信息安全的出路“云”中来

下一代防火墙“云”中来

“信息安全的出路，最终也需要从‘云’中寻找，而所谓的‘云’其实也就是互联网。”郭庆的话开门见山，作为思科安全产品事业部的技术专家，郭庆显然对网络和安全都有着非常深刻的认识，“今天的安全问题之所以让人困扰，根源就在于网络的主要特征，正从传输向着智能化的云计算演进，正是这一变化，使得新的安全威胁变得更加难以防范。”

郭庆认为，越来越庞大的互联网正在逐步具备“智能”与“感知”的特性，而这些特性，也恰恰是今天的信息安全产品所需要具备的，也只有具备了这些特性，新一代的信息安全防护体系，才能真正发挥作用。

“现在很多安全产品都面临着巨大的挑战，比如‘防火墙无用论’在国外早已有人提出，并且赞同的声音不少。”郭庆谈道，“虽然这样的言论有失偏颇，但也不无道理，回顾防火墙的发展历史，从以CheckPoint为代表的软件防火墙，发展到硬件防火墙、ASIC防火墙，再到今天热闹一时的UTM，尽管性能和功能上都有很大提升，但其最基本的原理大多仍然是检测静态的地址表。很显然，对于不断变化的僵尸网络，这样的防火墙即使性能再高，也难以施展，未来应该属于新一代的防火墙—‘云’火墙”

那么，这种从“云”中而来的防火墙究竟具备什么样的特性?与传统的防火墙产品相比又有怎样的区别呢？

“云”火墙最本质的特点，就是它的动态化和智能化，而其技术实现的途径，就是充分利用“云”进行动态实时的威胁信息集中采样与共享，从而最终实现主动应变的安全服务。”郭庆进一步解释道，“思科拥有目前全球最庞大的安全威胁监测网络SensorBase，这就是新一代防火墙的‘云端’。它可以持续收集威胁的更新信息。这种更新的信息包括互联网上已知威胁的详细信息，连续攻击者、僵尸网络收获者、恶意爆发和黑网(DarkNets)等。通过将这些信息实时传递到‘云’火墙，可以在僵尸网络等恶意攻击者有机会损害重要资产之前及时过滤掉这些攻击者。”

云安全的实质

由于现在互联网信息呈爆炸趋势，每天新出现的数据以TB计算，如此巨量的网页、视频、邮件、文件，任何一个商业公司都无法把它们都全部、实时地标明安全等级，并存储在数据库里供用户进行安全查询。

不过，尽管“云”火墙相对传统的防火墙技术有了很大的提升，但是距离建立起一套真正的现代信息安全防护体系还有着相当的距离。不过，最重要的是，我们可以从中看到迈向未来安全的关键路标，而这也正是云安全的本质。

以云计算为代表的现代信息体系正变得日益庞大和复杂，对于这类复杂多变的体系，现代模糊数学的创始人扎德有一条经典的互克原理：“在足够复杂的系统里面，当某种量描述得越精确，那么这种量描述的意义越模糊。”换句话说，在一个复杂的系统中，所有的因素都相互制约影响。

因此对反映系统的量确定得越具体，那么这个量对系统的描述就越不准确。这是系统自身固有的矛盾，与测量方法和理论没有关系。就如同一个人无法抓住自己头发把自己提起来，这与他如何用力以及力气大小无关一样。

正因为这样的矛盾，使得云时代的安全防护重心，逐步远离过去那种对性能或功能的片面追求，而是转向更着重于基于网络之云的智慧感知与灵活应对。

最后，记者想借用思科首席安全研究员PatrickPeterson的一个比喻，在Twitter攻击事件后，PatrickPeterson形容僵尸网络强大的威力对于这些网站而言，就像是“用手雷去攻击蚊子”。

同样的，如果你仍然坚持在传统的安全思路下花费重金、提升处理性能，就如同希望这只蚊子有一天能强壮到抵御手雷一样，那将是一条真正的不归路。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友