“Fabric”,这个词对IT人并不陌生,尤其是网络厂商喜欢将它命名到自己的产品网络架构中。现在飞塔(Fortinet)也发布了自己的Fabric——“Fortinet Security Fabric”,当然这里的Fabric是一个安全架构,而非网络,虽然飞塔也有无线、交换等产品。飞塔将这个安全架构称作“安立方”,看重的是它将为安全体系带来的价值创新。
要说起安立方发布的初衷,飞塔中国区总经理李宏凯的一句话可以概括,“我们希望把自己从单纯卖产品、卖硬件的供应商角色变成以平台为基础的安全提供商。”
对的,安立方是一个平台、一个安全架构,并非新产品。在很多人的印象中,对飞塔的UTM、NGFW印象深刻,事实上不仅如此,安立方的出现就是要让业界重新认识飞塔。
在飞塔看来,安立方重新定义了网络安全的架构,李宏凯表示,安立方能把静态的产品变得动态起来,我们提出安全协同的概念,把内网、接入、桌面设备、出口、无线等设备联动起来,最终到达云,形成从物联网到云的端到端防御。对IT管理人员来说,能够感知网络中威胁的每一步走向,进而感知网络威胁的发展态势。
具体看来,飞塔是如何搭建这一个安全架构的呢?
安立方的“三维”
飞塔安立方从“无缝、智能、开放”三个维度搭建了这个安全架构,去解决安全变得越来越无边界、复杂、和孤岛的问题。
飞塔中国技术总监谭杰指出,无缝解决安全面临网络无界的弊端,从而达到一个没有短板的防御体系,让风险无缝可钻,使安全深入到网络的每一个角落。
这个全新的结构不仅可以灵活扩展,以满足容量和性能要求,也能够根据用户的业务特点进行横向扩展,从物联网到终端、跨越分布式网络和数据中心、最后到达云服务,实现无缝追踪数据,全程确保应用安全。
“智能则应对的是复杂的云计算环境,首先要能够应对最新最复杂的安全威胁,其次要降低管理员理解安全和管理的难度。”谭杰说。
智能可以说是安立方的核心,它给企业安全防御体系装上了一个“智慧大脑”。首先,“安立方”从平台支持、网络支持、第三方扩展、防火墙特性、策略控制及IT运维等多个方面,实现了APT等定向式攻击的多重安全技术防御。其次,平台不仅覆盖了有线和无线网络接入层,更采用了多点侦测与沙箱共享机制,协助用户有效防御APT攻击,利用多安全设备联动,切断APT kill chain。而从策略和日志角度来看,“安立方”虽是单一协同实体,但它允许单台设备元素共享全球和本地威胁情报以及威胁防御信息。
“开放则通过开放的生态和API,把安全体系融为一个整体,让它们真正的发挥作用。”
安立方采用了一系列定义明确的开放式API,允许技术伙伴将其产品灵活地接入平台,这包括管理程序、SDN控制器、云安全、用于检测零日威胁的沙箱以及通过日志和策略管理。
以上可以看作飞塔和合作伙伴构建的外部生态系统,例如,飞塔与Intel Security、Palo Alto以及赛门铁克等组成的CTA联盟等,这也是安全产业极力去推动的。同时,安立方还打造了内部的生态系统,即用大数据平台整合安全孤岛,并形成情报共享和安全产品联动,谭杰说。
安立方的“智慧大脑”
上面我们说到,“智能”是安立方的核心,它为这个安全架构装上了“智慧大脑”,我们来看看这个智慧大脑又是如何运作的?
首先,它可以自学习帮助管理员快速部署安全及策略优化,例如进行网络识别、了解网络里有什么用户,设备识别、了解用户在使用什么设备,进行物理及逻辑拓扑、了解他们是如何连入网络的,还可以进行网络及应用拓扑、需要怎样的安全策略。
其次,安立方可以实现全网安全部署,最重要的是零配置,这尤其对于分支机构来说,大大降低了管理难度和管理员的工作量。
第三,安立方可以管理一个复杂的端到端安全体系,众所周知,在一个复杂的安全体系中,安全被分成了很多层,边界防火墙、部门防火墙、内网核心防火墙、沙盒等,如何将它们有效的管理起来?答案是遥感技术。它可以自动化地描绘网络拓扑,并优化性能、在不同部门的内网防火墙上实施不同的安全策略。
第四,则是遇到攻击或安全风险时的响应,安立方可以利用联动技术自动化快速防御APT攻击,简单地说,对一个安全事件的响应上,无论是防火墙、沙盒、终端安全、云等是联动的,而不是各自为政,对管理员来说不需要过多的手工操作。
最后,安立方运用全局交互技术构建了全球威胁情报网络,飞塔的大数据云系统将全球威胁情报集中,并与本地网络数据进行关联。“探针”不只是安全设备,还包括网络设备、无线设备、移动终端应用程序和IOT设备等,以及合作伙伴提供的威胁情报,实时地将无差别的“可执行”威胁情报推送到每台安全设备,这样可以确保分布式网络所有对象有统一的安全策略,实现最准确、最及时的安全防护。
所以,有了“智能”技术的支撑,它打造了一个简单易用、融会贯通的交互式安全体系,加上无缝的从接入到数据中心、从IoT到云、从网络到应用的立体安全方案和开放的生态系统,飞塔安立方真正将全网安全融为一体。