第一代计算机网络大约产生于1954年,当时它只是一种面向终端(用户端不具备数据的存储和处理能力)的计算机网络。 1946年,世界上第一台计算机(ENIAC)问世。此后的几年中,计算机与计算机之间还没有建立相互间的联系。当时,电子计算机因价格和数量等诸多因素的制约,很少有人会想到在计算机之间进行通信。1954年,随着一种叫做收发器(Transceiver)的终端研制成功,人们实现了将穿孔卡片上的数据通过电话线路发送到远地的计算机上的梦想。以后,电传打字机也作为远程终端和计算机实现了相连。
第二代计算机网络出现在1969年。刚才我们已经谈到了,早期的第一代计算机网络是面向终端的,是一种以单个主机为中心的星型网络,各终端通过通信线路共享主机的硬件和软件资源。而第二代计算机网络则强调了网络的整体性,用户不仅可以共享主机的资源,而且还可以共享其他用户的软、硬件资源。第二代计算机网络的工作方式一直延续到了现在。如今的计算机网络尤其是中小型局域网很注重和强调其整体性,以扩大系统资源的共享范围。
第三代计算机网络出现在70年代。从所周知,早期计算机之间的组网是有条件的,在同一网络中只能存在同一厂家生产的计算机,其他厂家生产的计算机无法接入。这种现象的出现,一方面与当时的环境有关,因为当时的计算机还远远没有现在这样普及,一个大单位能够用上一台计算机就算不错了,更谈不上实现计算机之间的互联;另一方面与未建立相关的标准有关,当时的计算机网络只是部分高等学府或笠研机构针对自己的工作特点所建立的,还未能在大范围内(如不同的单位之间)进行连接,并且也缺乏一个统一的标准。针对这种情况,第三代计算机网络开始实现将不同厂家生产的计算机互联成网。1977年前后,国际标准化组织成立了一个专门机构,提出了一个各种计算机能够在世界范围内互联成网的标准框架,即著名的开放系统互联基本参考模型OSI/RM。简称为OSI。OSI模型的提出,为计算机网络技术的发展开创了一个新纪元。现在的计算机网络便是以OSI为标准进行工作的。
第四代计算机网络是在进入20世纪90年代后,随着数字通信的出现而产生的,其特点是综合化和高速化。综合化是指采用交换的数据传送方式将多种业务综合到一个网络中完成。例如人们一直在用一种与计算机网络很不相同的电话网传送语音住处但是,现在已经可以将多种业务,如语音、数据、图像等住处以二进制代码的数字形式综合到一个网络中来传送。
诸位不要以为笔者写走题儿了,介绍计算机网络的组成不过是为了把何谓服务器讲得更浅显些做个铺垫,因为四代计算机网络都是由服务器、工作站、外围设备和通信协议组成。而本文要向读者诸君介绍的服务器(Server)也正是整个网络系统的核心,它的存在就是为网络用户提供服务并管理整个网络的设备。服务器从外型来看,和普通的PC并没有什么两样,但其内部结构却与普通的个人PC机有着本质的不同。
如主板结构。服务器的主板从整个板型看,规格上比普通的ATX等类型主板都要大一些,但是仍然符合ATX标准。主要是由于特殊部件比较多,所以在布局方面和普通主板不尽相同。由于服务器主板对稳定性的要求非常高,因此在电气结构上,服务器主板比普通PC主板要求技高一筹,从电流输入开始,服务器主板便大多采用了双电源设计,以防止意外发生。服务器主板的电源接口大都远离重要部件如CPU插槽和内存插槽。输出电路种大量采用了滤波电容和线圈,使得输出的电流尽量干净。而一般主板在电源接口上就没有这么讲究。电源接口和CPU插槽非常近,从电源接口的输入电流和对CPU供电电流进 行稳压和滤波的电容和线圈位置非常近,很难避免互相干扰。由于服务器数据处理量很大,所以大都采用多CPU并行处理结构,主板上有偶数个CPU插槽。值得一提的是,在服务器主板上,CPU插槽边上大都有很多电解电容,是做滤电流杂波用的。理想的滤波应该是多个不很大电容来进行,这样既可以保证杂波被过滤 掉,又不会降低电流。服务器的最大特点是数据总线和地址总线上的负载比较大,I/O流量也比 较服务器主板一般都有多个超级I/O芯片,分别控制不同设备,以及多个总线驱动芯片增强负载能力,提高信号质量。为了减缓I/O瓶颈压力,一般应用SCSI接口磁盘系统。另外,由于服务器对于图形和声音要求都不算太高,所以很多服务器主板上都集成了声卡和显示卡。但是为了进一步减少CPU占用率并提高稳定性能,在硬声卡和显卡方面大多采用ATI公司的显示芯片和新加坡CREATIVE(创新)公司的声卡芯片。与此同时,在服务器主板上还经常集成有网卡芯片(如INTEL公司的82559)和RAID卡槽等。
如性能指标。服务器的性能指标是以系统响应速度和作业吞吐量为代表的。响应速度是指用户从输入信息到服务器完成任务给出响应的时间。作业吞吐量是整个服务器在单位时间内完成的任务量。假定用户不间断地输入请求,则在系统资源充裕的情况下,单个用户的吞吐量与响应时间成反比,即响应时间越短,吞吐量越大。为了缩短某一用户或服务的响应时间,可以分配给它更多的资源。性能调整就是根据应用要求和服务器具体运行环境和状态,改变各个用户和服务程序所分配的系统资源,充分发挥系统能力,用尽量少的资源满足用户要求,达到为更多用户服务的目的。
如扩展性能。服务器的可扩展性能与普通个人PC的升级有着本质的不同,其具体表现在两个方面:一是留有富余的机箱可用空间,二是充裕的I/O带宽。随着处理器运算速度的提高和并行处理器数量的增加,服务器性能的瓶颈将会归结为PCI及其附属设备。高扩展性意义在于用户可以根据需要随时增加有关部件,在满足系统运行要求的同时,又保护投资。
如可用性。服务器的可用性是以设备处于正常运行状态的时间比例作为衡量指标,例如999%的可用性表示每年有8小时的时间设备不能正常运行,99999%的可用性表示每年有5分钟的时间设备不能正常运行。部件冗余是提高可用性的基本方法,通常是对发生故障给系统造成危害最大的那些部件(例如电源、硬盘、风扇和PCI卡)添加冗余配置,并设计方便的更换机构(如热插拔),从而保证这些设备即使发生故障也不会影响系统的正常运行,而且要使系统能及时恢复到正常的部件冗余程度。
如可管理性。可管理性旨在利用特定的技术和产品来提高系统的可靠性,降低系统的购买、使用、部署和支持费用,最显著的作用体现在减少维护人员的工时占用和避免系统停机带来的损失。服务器的管理性能直接影响服务器的易用性。可管理性是TCO各种费用之中所占比例最大的一项。有研究表明,系统的部署和支持费用远远超过了初次购买所花的费用,而付给管理和支持人员的报酬又是其中所占份额最高的。另外,工作效率的降低、商业机会的丧失和营业收入的下滑所带来的财务损失也不可忽视。因此,系统的可管理性既是IT部门的迫切要求,又对企业经营效益起着非常关键的作用。可管理性产品和工具可通过提供系统内部的有关信息而达到简化系统管理的目的。通过网络实现远程管理,技术支持人员在自己的桌面上即可解决问题,不必亲赴故障现场。系统部件可自动监视自己的工作状态,如果发现故障隐患可随时发出警告,提醒维护人员立即采取措施保护企业数据资产,故障部件更换的 *** 作也非常简单方便。
由上所述,网络时代为服务器的应用提供了越来越广阔的空间,在网络技术和应用快速发展的今天,作为网络核心的服务器其重要性日益突出,服务器也由此进入了技术、应用和市场互动并迅速发展的新阶段。Unix *** 作系统由于其功能强大、技术成熟、可靠性好、网络及数据库功能强等特点,在计算机技术特别是 *** 作系统技术的发展中具有重要的不可替代的地位和作用。尽管Unix系统受到了NT的严峻挑战,但它仍是目前唯一能在各个硬件平台上稳定运行的 *** 作系统,并且在技术成熟程度以及稳定性和可靠性等方面仍然领先于NT。但在WINDOWS的不断追击下,Unix系统转向IA-64体系也是大势所趋,这里我们不妨来进一步看一下其经历的历程。
1994年,HP和Intel公司联合开发基于IA-64的Merced芯片。
1997年12月,Sun宣布将其基于Unix的 *** 作系统Solaris向IA-64体系移植。
1998年1月,Compaq/Digital公司宣布与Sequent合作,将Digital Unix *** 作系统和Sequent的产品集成,向IA-64转移。
1998年4月,SGI宣布将其主流产品向IA-64转移。
1999年1月,IBM宣布开发支持下一代IA-64架构的Unix *** 作系统,将SCO的UnixWare以及Sequent的高端PTX *** 作系统纳入自己的AIX环境,形成一个专门针对IA-64或Merced的Unix,同年,IBM收购Sequent。
因此,Unix系统转向IA-64体系已成为业界的大趋势,最重要的是,诸多Unix厂商对它的支持将打破以往Unix和Wintel两大阵营的对立,将Unix所具备的开放性发挥到顶峰,真正实现应用系统的跨平台使用,为用户提供最大的灵活性。
与IA-32位处理器相比,IA-64位处理器除增加数据宽度外,还结合CISC和RISC技术,采用显式并行指令计算(EPIC)技术,通过专用并行指令编译器尽可能将原代码编译解析为可并行 *** 作的“并行机器码”,完全兼容IA-32应用,保证了用户的可持续使用性。什么是服务器
服务器是计算机的一种,它是网络上一种为客户端计算机提供各种服务的高性能的计算机,它在网络 *** 作系统的控制下,将与其相连的硬盘、磁带、打印机、Modem及各种专用通讯设备提供给网络上的客户站点共享,也能为网络用户提供集中计算、信息发表及数据管理等服务。它的高性能主要体现在高速度的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等方面。
目前,按照体系架构来区分,服务器主要分为两类:ISC(精简指令集)架构服务器:这是使用RISC芯片并且主要采用UNIX *** 作系统的服务器,如Sun公司的SPARC、HP公司的PA-RISC、DEC的Alpha芯片、SGI公司的MIPS等。
IA架构服务器:又称CISC(复杂指令集)架构服务器,即通常所讲的PC服务器,它是基于PC机体系结构,使用Intel或与其兼容的处理器芯片的服务器,如联想的万全系列、HP的Netserver系列服务器等。
从当前的网络发展状况看,以“小、巧、稳”为特点的IA架构的PC服务器得到了更为广泛的应用。
服务器是一种高性能计算机,作为网络的节点,存储、处理网络上80%的数据、信息,因此也被称为网络的灵魂。做一个形象的比喻:服务器就像是邮局的交换机,而微机、笔记本、PDA、手机等固定或移动的网络终端,就如散落在家庭、各种办公场所、公共场所等处的电话机。我们与外界日常的生活、工作中的电话交流、沟通,必须经过交换机,才能到达目标电话;同样如此,网络终端设备如家庭、企业中的微机上网,获取资讯,与外界沟通、娱乐等,也必须经过服务器,因此也可以说是服务器在“组织”和“领导”这些设备。
服务器的构成与微机基本相似,有处理器、硬盘、内存、系统总线等,它们是针对具体的网络应用特别制定的,因而服务器与微机在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在差异很大。尤其是随着信息技术的进步,网络的作用越来越明显,对自己信息系统的数据处理能力、安全性等的要求也越来越高,如果您在进行电子商务的过程中被黑客窃走密码、损失关键商业数据;如果您在自动取款机上不能正常的存取,您应该考虑在这些设备系统的幕后指挥者————服务器,而不是埋怨工作人员的素质和其他客观条件的限制。
服务器技术之EMP技术
目前服务器的技术热点主要有:IRISC与CISC技术、处理器技术、多处理器技术(AMP技术、SMP技术、MPP技术、COMA技术、集群技术和NUMA技术)、SCSI接口技术、智能I/O技术、容错技术、磁盘阵列技术、热插拔技术、双机热备份。
服务器在网络中承担传输和处理大量数据的任务,要具备高可伸缩性、高可靠性、高可用性和高可管理性。IA-64体系将带动服务器技术特性的提高,如高性能CPU、多处理器技术、总线和内存技术、容错技术、群集技术、硬件管理接口、均衡服务器平台技术等。
EMP(Emergency Management Port)技术
EMP(Emergency Management Port)技术也是一种远程管理技术,利用EMP技术可以在客户端通过电话线或电缆直接连接到服务器,来对服务器实施异地 *** 作,如关闭 *** 作系统、启动电源、关闭电源、捕捉服务器屏幕、配置服务器BIOS等 *** 作,是一种很好的实现快速服务和节省维护费用的技术手段。 应用ISC和EMP两种技术可以实现对服务器进行远程监控管理。
服务器技术之RAID冗余磁盘阵列技术
目前服务器的技术热点主要有:IRISC与CISC技术、处理器技术、多处理器技术(AMP技术、SMP技术、MPP技术、COMA技术、集群技术和NUMA技术)、SCSI接口技术、智能I/O技术、容错技术、磁盘阵列技术、热插拔技术、双机热备份。
服务器在网络中承担传输和处理大量数据的任务,要具备高可伸缩性、高可靠性、高可用性和高可管理性。IA-64体系将带动服务器技术特性的提高,如高性能CPU、多处理器技术、总线和内存技术、容错技术、群集技术、硬件管理接口、均衡服务器平台技术等。
RAID(Redundant Array of Independent Disks)冗余磁盘阵列技术
RAID技术是一种工业标准,各厂商对RAID级别的定义也不尽相同。目前对RAID级别的定义可以获得业界广泛认同的有4种,RAID 0、RAID 1、RAID 0+1和RAID 5。
RAID 0是无数据冗余的存储空间条带化,具有成本低、读写性能极高、存储空间利用率高等特点,适用于Video/Audio信号存储、临时文件的转储等对速度要求极其严格的特殊应用。但由于没有数据冗余,其安全性大大降低,构成阵列的任何一块硬盘的损坏都将带来灾难性的数据损失。所以,若在RAID 0中配置4块以上的硬盘,对于一般应用来说是不明智的。
RAID 1是两块硬盘数据完全镜像,安全性好,技术简单,管理方便,读写性能均好。但它无法扩展(单块硬盘容量),数据空间浪费大,严格意义上说,不应称之为"阵列"。
RAID 0+1综合了RAID 0和RAID 1的特点,独立磁盘配置成RAID 0,两套完整的RAID 0互相镜像。它的读写性能出色,安全性高,但构建阵列的成本投入大,数据空间利用率低,不能称之为经济高效的方案。
负载均衡技术概览
当前,无论在企业网、园区网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,上网热潮风起云涌,新的应用层出不穷,即使按照当时最优配置建设的网络,也很快会感到吃不消。尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担,而如何在完成同样功能的多个网络设备之间实现合理的业务量分配,使之不致于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况,就成了一个问题,负载均衡机制也因此应运而生。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。
对一个网络的负载均衡应用,可以从网络的不同层次入手,具体情况要看对网络瓶颈所在之处的具体分析,大体上不外乎从传输链路聚合、采用更高层网络交换技术和设置服务器集群策略三个角度实现。
■传输链路聚合
为了支持与日俱增的高带宽应用,越来越多的PC机使用更加快速的链路连入网络。而网络中的业务量分布是不平衡的,核心高、边缘低,关键部门高、一般部门低。伴随计算机处理能力的大幅度提高,人们对多工作组局域网的处理能力有了更高的要求。当企业内部对高带宽应用需求不断增大时(例如Web访问、文档传输及内部网连接),局域网核心部位的数据接口将产生瓶颈问题,瓶颈延长了客户应用请求的响应时间。并且局域网具有分散特性,网络本身并没有针对服务器的保护措施,一个无意的动作(像一脚踢掉网线的插头)就会让服务器与网络断开。
通常,解决瓶颈问题采用的对策是提高服务器链路的容量,使其超出目前的需求。例如可以由快速以太网升级到千兆以太网。对于大型企业来说,采用升级技术是一种长远的、有前景的解决方案。然而对于许多企业,当需求还没有大到非得花费大量的金钱和时间进行升级时,使用升级技术就显得大材小用了。在这种情况下,链路聚合技术为消除传输链路上的瓶颈与不安全因素提供了成本低廉的解决方案,
链路聚合技术,将多个线路的传输容量融合成一个单一的逻辑连接。当原有的线路满足不了需求,而单一线路的升级又太昂贵或难以实现时,就要采用多线路的解决方案了。目前有4种链路聚合技术可以将多条线路“捆绑”起来。同步IMUX系统工作在T1/E1的比特层,利用多个同步的DS1信道传输数据,来实现负载均衡。IMA是另外一种多线路的反向多路复用技术,工作在信元级,能够运行在使用ATM路由器的平台上。用路由器来实现多线路是一种流行的链路聚合技术,路由器可以根据已知的目的地址的缓冲(cache)大小,将分组分配给各个平行的链路,也可以采用循环分配的方法来向线路分发分组。多重链路PPP,又称MP或MLP,是应用于使用PPP封装数据链路的路由器负载平衡技术。MP可以将大的PPP数据包分解成小的数据段,再将其分发给平行的多个线路,还可以根据当前的链路利用率来动态地分配拨号线路。这样做尽管速度很慢,因为数据包分段和附加的缓冲都增加时延,但可以在低速的线路上运行得很好。
链路聚合系统增加了网络的复杂性,但也提高了网络的可靠性,使人们可以在服务器等关键LAN段的线路上采用冗余路由。对于IP系统,可以考虑采用VRRP(虚拟路由冗余协议)。VRRP可以生成一个虚拟缺省的网关地址,当主路由器无法接通时,备用路由器就会采用这个地址,使LAN通信得以继续。总之,当主要线路的性能必需提高而单条线路的升级又不可行时,可以采用链路聚合技术。
更高层交换
大型的网络一般都是由大量专用技术设备组成的,如包括防火墙、路由器、第2层/3层交换机、负载均衡设备、缓冲服务器和Web服务器等。如何将这些技术设备有机地组合在一起,是一个直接影响到网络性能的关键性问题。现在许多交换机提供第四层交换功能,可以将一个外部IP地址映射为多个内部IP地址,对每次TCP连接请求动态使用其中一个内部地址,达到负载均衡的目的。有的协议内部支持与负载均衡相关的功能,例如>
青藤云安全是主打 “自适应安全” 理念,专注在 “主机安全” 的安全初创公司。2014年成立至今,青藤云安全分别在2015年和2018年拿下了6000万的A轮以及2亿元的B轮融资,并连续三年(2017~2019)作为唯一中国厂商入选Gartner云工作负载保护平台市场指南。
2018年对于青藤云安全而言是关键的一年。除了B轮融资到位外,青藤云安全在9月还正式发布了其首个重量级平台产品—— 青藤万相·主机自适应安全平台 。万相以承载业务的工作负载流为核心,对主机上的资产、状态、关键活动等进行感知,并生成安全指标,用于持续分析和风险发现,且适配物理机、虚拟机和云环境。11月,青藤云安全还和腾讯安全正式达成战略合作,作为可选安全组件(天眼云镜)出现在腾讯云的私有云标准方案中。
更多认可:以主机agent的形式来做安全
青藤云安全虽然是安全初创企业,但也有了4年多的 历史 。让张福引以为傲,也最让他放心不下的,是青藤云安全选择的这条技术路线,即不以流量分析为主,而是通过在物理主机安装轻量级agent的形式,选择这样一个位置来做安全。
青藤万相核心架构
自适应安全架构的四个能力象限,预测-检测-防御-响应,青藤云安全看准的 “检测” 能力。但和目前主流的检测思路不同,扎根于 “攻防理念” 的思路因缺乏足够深度和全面的可见性,对自身和攻击的理解都不足。如果要足够清晰、准确的认识自身、攻击及其带来的影响,张福认为,需要足够扎实的感知能力作为支撑。而实现此的技术方式,就是在物理主机上安装agent,以此为 “据点” 收集信息。己方的、敌方的,以及攻击者试图抹除的。
但从客户的角度,担忧也很明显。主机agent的形式,虽然安全离威胁近了,但安全离业务也近了。如果安全产品成熟度不够,出现了问题,导致了业务系统受到负面影响甚至服务中断,那么客户的安全或IT负责人,必不可少要承担更多的责任。
可以看到,安全工作中的平衡,体现在方方面面。
2018年,客户的反馈,以及业界对基于主机的产品形态的跟进,张福坦言,让他轻松了许多。
先说客户。客户对这种形式的顾虑,从2018年大量的反馈来看,张福认为已经开始减少。这个转变,得益于数字化转型的趋势,让客户越来越认识到云化后安全对于业务的重要性。
“
之前更多是合规市场,满足基线即可。同时,因为业务系统的开放性相对较弱,所以给对手留下的攻击面也小很多。但上云后,一切都不一样了。安全对业务的支撑和影响变得更加重要,对更好的安全能力,而不只是部署了哪些产品的需求,更加强烈。
无疑,从主机这个离(业务)数据、威胁都更近的的位置来做安全,效果会比纯粹的流量检测更好。这也满足了客户的需求。而青藤云安全对产品成熟度的追求,以及产品部署后持续维护、改进的大量投入,则最大程度减少了客户对 “可能给业务系统造成负面影响” 的忧虑。
而这两点,也是张福认为,除了技术思路外,自身产品能力重要的优势所在。
这两个重要优势,张福认为也得益于另一个点,就是青藤云安全的产品打磨思路。据张福介绍,青藤云安全的产品从研发到销售,不是传统厂商等产品足够成熟后再寻找客户的思路,而是在初具雏形时就会在国内寻找愿意尝试新的技术思路、有一定程度容错能力的客户,通过产品在客户的真实IT环境中,不断进行产品成熟度的打磨。例如招商银行、平安 科技 ,据张福介绍,都是自身安全实践和理解都走在比较靠前的两个青藤云安全的重要客户。
再谈谈业界。
众所周知,青藤云安全连续多年在Gartner的云工作负载保护平台市场指南榜上有名,对业内的技术趋势青藤云安全也一直跟的很紧。对青藤而言,业界的主流产品形态的改变,意味着对青藤云安全的技术路线选择的一种印证。
张福表示,近两年的行业会议,RSA、ISC等,EDR的崛起,特别是如CrowdStrike等厂商,依托主机侧轻量级代理的的形式实现的入侵检测和响应能力,正逐渐成为业界厂商的主流思路。
“
从产品角度,主机安全不应是一系列产品,而是一个核心做安全的位置。就像网络安全这四个字,有一层重要含义,就是在网络层来做安全。主机安全,业界目前的主流思路和我们一致,就是要通过在主机上安装agent来做。而且,可以看到,安全能力正在从传统的网络侧移向主机侧,通过 ‘位置’ 的改变,实现能力的跨越式提升。这个趋势已经可以明显的感受到。这会是整个产业的一个大升级。
2018年,青藤云安全发布了其重要的平台级产品 “万相”,在产品成熟度、客户和业界的接受度上,张福认为已经达到了预期;2019年,张福表示,首先,要基于“万相”这个平台,在产品能力上有所提升,真正解决客户问题。比如说弱口令的发现,这个需求看似很简单,而且有多家扫描器支持,但是实际情况是因为服务器对口令尝试频率的限制,效果并不好。但是如果通过主机agent做类似“白盒”的底层解析,不仅效率高,而且能够查出之前大量的漏报。
之后,就是新产品的方向。
青藤云安全不是销售导向的公司,所以张福始终认为做产品要“克制”,要谨慎,并且多年持续投入打造产品的准备。
上一个系列,青藤云安全的产品能力倾向感知或者说威胁发现;下一个,张福目前有两个计划,一是补足感知之后的分析能力,二是基于主机agent技术的积累,扩充一个安全场景。
新能力:攻击回溯与容器安全
先介绍要补充的分析能力。
青藤云安全最新发布的 青藤星池·大数据分析平台 ,定位在攻击场景的回溯分析,是青藤云安全威胁感知能力的延伸。
青藤云安全之前在威胁感知有多年的积累,其万相平台的 “资产清点、漏洞发现、入侵检测等“ 能力是典型代表。有了这些积累,下一步,张福认为,要补充分析能力。用张福的话说,是根据这些感知能力提供的线索,把整个攻击的过程回溯出来。
“
一旦发生安全事件,客户高层第一时间关心的并不会是谁攻击了我,或是他怎么进来的,而是我损失了什么。因为视损失的内容,后续的处置,包括问责、惩罚等,都可大可小。更严重的是,攻击者是否已经窥探、甚至拿到了一些高敏感数据。这些问题,之前大量的安全产品都是回答不了的,因为缺乏视野。主机上的agent,我认为是必备基础。
简单理解,和攻击溯源的目的不同,“星池”是利用大数据分析的相关技术,还原整个攻击链,特别是从客户资产的角度,记录攻击者的行为轨迹,明确客户的损失。
“
不仅要能快速、准确的发现攻击,也要高效地搞清来龙去脉,从感知到分析,对于青藤这是重要的能力延展。未来,我们还会融入处置响应的能力。实现安全闭环,才能更好的帮助客户提升安全能力。当然,这个闭环青藤不一定都要自己做,我们是非常开放而且看重合作的。青藤只做我们认为客户缺失的(能力),是要让客户的安全能力达到应有的高度,而不是抢市场,重复解决问题,甚至劣币驱逐良币。
容器安全是另一个新场景。
张福认为,容器是云计算的未来。国内很多互联网、金融行业的客户,都在快速拥抱容器。可以预见,容器将会很快成为主流的基础设施形态。
容器是一个新技术,而且使用便捷,但不代表安全问题就会少。张福表示,从云主机到容器,安全问题反而是有增无减,因为目前开发者更多还是在容器功能性上的完善。比如容器镜像的后门问题,几乎没有有效可靠的检测方法。反观业界,专注容器安全的厂商并不多;同时,思路几乎都是基于容器间的流量分析来做,像是传统的IPS放在容器这个形态下。但只是这样,张福认为能力深度并不够。
“
青藤做容器安全是很天然的,因为我们四年多的积累都在主机侧,80%以上的技术经过对容器的重新适配后都可以复用。
据了解,青藤云安全的 容器安全产品“蜂巢” ,只需要在承载容器的物理机上安装agent,就可以将安全能力做到容器内进程行为的深度;同时在管理上,“蜂巢”可以在万相平台上进行统一管理,方便客户将安全能力和策略随着业务在各形态间迁移。
张福表示,客户在使用容器的时候就已经在考虑安全问题了,这是之前做安全不具备的条件。青藤云安全的核心是保证工作负载(workload)的安全,无论它的形态是怎样。主机agent的形式,张福认为在容器这个场景下也是有足够优势和独特竞争力的。后续,也会把容器间的流量分析作为补充能力加入,成为一个综合性产品。
不可否认,目前,容器安全在中国还是早期市场。所以,对于“蜂巢”,青藤云安全的思路更多还是进行开放行的测试,为后续产品化的过程做铺垫。
“
首先,‘蜂巢’ 会支持应用较为广泛的开源容器,比如docker、国内的灵雀云,并开放给在容器的应用走在前面,有大量应用场景而且愿意和我们合作的客户,帮助我们不断的改进,一起成长。这也是产品化过程所必须要有的投入,我们的目标是在3-4年后,成为容器安全领域的领先者。
等保20:云安全合规解读
此外,作为国内的安全企业,青藤云安全也必须要足够重视合规的市场需求,特别是在5月13日正式发布等级保护20一系列标准后。
云计算系统网络架构是扁平化的,业务应用系统与硬件平台松耦合。所以,首先,在云计算系统边界划分上,存在两个典型场景:一是业务应用不独占硬件物理资源的情况,定级系统的边界应划在虚拟边界处;二是业务应用对应的系统模块存在相对独立的底层服务和硬件资源,系统边界划分到硬件物理设备上。
其次是在安全责任及定级方面。程度认为,要综合考虑被测系统是云计算平台还是业务应用系统,以及被测系统的服务模式,来判断不同的安全责任。
此外,在定级过程中还需注意下面4点:
1 云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。
2 国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三极。
3 在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。
4 对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
在建设整改方面,云等保中增加了虚拟化、云管理平台、镜像文件等云计算独有内容,并强调安全能力在云平台建设中的集成。在平台内部,强调通讯加密与认证、动态监测预警、快速应急响应能力建设、安全产品合规等能力要求。
据了解,青藤云安全已经推出针对云等保20中安全计算环境部分的解决方案,覆盖通用要求中身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范,以及资源控制六个部分。
相关阅读
这家初创公司做自适应安全
腾讯安全与青藤云安全:高安全能力与创新安全公司的结合
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)