在近一個(gè)月內舉行的“2018華為網(wǎng)絡(luò )安全中國行”各站活動(dòng)上,不僅背景音樂(lè )是柔美的中國風(fēng),演講PPT采用潑墨技法的中國山水作為點(diǎn)綴,而且華為網(wǎng)絡(luò )安全領(lǐng)域總經(jīng)理宋端智為配合活動(dòng)氣氛還換上了唐裝,在介紹華為網(wǎng)絡(luò )安全技術(shù)和解決方案時(shí)更是引經(jīng)據典,四字成語(yǔ)頻出。華為要為網(wǎng)絡(luò )安全界引入一股清純的“中國風(fēng)”,也是“華為風(fēng)”。
“大全而”的前提是聚焦
大家都知道,華為可以提供端到端的IT基礎設施解決方案,并且對其中的華為服務(wù)器、存儲、網(wǎng)絡(luò )產(chǎn)品也十分熟悉,但是華為網(wǎng)絡(luò )安全業(yè)務(wù)似乎一直都在“潛行”。雖然華為網(wǎng)絡(luò )安全擁有超過(guò)2500人的研發(fā)團隊和2892項專(zhuān)利,穩居國內一線(xiàn)安全廠(chǎng)商陣營(yíng),但是華為網(wǎng)絡(luò )安全以前很少進(jìn)行市場(chǎng)宣傳,這次“2018華為網(wǎng)絡(luò )安全中國行”可以說(shuō)是華為網(wǎng)絡(luò )安全有史以來(lái)最大規模的市場(chǎng)活動(dòng)。
華為網(wǎng)絡(luò )安全要搞大事情?華為要給中國乃至全球的網(wǎng)絡(luò )安全領(lǐng)域帶來(lái)一股清新之風(fēng)——融匯了智能的軟件定義安全。
把數字世界帶入每個(gè)人、每個(gè)家庭、每個(gè)組織,構建萬(wàn)物互聯(lián)的智能世界——這是華為的新愿景。智能的世界就不能沒(méi)有智能的連接、智能的安全。華為的目標是積極構建網(wǎng)絡(luò )安全能力,并用網(wǎng)絡(luò )安全為客戶(hù)和社會(huì )創(chuàng )造價(jià)值。這也是華為舉辦“2018華為網(wǎng)絡(luò )安全中國行”的初衷。
隨著(zhù)云計算、大數據、人工智能、物聯(lián)網(wǎng)等技術(shù)和應用的興起,安全市場(chǎng)也劃分得更細,一些初創(chuàng )的安全廠(chǎng)商針對某一具體應用場(chǎng)景,利用某一點(diǎn)的技術(shù)優(yōu)勢,就一躍而成為某一安全細分領(lǐng)域的佼佼者,比如云安全、大數據安全、智能安全等。從華為做事的一貫風(fēng)格來(lái)看,要么不做,要做就要做到最好,覆蓋硬件平臺、軟件系統,提供一個(gè)大而全的解決方案。在網(wǎng)絡(luò )安全領(lǐng)域,華為也是如此嗎?
宋端智表示:“華為有能力提供大而全的網(wǎng)絡(luò )安全解決方案,但我們首先會(huì )聚焦。當前,以SDSec為代表的軟件定義安全解決方案就是我們的業(yè)務(wù)重點(diǎn)和焦點(diǎn)。”
提到大而全,第一層含義,華為本身就像是一部?jì)炔扛鱾(gè)零件咬合得非常精準的機器,不同的產(chǎn)品和業(yè)務(wù)部門(mén)之間總是保持協(xié)調一致,比如網(wǎng)絡(luò )安全部門(mén)會(huì )與網(wǎng)絡(luò )產(chǎn)品部門(mén)形成合力,將華為在芯片、網(wǎng)絡(luò )技術(shù)等方面的優(yōu)勢充分發(fā)揮出來(lái),從而保證安全解決方案的完整性、協(xié)同性和高效性;第二層含義,華為做網(wǎng)絡(luò )安全一定會(huì )聚焦自己所擅長(cháng)的并聚合業(yè)界頂尖的力量,聯(lián)合合作伙伴一起為客戶(hù)提供完整、有效的防護,比如終端安全可以找江民和亞信,應用安全可以找盛邦,這些安全合作伙伴也都積極參與了“2018華為網(wǎng)絡(luò )安全中國行”,現身說(shuō)法。
“一切的目的都是為了幫助客戶(hù)解決問(wèn)題,消除安全隱患,所以華為要牽頭提供一個(gè)完整的安全解決方案,避免因多個(gè)不同產(chǎn)品拼湊在一起可能導致的不兼容或出問(wèn)題后的相互扯皮現象。我們致力于在一個(gè)統一的框架下,提供一個(gè)整體的安全解決方案方案,這樣才能更有針對性地消除用戶(hù)的應用痛點(diǎn),帶來(lái)更多價(jià)值。”宋端智表示,“在此之上,我們會(huì )建立一個(gè)最廣泛的安全商業(yè)聯(lián)盟,并持續推動(dòng)其發(fā)展。我們希望聯(lián)盟成員的產(chǎn)品之間要具有互補性,而且每個(gè)成員都是各自細分領(lǐng)域的頂級廠(chǎng)商,既具備很強的技術(shù)能力,又有相互合作的強烈意愿,大家可以共同成長(cháng)。”
軟件定義安全將全面爆發(fā)
網(wǎng)絡(luò )安全的現狀是“攻易守難”。傳統的網(wǎng)絡(luò )安全防御通常是“老三樣”——被動(dòng)防御、單點(diǎn)防御、人工運維。對此,華為有點(diǎn)“看不慣”。
宋端智指出:有些企業(yè)采用安全解決方案不是為了防御而是為了合規,有一種“應付”的心態(tài),總想逃避或減輕自己的責任,這是本末倒置;一些企業(yè)更多考慮的是如何在安全問(wèn)題發(fā)生后進(jìn)行事后補救,而不是提前預防;各種預測手段不斷增加,導致安全告警泛濫,告警的準確性難以保障,這讓用戶(hù)感到無(wú)所適從,而真正的安全隱患不能得到及時(shí)處置;一些用戶(hù)重視感知,反而忽視了響應,其實(shí)感知的關(guān)鍵不是感知本身,而是感知之后要有動(dòng)作和響應。
針對這些問(wèn)題,華為能帶來(lái)什么改變?基于軟件定義安全構建一個(gè)主動(dòng)防御體系。在2018MWC世界移動(dòng)通信大會(huì )期間,華為面向全球發(fā)布了全新的SDSec安全解決方案,創(chuàng )新性地引入針對虛擬化場(chǎng)景的安全控制器SecoManager,實(shí)現了跨多云、多分支的統一安全業(yè)務(wù)編排與管理,讓網(wǎng)絡(luò )與安全深度協(xié)同,實(shí)現策略聯(lián)動(dòng),主動(dòng)防御威脅,為企業(yè)構建智能的防護體系。
Gartner對SDSec的定義主要是限定在云環(huán)境中的動(dòng)態(tài)資源分配下發(fā)以及對云環(huán)境的保護。基于Gartner的定義,很多廠(chǎng)商都推出了所謂的SDSec解決方案。華為雖然沿用了SDSec這個(gè)名詞,但對其內涵進(jìn)行了擴展,并不局限于云環(huán)境中的資源調度和管理,而是普遍適用“軟件定義”的概念,用軟件來(lái)定義幾乎所有的相關(guān)功能,除了數據中心網(wǎng)絡(luò ),辦公網(wǎng)絡(luò )、物聯(lián)網(wǎng)等也可以用軟件來(lái)定義其安全功能。
華為SDSec安全解決方案就像一個(gè)“變形金剛”,主要由“分析器、控制器和執行器”組合而成,同時(shí)又融入了人工智能技術(shù),實(shí)現了檢測智能、處置智能和運維智能,變被動(dòng)防御為主動(dòng)防御,變單點(diǎn)防御為全網(wǎng)協(xié)防,變人工運維為智能運維。這三大轉變讓華為的網(wǎng)絡(luò )安全方案變得與眾不同。
分析器相當于人的“大腦”,它以大數據智能安全分析系統(CyberSecurity Intelligent System,CIS)為核心組件,具備對包括APT高級可持續威脅在內的各類(lèi)安全威脅進(jìn)行檢測的能力,可基于大數據、AI技術(shù)進(jìn)行精準檢測、態(tài)勢感知、Kill-Chain溯源等。輔助的分析器還包括華為FireHunter沙箱,可對50余種常見(jiàn)文件類(lèi)型進(jìn)行檢測。控制器相當于人的“中樞神經(jīng)”,它以SecoManager安全控制器為核心組件,實(shí)現面向多租戶(hù)的全生命周期安全策略管理、業(yè)務(wù)編排。控制器可以取代一些傳統的網(wǎng)管設備。執行器(采集器)相當于人的“四肢”,主要負責安全防御動(dòng)作的采集上報和執行。
華為SDSec安全解決方案一經(jīng)推出便引起了廣泛關(guān)注,一些私有政務(wù)云、銀行客戶(hù)目前已經(jīng)在使用或測試華為SDSec安全解決方案。Gartner于2017年7月發(fā)布的新興技術(shù)成熟度曲線(xiàn)顯示,軟件定義安全已經(jīng)到了大規模商用的臨界點(diǎn)。SDSec為安全政策的執行帶來(lái)了速度和敏捷性。宋端智表示,SDSec將是華為網(wǎng)絡(luò )安全的一個(gè)新增長(cháng)點(diǎn)。
“四大絕技”傍身
2017年,華為發(fā)布SDSec安全解決方案時(shí),還是一個(gè)雛形或者說(shuō)是一個(gè)框架。華為也只是與國內小范圍內的客戶(hù)進(jìn)行過(guò)交流。如今半年多過(guò)去了,華為SDSec安全解決方案變得更加“豐滿(mǎn)”,大家對軟件定義安全的概念也有了更清晰的認知。華為還與京東、招商銀行等客戶(hù)進(jìn)行聯(lián)合創(chuàng )新。華為未然實(shí)驗室也把SDSec當成一個(gè)標靶,不斷優(yōu)化,使它更加成熟。
宋端智打比方說(shuō),華為SDSec具有十八般武藝,其中四大技能讓人津津樂(lè )道。
“火眼金晴”——基于A(yíng)I的檢測,讓安全威脅無(wú)所遁形。基于動(dòng)態(tài)行為機器學(xué)習和Hypervisor層檢測技術(shù),華為SDSec安全解決方案可以進(jìn)行全面流量檢測,精準辨識惡意文件,準確率達99.5%,加密流量也可以實(shí)現不解密檢測。
據宋端智介紹,從6年前開(kāi)始,位于德國慕尼黑的華為實(shí)驗室就開(kāi)始研究安全與機器學(xué)習、人工智能技術(shù),這些都是華為第三代沙箱的基礎技術(shù)。另外,華為云是一個(gè)最好的“實(shí)驗場(chǎng)”,華為的網(wǎng)絡(luò )安全技術(shù)可以在這里得到檢驗和應用,然后再進(jìn)一步優(yōu)化。
- “全民皆兵”——網(wǎng)絡(luò )設備變身探針和執行器,可以定點(diǎn)清除威脅。全民皆兵是一個(gè)非常形象的比喻,交換機、路由器、安全設備和各種終端都是“兵”,處處皆可防御,從而將傳統的單點(diǎn)防御變成全網(wǎng)防御,網(wǎng)絡(luò )設備、安全設備以及終端可以實(shí)現采集和執行,按需調度。
- “天羅地網(wǎng)”——華為首創(chuàng )基于網(wǎng)絡(luò )設備的交互誘捕陷阱,借助網(wǎng)絡(luò )設備實(shí)現全網(wǎng)覆蓋,誘捕陷阱可以自動(dòng)化批量部署,無(wú)處不在,從而實(shí)現網(wǎng)絡(luò )安全聯(lián)動(dòng)和實(shí)時(shí)防御。宋端智比喻說(shuō),這就叫請君入甕,讓威脅插翅難逃。
- “運籌帷幄”——這就像是每個(gè)企業(yè)都有一個(gè)“諸葛亮”,穩坐中軍,按需調度,協(xié)同聯(lián)動(dòng),實(shí)現策略的全局管理和自動(dòng)優(yōu)化。其實(shí),這就是華為SDSec安全解決方案中的控制器在發(fā)揮作用,指揮網(wǎng)絡(luò )和網(wǎng)元做出及時(shí)響應。
對于用戶(hù)來(lái)說(shuō),先進(jìn)而智能的技術(shù)是不可或缺的,但是用戶(hù)更需要的是一個(gè)“交鑰匙”的解決方案,自動(dòng)形成一個(gè)安全閉環(huán),主動(dòng)發(fā)現威脅并可一鍵處置,然后將處置的結果自動(dòng)通知用戶(hù)。用戶(hù)不必關(guān)注整個(gè)處理的細節。這大概就是主動(dòng)安全防御的最高境界,也是華為網(wǎng)絡(luò )安全追求的目標。
7月3日上海站,為為期近一個(gè)月的“2018華為網(wǎng)絡(luò )安全中國行”系列活動(dòng)畫(huà)上了一個(gè)圓滿(mǎn)的句號。不過(guò),我們都明白,這并不是一個(gè)終點(diǎn),而是華為網(wǎng)絡(luò )安全的新起點(diǎn)。一幅以軟件定義安全為主題的帶有“華為風(fēng)”的中國水墨畫(huà)正緩緩展開(kāi)。
