当前位置:主页 > CIO > 沟通 >
    CIO如何缓解安全和网络运营之间的紧张关系
      时间:2017-12-06 13:32 作 者:

  几乎在我和首席信息官们的每一次对话中,都会出现一个共同的主题:如何让IT内部的孤岛一起工作。不同群体之间的关系各不相同,但似乎最紧张的是网络和安全运营之间的关系。

  大多数公司的网络和安全性之间一直存在并将继续存在敌意已经不是什么秘密了。我当分析师之前是一名网络工程师,处理SecOps,内部审计或任何与安全性有关的人都引起了我的极大的焦虑。对我来说,似乎SecOps总是和NetOps对着干,这是因为他们的任务不同。对于网络工程师来说,目标是尽可能快地获得所有数据包,而SecOps则阻止所有不良流量,即使这意味着减慢速度。

  一种可以帮助网络和安全运营更好地相处的技术就是所谓的安全交付平台(security delivery platform ,SDP)。如果你还不熟悉SDP的话,它是一个网络数据包代理(network packet broker ,NPB),它具有专门用于安全性的功能。有一个很好的类比可以说明NPB和SDP之间的区别,即考虑负载均衡器和应用交付控制器(application delivery controller,ADC)之间的区别。负载均衡器是商品并执行一项任务。虽然ADC执行负载均衡,但它还包括其它一些功能,包括Web应用程序防火墙(WAF)、VPN和SSL卸载(offload)。类似地,NPB提供了网络的分流和聚合,但是SDP确实提升了一些东西,比如查看内部数据包,聚合和去除重复。

  为了解决如何使用SDP来缓解网络和安全操作之间的紧张关系,我采访了SDP的市场领导者Gigamon的安全架构师Simon Gibson。Gibson还是Bloomberg的首席信息安全官,所以他实际上亲身经历了与网络集团的冲突。

  Zeus:Simon,谢谢你接受采访。为什么网络和安全运营之间存在这种紧张关系?

  Gibson:在我以前的职位上,我负责安全性工作,并与网络负责人紧密合作,我认为他是一个超级聪明的人。我在这份工作中学到的一件事是,由于安全形势的不断变化,安全性问题让网络很难制定计划并坚持下去。这对人员、预算和其它资源有影响。安全性必须对不断变化的市场状况做出反应,这可能会破坏网络运营的最佳计划。

  例如,今年早些时候,国土安全部发布了一项指令,要求从成千上万的军事端点中删除卡巴斯基安全产品。这不是人们计划中的事情,但现在这成了很多人的首要任务,不管以前的工作重点是什么。在安全性方面,第一重要的东西很快就会成为第二重要的东西,这与网络运营的方式是不一致的。

  此外,安全部门希望进行预防性控制,这往往妨碍人们工作。把网络想象成高速公路,安全性就是要让人们放慢速度,使一切变得安全。但有一点需要考虑:车上没有刹车的话,人们的时速就不能超过3英里,所以如果做得好,安全性可能会成为一个推动者。

  安全交付平台(SDP)如何帮助解决这种紧张局势?

  Gibson:大多数安全性工具都必须部署在网络中,所以每当SecOps希望实施一个新工具时,网络团队往往不得不停止他们手头上的工作,并提供一个SPAN端口来供它接入。如果SPAN端口已满,则必须移除或移动某个端口。通过SDP,SDP通过一系列TAP接入网络,并将所有安全性工具接入网络。现在SecOps可以接入尽可能多的工具,因为他们有可用的SDP端口。网络管理员只要打开端口,使流量流向它。

  更重要的是,安全团队可以在流量到达每个安全性工具之前做其他事情,比如解密SSL和预先过滤不需要的流量(如YouTube视频),所有这一切都减轻了安全工具的负担,并允许更多功能在无需过载的情况下即可打开。

  如果没有SDP,15个安全工具将需要在15个不同的地方挖掘网络。使用SDP只要在一个地方分流就能连接15个地方。安全团队非常高兴,因为他们可以更快地实施他们的工具,网络工程师也很高兴,因为所需要的工作量只是在GUI上点击几下鼠标。

  “SDP的使用是双赢的,因为安全功效提升了,并且网络运营的可视性越来越高。”

  另一个用例是确保非对称流量。很多网络团队希望转向这样一个网络架构,在这里流量并不对称(进出分支的流量在独立的网络路径上移动),流量由SD / WAN部署驱动。这种模式面临的挑战是大多数安全工具需要同时看到入站和出站流量才能正常工作,所以很多安全团队试图阻止网络工程师重新设计网络。SDP可以将两个流缝合在一起,因此网络可以转向到非对称模型,仍然可以使用安全工具。

  SDP的使用是双赢的,因为安全功效提升了,并且网络运营的可见度越来越高。

  有没有办法用SDP使安全运营就可以转向自助服务模式,在这里网络运营根本不需要介入?

  Gibson:这是另一个有趣的用例。网络运营可以配置SDP的镜像,以供安全团队使用,对生产并无影响。这就是我们在Gigamon所拥有的配置,在该配置中,通信被复制到安全性赖以运行和运营的独立的HC2设备。所有配置和测试都可以在部署到生产网络之前完成。这使得安全团队能够在需要的时候做他们想做的事情,而不必要求网络运营放弃一切。

  你还有什么其它的好处要提及吗?

  Gibson:还有一个好处,这是首席信息官们应该始终关注的事情:SDP可以在不降低组织的安全性的情况下显著降低安全性成本。如果没有SDP,安全团队会购买昂贵的高性能安全工具来部署网络中的每个关键点。例如,如果有6个入口点,该组织可能会购买12个新一代防火墙(每个防火墙要两个冗余)。一旦SDP到位,来自每个点的流量可以聚合到一个点上。所以,他们不用买12个防火墙,只需要买一对就够了。

  另外,SDP仅将流量发送到其实际需要的安全工具,从而显著降低了对性能的要求。常规的做法是花大价钱买安全工具,但是SDP可以让企业按需购买,并且具有会话负载平衡,因此在需要时可以添加额外的安全工具,而不是使用传统的拆分和替换方法。

  有关公司如何开始部署SDP的建议?

  Gibson:我可以提供的最好的指导是退一步,看看你的整体安全性要求。想想需要多少工具,需要多少常备工具,然后再将这些工具的部署结合到SDP的实施中。SDP的成本很容易被更少安全工具和更快的部署速度所节省的成本所抵消。

  SDP为安全性工具创建了即插即用的模型,通过将控制权交给安全人员来减轻网络运营的负担。如果企业要变成敏捷,充满活力的组织,安全和网络团队之间的紧张关系必须消解。但是如果他们的目标截然相反,这是不可能发生的。SDP有助于团队协调一致。





发表评论

最新评论
 
 
热点文章
浏览排行