在混合多云環(huán)境下，數據安全及其保護的重要性已毋庸置疑，大量的報告和事實(shí)都證明了這一點(diǎn)。同時(shí)，這也是各種類(lèi)型的云公司關(guān)注的焦點(diǎn)。

　　IBM 在這方面當然也會(huì )有自己的解決方案，比如 Guardium 和 Secret Server，其領(lǐng)先的探針技術(shù)，可以有效偵測在云上亂竄的數據；還有 SIEM 平臺 QRadar 和針對 IAM 的身份認證 Cloud Identity；此外，像變形金剛一樣的移動(dòng)式 X-Force Command Center 等，都可以很好地偵測各種威脅并告警和處理。

　　但在 IBM 看來(lái)，未來(lái)仍有很大的發(fā)展空間。“比如，很多的企業(yè)過(guò)去在安全方面做了很多投資，從十幾家知名的企業(yè)買(mǎi)了很多安全產(chǎn)品，但彼此不聯(lián)通，而且還可能存在漏洞。” IBM 大中華區安全事業(yè)部總經(jīng)理陳文豐認為，這給企業(yè)的云安全管理帶來(lái)了巨大挑戰。

　　IBM 發(fā)起的一項全球性調查也證明了這一點(diǎn)。在該項調查中，近一半的受訪(fǎng)者 （48%） 表示，企業(yè)因為部署了太多獨立的安全工具，最終增加了運營(yíng)復雜性，降低了對整體安全狀況的可視性。

　　基于此，IBM 在國外和 20多家安全廠(chǎng)商共同成立了 OCA（Open Cybersecurity Alliance，開(kāi)放網(wǎng)絡(luò )安全聯(lián)盟），希望通過(guò)建立統一的標準、統一的協(xié)議，采用開(kāi)源的技術(shù)，讓聯(lián)盟之間、成員之間進(jìn)行數據和信息交換，甚至是分享洞察，并使企業(yè)在安全工具方面的投資發(fā)揮出應有的價(jià)值。

　　“IBM 最新發(fā)布的安全產(chǎn)品 Cloud Pak for Security 就是利用了 STIX Shift 開(kāi)源工具，采用了標準協(xié)議，實(shí)現了與所有安全工具的互動(dòng)，具備了即時(shí)威脅搜索、偵測和狩獵三大功能。”陳文豐說(shuō)，在 OCA 聯(lián)盟中，大家都可以利用這些開(kāi)源的協(xié)議和工具，通過(guò)開(kāi)箱即用的方式即可進(jìn)行集成，而不需要開(kāi)放 API。

　　事實(shí)上，這也是 Cloud Pak for Security 具備的第一個(gè)重要能力，即 Data Explorer（聯(lián)邦搜索與調查，Federated Search & Investigation）。從表面上看，它只是該產(chǎn)品的一個(gè)能力，但其背后則體現了 IBM 的宏觀(guān)視野和與時(shí)俱進(jìn)的安全觀(guān)。

　　眾所周知，為了在海量數據中區分出真正的威脅，業(yè)界紛紛推出了 SIEM 解決方案。如前所述，IBM 也有自己的 SIEM 平臺，但當 SIEM 發(fā)現某個(gè)威脅事件的時(shí)候，不可能第一步就采取行動(dòng)，而是要針對這個(gè)威脅進(jìn)行調查，此時(shí)就會(huì )發(fā)現 SIEM 中的數據量根本不夠，必須要用更多的數據源來(lái)輔助調查。

　　“解決這一問(wèn)題的思路之一是把所有數據都放到 SIEM 中進(jìn)行調查，其二是在不移動(dòng)數據的情況下進(jìn)行調查、分析，顯然，前者將導致大量的成本增加、存儲壓力巨大。” IBM 大中華區安全事業(yè)部技術(shù)總監張紅衛說(shuō)，聯(lián)邦搜索與調查秉持的就是第二種思路——不移動(dòng)數據，只是在數據之間建立連接，跨安全工具或云來(lái)搜索威脅，而獲得安全洞察。

　　目前，Cloud Pak for Security 也是業(yè)界第一款不需要將數據遷移至平臺即可進(jìn)行分析并支持此類(lèi)搜索的工具，其開(kāi)創(chuàng )價(jià)值不言而喻。

　　如何通過(guò)自動(dòng)化部署處理網(wǎng)絡(luò )攻擊，也是 IBM 安全業(yè)務(wù)的視角。這里談到的自動(dòng)化是指啟用安全技術(shù)，在發(fā)現與遏制網(wǎng)絡(luò )攻擊或數據泄露事件的過(guò)程中增強或取代人為干預活動(dòng)。這些技術(shù)依賴(lài)于人工智能、機器學(xué)習、分析以及編排能力。

　　IBM 一項有關(guān)自動(dòng)化部署的調查活動(dòng)，證明了該部署的重要性——充分利用自動(dòng)化技術(shù)的受訪(fǎng)企業(yè)，在處理網(wǎng)絡(luò )攻擊等多個(gè)方面的自我評分均高于整體樣本，包括網(wǎng)絡(luò )攻擊防御能力、檢測能力、響應能力和遏制能力等。那些充分部署安全自動(dòng)化解決方案的企業(yè)，平均節省了 150萬(wàn)美元的數據泄露總成本；而未部署自動(dòng)化技術(shù)的企業(yè)在這方面的成本要高出很多。

　　眾所周知，安全信息和事件管理平臺（SIEM）是企業(yè)網(wǎng)絡(luò )安全的大腦，雖然 SIEM 被金融、醫療和大型企業(yè)等安全運維團隊視為檢測和管理威脅必不可少的工具，但成功的威脅管理需要快速的事件響應，以幫助企業(yè)能夠快速修復威脅，并加強其安全狀態(tài)以防止數據泄露。

　　這一觀(guān)察視角在全新推出的 Cloud Pak for Security 中自然有所體現，即安全編排和自動(dòng)化響應（Security Operation & Automation Response，SOAR）。用陳文豐的話(huà)說(shuō)，“這是為了順應國內外的整體安全防護趨勢，幫助用戶(hù)提升事件響應自動(dòng)化水平，應對上云過(guò)程中面臨的人才和技能挑戰。”

　　在 IBM 看來(lái)， SOAR 平臺因為人工智能的導入能夠顯著(zhù)提升企業(yè)事件響應自動(dòng)化水平，同時(shí) SOAR 還可減輕安全分析師的手動(dòng)工作量，并提高他們優(yōu)先處理最緊迫威脅和快速修復的能力，進(jìn)而幫助企業(yè)解決安全人才短缺的問(wèn)題。

　　“SOAR （Security Operation & Automation Response）可以說(shuō)是 Cloud Pak for Security 具備的第二個(gè)能力，它集成了 IBM 的 Resilient 產(chǎn)品，包括三個(gè)平臺，即 Case 管理、自動(dòng)化響應和威脅情報平臺。”張紅衛說(shuō)，IBM 的 SOAR 與業(yè)界同類(lèi)產(chǎn)品相比具有突出優(yōu)勢，比如在 Case 管理的時(shí)候有一個(gè) Knowledge Base；針對不同的安全事件有一個(gè)響應的 Template，可以基于這個(gè)模板來(lái)定制公司的響應流程。

　　除此之外，該產(chǎn)品集成到 Cloud Paks 平臺上并實(shí)現容器化以后，還具有了額外價(jià)值——IBM 的安全編排和自動(dòng)化響應功能可與 Red Hat Ansible 相集成，并提供更多的自動(dòng)化規程，企業(yè)能夠更快、更有效地做出響應，同時(shí)為自己提供加強監管審查所需的信息。

　　陳文豐說(shuō)，利用聯(lián)邦搜索與調查 Data Explorer 完成搜索、偵測并找出根源后，接下來(lái)就進(jìn)入響應階段，以前主要是人工響應，實(shí)現自動(dòng)化響應并與 Red Hat Ansible 集成后，局面將會(huì )大為不同。“假設公司有 1萬(wàn)臺電腦，其中有 100臺電腦受到了某種類(lèi)型的病毒攻擊，啟動(dòng)自動(dòng)化流程后，通過(guò) Ansible 就可以自動(dòng)把補丁打上去，而且可以精準地打到那 100臺電腦上，其好處已經(jīng)不局限于企業(yè)內部上云，還包括公有云、私有云等。”

　　混合多云是 IBM 整個(gè)公司層面的轉型方向，也是安全產(chǎn)品研發(fā)需要具有的境界和視野，在 Cloud Pak for Security 上當然也應該得到體現。

　　關(guān)于混合多云的發(fā)展態(tài)勢，已無(wú)太多著(zhù)墨的必要。根據 IBM 商業(yè)調查報告，85% 的客戶(hù)都在使用多云環(huán)境；另外，98% 的受訪(fǎng)者客戶(hù)在未來(lái)三年不只采用多云環(huán)境，還會(huì )采用混合云環(huán)境。

　　需要提及的是，在這樣明朗的態(tài)勢下，48% 的用戶(hù)沒(méi)有有效的管理工具，面臨著(zhù)上云過(guò)程中產(chǎn)生的數據、應用、開(kāi)發(fā)、安全等諸多挑戰。也正因為此，IBM 在不久前發(fā)布了經(jīng)優(yōu)化后可在紅帽 OpenShift 上運行 IBM Cloud Paks 軟件組合，為企業(yè)上云提供各項能力，這些軟件和服務(wù)將在 IBM 混合多云的平臺上提供。

　　繼 IBM Cloud Paks 有關(guān)應用、數據、集成、自動(dòng)化、多云管理等五大解決方案發(fā)布之后，第六大解決方案 Cloud Pak for Security 隆重登場(chǎng)，同樣架構在紅帽 OpenShift 的平臺之上，只要容器能運行的環(huán)境都可以安裝部署，體現了 IBM 對客戶(hù)在混合多云環(huán)境下數據安全問(wèn)題的重視。

　　“當企業(yè)把關(guān)鍵業(yè)務(wù)遷移到混合云環(huán)境后，數據會(huì )分布到不同的工具、云和 IT 基礎設施中，造成的漏洞威脅會(huì )更大，安全部門(mén)的維護復雜程度將大大增加，成本也會(huì )非常高昂，甚至需要手動(dòng)操作。”陳文豐說(shuō)，Cloud Pak for Security 發(fā)布后，為建立混合多云環(huán)境下更加連接的安全生態(tài)系統奠定了基礎。

　　事實(shí)上，在混合多云的環(huán)境下，用戶(hù)也確實(shí)需要這樣的工具。盡管他們可能部署了公有云、私有云，甚至是混合多云，但并不希望由此增加管理難度，購買(mǎi)更多的安全管理工具，而是希望用一個(gè)平臺、一套工具、一種方式保護他們的數據安全。而 Cloud Pak for Security 提供的恰恰就是這樣一個(gè)管理混合多云環(huán)境的安全解決方案。

　　在這些開(kāi)放靈活的構建模塊上開(kāi)發(fā)的 Cloud Pak for Security 支持跨任何云或者本地環(huán)境，輕松的實(shí)現“容器化”部署。隨著(zhù)企業(yè)不斷添加新的云部署和遷移，Cloud Pak for Security 可以輕松地適應這些新環(huán)境并支持不斷擴展——客戶(hù)甚至能夠將敏感和關(guān)鍵任務(wù)工作負載放到云中，在中心安全平臺上持續監視這些負載并進(jìn)行控制。

　　當然，IBM 的安全視野并不只有混合云時(shí)代的技術(shù)和產(chǎn)品，還包括安全合規，比如歐盟推行的 GDPR 和中國已于 12月 1日正式實(shí)施的等保 2.0，以及由此帶動(dòng)的廣闊市場(chǎng)。IBM 認為，等保 2.0 實(shí)施后中國企業(yè)會(huì )更加重視安全防范，而符合要求的 IBM 產(chǎn)品機會(huì )將會(huì )很大。事實(shí)上，近兩年 IBM 的安全業(yè)務(wù)每個(gè)季度都在增長(cháng)，也是國內 AIRO（Analytics, Intelligence, Response, Orchestration）市場(chǎng)外企占有率最高的廠(chǎng)商。

　　除了產(chǎn)品之外，IBM 的視野里還包括服務(wù)。受限于安全人才的短缺，企業(yè)將需要更多安全托管服務(wù)，這一模式在國外也非常普遍，IBM 也十分看重這一市場(chǎng)。為此，Cloud Pak for Security 還為托管安全服務(wù)提供商（MSSP）提供了模型，使這些提供商能夠大規模的高效運營(yíng)、連接安全孤島并優(yōu)化其安全流程。企業(yè)還可以使用各種 IBM 安全服務(wù)，例如，按需咨詢(xún)、定制開(kāi)發(fā)和事故響應等。本文轉載自：商業(yè)伙伴