作為中國(guó)網(wǎng)絡(luò)安全可視化技術(shù)的中堅(jiān)力量和實(shí)踐專(zhuān)家，安博通產(chǎn)品經(jīng)理在2017年RSA大會(huì)正式開(kāi)展第一天著重走訪和調(diào)研了國(guó)際網(wǎng)絡(luò)安全可視化的主要參展廠商。經(jīng)過(guò)初步整理和分析，在這里為大家奉上網(wǎng)絡(luò)安全可視化界的第一手新鮮資料，包括三個(gè)維度、七個(gè)趨勢(shì)、六家參展廠商以及未來(lái)發(fā)展預(yù)測(cè)。

網(wǎng)絡(luò)安全可視化的三個(gè)觀察維度

安博通產(chǎn)品經(jīng)理認(rèn)為，網(wǎng)絡(luò)安全可視化產(chǎn)品主要從以下三個(gè)維度對(duì)業(yè)務(wù)進(jìn)行觀察：

1 整網(wǎng)路徑分析可視

在此維度上，產(chǎn)品重點(diǎn)功能以呈現(xiàn)由大量網(wǎng)絡(luò)與安全設(shè)備構(gòu)成的企業(yè)網(wǎng)絡(luò)拓?fù)錇榛A(chǔ)，以安全域的概念對(duì)網(wǎng)絡(luò)進(jìn)行劃分，通過(guò)復(fù)雜的計(jì)算快速給出安全域到安全域節(jié)點(diǎn)到節(jié)點(diǎn)的訪問(wèn)路徑，并在此基礎(chǔ)上疊加策略分析、流量分析、漏洞分析和威脅分析等多種服務(wù)。

要進(jìn)行整網(wǎng)路徑分析，需要具備以下兩個(gè)主要技術(shù)能力：首先是兼容多樣性，產(chǎn)品需要通過(guò)讀取網(wǎng)絡(luò)信息進(jìn)行路徑計(jì)算，如果需要完成安全域到安全域的業(yè)務(wù)路徑計(jì)算，其中可能包含大量節(jié)點(diǎn)間關(guān)系，僅讀取路由節(jié)點(diǎn)的信息是遠(yuǎn)遠(yuǎn)不夠的，還需要同時(shí)具備讀取網(wǎng)絡(luò)設(shè)備、安全網(wǎng)關(guān)設(shè)備、應(yīng)用層安全設(shè)備、負(fù)載均衡設(shè)備等幾乎所有節(jié)點(diǎn)信息的能力，這對(duì)產(chǎn)品的性能也同時(shí)提出了很高要求;第二是產(chǎn)品的圖形計(jì)算能力，當(dāng)處理安全域到安全域的業(yè)務(wù)流，而不是節(jié)點(diǎn)到節(jié)點(diǎn)簡(jiǎn)單拓?fù)溆?jì)算時(shí)，其運(yùn)算量呈幾何級(jí)數(shù)增加，對(duì)數(shù)據(jù)庫(kù)和前臺(tái)呈現(xiàn)能力都帶來(lái)了極大的考驗(yàn)，一旦出現(xiàn)計(jì)算問(wèn)題將無(wú)法快速和直觀地進(jìn)行圖形展現(xiàn)。

在所有調(diào)研廠商中，提問(wèn)是否支持安全域到安全域的業(yè)務(wù)路徑分析與展示時(shí)，僅有Redseal一家答復(fù)支持，而其他廠商人員均直接答復(fù)無(wú)法支持，僅能支持節(jié)點(diǎn)到節(jié)點(diǎn)功能，且圖形化展示能力和返回時(shí)間相比Redseal存在一定差距。由此可見(jiàn)，在大規(guī)?？绲赜驈V域網(wǎng)或大型內(nèi)網(wǎng)的場(chǎng)景下，Redseal適用性最佳，體現(xiàn)出其技術(shù)實(shí)力和積累。

[[183661]]

2 設(shè)備運(yùn)維管理可視

在此維度上，產(chǎn)品主要關(guān)注基于設(shè)備及設(shè)備組的運(yùn)維問(wèn)題，而運(yùn)維的靈魂就在于策略落地，圍繞著單機(jī)或全局防火墻設(shè)備的安全策略進(jìn)行各種各樣的服務(wù)和操作，例如策略評(píng)分、策略遷移、策略清理等等，其核心目的還是幫助網(wǎng)絡(luò)管理員或IT manager進(jìn)行快速高效可靠的運(yùn)維工作。

說(shuō)到組織的運(yùn)維，自然離不開(kāi)組織架構(gòu)的概念，業(yè)界頂尖的IT運(yùn)維工具都繞不開(kāi)組織架構(gòu)這個(gè)復(fù)雜而重要的需求。在運(yùn)維方面，Tufin具備較強(qiáng)的優(yōu)勢(shì)，Tufin產(chǎn)品可根據(jù)組織架構(gòu)方便地創(chuàng)建多級(jí)嵌套關(guān)系的設(shè)備組，并基于不同層次的設(shè)備組給與不同的策略動(dòng)作。面對(duì)復(fù)雜的組織架構(gòu)時(shí)，“基于架構(gòu)下策略”要比“基于策略套架構(gòu)”更加高效，同時(shí)前者也比后者的實(shí)現(xiàn)難度高許多，可見(jiàn)Tufin在此種場(chǎng)景下的高適應(yīng)度。尤其通過(guò)筆者與會(huì)場(chǎng)人員確認(rèn)，在最新版本中，Tufin與Palo Alto設(shè)備組進(jìn)行聯(lián)合開(kāi)發(fā)，推出策略組解決方案，可適應(yīng)龐大組織架構(gòu)，配合Tufin優(yōu)勢(shì)的工作流特性，更能提高兩者共同使用時(shí)的運(yùn)維效率。

3 安全策略路徑可視

在此維度上，產(chǎn)品似乎稍顯遠(yuǎn)離組織架構(gòu)和整體網(wǎng)絡(luò)，而是緊緊抓住安全策略和用戶(hù)業(yè)務(wù)這兩個(gè)靈魂和重點(diǎn)提供服務(wù)，更加適合作為專(zhuān)門(mén)的策略管理工具出現(xiàn)，處理訪問(wèn)關(guān)系特別復(fù)雜而且業(yè)務(wù)經(jīng)常需要變更的組織。

而說(shuō)到策略管理維度，F(xiàn)ireMon無(wú)疑是更加老牌和資深的玩家，在其最新V8版本中，主要新增特性仍然圍繞著策略，包括：策略變更管理(全網(wǎng)策略和單一設(shè)備策略、策略健康度評(píng)分機(jī)制、策略評(píng)估報(bào)表和歷史記錄查詢(xún)等)、策略清理(基于安全域/節(jié)點(diǎn)的策略查詢(xún)、策略效率評(píng)估等)、策略合規(guī)檢查(基線檢查、策略白名單等)?？梢哉f(shuō)，從安全策略層面觀察，F(xiàn)ireMon幾乎可以幫助一個(gè)IT manager做到所有想做的事情。

而對(duì)于安全策略的基本操作和呈現(xiàn)，則在五家參展廠商的產(chǎn)品中均提供類(lèi)似功能，例如計(jì)算和查看路徑上的安全策略，或者基于某些安全威脅日志查看對(duì)應(yīng)的安全策略，又或是基于節(jié)點(diǎn)查詢(xún)所有相關(guān)的安全策略。在安全策略路徑維度大書(shū)特書(shū)成為了所有人的共識(shí)，大家在此處也似乎無(wú)法通過(guò)一些特性拉開(kāi)差距，在2017年的RSA大會(huì)上沒(méi)有看到基于策略的突破性技術(shù)革新，也不能不說(shuō)是種遺憾。

網(wǎng)絡(luò)安全可視化的七個(gè)共同趨勢(shì)

筆者在走訪各個(gè)廠商的展臺(tái)時(shí)，均向工作人員提問(wèn)在過(guò)去一年的開(kāi)發(fā)工作中有何重大進(jìn)展，也即在2017年新品種有哪些新增的功能，各廠商的回答存在驚人的相似，可見(jiàn)多家廠商的思路在獨(dú)創(chuàng)特色的同時(shí)，也因?yàn)闃I(yè)界必然趨勢(shì)而逐漸趨同。

1 云服務(wù)支持

在2016年，云上服務(wù)給世界帶來(lái)的變革毋庸贅言，云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全服務(wù)也日漸成熟，網(wǎng)絡(luò)安全可視化方面也別無(wú)二致。所有廠商均提出在新版本中提供對(duì)Amazon Web Services(AWS)和其他云計(jì)算環(huán)境的支持，對(duì)Virtual Private Cloud(VPC)的部署和變更進(jìn)行及時(shí)響應(yīng)，提供基于云環(huán)境的可視化分析。

在各廠商的產(chǎn)品中，已經(jīng)可以支持對(duì)VPC的識(shí)別和策略分析：

2 虛擬化支持

同樣成為各家相同關(guān)注點(diǎn)的是虛擬化環(huán)境中的vFirewall支持，各家廠商均能有效支持VMWARE NSX平臺(tái)以及主流虛擬化平臺(tái)，提供Software Defined Data Center(SDDC)的安全能力，這幾乎已經(jīng)成為網(wǎng)絡(luò)安全可視化界的入門(mén)門(mén)檻，中國(guó)廠商如果想要進(jìn)入可視化領(lǐng)域，還需要多多修煉虛擬化功力。

3 安全路徑呈現(xiàn)

在2016年的版本中，F(xiàn)ireMon、Tufin以及Algosec三家公司沒(méi)有提供網(wǎng)絡(luò)路徑呈現(xiàn)功能，似乎他們更加關(guān)注于單個(gè)設(shè)備或設(shè)備組的安全策略，而非安全路徑。但在2017年的版本中，五家攻擊均提供了安全路徑計(jì)算和呈現(xiàn)功能，使其已經(jīng)成為一種標(biāo)配，足見(jiàn)此功能的用戶(hù)需求之迫切。盡管后來(lái)者在努力追趕，但基于前文說(shuō)明，只有Redseal能提供安全域之間的路徑分析，而其他廠商依然停留在節(jié)點(diǎn)之間的層面。期待在2018年的RSA大會(huì)上，我們可以看到各家廠商對(duì)安全域路徑分析的支持。

4 與大數(shù)據(jù)領(lǐng)域展開(kāi)合作

在與廠商溝通中，大家不約而同地提到了與大數(shù)據(jù)公司或多或少的合作，其中Redseal和Algosec均已經(jīng)發(fā)布與Splunk合作的解決方案，兩者彼此調(diào)用使用處理漏洞和威脅數(shù)據(jù)，對(duì)發(fā)生的威脅做及時(shí)響應(yīng)，再與路徑進(jìn)行關(guān)聯(lián)。這也為中國(guó)安全可視化廠商提供了與大數(shù)據(jù)巨頭進(jìn)行合作的新思路。

5 漏洞引入和比對(duì)

Redseal和Skybox兩家廠商具備較好的路徑計(jì)算和呈現(xiàn)能力，兩家廠商均將最新的漏洞信息導(dǎo)入到系統(tǒng)中，并與路徑上的威脅信息進(jìn)行并對(duì)，從而確認(rèn)威脅是否正在發(fā)生在關(guān)鍵路徑上，并能實(shí)時(shí)查詢(xún)漏洞的詳細(xì)信息，以便及時(shí)進(jìn)行補(bǔ)救和處理。同時(shí)，Algosec也在其產(chǎn)品中提供漏洞處理功能。

6 Html 5頁(yè)面化

在最新發(fā)布版本中，多家廠商表示在前臺(tái)對(duì)瀏覽器進(jìn)行更好的支持，以便于用戶(hù)使用瀏覽器代替原有的專(zhuān)用程序進(jìn)行管理，甚至使用移動(dòng)終端進(jìn)行管理。與國(guó)內(nèi)不同的是，網(wǎng)絡(luò)安全可視化在美國(guó)并非新興領(lǐng)域，幾家參展廠商已經(jīng)有十年的歷史，當(dāng)時(shí)還普遍使用JAVA Swing技術(shù)，不足以支撐如此復(fù)雜的數(shù)據(jù)和交互。而隨著Web技術(shù)發(fā)展和移動(dòng)終端的普及，通過(guò)瀏覽器管理軟件已經(jīng)成為現(xiàn)實(shí)，網(wǎng)絡(luò)管理員使用手機(jī)躺在沙發(fā)上進(jìn)行策略管理已經(jīng)是非常容易的事情。

7 功能疊加呈現(xiàn)

在過(guò)去幾年時(shí)間里，各個(gè)廠商選擇了具有各自特色的方向進(jìn)行發(fā)展：Redseal深耕路徑，F(xiàn)ireMon精于策略，Tufin關(guān)注運(yùn)維。而在2017年RSA會(huì)議上，我們看到Redseal努力在路徑上疊加漏洞威脅分析和端點(diǎn)安全監(jiān)測(cè)，F(xiàn)ireMon做起了路徑呈現(xiàn)，Tulfin在策略遷移上下了大功夫。大家在彼此的優(yōu)勢(shì)基礎(chǔ)上，不斷疊加其他功能并進(jìn)行統(tǒng)一呈現(xiàn)，未來(lái)的安全可視化產(chǎn)品，必將更加高度集成統(tǒng)一化，將運(yùn)維人員、IT經(jīng)理或合規(guī)管理者統(tǒng)統(tǒng)納入目標(biāo)用戶(hù)群，也必將因?yàn)橼呁a(chǎn)生更加直接和激烈的競(jìng)爭(zhēng)。

六家參展廠商的橫向分析

1 Redseal

Redseal在整網(wǎng)路徑計(jì)算方面具備優(yōu)勢(shì)，如果你有復(fù)雜的安全域配置和訪問(wèn)關(guān)系而又需要經(jīng)常查詢(xún)路徑是否合規(guī)，那么Redseal將是最佳也可能是唯一的選擇。同時(shí)Redseal與Splunk、Forescout和Rapid7進(jìn)行深度合作，在各個(gè)領(lǐng)域疊加功能，其產(chǎn)品特性較為豐富。

值得一提的是，在漏洞處理方面，redseal提出了漏洞評(píng)級(jí)的概念，系統(tǒng)得到漏洞信息后會(huì)根據(jù)以下維度對(duì)漏洞進(jìn)行重要性評(píng)估并給出漏洞評(píng)級(jí)，以便管理人員可以?xún)?yōu)先處理那些高優(yōu)先級(jí)漏洞：漏洞主機(jī)是否可以從一個(gè)不被信任的網(wǎng)絡(luò)進(jìn)行利用，漏洞主機(jī)是否存在可以通往資產(chǎn)或重要節(jié)點(diǎn)的路徑，漏洞可達(dá)路徑上的資產(chǎn)的重要性。例如，當(dāng)漏洞主機(jī)存在路徑可以到達(dá)核心服務(wù)器或互聯(lián)網(wǎng)出口設(shè)備時(shí)，盡管此漏洞本身威脅性不高，但其依然應(yīng)該被判定為高級(jí)漏洞，這就是“漏洞再高危與我無(wú)關(guān)，漏洞出現(xiàn)在我家才與我有關(guān)”概念的體現(xiàn)，可以幫助運(yùn)維者擺脫傳統(tǒng)基于漏洞高危程度對(duì)海量日志做判定的錯(cuò)誤。

2 Skybox

說(shuō)到Skybox，似乎是Redseal與FireMon的結(jié)合，既在整網(wǎng)路徑方面和漏洞感知方面提供能力，也可以用于基于策略的運(yùn)維，但在兩個(gè)方面均存在些許差距。在界面呈現(xiàn)方面略顯粗糙，讀取海量日志信息時(shí)缺乏有效的窗口工具，對(duì)于可視化產(chǎn)品來(lái)講，頁(yè)面的美觀呈現(xiàn)應(yīng)該是核心競(jìng)爭(zhēng)力。

如果用戶(hù)對(duì)路徑分析和策略管理同時(shí)存在需求，則Skybox提供的解決方案將會(huì)比較適用，其對(duì)虛擬環(huán)境和云環(huán)境的支持也已十分完善。

3 FireMon

FireMon依然在策略管理的細(xì)節(jié)上追求精益求精，從最新版本的改進(jìn)內(nèi)容大部分圍繞著安全策略就可見(jiàn)一斑，且將基于policy的產(chǎn)品進(jìn)一步細(xì)分為Policy Optimizer和Policy Planner。同時(shí)，F(xiàn)ireMon在展會(huì)上重點(diǎn)宣傳了新推出的風(fēng)險(xiǎn)分析產(chǎn)品安全管理產(chǎn)品，其核心功能也是基于對(duì)安全策略的處理，可以說(shuō)在Firewall policy細(xì)分領(lǐng)域精耕細(xì)作，具備技術(shù)領(lǐng)先性。當(dāng)筆者提問(wèn)到相比同類(lèi)產(chǎn)品最大的優(yōu)勢(shì)時(shí)，F(xiàn)ireMon工作人員的答復(fù)是性能：使用FireMon可以同時(shí)處理上千臺(tái)防火墻設(shè)備的網(wǎng)絡(luò)，但其他廠商的規(guī)格大約在百臺(tái)數(shù)量級(jí)。

FireMon的產(chǎn)品可以更貼切地被歸類(lèi)為Firewall Policy manager，非常適合對(duì)防火墻策略存在重大需求的用戶(hù)。

4 Tufin

從工作流角度看，tufin是最先擁有workflow功能的廠商，已經(jīng)可以處理SDN & 云環(huán)境，相比FireMon新推出的Policy Planner更為成熟和豐富。

Tufin對(duì)于用戶(hù)以一個(gè)專(zhuān)業(yè)的運(yùn)維工具形象出現(xiàn)，可以讓用戶(hù)更高效地規(guī)劃和處理網(wǎng)絡(luò)、安全設(shè)施甚至IT系統(tǒng)。當(dāng)被問(wèn)到相比FireMon最大的優(yōu)勢(shì)時(shí)，Tufin的答復(fù)是其他人與他們相比并不知道“設(shè)備組”和“策略組”的概念，Tufin最新與Palo Alto合作即在此方面。對(duì)于用戶(hù)數(shù)量眾多、組織架構(gòu)特別復(fù)雜的組織機(jī)構(gòu)，可以使用Tufin基于用戶(hù)組嵌套的策略特性，有助于解決紛繁復(fù)雜的運(yùn)維問(wèn)題。

5 Algosec

談到Algosec，其主打功能也是圍繞安全策略，尤其是當(dāng)用戶(hù)使用Fortinet和CheckPoint防火墻時(shí)，Algo產(chǎn)品可以方便地在兩者間進(jìn)行轉(zhuǎn)換，對(duì)于策略的翻譯和遷移更有效率。在設(shè)備運(yùn)維和策略管理方面，Algosec提供與競(jìng)爭(zhēng)對(duì)手類(lèi)似的能力，在整網(wǎng)路徑方面，同樣僅能支持節(jié)點(diǎn)到節(jié)點(diǎn)的計(jì)算。

6 安博通

與以上參展廠商對(duì)比，來(lái)自國(guó)內(nèi)的安博通安全策略可視化自適應(yīng)分析平臺(tái)產(chǎn)品結(jié)合Redseal和FireMon的特性，已經(jīng)具備整網(wǎng)路徑分析、工作流以及安全策略統(tǒng)一梳理功能，且支持本土化常見(jiàn)的防火墻和三層設(shè)備，適用于等級(jí)保護(hù)測(cè)評(píng)、內(nèi)網(wǎng)安全運(yùn)維、安全策略遷移等多個(gè)領(lǐng)域。

在最新展示的產(chǎn)品規(guī)劃中，安博通將自己擅長(zhǎng)的流量分析能力與漏洞威脅分析能力疊加到可視化平臺(tái)中。當(dāng)用戶(hù)計(jì)算路徑后，可即時(shí)查看路徑上的流量構(gòu)成并確認(rèn)是否存在安全威脅。相比其他參展廠商不對(duì)流量進(jìn)行分析的做法，安博通憑借良好的應(yīng)用識(shí)別功底，使用探針將流量進(jìn)行解析和呈現(xiàn)，幫助用戶(hù)更好地了解自己的網(wǎng)絡(luò)流量模型，從而更有效地進(jìn)行運(yùn)維和處理威脅。

網(wǎng)絡(luò)安全可視化的未來(lái)發(fā)展預(yù)測(cè)

通過(guò)對(duì)2017 RSA大會(huì)上網(wǎng)絡(luò)安全可視化廠商的分析，我們不難得出結(jié)論，網(wǎng)絡(luò)安全可視化產(chǎn)品的未來(lái)必將走向云化、虛擬化、功能疊加化的方向;同時(shí)，在安全策略梳理、頁(yè)面可視化呈現(xiàn)、組織架構(gòu)嵌套、安全域路徑計(jì)算等強(qiáng)技術(shù)“內(nèi)功”領(lǐng)域，能夠提供最佳能力者將會(huì)取得市場(chǎng)的青睞;通過(guò)觀察業(yè)界領(lǐng)先者，我們發(fā)現(xiàn)產(chǎn)品在被區(qū)分和細(xì)化，產(chǎn)品系列將會(huì)逐漸豐富，不同功能將會(huì)分散到不同產(chǎn)品中被更加深入將成為趨勢(shì)，而非功能特性大集中;網(wǎng)絡(luò)安全可視化產(chǎn)品功能和規(guī)劃逐漸趨同，產(chǎn)品獨(dú)有特色正在消失，在安全策略管理方面似乎遇到創(chuàng)新瓶頸，從業(yè)者更多地對(duì)功能進(jìn)行深入挖掘和用戶(hù)體驗(yàn)的提升。

安博通作為網(wǎng)絡(luò)安全可視化技術(shù)的領(lǐng)軍廠商，提供對(duì)虛擬化環(huán)境的部署支持，并與中天翼云、數(shù)夢(mèng)云、太極云等云計(jì)算巨頭進(jìn)行深度合作，實(shí)現(xiàn)云化和虛擬化;在路徑計(jì)算、安全基線和策略統(tǒng)一梳理方面，安博通正集成越來(lái)越多國(guó)內(nèi)外安全和網(wǎng)絡(luò)設(shè)備，提供更好的計(jì)算能力;在功能疊加方面，安博通規(guī)劃網(wǎng)絡(luò)流量分析與漏洞分析兩個(gè)模塊，在路徑上展示流量詳情和威脅詳情，幫助用戶(hù)打造真正的網(wǎng)絡(luò)安全作戰(zhàn)地圖。相信在不久的將來(lái)，安博通安全策略可視化自適應(yīng)分析平臺(tái)必將走上舞臺(tái)，幫助更多用戶(hù)看透安全本質(zhì)，體驗(yàn)可視價(jià)值。