下一代防火墙在“云”中?
2009-09-14那罡
那 罡
十几年来,尽管防火墙性能和功能上都有很大提升,但其最基本的原理大多仍然是检测静态的地址表。很显然,对于不断变化的僵尸网络,这样的防火墙即使性能再高,也难以施展,未来应该属于新一代的防火墙——“云”火墙。
在信息产业中,安全是一个令人尴尬的行当。计算、网络、存储等厂商可以骄傲地历数近年来技术性能的突飞猛进,而安全产业在不断地发展和投入之后,面对的却是越来越多、越来越麻烦的安全问题。
僵尸成“云”
如果想要进一步说明情况的恶化,除了不断见诸报端的安全事件,我们还可以试着问这样一个问题:和过去相比,今天,成为一名黑客,或者发动一场网络攻击,究竟是更困难还是更容易了呢?答案显然是后者,就像Facebook信息安全负责人Max Kelly在不久前一次网络安全事故后谈到的:“网络攻击与犯罪现在正变得前所未有的容易,发动一次攻击就像是去超市购物一样简单。”
不单是Facebook,类似的抱怨在今天的网站中早已屡见不鲜。就在7月份,炙手可热的Twitter网被人搞得频繁断线,造成用户无法登录;美国政府网站也遭到大规模DDoS攻击,导致长时间瘫痪;而针对各种商业网站的攻击更是屡见不鲜。
为什么越来越多的商业竞争者喜欢采用这种方式打击对手?亚马逊战略研究员Jeff Barr说的这句话也许就是答案:“对于依赖网络实现业务运营的企业来说,这样的网络攻击就如同在路上挨了一闷棍,在晕倒的时间里什么都有可能发生。而且重要的是,你很难找到究竟是谁给了你这一棍。”
思科研究员兼首席网络安全研究员Patrick Peterson在最近发布的安全报告中特别谈到,因为商业利益原因导致的网络攻击在不断攀升,低廉的犯罪成本再加上利益的驱动,使得僵尸网络变得越来越难以控制。
就拿最近一段时间大名鼎鼎的Conficker蠕虫来说,这个最早于2008年11月20日被发现的,以微软的Windows操作系统为攻击目标的计算机蠕虫病毒,到了今年年初,就被《纽约时报》报道其至少感染了900万台计算机,而杀毒软件厂商F-Secure更声称感染达到了惊人的1500万台。
直到今天,虽然相关补丁已经出现很久,但凭借多个变种版本,Conficker 蠕虫仍将数百万个系统控制在其魔掌之下,缔造了迄今为止规模最大的僵尸之“云”。这些僵尸网络被以极为低廉的价格,租借给怀有不同目的的犯罪分子,利用这些资源实施网络拒绝服务攻击,或者通过SaaS模型散布垃圾邮件和恶意软件。
而反观安全防护技术,却迟迟未能见到革命性的进展。以企业应用中最为常见的安全防护产品——防火墙来说,虽然也经过了几代的发展,从软件到硬件、从单核到多核,但其根本的被动防护的原理却基本没有改变,这也使得其面对变幻多端的僵尸“云”威胁时,总是一筹莫展难以应对。
人们不禁要问,出路究竟在哪里?
下一代防火墙“云”中来
“信息安全的出路,最终也需要从‘云中寻找,而所谓的‘云其实也就是互联网。”郭庆的话开门见山,作为思科安全产品事业部的技术专家,郭庆显然对网络和安全都有着非常深刻的认识,“今天的安全问题之所以让人困扰,根源就在于网络的主要特征,正从传输向着智能化的云计算演进,正是这一变化,使得新的安全威胁变得更加难以防范。”
郭庆认为,越来越庞大的互联网正在逐步具备“智能”与“感知”的特性,而这些特性,也恰恰是今天的信息安全产品所需要具备的,也只有具备了这些特性,新一代的信息安全防护体系,才能真正发挥作用。
“现在很多安全产品都面临着巨大的挑战,比如‘防火墙无用论在国外早已有人提出,并且赞同的声音不少。” 郭庆谈道,“虽然这样的言论有失偏颇,但也不无道理,回顾防火墙的发展历史,从以Check Point为代表的软件防火墙,发展到硬件防火墙、ASIC防火墙,再到今天热闹一时的UTM,尽管性能和功能上都有很大提升,但其最基本的原理大多仍然是检测静态的地址表。很显然,对于不断变化的僵尸网络,这样的防火墙即使性能再高,也难以施展,未来应该属于新一代的防火墙——‘云火墙”(如图1所示)。
那么,这种从“云”中而来的防火墙究竟具备什么样的特性?与传统的防火墙产品相比又有怎样的区别呢?
“云”火墙最本质的特点,就是它的动态化和智能化,而其技术实现的途径,就是充分利用“云”进行动态实时的威胁信息集中采样与共享,从而最终实现主动应变的安全服务。”郭庆进一步解释道,“思科拥有目前全球最庞大的安全威胁监测网络SensorBase,这就是新一代防火墙的‘云端(如图2所示)。它可以持续收集威胁的更新信息。这种更新的信息包括互联网上已知威胁的详细信息,连续攻击者、僵尸网络收获者、恶意爆发和黑网(Dark Nets)等。通过将这些信息实时传递到‘云火墙,可以在僵尸网络等恶意攻击者有机会损害重要资产之前及时过滤掉这些攻击者。”
云安全的实质
由于现在互联网信息呈爆炸趋势,每天新出现的数据以TB计算,如此巨量的网页、视频、邮件、文件,任何一个商业公司都无法把它们都全部、实时地标明安全等级,并存储在数据库里供用户进行安全查询。
不过,尽管“云”火墙相对传统的防火墙技术有了很大的提升,但是距离建立起一套真正的现代信息安全防护体系还有着相当的距离。不过,最重要的是,我们可以从中看到迈向未来安全的关键路标,而这也正是云安全的本质。
以云计算为代表的现代信息体系正变得日益庞大和复杂,对于这类复杂多变的体系,现代模糊数学的创始人扎德有一条经典的互克原理:“在足够复杂的系统里面,当某种量描述得越精确,那么这种量描述的意义越模糊。”换句话说,在一个复杂的系统中,所有的因素都相互制约影响。
因此对反映系统的量确定得越具体,那么这个量对系统的描述就越不准确。这是系统自身固有的矛盾,与测量方法和理论没有关系。就如同一个人无法抓住自己头发把自己提起来,这与他如何用力以及力气大小无关一样。
正因为这样的矛盾,使得云时代的安全防护重心,逐步远离过去那种对性能或功能的片面追求,而是转向更着重于基于网络之云的智慧感知与灵活应对。
最后,记者想借用思科首席安全研究员Patrick Peterson的一个比喻,在Twitter攻击事件后,Patrick Peterson形容僵尸网络强大的威力对于这些网站而言,就像是“用手雷去攻击蚊子”。
同样的,如果你仍然坚持在传统的安全思路下花费重金、提升处理性能,就如同希望这只蚊子有一天能强壮到抵御手雷一样,那将是一条真正的不归路。