当今的 IT 格局

成熟网络攻击时代下的企业 IT

阅读时间:3 分钟

自 COVID-19 疫情爆发以来,有据可查的破坏性数据泄露事件数量十分惊人。 数据泄露的平均成本现在为 424 万美元,比去年报告的 386 万美元增长了 10%。 这是该行业在过去七年间见证的最大增幅¹,这也使得安全问题成为首要问题。 完善安全策略,让企业在这个永不停歇的世界中快速、安全、可靠地发展,是当今许多高管关注的焦点,这也导致安全预算不断增加。 然而,支出增长和技术变革也引发了新的复杂问题和风险,继续威胁着 IT 的安全。 安全专业人员最关心的问题之一就是日益增多的复杂攻击媒介,它们以未曾有过的广度不断暴露出当今企业更多方面的问题。

一个蓝色方块

424 万美元

这就是现在数据泄露的平均成本,比去年报告的 386 万美元增长了 10%。

02

当前威胁形势现状

阅读时间:7 分钟

企业依靠其安全系统来防止知识产权、敏感公司信息、客户数据和工作负载隐私等方面当前和未来可能面临的威胁。

为了防止数据泄露和网络攻击,当务之急就是明确专业人员该如何战略性地处理 IT 安全问题。 安全漏洞不仅会导致宕机,而且对任何组织来说,其代价都十分高昂。 勒索软件攻击构成最大的威胁,平均而言,每次攻击会给企业造成 462 万美元的损失¹。 IBM® Power® 平台具有完整性,可以通过实施终端检测和响应 (EDR) 以及连续多因素认证 (MFA) 等零信任概念来降低勒索软件的风险。

单纯采用业务驱动、合规驱动或货币驱动的方法,无法为业务流程提供足够的保护,使其免遭日益增多的 IT 系统风险的影响。 孤立片面的方法可能会忽视高效集成安全策略的关键跨学科方面。 理想的行动方案应包括规划和评估,用于识别与安全相关的关键领域存在的风险。 IBM Power 技术和基于 IBM® Power10 处理器的系统为您的安全策略提供了一种全面的零信任多层方法,确保您的组织安全且合规。 这种多层方法包括:

  • 硬件
  • 操作系统
  • 固件
  • IBM® PowerSC 2.0 技术
  • (系统)管理程序

采用着眼全局的安全方法可以帮助您的组织有效应对影响安全格局的各种威胁。

黑客越来越狡猾而老练。

随着组织不断摆脱传统本地数据中心的约束,迁移到混合云或多云环境,网络攻击者需要不断跳出旧有的思维窠臼深入思考。 实施最小特权和加强基于边界的控制,将有助于管理越来越多的威胁。 他们过去所采用的方法不再局限于网络级别,这最终扩大了他们的视野,增强了攻击能力。

随着数据访问量的增加,安全性也愈发重要。

现如今,员工几乎可以在任何地方(跨服务器、混合云环境以及众多移动和边缘设备)存储和访问组织内的数据。 服务器和设备间这种密不可分的交叉关系,是持续数字化转型和现代化的附带产物。 因此,这很容易创造大量可供利用的攻击媒介。

一再收紧的监管正在影响风险状况。

为帮助确保监管合规而实施的流程也可能会导致意外的风险暴露。 《通用数据保护条例》(GDPR) 只是这种增长趋势的最新发展之一。 管理实体开始更加关注组织的数据使用方式。 而与此同时,它们也增加了日常业务运营的复杂度。

员工引发了时刻会遭利用的漏洞。

去年,20% 的数据泄露事件就是由员工的凭证被盗而引起的¹。除了登录信息之外,网络钓鱼诈骗和电子邮件泄露也会使员工在不知不觉中将公司信息置于危险境地。 无论您实施何种安全控制措施,或者处理漏洞的能力如何,您的员工总会带来一定程度的风险。 在网络犯罪猖獗时代,务必要围绕这些常见安全威胁对员工展开培训,并建立相应的报告系统。 一个小失误或一次狡猾的恶意攻击,就有可能会让您在保护终端和实现合规方面所做的辛苦工作付诸东流。

与此同时,许多组织都在努力寻找并留住称职的网络安全人员,他们发现自己陷入了永久性技能短缺的困境。 为了应对这种技能短缺,组织可以实施简化的安全管理措施,实现运营、合规、修补和监控自动化。 从端到端安全性中获益,通过额外的终端检测功能实施保护,而无需增加资源。

随着 IT 架构不断演变,并适应日渐变化的技术、工作文化和合规性潮流,当今网络威胁环境的数量、种类和速度只会翻倍增长。 这意味着您的安全策略也必须同步发展,超越网络级别范畴。

03

零信任安全策略至关重要

阅读时间:5 分钟

实施零信任概念可以帮助组织在通常很复杂的 IT 环境中解决安全问题。 在混合云和多云环境中,IT 专业人员在苦苦维系可见性和可控性。 零信任通过采用更全面的策略来约束访问控制,同时又不影响性能或用户体验,有效管理风险。 通过实施各种第三方供应商安全解决方案,可以在堆栈的各个级别上构建安全性。 但是,这种方法会加剧已经存在的复杂性,并在网络中引入更多漏洞和暴露点。 最佳措施就是采取多层次、零信任的方法。 这既可以保护您组织的所有数据和系统,也可以最大限度地降低复杂性。 考虑到这一点,IBM® Information Security Framework 有助于确保在使用着眼全局的业务驱动型安全方法时,正确地解决各个方面的 IT 安全问题。

IBM Information Security Framework 侧重于:

  1. 基础架构 - 通过洞察用户、内容和应用来防范复杂缜密的攻击。
  2. 高级安全和威胁研究 - 了解漏洞和攻击方法,并通过保护技术应用相关洞察。
  3. 人员 - 使用全面的身份智能跨安全域管理和扩展企业身份。
  4. 数据 - 保护组织中最受信任资产的隐私和完整性。
  5. 应用 - 降低更安全应用的开发成本。
  6. 安全情报和分析 - 通过额外的上下文、自动化和集成优化安全性。
  7. 零信任理念 - 将正确的用户连接到正确的数据并实施保护,同时也保护您的组织。

了解有关 IBM Security Framework (PDF, 25.2 MB) 以及如何进一步深入研究的更多信息。

04

IBM Power 技术如何保护堆栈

阅读时间:6 分钟

硬件、固件和系统管理程序

片上加速器

IBM Power10 处理器芯片旨在增强侧信道缓解性能,并配备经过改进的 CPU 与服务处理器隔离功能。 这款 7 纳米处理器旨在使计算能力增长 3 倍,从而提高性能²

端到端加密

IBM Power 解决方案的透明内存加密技术旨在实现端到端安全性,满足当今企业面临的苛刻安全标准。 它还旨在支持加密加速、量子安全加密和全同态加密技术,以防范未来的威胁。 与 IBM Power E980 技术相比,最​​新 IBM Power 系统模型的加速加密技术每个内核的高级加密标准 (AES) 加密性能快 2.5 倍³。 无需额外的管理设置,组织就可以从透明的内存加密中获益。

EDR 软件

谈及客户数据和数字资产保护,不断增长的外部威胁使得终端安全变得愈发重要。 通过检测终端存在的任何潜在威胁,组织可以快速采取行动并解决事件,而不会中断业务连续性。 集成方法避免了问题复杂化,并保护您的组织免遭最危险的攻击。

零信任原则

经过不断演变,组织开始采用零信任原则来帮助管理这些日益增长的威胁。 通过保护所有 API、终端、数据和混合云资源,支持多因素认证和最小特权等原则为企业增添了额外的保护层。

IBM 零信任框架让这一概念顺利落地。

收集洞察 - 了解用户、数据和资源,制定必要的安全策略来确保全面保护。

保护 - 通过快速、一致地验证上下文和执行策略来保护组织。

检测和响应 - 解决安全违规问题,将对业务运营的影响降至最低。

分析和改进 - 通过调整策略和实践,做出更明智的决策,进而不断改善安全状况。

通过实施零信任原则,企业可以安全地开展创新并扩展业务。

基于 IBM Power10 解决方案的安全启动

安全启动旨在通过数字签名来核查和验证所有固件组件,保护系统完整性。 在启动过程中,会以数字方式对 IBM 发布的所有固件进行签名和验证。 所有 IBM Power 系统都随附一个可信平台模块,该模块可以将服务器上加载的所有固件组件的测量值累积起来,以便对其进行检查和远程验证。

IBM PowerVM 企业系统管理程序

与主要竞争对手相比,IBM PowerVM® 企业系统管理程序在安全方面取得了卓越的成就,因此您可以放心地保护自己的虚拟机 (VM) 和云环境。

操作系统

IBM Power 系统为各种操作系统提供领先的安全功能,如 IBM® AIX®IBM i Linux®。 面向 IBM Power 的 EDR 技术可以为 VM 工作负载提供额外的安全性,确保为网络中的每个终端提供全面保护。 对于依赖密码来确保安全的系统,AIX 和 Linux 操作系统使用 IBM PowerSC 多因素认证 (MFA) 技术,这需要对所有用户进行额外级别的认证,防止密码破解恶意软件的攻击。

这些功能部件因操作系统而异,但其功能示例包括:

  • 在不影响安全性的情况下,分配通常为 root 用户保留的管理功能
  • 通过单独的密钥库加密文件级别的数据
  • 加强对用户可用的命令和功能及其访问对象的控制
  • 使用系统值和用户及对象的对象审计值,在安全审计日志中记录对象的访问情况
  • 在整个驱动器上实施加密,先加密一个对象,然后以加密形式写出
  • 在为请求用户打开文件之前,评估并验证每个文件

工作负载、虚拟机和容器

工作负载不再局限于本地数据中心,它们不断迁移至虚拟化混合云和多云环境。 例如,许多组织正在采用容器跨混合基础架构部署新应用和现有应用。

这些动态变化的环境和工作负载需要同样通用的安全功能。 IBM Power 解决方案可以通过加密算法加速、安全密钥存储以及对后量子密码和全同态加密 (FHE) 加密算法的 CPU 支持来保护工作负载隐私,从而满足安全需求。

为了满足容器化部署的独特安全要求,IBM 还与 Aqua Security 等独立软件供应商 (ISV) 合作,后者采用了 IBM Power 技术和 Red Hat® OpenShift® Container Platform,可在容器的整个生命周期内进一步保护容器安全。

IBM Power 服务器旨在通过端到端的内存加密和加速的加密性能,保护从本地到云端的各种数据。 为云原生工作负载而嵌入的策略(包括虚拟机、容器和无服务器功能),是为了支持 Red Hat OpenShift 和 IBM Power 客户集成应用现代化的安全和合规需求而构建的。

动态分区迁移 (LPM)

IBM Power 技术可用于保护动态数据。 当您需要从一个系统迁移到另一个系统时,LPM 通过加密来保护虚拟机。 如果您已对本地数据中心或混合云环境或者同时对这两者进行了虚拟化,那么此功能至关重要。

05

基于 IBM Power 解决方案的集成安全产品

阅读时间:9 分钟

IBM® PowerSC 2.0 技术是一种集成产品组合,可在云和虚拟环境中实现企业安全性和合规性。 它位于堆栈之上,同时提供基于 Web 的 UI,用于管理来自最低级别解决方案的 IBM Power 技术的安全功能。

功能部件:IBM PowerSC 2.0 Standard Edition

多因素认证 (MFA) 技术

MFA 现已集成到 IBM PowerSC 2.0 解决方案中。 这简化了 MFA 机制的部署过程,且遵循“从不信任,始终验证”的零信任原则。这种方法支持替代因素,使用户能够使用基于 RSA SecurID 的认证和证书认证选项登录,包括通用访问卡 (CAC) 和个人身份验证 (PIV) 卡。 IBM PowerSC MFA 通过要求用户提供额外的认证因素来提高系统的保证级别。

EDR 功能

IBM PowerSC 2.0 解决方案在 IBM Power 工作负载上引入了适用于 Linux 的 EDR,为管理终端安全提供了最新的行业标准功能,包括入侵检测和预防、日志检查和分析、异常检测和事件响应功能。

合规自动化

IBM Power 系列随附了预先构建的概要文件,这些概要文件支持各种行业标准。 您可以定制这些配置文件,并将它们与企业规则融合在一起,而无需接触可扩展标记语言 (XML)。

实时合规性

当有人打开安全关键文件或与之交互时,进行检测并提醒您。

可信网络连接

当虚拟机未处于规定的补丁级别时提醒您。 它还会在修订可用时通知您。

可信启动

支持检查和远程验证 AIX 逻辑分区上运行的所有软件组件的完整性。

可信防火墙

保护和路由 AIX、IBM i 和 Linux 操作系统之间的内部网络流量。

可信日志记录

创建集中审计日志,易于备份、归档和管理。

预先配置的报告和交互式时间线

IBM PowerSC Standard Edition 支持使用五个预先配置的报告进行审计。 您还可以通过交互式时间线查看虚拟机的使用期限和事件。

了解如何通过云端和虚拟化环境中的 IBM PowerSC 简化 IT 安全性和合规性管理

06

最强大的安全方法是一种无缝集成的方法

阅读时间:2 分钟

随着网络犯罪分子不断改进方法,技术演变使得当今企业产生新的漏洞,当务之急就是要打造一个不会增加组织复杂度的多层次、零信任的集成安全解决方案。 IBM Power 解决方案通过单一供应商紧密集成的深度解决方案,可以保护从边缘到云端再到核心的每一层堆栈。 与多家供应商合作会带来各种复杂问题,最终也可能会以多种方式证明其高昂的成本。 IBM Power 技术支持处理器级别的端到端加密,且不会影响性能。 通过集成基础架构,使堆栈的每一层都成为焦点。

由单一供应商提供安全措施具有天然的优势,可以提供简化并加强您的安全策略。 立足于三十年来在安全领域的领导地位,IBM Power 技术与 IBM 内外的其他组织建立了广泛的合作伙伴关系,进一步深化和拓宽了其安全专业知识。 凭借这些合作伙伴关系,IBM Power 技术可以走进更大的安全专业人员社区,确保可以快速识别问题并信心十足地加以解决。 在 IBM Security® 和 IBM Research® 业务部门的支持下,以及 PowerSC 2.0 产品组合的加持,Power10 服务器可以从上到下有力挫败包括内部攻击在内的多种威胁。

¹2021 年数据泄露成本报告,IBM Security,2021 年 7 月 (PDF, 3.6 MB)

² 3 倍性能基于对以下产品上的整数、企业和浮点环境进行的投产前工程分析:具有 2×30 核模块的 POWER10 双插槽服务器产品与具有 2×12 核模块的 POWER9 双插槽服务器产品;两个模块具有相同的能量水平。2 10-20 倍 AI 推理改进基于对以下产品上的各种工作负载(Linpack.Resnet-50 FP32、Resnet-50 BFloat16 和 Resnet-50 INT8)的投产前工程分析: 具有 2×30 核模块的 POWER10 双插槽服务器产品与具有 2×12 核模块的 POWER9 双插槽服务器产品。

³ 根据在 RHEL Linux 8.4 和 OpenSSL 1.1.1g 库上获得的初步测量结果,比较 IBM Power10 E1080(15 核模块)与 IBM POWER9 E980(12 核模块)时, GCM 和 XTS 模式下的 AES-256 每个内核的运行速度大约快 2.5 倍

© Copyright IBM Corporation 2022

IBM Cloud
IBM Corporation
New Orchard Road
Armonk, NY 10504

美国出品
2022 年 6 月

IBM、IBM 徽标、IBM Cloud、IBM Research、IBM Security、Power 和 Power10 是 International Business Machines Corporation 在美国和/或其他国家或地区的商标或注册商标。 其他产品和服务可能是 IBM 或其他公司的商标。ibm.com/trademark 上提供了 IBM 商标的最新列表。

Red Hat 和 OpenShift 是 Red Hat, Inc. 或其子公司在美国和其他国家或地区的商标或注册商标。本文档为自最初公布日期起的最新版本,IBM 可随时对其进行修改。 IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。本文档中的信息"按现状"提供,不附有任何种类的(无论是明示的还是默示的)保证,包括 不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。 IBM 产品是根据产品提供时所依据的协议条款和条件提供保证的。

注册商标 Linux® 必须获得 Linux Foundation 的再许可才能使用;Linux Foundation 是 Linus Torvalds 的独家被许可方,也是该标记的全球拥有者。

良好安全实践声明:IT 系统安全性涉及通过防御、检测和响应来自企业内部和外部的不正当访问来保护系统和信息。不正当的访问可能导致信息被篡改、破坏或盗用,或者导致您的系统遭到误用而攻击别人。任何 IT 系统或产品都不应被认为是完全安全的,而且没有任何单一产品、服务或安全措施在防止不正当的使用或访问方面是完全有效的。IBM 系统、产品和服务旨在成为合法、全面的安全方法的一部分,它必定涉及额外的操作程序,并且可能需要其他系统、产品或服务配合才能获得最好的效果。IBM 不保证任何系统、产品或服务免受任何一方的恶意或非法行为侵扰,或帮助您的企业免受任意一方恶意或非法行为的攻击。客户负责确保遵守适用的法律和法规。 IBM 不提供任何法律咨询,也不声明或保证其服务或产品将确保客户遵循任何法律或法规。