等保一體機有用嗎? 中國安管一體機市場觀察。
前言
隨著等保2.0從2019年12月1日開始實施,我國網絡安全行業正式進入強監管時代,滿足等保要求已成為各大企事業單位信息化建設中不能忽視的重要環節,也促使著各企業網絡安全建設工作由“自選動作”向“規定動作”加速轉變,市場需求的持續釋放,為供給側提供了良好的發展機遇,近些年圍繞等保市場的網絡安全產品和服務不斷推陳出新,例如云安全資源池、安管一體機、等保測評服務等,這些技術手段的出現在一定程度上切實解決了一些中小企業合規能力不足的問題,也加速推進了企業網絡安全能力由被動合規向高質量發展階段邁進。
從90年代發展至今,我國網絡行業經歷了最初由防火墻、IDS等單一產品主導向產品市場逐步細分向解決方案轉型再到現在由云計算、大數據等技術驅動的應用場景變遷,在這個過程中,我們深刻感覺到網絡安全行業的兩個特點愈發明顯—技術專業化和產品碎片化程度越來越高,對于中小企業而言,如何在近20大類80小類的網絡安全產品中正確選擇合適的產品和方案,是每個企業在做安全與合規建設時面臨最棘手的問題。
從供給側來看,隨著客戶云應用場景與合規需求的不斷升級,我國網絡安全企業陸續推出了面向云上安全的集約化綜合解決方案—安全資源池產品,并由此推演出面向非云客戶的一站式安全能力交付平臺—安管一體機產品,可以說這兩款同根同源的產品對于在新場景和新要求背景下的中小企業來說,是其等保合規建設強有力的安全賦能平臺,特別是在非云客戶的網絡中,安管一體機由于可以降低客戶合規成本、縮短交付周期、便于運行維護等特點,受到中小企業客戶的廣泛關注,下面也將從6個方面來介紹這款匯聚中國特色與智慧的網絡安全產品—安管一體機。
一、產品介紹
隨著云安全資源池產品的普及并逐漸為客戶所接受,通過將軟件與硬件解耦,以超融合作為底層支撐平臺,將多種安全產品匯聚并建立統一的安全管理與功能集成平臺,成為了目前市場上安管一體機產品的主要實現方式。有過一定從業經歷的小伙伴,在若干年前也許也見過類似的組合方案—產品組合式機柜,即在一個機柜中預安裝N種安全產品連同機柜一起打包出售,無論是現在的安全一體機還是早期的“安管一體機柜”,其初衷都是為了解決大部分客戶因為技術能力不足導致無法自主選擇和部署安全產品的核心需求,隨著虛擬化技術的不斷發展,安管一體機產品的問世并日趨成熟使得我們距離這個目標越來越近。
不同于以軟件形式為主的安全資源池產品,安管一體機為軟硬一體形態,硬件平臺采用可靠性和性能相對較好的X86平臺(按照性能不同采用工控機或服務器硬件),利用超融合及NFV技術將多種安全OS灌裝于虛擬化平臺上,并通過大容量的硬件配置(數十核CPU、數百G內存、T級容量緩存盤和數據盤)來支撐多個安全組件的正常運行和協同工作,最后由安全管理平臺進行統一的應用編排和集中管理,最終實現對客戶的一站式安全賦能與供給。
安管一體機技術架構(示意圖)
二、主要特性
安管一體機產品的主要功能特性分為3個方面:
1、安全組件數量:常見的安全組件超過10種以上,包括:防火墻、IPS、WAF、VPN、運維安全管理、漏洞掃描、數據庫審計、日志審計、EDR、配置核查、網絡審計、負載均衡等。安全組件的數量決定了產品整體安全能力的覆蓋范圍,雖然未來可以按需彈性擴展,但每款產品硬件都有默認支持的最大組件數量,需要考慮所選硬件是否可以支撐未來因為網絡場景升級或需求變化而發生的組件擴容情況。
2、安全管理平臺功能的全面性和易用性:從產品功能組成來看,安全組件負責輸出各類安全能力,而安全管理平臺則是整個產品的管理和控制中樞,負責對安全組件的管理編排及全局的日志和告警的信息處理。其中安全管理平臺的關鍵特性應具備:
全局可視化:通過管理端可以全局性視角查看網絡的整體運行狀態、安全態勢和攻擊事件并以可視化方式進行展現。
系統資源和運行狀態監控:具備對宿主機及其上層的虛擬安全資源的全面監控能力,保證使用者可以實時了解系統資源的使用情況和安全組件運行狀態及可用性。
安全組件管理:通過管理端即可實現對各種安全組件的授權、升級及全生命周期管理。
自動流量編排:通過定義受保護資產的IP地址,管理端具備自動完成引流配置并進行策略下發的能力。
單點登錄:從管理平臺登錄后即可登錄開通的所有安全組件,無需二次登陸。
3、多組件日志匯聚和關聯分析能力:大多數產品很好的實現了安全防護能力的一體化,包括多種格式日志的匯聚存儲和統一在線展示,但如何通過對海量日志進行關聯分析來洞察整體網絡的安全風險,是目前大多數產品亟待強化的重要能力,在如今越來越注重檢測與響應的時代,日志綜合分析研判是必不可少的安全管理要素之一。
三、適用場景
1.安管一體機部署方式比較靈活,串聯無需引流,旁路模式下引流的方式可分為以下3種:
策略路由方式:通過在核心交換上配置策略路由將需要保護的業務數據引向安管一體機進行檢測過濾,適用于FW、IPS、WAF等組件。
交換機鏡像方式:在交換機上配置端口鏡像規則,將審計業務的流量引入安管平臺,適用于數據庫審計、網絡審計等組件。
IP地址互通方式:在受保護端點上配置對應規則實現與安管平臺網絡互通即可,適用于日志審計、漏洞掃描、EDR等組件。
2.通過不同形式的引流,將安管一體機與客戶業務系統進行無感式銜接,實現對業務系統的安全防護來滿足監管合規要求,結合實際應用場景來看,大致可分為以下3種:
- 等保二級場景:對于一些企業規模較小、對安全建設投入少的客戶來講,由于合規要求相對不是很高,安管一體機是比較契合客戶實際情況的技術選擇,通過防火墻、EDR、網絡審計等少部分組件即可覆蓋網絡架構、邊界防護、入侵防范、訪問控制、惡意代碼和安全審計等技術控制點,通常在客戶現有核心交換+出口路由的基礎上旁掛一臺安管一體機即可實現快速組網與合規能力的補充。
等保二級應用場景
- 等保三級場景:由于等保三級對安全防護設備要求做HA配置,并且很多等保三級客戶的網絡已具備一定規模,帶寬和網絡流量比較大,采用安管一體機FW組件可能存在安全建設投入大、性能不足、原有設備無法利舊等問題,因此在等保三級場景中,可考慮采用安管一體機的非網關型組件,比如日志審計、數據庫審計、網絡審計、運維審計、EDR等,對于防火墻、IPS、VPN等安全防護設備,可采用獨立的硬件產品,實際效果和性價比會更好。
- 云租戶場景:對于業務上云的客戶來講,安全防護將面臨兩個選擇:1、選擇云運營方提供的安全資源池,2、買多種硬件設備堆疊到云環境,當面對要過等保的情況時,如果云運營方不能等保相關安全服務時,客戶選擇安管一體機將是更好的替代多硬件設備堆疊的方案,從等保要求的控制點和組件的選擇上來看,以旁路審計及其對應的組件為主,例如EDR、日志審計、數據庫審計、運維審計等。
四、與獨立產品的區別
1.從產品的整體架構上來看,因為是在集計算虛擬化、存儲虛擬化、網絡虛擬化的超融合技術架構之上構筑多種安全應用系統,其底層超融合平臺的效能和可靠性對上層安全組件的功能、性能和穩定性影響較大,也是安管一體機產品的核心能力所在,在大部分安管一體機產品中,計算虛擬化主要采用KVM技術,網絡虛擬化采用SDN和VxLAN等,存儲虛擬化則大多采用Glustfs和Ceph技術等,在選購產品時,除了安全管理平臺和上層安全組件的關鍵功能特性外,產品超融合平臺的技術成熟度和穩定性也是不可忽視的重要因素。
2.從各組件OS的功能特性上來看,其與獨立產品的差異不大,可以滿足等保技術要求中【網絡和通信安全】、【設備和計算要求】、【應用和數據安全】中三級及以下的有關要求,但受限于硬件資源和虛擬化平臺的支撐能力,在實際性能方面還是要低于獨立盒式產品,網關型組件吞吐量最大位于10G左右,審計類組件最大可監控和審計點位在100點左右,綜合來看,可以滿足目前大部分中小企業客戶場景的需要。
3.在產品選型方面,安管一體機主要的選型指標其實與獨立產品一樣,主要考慮性能、硬件兩方面,選擇與自身場景性能匹配的安全組件即可,不同產品型號的硬件配置所支持的組件數量和組件性能不同(對未來組件擴充和性能影響較大的硬件包括CPU、內存、硬盤),如果網絡未來有擴容和升級的可能,則要選擇與未來網絡規模匹配的高性能安全組件所對應的硬件配置和型號,在接口方面,大多數產品的接口類型和數量比較豐富,可擴展性也較強,按需選擇即可。
五、應用價值
每一款新產品的問世和其市場發展必然有它的立命之本,不同于其他新領域和新技術方向,作為整合多種既有安全技術的集大成者,安管一體機最突出的核心能力不是單點防護能力、也不是多維審計能力,而是做到了將原有多種安全產品的能力進行匯聚和統一管理,真實從客戶業務場景和實際需求出發,解決客戶選產品難、用產品難的關鍵問題,也正是因為這種以客戶為本的全新姿態,才使得產品迅速受到市場和客戶認可,從2017年至今,安管一體機市場廠商數量快速增長,目前已達到十余家之多。
下面結合客戶關鍵問題來分析安管一體機產品的主要應用價值:
1.面對合規要求,不知如何選擇對應的產品,盲目添加各種硬件安全設備,硬件堆疊情況加重。
- 安管一體機集成了滿足合規要求的必要安全能力,通過將安全產品模塊化并配置不同等級的合規模板,使得各安全組件有序關聯并協同工作,做到以軟件定義安全為基礎的安全能力按需擴展,2U機型即可實現原來需要多個硬件設備的效果,面對等保二/三級、安全審計、云租戶等多種場景實現模式化的交付方案,為客戶減少不必要開銷,降低合規成本。
2.面對多種產品,方案制定和產品采購周期無法控制,項目建設周期達到數月以上。
- 安管一體機以1臺2U硬件一站式交付原來多個產品堆疊才能輸出的安全能力,無論是前期的方案制定和后面的產品采購,只面對單一品牌和渠道,大幅縮短項目建設周期。
3.多種產品上線后缺乏有效的聯動和統一管理策略,運維成本加劇,而且出問題后要面對多個廠商溝通,無法快速響應和處置安全事件。
- 在將安全產品模塊化和安全能力服務化的同時,安管一體機以安全管理平臺為管理中心,實現對多個安全組件的統一管理與集中運維,提供單點登錄、服務編排、全局安全事件監控等可以提升安全運營效率的關鍵特性,而且在面對安全事件或者設備故障時,只需面對單一廠商溝通,溝通成本大幅縮減,實現真正意義上安全服務閉環。
六、產品局限性
在產品價值凸顯的同時,目前安管一體機產品也存在如下局限性因素:
1.可靠性:由于所有安全組件都構筑在同一硬件平臺之上,因此對產品可靠性提出了更高的要求,不同于傳統堆疊式安全防護模型,單點故障影響的范圍有限,安管一體機承載的安全組件所覆蓋的業務流量和范圍較大,因此大部分廠商都推出了多重HA機制,從安全組件HA到整機HA機制,但為此開銷也勢必增加,這也是需要客戶平衡的因素,畢竟除了滿足例如等保三級中有關高可用性的合規要求外,也要保障日常業務的穩定性。
2.性能:與獨立X86產品多則100G吞吐的性能相比,目前安管一體機產品在性能方面仍存在較大提升空間,其底層虛擬化技術對產品性能仍存在較大抑制和影響,受此因素影響,目前產品的主要市場仍集中在中小型企業級市場,未來隨著性能不斷優化提升,市場將會進一步擴大。
3.邊際成本:從產品付費模式上來看,安管一體機通常包含2部分開銷:1、硬件開銷,即購買指定型號在未擴展任何安全組件時的固定開銷,硬件不同價格不同,2、軟件開銷,即擴展安全組件的費用,按需付費即可。因為要承載較多的安全組件運行,安管一體機的硬件配置要遠高于單獨的盒式產品,也造成硬件成本較高,如果客戶只購買較少的安全組件,其硬件+安全組件的價格可能會高于傳統獨立產品,而在購買較多安全組件的條件,才能獲得較好的邊際收益。
優秀產品和方案
方案1:深信服提供
客戶痛點
1. 中小用戶的合規痛點:合規背景下,在原有的安全架構之上完成快速的合規建設。
2. 多產品的管理痛點,多產品的安全管理帶來大量的安全運維工作量。
3. 保護前期投資,能夠通過擴展軟件授權的模式擴展安全能力。
產品關鍵特性
1.統一的資產中心:統一的資產配置中心,通過統一的資產配置,供 XSec 平臺所有安全模塊進行調用。
2.統一網管中心:利用 SNMP統一配置監控所有的 資產的 CPU、內存、硬盤等狀態信息并在平臺頁面統一預警。
3.統一日志中心:統一收集XSec 平臺之上所有安全組件的日志,清洗后統一存儲、統一檢索。
4.統一集成中心:提供面向場景的模板化的安全能力交付方式,如合規模板、運維一體化模板,提供自助入口供用戶自行集成。
5.安全運營中心:統一的安全運營中心,匯總所有的安全事件,通過關聯分析后,用戶可以統一處置安全事件并提供可視化的大屏。
客戶關注的主要功能
1.資產的統一配置:平臺支持統一的資產配置,安全能力可以直接調用資產信息,減少配置工作量。
2.多安全產品的管理統一:眾多安全能力需要在同一個配置邏輯、界面中完成配置,減少多產品配置的工作量。
3.安全運營的統一:各安全能力能夠在統一視角下匯總相關安全事件的告警、分析,提高安全處置的效率。
4.部署簡單:提供多樣的部署模式支持,能夠支持網關、網橋模式部署。
5.擴展性:支持性能、功能在線擴展。
方案2:奇安信提供
客戶痛點
1.需要快速高效的完成等保建設,而傳統安全設備種類型號繁多,不同廠商、型號到貨周期不同,系統聯調復雜,安全建設周期冗長;
2.等級保護建設是一個完整的安全體系,對安全技術和運維能力要求高,需要簡化運維,通過一體式或整合式的安全建設,統一管理所有安全能力;
3.安全預算有限,但同時需要進行等保建設并追求多種安全防護;
產品關鍵特性
1.安全能力一體化交付,按需賦能、彈性擴展,根據客戶需求定義安全能力,可以隨客戶需求變化而做出調整;
2.安全功能組件實現統一管理,避免因設備分散而造成的繁雜運維工作,輕松實現安全處置閉環;
3.貼合等保流程,通過等保合規的測評項目管理功能,管理業務系統、梳理業務資產,為業務資產配置安全產品和下發策略,并根據等保測評要求進行自測評分;
4.支持對資產信息的展示及管理,包括資產屬性信息的列表展示、資產過濾查詢、資產相關安全信息關聯展示等,并可以為資產配置對應的安全產品的防護策略;
客戶關注的主要功能
1.快速完成產品的安裝部署,支持一鍵部署、批量安全組件創建、服務鏈編排、安全策略批量下發等功能特性;
2.以資產為中心的安全策略統一配置和集中運維,支持對安全產品集中策略分發,包括配置防護資產、安全策略、添加掃描任務、添加審計資產等;
3.持續監測、安全可視化,通過豐富的安全態勢感知視圖,可以查看整體威脅態勢、威脅類型、受攻擊的主機和域名、攻擊記錄等數據,使安全產品從“合規”到“有效”。
方案3:天融信提供
客戶痛點
1.采用硬件設備堆疊方式進行安全建設,建設周期長;
2.各類安全設備割裂,無法實現統一安全服務閉環;
3.網絡架構固化無法隨業務和政策要求及時調整;
4.單獨運維管理各類安全設備,安全運維管理困難。
產品關鍵特性
1.豐富性:產品采用云計算技術將下一代防火墻、WAF、負載均衡、網絡審計、數據庫審計、日志審計、堡壘機、基線管理、漏洞掃描、VPN、EDR等安全網元整合;
2.便捷性:產品采用一體化交付,快速實現組網,不改變原有的網絡拓撲結構;
3.擴展性:產品基于軟件定義安全技術,可根據業務和政策變化靈活擴展安全能力;
4.穩定性:產品基于分布式存儲架構設計,支持多副本數據存儲,實現數據塊實時備份,確保數據的可用性、完整性和可靠性。
客戶關注的主要功能特點
1.快速合規:系統內置等級保護二級、三級合規套餐,支持客戶根據等級保護建設要求一鍵開通,快速實現各個層次的安全防護,滿足等級保護2.0標準的要求;
2.統一管控:系統支持所有的安全網元集中管理、資源監控及集中策略配置,幫助客戶簡化運維管理流程,使安全管理變得更加高效;
3.安全態勢:系統以安全網元數據為基礎,采用大數據分析技術從全局視角進行分析,多維度展示網絡攻擊事件,方便運維人員及時發現業務風險。
廠商列表
(安管一體機屬于非國標/行標的新興安全產品,無法通過國家權威部門的信息披露渠道查詢,以上列表可能存在對廠商覆蓋不全的情況,如有遺漏,歡迎大家在留言區留言,謝謝!)
- 來源: @數說安全
