中國IDC服務網

 找回密碼
 立即注冊
搜索
熱搜: 活動 交友 discuz
中國IDC服務網 首頁 物聯網 查看內容

Aruba: 云安全技術趨勢和針對物聯網的身份認證授權體系

2019-9-23 10:56| 發布者: admin| 查看: 2734| 評論: 0

摘要: 作為一家有線和無線領域領導者的高科技公司,Aruba表面上看起來是一家網絡基礎設施廠商,但是安全其實一直是它的魂魄。Aruba從創立之初就很重視安全,其許多產品和解決方案都是圍繞安全這個核心來展開的。云安全技術 ...
     作為一家有線和無線領域領導者的高科技公司,Aruba表面上看起來是一家網絡基礎設施廠商,但是安全其實一直是它的魂魄。Aruba從創立之初就很重視安全,其許多產品和解決方案都是圍繞安全這個核心來展開的。

圖片1.jpg 

 

云安全技術趨勢下的發展戰略

傳統的安全架構和技術仍然是必須的,它能夠很好的控制連接和訪問,對網絡邊界進行有效的防護,并且能夠阻止“已知”攻擊。但它們所依賴的一些假設和條件已經不再普遍適用

隨著智能終端和物聯網應用的普及,用戶的移動性越來越強,因此網絡的邊界越來越模糊;同時,現在的應用和管理的發展趨勢趨于云端化。隨著越來越多的信息通過云端在傳遞,對于安全的關注點也從原來的端點安全,轉移到了交付的應用程序、數據安全和用戶體驗上。這種焦點的轉移,也讓業界面臨著更多的問題,網絡廠商既要保證數據安全,并提供良好的用戶體驗,同時又要使信息保持完整性和開放性。最后,現在的攻擊行為的發起點往往是在企業內部,因此云應用服務商很難區分哪些是正常的用戶行為,哪些是惡意的用戶行為。就此,Aruba中國區總裁謝建國發表了一些看法。他認為,未來云安全的發展趨勢包含如下幾個部分:

    第一為“開放性”。傳統的安全技術都是一個個倉桶式的解決方案,這些安全倉桶之間缺乏一種有效的聯動機制,造成其很難應對目前和將來的攻擊行為。比如,一臺防火墻阻斷了一個非法訪問或者是某種已知攻擊行為,但是它無法與網絡基礎設施進行聯動,這將造成兩個問題:其一,無法快速定位問題終端,因為防火墻只能看到攻擊者的源IP,但是無法確切知道攻擊者的身份、終端類型等信息;其二,不能形成安全閉環,無法通知網絡基礎設施將問題終端隔離,因此攻擊者會一直連在網絡上,嘗試第二次、第三次攻擊。所以Aruba希望未來的安全解決方案能夠建立一種開放和標準的生態環境,并且身體力行。目前Aruba已與全球100多家廠商建立了生態環境,這些廠商包括傳統安全廠商、終端管理廠商(MDM)、SIEM廠商和網絡基礎廠商。Aruba與這些合作伙伴進行信息互享,同時也能進行安全聯動形成安全閉環。

    第二是大數據分析和機器學習技術的應用。傳統的安全技術是一種被動模式,在這種模式下,安全管理員只能努力維持現狀,只能對已知攻擊做出響應。并且在問題發生時,傳統的安全系統告警并不足夠智能:首先需要大量的手工工作來清除日志噪聲;然后確定要處理的真實和最關鍵的目標;最后,采取幾個步驟將不同數據的關聯起來,再診斷根本原因——花費數小時甚至數天的時間來理解和修復安全問題。根據2018年的安全分析報告顯示,目前87%的終端劫持攻擊行為,只需耗時數分鐘甚至更少,而68%的被劫持終端需要等到數月甚至更長才能被發現。因此,未來的安全管理模式會從以事件為驅動的模式向以大數據分析為驅動的模式進行轉移,在這個新的模式中可以實現自動化的安全閉環。在這個新的模式中,大數據分析和機器學習技術是關鍵。通過大數據分析和機器學習,我們能主動跟蹤用戶行為、識別異常、以網絡實體為中心自動關聯相關信息、最后可以與網絡基礎設施、安全設備形成自動的安全閉環。目前Aruba已經在全線產品中引入大數據分析和機器學習技術,其中Introspect產品能對異常的用戶實體行為進行探測。

    第三數據采集在很長一段時間內仍然需要下沉到網絡邊緣。Aruba 認為,在各種云端應用還沒有完全打通之前,數據采集仍然需要下沉到網絡邊緣。比如,一個用戶半夜在office365突然下載了大量的公司文檔,而作為office365的服務提供商無法判斷這到底是一種正常行為還是一種有風險的信息泄露問題。因為他們除了自身的數據以外,無法關聯這個用戶其它相關的實體信息,因此也就無法對這個行為進行有效的分析。如果將數據采集下沉到網絡邊緣,便可以通過SIEM平臺、認證服務器、網絡基礎設施采集用戶的相關信息,并將這些信息送往大數據分析和機器學習分析平臺,由此平臺來進行智能的數據關聯、識別異常行為。比如通過采集DNS數據來判斷此用戶是否有DGA異常行為、采集網絡基礎設施數據來判斷是否有外部鏈接到這臺終端、采集郵件服務器數據來分析此用戶是否隨后向第三方個人郵箱發送了大附件的郵件,同時依據此用戶的日常行為基線(比如一般在什么時間訪問office365,是否經常下載大量附件),將所有這些數據進行關聯分析,這樣才能識別出此用戶的行為是否為一種異常行為。

 

如何構建針對物聯網的身份認證授權體系

Aruba認為未來的身份認證授權體系不僅僅是針對用戶的準入授權,而應該包含對終端的識別和準入授權。物聯網的應用是未來的一個發展趨勢,在萬物互聯的時代,將會有海量的物聯網終端連接到網絡中,包括攝像頭、各種感應器、人體穿戴式設備、門鎖、交通工具和家用電器等等。而這些物聯網終端往往是啞終端,因此很難對這些終端采用傳統的安全認證方式,比如802.1x認證、portal認證等。如果采用MAC地址認證,又很難對這些終端所傳輸的數據進行加密。而這些物聯網終端的安全性勢必會是未來的關注重點,比如幾年前發生在美國的攝像頭被劫持事件,造成了全球DNS根服務器被攻擊。因此,Aruba提出了一些解決方案:

    一是對開放網絡的數據進行加密。目前在無線領域廣泛使用的WPA2加密算法,其實在開放的網絡下對數據不做任何加密,這就意味著采用portal認證或是MAC認證的終端在通過無線傳輸數據時是用明文進行傳輸的。因此,Aruba率先開發了WPA3加密算法,這可以使得未來的終端在開放網絡下也可以對數據鏈路層進行加密。

    二是應用機器學習對終端類型尤其是物聯網終端進行識別和分類。既然啞終端無法采用傳統的認證方式,那么就去主動識別出這些終端,最后通過這些終端的類型動態的分配安全策略。但是要識別出物聯網終端依靠傳統的特征庫是很難實現的。比如同樣是Android系統的終端,它可能是一個攝像頭、可能是一個人體穿戴式設備,甚至可能會是一輛汽車,因此需要一種更先進、更智能的方式來識別和分類這些終端。目前Aruba ClearPass認證平臺已經具備了應用機器學習來識別終端的能力。此方案是個云端化的解決方案,能夠在網絡邊緣采集這些終端的靜態屬性(比如MAC地址、DHCP指紋、SNMP等),以及網絡流行為(比如使用的網絡協議、網絡應用類型、傳輸的數據類型等),并對其行為進行分析(比如訪問某個固定的IP地址或是域名)。通過這些數據,實現不依靠傳統的特征庫便可對終端進行識別。同時通過這個云平臺,利用眾包機制,優化識別精度。一旦對終端進行精確的識別和分類后,Aruba ClearPass認證平臺可以依據這些信息返回不同的認證結果和授權策略,以此來達到智能的準入和授權。


鮮花

握手

雷人

路過

雞蛋

最新評論

小黑屋|中國IDC服務網 ( 京ICP備13032931-1號 京公網安備11010802009381 QQ:1390064848,電話:4006678502,郵箱:[email protected] )

GMT+8, 2019-11-22 20:35 , Processed in 0.048325 second(s), 14 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

返回頂部
117期藏宝图看生肖