当今的 IT 格局

复杂网络攻击时代下的企业 IT

阅读时间:3 分钟

自 COVID-19 疫情爆发以来,有据可查的破坏性数据泄露事件数量十分惊人。 数据泄露的平均成本现在为 424 万美元,比去年报告的 386 万美元增长了 10%。 这是该行业在过去七年间见证的最大增幅¹,这也使得安全问题成为首要问题。 完善安全策略,让企业在这个永不停歇的世界中快速、安全、可靠地发展,是当今许多高管关注的焦点,这也导致安全预算不断增加。 然而,支出增长和技术变革也引发了新的复杂问题和风险,继续威胁着 IT 的安全。 安全专业人员最关心的问题之一就是日益增多的复杂攻击媒介,它们以未曾有过的广度不断暴露出当今企业更多方面的问题。

一个蓝色方块

424 万美元

这就是现在数据泄露的平均成本,比去年报告的 386 万美元增长了 10%。

02

当前威胁形势现状

阅读时间:7 分钟

企业依靠其安全系统来防止知识产权、敏感公司信息、客户数据和工作负载隐私等方面当前和未来可能面临的威胁。

为了防止数据泄露和网络攻击,当务之急就是明确专业人员该如何战略性地处理 IT 安全问题。 安全漏洞不仅会导致宕机,而且对任何组织来说,其代价都十分高昂。 勒索软件攻击构成最大的威胁,平均而言,每次攻击会给企业造成 462 万美元的损失¹。 IBM® Power® 平台具有完整性,可以通过实施终端检测和响应 (EDR) 以及连续多因素认证 (MFA) 等零信任概念来降低勒索软件的风险。

单纯采用业务驱动、合规驱动或货币驱动的方法,无法为业务流程提供足够的保护,使其免遭日益增多的 IT 系统风险的影响。 孤立片面的方法可能会忽视高效集成安全策略的关键跨学科方面。 理想的行动方案应包括规划和评估,用于识别与安全相关的关键领域存在的风险。 IBM Power 技术和基于 IBM® Power10 处理器的系统为您的安全策略提供了一种全面的零信任多层方法,确保您的组织安全且合规。 这种多层方法包括:

  • 硬件
  • 操作系统
  • 固件
  • IBM® PowerSC 2.0 技术
  • (系统)管理程序

采用着眼全局的安全方法可以帮助您的组织有效应对影响安全格局的各种威胁。

黑客越来越狡猾而老练。

随着组织不断摆脱传统本地数据中心的约束,迁移到混合云或多云环境,网络攻击者需要不断跳出旧有的思维窠臼深入思考。 实施最小特权和加强基于边界的控制,将有助于管理越来越多的威胁。 他们过去所采用的方法不再局限于网络级别,这最终扩大了他们的视野,增强了攻击能力。

随着数据访问量的增加,安全性也愈发重要。

现如今,员工几乎可以在任何地方(跨服务器、混合云环境以及众多移动和边缘设备)存储和访问组织内的数据。 服务器和设备间这种密不可分的交叉关系,是持续数字化转型和现代化的附带产物。 因此,这很容易创造大量可供利用的攻击媒介。

一再收紧的监管正在影响风险状况。

为帮助确保监管合规而实施的流程也可能会导致意外的风险暴露。 《通用数据保护条例》(GDPR) 只是这种增长趋势的最新发展之一。 管理实体开始更加关注组织的数据使用方式。 而与此同时,它们也增加了日常业务运营的复杂度。

员工引发了时刻会遭利用的漏洞。

去年,20% 的数据泄露事件就是由员工的凭证被盗而引起的¹。除了登录信息之外,网络钓鱼诈骗和电子邮件泄露也会使员工在不知不觉中将公司信息置于危险境地。 无论您实施何种安全控制措施,或者处理漏洞的能力如何,您的员工总会带来一定程度的风险。 在网络犯罪猖獗时代,务必要围绕这些常见安全威胁对员工展开培训,并建立相应的报告系统。 一个小失误或一次狡猾的恶意攻击,就有可能会让您在保护终端和实现合规方面所做的辛苦工作付诸东流。

与此同时,许多组织都在努力寻找并留住称职的网络安全人员,他们发现自己陷入了永久性技能短缺的困境。 为了应对这种技能短缺,组织可以实施简化的安全管理措施,实现运营、合规、修补和监控自动化。 从端到端安全性中获益,通过额外的终端检测功能实施保护,而无需增加资源。

随着 IT 架构不断演变,并适应日渐变化的技术、工作文化和合规性潮流,当今网络威胁环境的数量、种类和速度只会翻倍增长。 这意味着您的安全策略也必须同步发展,超越网络级别范畴。

03

零信任安全策略至关重要

阅读时间:5 分钟

实施零信任概念可以帮助组织在通常很复杂的 IT 环境中解决安全问题。 在混合云和多云环境中,IT 专业人员在苦苦维系可见性和可控性。 零信任通过采用更全面的策略来约束访问控制,同时又不影响性能或用户体验,有效管理风险。 通过实施各种第三方供应商安全解决方案,可以在堆栈的各个级别上构建安全性。 但是,这种方法会加剧已经存在的复杂性,并在网络中引入更多漏洞和暴露点。 最佳措施就是采取多层次、零信任的方法。 这既可以保护您组织的所有数据和系统,也可以最大限度地降低复杂性。 考虑到这一点,IBM® Information Security Framework 有助于确保在使用着眼全局的业务驱动型安全方法时,正确地解决各个方面的 IT 安全问题。

IBM Information Security Framework 侧重于:

  1. 基础架构 - 通过洞察用户、内容和应用来防范复杂缜密的攻击。
  2. 高级安全和威胁研究 - 了解漏洞和攻击方法,并通过保护技术应用相关洞察。
  3. 人员 - 使用全面的身份智能跨安全域管理和扩展企业身份。
  4. 数据 - 保护组织中最受信任资产的隐私和完整性。
  5. 应用 - 降低更安全应用的开发成本。
  6. 安全情报和分析 - 通过额外的上下文、自动化和集成优化安全性。
  7. 零信任理念 - 将正确的用户连接到正确的数据并实施保护,同时也保护您的组织。

了解有关 IBM Security Framework (PDF, 25.2 MB) 以及如何进一步深入研究的更多信息。

04

IBM Power 技术如何保护堆栈

阅读时间:6 分钟

硬件、固件和管理程序

片上加速器

IBM Power10 处理器芯片旨在增强侧信道缓解性能,并配备经过改进的 CPU 与服务处理器隔离功能。 这款 7 纳米处理器使计算能力增长 3 倍,性能更强²。 

端到端加密

IBM Power 解决方案的透明内存加密技术旨在实现端到端安全性,满足当今企业面临的苛刻安全标准。 它还支持加密加速、量子安全加密和全同态加密技术,以防范未来的威胁。 最新 IBM Power 系统模型的加速加密技术采用高级加密标准 (AES),每个内核的加密性能比 IBM Power E980 技术快 2.5 倍³。 组织无需额外的管理设置便可从透明的内存加密中获益。

EDR 软件

在客户数据和数字资产保护方面,外部威胁的增长使得端点安全变得愈发重要。 通过检测端点存在的任何潜在威胁,组织可以快速采取行动并解决事件,而不会中断业务连续性。 集成方法可消除复杂性,同时保护您的组织免遭最危险的攻击。

零信任原则

经过不断演变,组织开始采用零信任原则来帮助管理这些日益增长的威胁。 通过保护所有 API、端点、数据和混合云资源,支持多重身份验证和最小特权等原则为企业增添额外的保护层。

IBM 零信任框架 让这一概念顺利落地。

收集洞察 - 了解用户、数据和资源,制定必要的安全策略来确保全面保护。

保护 - 通过快速、一致地验证上下文和执行策略来保护组织。

检测和响应 - 解决安全违规问题,将对业务运营的影响降至最低。

分析和改进 - 通过调整策略和实践,做出更明智的决策,进而不断改善安全状况。

通过实施零信任原则,企业可以安全地开展创新并扩展业务。

基于 IBM Power10 解决方案的安全启动

安全启动旨在通过数字签名来核查和验证所有固件组件,保护系统完整性。 在启动过程中,以数字方式对 IBM 发布的所有固件进行签名和验证。 所有 IBM Power 系统都随附一个可信平台模块,该模块可以将服务器上加载的所有固件组件的测量值累积起来,以便对其进行检查和远程验证。

IBM PowerVM 企业管理程序

与主要竞争对手相比,IBM PowerVM® 企业管理程序 在安全性方面履历辉煌,因此您尽可放心地保护自己的虚拟机 (VM) 和云环境。

 

操作系统

IBM Power 系统为各种操作系统提供领先的安全功能,如 IBM® AIX®IBM i Linux®。 面向 IBM Power 的 EDR 技术可以为 VM 工作负载提供额外的安全性,确保为网络中的每个端点提供全面保护。 对于依赖密码来确保安全的系统,AIX  和 Linux 操作系统使用 IBM PowerSC 多重身份验证 (MFA) 技术,这需要对所有用户进行额外的身份验证,防止密码破解恶意软件的攻击。 这些功能因操作系统而异,但其功能示例包括:

  • 在不影响安全性的情况下,分配通常为 root 用户保留的管理功能
  • 通过单独的密钥库加密文件级数据
  • 加强对用户可用的命令和功能及其访问对象的控制
  • 对用户和对象使用系统值和对象审计值,在安全审计日志中记录对象的访问情况
  • 在整个驱动器上实施加密,先加密一个对象,然后以加密形式写出
  • 在为请求用户打开每个文件之前,评估并验证这些文件

工作负载、虚拟机和容器

工作负载不再局限于本地数据中心,而是不断迁移至虚拟化混合云和多云环境。 例如,许多组织正在采用容器跨混合基础架构部署新应用和现有应用。

这些动态变化的环境和工作负载需要同样通用的安全功能。 IBM Power 解决方案可以通过加密算法加速、安全密钥存储 以及对后量子密码和全同态加密 (FHE) 加密算法的 CPU 支持来保护工作负载隐私,从而满足安全需求。

 为了满足容器化部署的独特安全要求,IBM 还与 Aqua Security 等独立软件供应商 (ISV) 合作,后者采用 IBM Power 技术和 Red Hat® OpenShift® Container Platform,可在容器的整个生命周期内进一步保护容器安全。

IBM Power 服务器旨在通过端到端的内存加密和加速的加密性能,保护从本地到云端的各种数据。 为云原生工作负载而嵌入的策略(包括虚拟机、容器和无服务器功能),是为了支持 Red Hat OpenShift 和 IBM Power 客户集成应用现代化的安全和合规需求而构建的。

动态分区迁移 (LPM)

IBM Power 技术可用于保护动态数据。 当您需要从一个系统迁移到另一个系统时,LPM 通过加密来保护虚拟机。 如果您已对本地数据中心和/或混合云环境进行虚拟化,那么此功能至关重要。

 

05

基于 IBM Power 解决方案的集成安全产品

阅读时间:9 分钟

IBM® PowerSC2.0 技术是一种集成产品组合,可在云和虚拟环境中实现企业安全性和合规性。 它位于堆栈之上,提供基于 Web 的 UI 来管理最低级别解决方案中 IBM Power 技术的安全功能。 

IBM PowerSC 2.0.Standard Edition 的功能

多重身份验证 (MFA) 技术

MFA 现已集成到 IBM PowerSC 2.0 解决方案中。 这可简化 MFA 机制的部署,遵循“从不信任,始终验证”的零信任原则。 这种方法支持替代因素,可让用户使用基于 RSA SecurID 的身份验证和证书验证选项登录,包括通用访问卡 (CAC) 和个人身份验证 (PIV) 卡。 IBM PowerSC MFA 要求对用户实施额外的身份验证因素,以此提高系统的保证级别。

EDR 功能

IBM PowerSC 2.0 解决方案在 IBM Power 工作负载上引入了适用于 Linux 的 EDR,为管理端点安全提供最新的行业标准功能,包括入侵检测和预防、日志检查和分析、异常检测和事件响应功能。

合规自动化

IBM Power 系列随附支持各种行业标准的预建配置文件。 您可以定制这些配置文件,将它们与企业规则合并,而无需接触可扩展标记语言 (XML)。

实时合规性

当有人打开安全关键文件或与之交互时,进行检测并提醒您。

可信的网络连接

当虚拟机未处于规定的补丁级别时提醒您。 它还会在可以修复时通知您。

可信的引导

支持检查和远程验证 AIX 逻辑分区上运行的所有软件组件的完整性。

可信的防火墙

保护和路由 AIX、IBM i 和 Linux 操作系统之间的内部网络流量。

可信的日志记录

创建集中化的审计日志,易于备份、归档和管理。

预先配置的报告和交互式时间线

IBM PowerSC Standard Edition 支持使用五个预先配置的报告进行审计。 您还可以通过交互式时间线查看虚拟机的使用期限和事件。

了解如何通过云端和虚拟化环境中的  IBM PowerSC 简化 IT 安全性和合规性管理

06

最强大的安全方法是一种无缝集成的方法

阅读时间:2 分钟

随着网络犯罪分子不断改进方法,同时技术演变在当今的企业中引入新的漏洞,当务之急就是要打造一个不会增加组织复杂度的多层次、零信任的集成安全解决方案。 IBM Power 解决方案通过单一供应商紧密集成的深度解决方案,可以保护从边缘到云端再到核心的每一层堆栈。 与多家供应商合作会带来各种复杂问题,最终也可能会以多种方式证明其高昂的成本。 IBM Power 技术支持处理器级别的端到端加密,且不会影响性能。 通过集成基础架构,使堆栈的每一层都成为焦点。 

由单一供应商提供安全措施具有天然的优势,可以简化并加强您的安全策略。 立足于三十年来在安全领域的领导地位,IBM Power 技术与 IBM 内外的其他组织建立了广泛的合作伙伴关系,进一步深化和拓宽了其安全专业知识。 凭借这些合作伙伴关系,IBM Power 技术可以走进更大的安全专业人员社区,确保可以快速识别问题并信心十足地加以解决。 在 IBM Security® 和 IBM Research® 业务部门的支持下,以及 PowerSC 2.0 产品组合的加持,Power10 服务器可以从上到下有力挫败包括内部攻击在内的多种威胁。

¹ 2021 年数据泄露成本报告,IBM Security,2021 年 7 月 (PDF, 3.6 MB)

² 3 倍性能基于对以下产品上的整数、企业和浮点环境进行的投产前工程分析:具有 2×30 核模块的 POWER10 双插槽服务器产品与具有 2×12 核模块的 POWER9 双插槽服务器产品;两个模块具有相同的能量水平。 2 10-20 倍 AI 推理改进基于对以下产品上的各种工作负载(Linpack. Resnet-50 FP32、Resnet-50 BFloat16 和 Resnet-50 INT8)的投产前工程分析: 具有 2×30 核模块的 POWER10 双插槽服务器产品与具有 2×12 核模块的 POWER9 双插槽服务器产品。

³ 根据在 RHEL Linux 8.4 和 OpenSSL 1.1.1g 库上获得的初步测量结果,比较 IBM Power10 E1080(15 核模块)与 IBM POWER9 E980(12 核模块)时,GCM 和 XTS 模式下 AES-256 每个内核的运行速度大约快 2.5 倍

© Copyright IBM Corporation 2022

IBM Cloud
IBM Corporation
New Orchard Road
Armonk, NY 10504

美国出品
2022 年 6 月

IBM、IBM 徽标、IBM Cloud、IBM Research、IBM Security、Power 和 Power10 是 International Business Machines Corporation 在美国和/或其他国家/地区的商标或注册商标。 其他产品和服务名称可能是 IBM 或其他公司的商标。 IBM 商标的最新列表可参见 ibm.com/thought-leadership/trademark.

Red Hat 和 OpenShift 是 Red Hat, Inc. 或其子公司在美国和其他国家/地区的商标或注册商标。本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。 IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。 IBM 产品根据其提供时所依据的协议条款和条件获得保证。

Linux® 注册商标是根据 Linux 基金会的再许可而使用,该基金会是 Linus Torvalds 的独家许可证持有人,也是该商标的全球所有者。

良好安全实践声明: IT 系统安全性涉及通过预防和检测来自企业内部和外部的不当访问并做出相应响应来保护系统和信息。 不当访问可导致信息被更改、破坏、盗用或滥用,也可能导致系统被损坏或滥用,包括用于攻击他人。 任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不当使用或访问。 IBM 系统、产品和服务旨在成为合法、全面的安全措施的一部分,这必然涉及其他操作程序,并且可能需要借助其他系统、产品或服务才能发挥最大作用。 IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。客户有责任遵守适用法律和法规。 IBM 不提供法律咨询,也不声明或担保其服务或产品能够确保客户遵守任何法律法规。