网康科技云管端 下一代网络安全架构的“抛砖引玉”
本文讲的是 网康科技云管端 下一代网络安全架构的“抛砖引玉”,传统的网络安全防护体系主要基于以下2个核心模型:网络边界安全模型和P2DR防御模型。
网络边界安全模型
将网络根据不同业务的需求划分成不同安全级别的安全域,认为与外部网络环境物理隔离的内网是绝对安全的,并通过在网络出口部署防火墙、网关、IPS以及ACL技术来实现。
P2DR防御模型
P2DR是以预设策略为核心的匹配防御模型,包括策略(Policy)、防护(Protection)、检测(Detection)和响应(Responses)四个环节。P2DR防御模型中,所有的防护、检测和响应都是依据策略实施的。策略的完备性是建立在信息资产面临的风险是完全可以充分评估预知的。
近两年,APT攻击等未知威胁的安全事件的频发,,网络“边界”的概念已日渐模糊。信息安全行业人员和企业管理者意识到,网络安全防御架构的建设,已亟待推陈出新。下一代网络安全架构又应该何去何从?网康科技提出的PDFP安全模型或许可以给我们一些参考。
PDFP安全模型
PDFP是以“预测”为核心的安全模型,包括检测(Detection)、取证(Forensic)、防御(Prevention)和预测(Prediction)四个环节。
检测(Detection)和P2DR模型中的根据预置策略的特征库匹配有所不同,指的是对所有用户异常行为的检测。通过设定某一阈值,检测用户操作、流量等行为有没有偏离常规基线,从而判断是否发生了绕过现有的防御侧率的入侵行为,并触发警告。
检测环节得到的可能发生入侵行为的警告,使得取证环节(Forensic)对相应警告进行更加详尽的取证分析,来为之后的防御策略的调整和预测环节的判断提供数据基础。
防御环节(Prevention)除了我们常用的网络出口防御设备外,还有对包括移动端的所有终端设备的杀毒和行为监控以及应用服务器前段的WAF。
预测环节(Prediction)则是动态监测全网的异常行为,将企业自身的安全策略、防护日志、外部的威胁情报、同行业的安全策略、攻击者的最新动态,即人员、行为、日志、攻击、应用等数据信息汇总起来,利用云服务的计算能力进行建模分析,从而在动态、对抗的网络安全攻防中获得先机。
基于PDFP安全模型,网康科技的云管端下一代网络安全架构服务,更为强调主动、对抗的防御方针,并利用网康云提供的服务,对终端和边界设备的异常日志,进行海量数据的建模分析处理,实现终端设备、边界设备和网康云三者的协同预警,主动防御。在终端,通过云查杀获得分析结果,第一时间更新本地防护策略;对于边界设备,实时向云端上传安全日志、异常行为日志、灰度URL样本、异常流量日志等数据;云端,则针对终端和边界设备上传的异常日志进行全局关联分析、异常行为建模分析,使溯源取证与风险预测可视化。
相比传统以边界防护为核心、相互孤立的网络安全体系,网康的云管端下一代网络架构不再依赖本地静态特征库/策略库,而是利用终端设备、边界设备和云端的联动机制,使得网络安全具备了全局可见性,从而实现一定程度上动态对未知威胁的预测与防御。
原文发布时间为:七月 22, 2015
本文作者:Martin
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/8833.html
小需求背后的大智慧,揭秘亚马逊云科技事件驱动型架构 近二三十年来,软件开发领域毫无疑问是发展最为迅速的行业之一。 在上个世纪九十年代,世界上市值最高的公司大多是资源类或者重工业类的公司,例如埃克森美孚或者通用汽车,而现在市值最高的公司中,纯粹的软件公司谷歌微软位列前五,而排名第一的苹果公司也有相当部分是软件业务。 现在每个企业机构无一例外地都在利用软件优化自己的业务,因此也造就了软件行业非常多的工作机会,从而也吸引了越来越多的小伙伴进入到软件以及相关的行业中。
触宝科技基于Apache Hudi的流批一体架构实践 当前公司的大数据实时链路如下图,数据源是MySQL数据库,然后通过Binlog Query的方式消费或者直接客户端采集到Kafka,最终通过基于Spark/Flink实现的批流一体计算引擎处理,最后输出到下游对应的存储。
AliOS Things自组织网络安全认证架构概述 AliOS Things自组织网络(uMesh)结合阿里云Link ID²设备身份认证平台为物联网嵌入式设备提供了自主安全认证授权接入无线mesh网络的解决方案,并且兼容IEEE802.1X端口控制访问协议和EAP(RFC3748)扩展认证协议,提供了一种灵活可扩展的安全认证机制框架。