,国内运营商针对DDoS防御方案的运营模式有两种:一种是保证基础网络可用,另一种是向自己的最终用户提供DDoS清洗的服务。其中,在采用基础防护方面所有运营商都在建设,而向最终用户提供DDoS清洗服务也正在成为国内运营商非常重要的业务。”
以上海联通为例,在上海联通遭遇的DDoS攻击中,最大的攻击流量已经超过了20G;2013年共探测到DDoS攻击11万余次,累计清洗流量超过了10万G,并且每年的攻击规模和次数还呈增长趋势,这对上海联通而言挑战非常巨大。
据上海联通城域网资深架构师陈强介绍,参照国外运营商的先进经验,上海联通在几年前开始发展安全运营业务,2008年引入了DDoS防御系统,逐渐完善成为互联网流量安全运营解决方案,包括DDoS防护运营方案和流量经营运营方案。
“在上海联通安全运营系统的整体架构方面,华为SIG产品做城域网用户行为分析,可实现基于用户的精准识别和管控、热点分析和精准营销。华为AntiDDoS8000做DDoS异常流量清洗,可精确防御应用型攻击,且清洗响应速度快。并在城域网内通过Netflow进行全网流量分析,ATIC管理系统能够同Netflow、SIG实现统一的调度和管理。”陈强说。
不断升级防御方案 应对DDoS大流量攻击
另据了解,上海联通DDoS安全运营服务还面向VIP用户、IDC用户和金牌/银牌用户提供安全增值服务,提供了五大DDoS安全运营服务内容,包括实时检测/实时防护、短信/邮件告警、用户自助平台、抓包与攻击取证/追踪与溯源、攻防演练服务。陈强表示,在用户侧,上海联通DDoS安全服务也获得了较高的评价。2013年上海联通曾为某VIP银行客户提供DDoS攻防演练服务,客户在测试过程中采用2G流量中混杂有2M攻击流量,华为的Anti-DDoS方案成功且精准地清洗掉了这些攻击流量。
目前,上海联通的DDoS系统已经具备70G的防护能力。“在攻击流量日益增长的趋势下,2014年上海联通计划把DDoS系统防护能力提升一倍,年内提升至140G到150G,并且考虑VIP用户的高价值,将优化其独享清洗服务,与公共清洗空间进行分离。”陈强介绍说。
在应对DDoS的大流量攻击方面,华为也在不断升级其DDoS防御方案。一是从本身的硬件设备上不断提升防御处理能力;二是在解决方案上逐渐转向SDN感知的方式,在攻击源头上实现动态分布式的DDoS防御。此外,华为还与运营商探讨合作,将实现基于客户私有云的DDoS防御方式。