想让你的云更安全？不如先装一颗安全的“大脑”

作者：刘沙 | 来源：计算机世界

Cloud Pak for Security 是采用 IBM 首创的开源新技术的第一个平台，这个开放平台运行在Red Hat OpenShift容器之上，支持跨任何云或者本地环境，轻松的实现“容器化”部署。

关注安全领域的人们一定还记得，在刚刚过去不久的12月1日，网络安全界发生了一件大事–2019年5 月发布的网络安全等级保护2.0标准开始正式执行了。

等保2.0实现了保护对象的全覆盖，等级保护对象由原来的信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。其中，云计算安全扩展要求是针对云计算环境的特点提出的，包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云计算环境管理”和“云服务商选择”等。

有评论指出，等保2.0更适应当前信息化高速发展所面临的新问题和新挑战。

事实上，如今云安全已经成为企业普遍面临的挑战。据调研机构Forrester预计，到2020年，全球云安全解决方案的支出将达到35亿美元，年增长率高达28%。

分散的IT环境，碎片化的安全态势

近年来，随着云应用越来越成熟，已经有越来越多的企业把关键任务工作负载迁移到云环境中，应用和数据分布在多个私有云和公有云以及本地资源中。

对此，IBM大中华区安全事业部总经理陈文丰表示，这种分散的IT环境极有可能造成漏洞，让威胁有机可乘。

而为了应对层出不穷的新威胁，企业常常会采用很多新的安全工具。在很多企业中，这些相互独立的安全工具往往多达十余种，甚至数十种。

在市场调研机构Ovum Research发布的一份关于亚太地区大型企业云安全现状的报告中， 有76% 的企业在自己的基础设施中部署了10个以上的安全工具以实现云安全。但是，过多的安全工具也造成了安全态势的碎片化。

因为这些工具并不总是能很好地协同工作，这不仅让安全部门的构建和维护成本都非常高昂，为了保护这种分散的 IT 环境，还要求安全部门进行复杂的集成，在不同的屏幕和单点产品之间不断的切换。

而超过半数的安全部门表示，他们很难把数据与不同的安全和分析工具集成在一起，也很难跨云环境把数据整合起来，以发现高级威胁。

Enterprise Strategy Group (企业战略集团)资深首席分析师Jon Oltsik指出，“业界应转向更开放的技术和统一平台来帮助客户解决这个问题，这些技术和平台可以充当安全单点工具之间的’粘合剂’”。

采用 IBM 首创开源技术的第一个平台

正是因为早就看到了这样的变化和趋势，10月9日，IBM联合McAfee、Fortinet、CyberArk等20余家安全厂商共同成立了开放网络安全联盟（Open Cybersecurity Alliance）。

陈文丰告诉记者，成立这个安全联盟的目的是希望用开放云代码的技术，让联盟中各成员的安全技术实现更有效的互通、互联；建立统一的标准、统一的协议、开源的代码，让联盟成员之间可以进行数据交换，甚至分享洞察；让企业能够在开放的世界里实现更有效的整合，把不同的安全工具有效的利用、调用起来。

IBM安全事业部在美国时间11月20日推出的Cloud Pak for Security就是这样的产品，通过开源技术可以和所有安全工具互动。

IBM大中华区安全事业部技术总监张红卫介绍，Cloud Pak for Security 是采用 IBM 首创的开源新技术的第一个平台，这个开放平台运行在Red Hat OpenShift容器之上，支持跨任何云或者本地环境，轻松的实现“容器化”部署。而且，随着企业不断添加新的云部署和迁移，该平台都可以轻松地适应新环境并支持不断扩展。

目前该平台上已推出了两个服务能力：联邦搜索和调查（Federation for Research），以及安全编排和自动化响应（SOAR：Security Operation & Automation Response）。

联邦搜索和调查

“Cloud Pak for Security实现了业界首次无需从原始数据源移动数据而能连接任意安全工具、云和本地部署系统。”张红卫解释到，该平台在联邦搜索和调查功能中利用了边缘计算的概念，不用移动数据源的数据，只需要与数据之间建立一个连接，就可以通过联邦搜索和调查在各个数据源进行调查，然后把相应的结果反馈回来，在平台的终端进行展现。

利用 Cloud Pak for Security 的 Data Explorer 应用，安全分析师可以顺利的跨任何安全工具或者跨云来搜索威胁。否则安全部门不得不在每一个单独环境中手动搜索相同的威胁指标，如恶意软件签名或者恶意 IP 地址等等。

据悉，在开放网络安全联盟里，成员都可以利用STIX标准协议和STIX Shift开源工具，在自己的产品里集成该平台，实现开箱即用。

而且，IBM 在设计过程中与数十家客户和服务提供商合作，开发的解决方案解决了遍布整个安全行业的关键互操作性难题。Cloud Pak for Security 包括了用于与流行安全工具进行预集成的初始连接器，这些工具来自 IBM、Carbon Black、Tenable、Elastic、BigFix、Splunk，以及包括 IBM 云、AWS和微软 Azure在内的公有云提供商。

安全编排和自动化响应

安全编排和自动化响应功能则包括了三个平台：事件管理、自动化响应和威胁情报平台。因为当人们发现一个安全事件的时候往往会进行响应，牵涉到人和人的联动、人和设备的联动、以及设备和设备的自动化响应。而IBM的产品Resilient恰好包含了这三个平台，并且已经被集成到Cloud Pak for Security中。

张红卫指出，与业界其他SOAR产品相比，Resilient有着自己的优势：

第一，Resilient针对不同的安全事件有不同的模板，企业用户可以基于模板来定制自己的响应流程。目前该平台能支持企业编排数百种常见安全场景的响应，可以指导用户完成整个过程，用户能够迅速访问适用的安全数据，使用合适的工具。

第二，Resilient的响应流程是模块化的，比如人力主管由张三换成李四的时候，只需要在模块里面把张三的名字换成李四的名字，所有的张三就全换掉了，不需要再去每个战术手册里寻找替换。

第三，Resilient拥有隐私模块，很多关于个人隐私的法律法规条例已经被集成到其中，当安全事件牵涉到个人隐私时，企业可以根据所在行业、所在地区判断应该遵守哪些法律法规，再基于这些法律法规采取行动。

此外，Resilient还开放了API，可以和很多设备进行集成联动，这些集成的应用发布到APP 市场里，大家可以到网站上下载，然后和Resilient集成。

“但是在Cloud Pak for Security里集成后还有额外价值。”张红卫补充到，Resilient集成到Cloud Pak for Security后就被放到容器上了，Resilient与红帽的产品Ansible集成后，很多自动化响应的工具和命令完全可以通过Ansible来完成，扩大了自动化响应的能力。

在张红卫看来，Cloud Pak for Security是企业安全“大脑”的一部分。企业安全架构“大脑”的能力是做安全分析（IBM Qradar）和事件响应 (IBM Resilient)，而安全分析和事件响应的主要功能就是威胁的侦测和调查、事件的编排和自动化响应。“虽然目前Cloud Pak for Security推出的两个服务能力只是”大脑“的一部分，我们还会继续加强大脑，让它更强壮。”