马尔科姆里克
Catbird网络产品管理总监Malcolm Rieke与《Network World》主编John Dix谈论虚拟化如何改变安全游戏。有个足球雷竞技app
概述您提供的安全工具集。
我们提供了一个多功能的、基于网络的安全控制套件,覆盖在虚拟基础设施上,让您能够管理防火墙、IDS和IPS的策略,并使用安全内容自动化协议(security Content Automation Protocol)进行漏洞扫描和配置扫描。我们还提供了第二层网络成员监控,允许您查看哪些物理事物直接连接到您的虚拟基础设施。这样你就能知道哪些东西是防火墙无法阻止的。
然后我们将其绑定到一起,允许您选择合规框架如PCI和HIPAA,每个策略应用于资产,因为每个控制到位,我们持续监控这些控件和这些政策如何影响您的合规水平,和在本地实时报告合规框架语言。我们会说:“你现在3个中有2.5个符合PCI 1.2。”
因此,我们以合规框架的语言报告我们当前的安全配置、当前政策和当前控制,这使得操作人员可以很容易地与GRC团队沟通,了解他们如何为合规做出贡献。
你们有多少客户?
我们现在有大约30个客户部署。
你与谁竞争?
很多人正在做多功能,并且很多人正在为软件定义的数据中心做软件定义的安全性或安全性。雷竞技电脑网站其他人可以进行基于事件的合规性测量监控GRC型。但就多功能安全解决方案而言,没有人拥有我们所做的控制体,并确实按照我们的方式遵守,并且没有合规的人具有我们所拥有的控制数。所以这一点,我们有点填补了一个利基。我们最大的竞争对手是希望通过旧方式保护其虚拟环境的客户,或实现在单个接口中未统一的虚拟化安全控件。
你没有把VMware列为竞争对手,所以我猜他们是合作伙伴?
我们一直是他们的联盟合作伙伴。他们正在为供应商实施一种方法,以将其安全部署为服务,这与我们的方法类似。但从我们的角度来看,这很好,因为我们能够报告我们拥有的控制,并且通过NSX方面的新兴技术,还将我们的实时连续合规监控扩展到我们不直接协调的控制。因此,对于与VMware集成框架集成的每个控件,我们将具有扩展我们的编排的功能。所以我们对这些发展感到非常兴奋。
虚拟化是如何改变游戏的?
首先,角色正在发生巨大变化。过去拥有一组数据中心系统管理员的IT组织现在只用一小部分人来管理虚拟服务器。雷竞技电脑网站雷竞技电脑网站数据中心的操作已经得到了简化,这主要是由于采用软件定义或虚拟化数据中心技术的人获得了自动化。
工作负载的部署、操作系统的配置、支持技术(如数据库)的配置、特定应用程序堆栈的部署,所有这些都已经自动化了,因为基本上可以快照、冻结和模板虚拟机,然后单击按钮将它们部署到Intel硬件的虚拟化实例上。从字面上讲,这是一种“一次执行多”的数据中心配置方法。雷竞技电脑网站
在Catbird,我们有同样的概念。我们可以构建一个空的政策信封,其中包含您需要的所有控件;防火墙,扫描,第2层访问控制等以及虚拟基础架构管理员的单击,单击,单击并部署工作负载,这些策略信封立即应用。这意味着我们能够在虚拟化或软件定义的数据中心横跨虚拟化或软件定义的数据中心部署更多的安全性。雷竞技电脑网站
很多人认为,“我们在物理上更安全。”事实很简单,我们没有。我们现在可以确定地应用安全控制,而以前它们还不能确定地应用。我们尽了最大的努力来构建网络,为这些基于网络的安全控制设置阻塞点,任何通过这些阻塞点的流量都受到控制。但是现在我们可以把它正确地应用到虚拟交换机上,并保证任何和所有进入这个工作负载的流量都受到防火墙和IDS的影响,并且按照确定的时间表扫描,等等。
然后,我们可以从一个统一的管理控制台查看、处理和报告这些结果,就像我们有一个用于部署工作负载和管理工作负载的统一管理控制台一样。我们有一个统一的管理控制台,用于部署防火墙IDS、漏洞扫描、配置检查等。
特别是防火墙是一个管理噩梦,鉴于人们加载它们的各种规则,因为害怕中断服务而再次更改。当您可以轻松创建到处都可以在虚拟世界中加剧了虚拟世界中的问题?
是的,这很有趣。我一直在想这个问题。当您部署与虚拟机的虚拟电缆共同驻留的防火墙时,您可以开始以一种对它所保护的资产更加本地的方式来查看防火墙规则集。
让我给你举个例子。在Catbird中,我们管理防火墙规则,我们以信任为基础。这是我们的政策信封方法。所以我说的东西喜欢 - 这五个服务器都在这个柬retodon中,他们只能与其他TrustZone与数据库网络流量交谈。任何人都可以用网络进入它,因为它是一个Web应用程序。
当我管理基于ACL或基于网络的访问控制规则时,我能够做什么是用于允许每个其他区域或IP地址的上下文,只需查看影响该区域的那些规则。Now the zone is a container for many assets that might have multiple interfaces, etc., but I’m essentially getting an economy of scale when I abstract multiple IP addresses to this zone because I can look at the rule set within the context of just that zone.
然后当这些区域被删除,或者当这些区域中的虚拟资产退役时,我可以很容易地看到并删除那些规则。当我们这样考虑时,防火墙操作员不需要同时考虑和管理7万条规则。系统足够智能,可以只管理与它们相关的子集。
DevOps运动是否 - 合并开发和运营组的实践 - 改变了方程式?最近有人说Devops是安全专业人士的最后一个伟大希望,因为它会让他们尽早释放安全性。
I’ve been to organizations that take security very seriously: federal, financial and high-tech companies who have the skills to protect their IP, etc. I’ve also been in organizations who know that security is important but haven’t allocated anything more than technology expenditures to security ever. So it really runs the gamut.
但是,即使在重视安全性的组织中,安全性也很少从一开始就被考虑在内。所以我同意DevOps的观点,即安全人员应该从一开始就参与进来。现在好像每天都有人被黑。通过经历这些噩梦,他们知道自己需要多少安全感。
良好的安全性是在出现问题时能够迅速做出反应。如果你知道他们明天会如何攻击和破坏你的系统,那就是圣杯了,不是吗?大多数安全解决方案都在关注昨天的黑客攻击。
这就是为什么我是一个多功能集成安全解决方案执行自动化的坚定倡导者。因为使用这些类型的工具,我可以分析网络流量、管理防火墙、扫描和查看开放端口并启动配置扫描,所有这些都来自同一个统一的接口。这让我获得了比在桌面上打开5个不同主机更好的整体统一威胁可视性。这就意味着工具整合。
你能把最好的东西缝合在一起吗?
我觉得你做不到,因为从本质上讲,最好的品种都能做好一件事。所以它是点解。因此,我必须不断地在这些安全解决方案之间进行转换,而不是寻找一个统一的安全解决方案,在虚拟机启动后立即执行它应该执行的任务。对吧?IP地址确实是一种将安全信息绑定到运行信用卡应用程序15的web服务器的糟糕方式。这是一个很糟糕的方法,因为它太抽象了。
这就像倒着使用你的电话通讯录。“我想给鲍勃打电话。哦,他住在831号房。哦,他的兑换价是478。好的。哦,还有鲍勃。叫鲍勃。”不。我叫鲍勃。我都不知道鲍勃的号码了。 But when I’m doing network security, if I can’t bind the event to a specific virtual machine logically associated with an app through a policy container like a TrustZone, I don’t have a consolidated view. I’ve just got a bunch of events that I have to constantly correlate between.
但多年来,已经有很多努力使所有安全工具更好地工作。为什么你的方法能够更好的机会?
我认为,使它成为可能的关键是,在工作负载的整个生命周期中,我可以通过虚拟基础设施,以一种我以前从未能够做到的方式,了解与我的安全控制相关的基于网络的属性。当我ping一个IP地址时,我可以告诉它是up还是down。如果我想验证它仍然连接到一个一周前的应用,这实际上是一个更困难的问题。但当我从虚拟基础架构上看它时,我知道它每次都是VM-25 App-3。我知道它的IP地址,它的开关在哪,它被防火墙保护着,我知道它被扫描过。事实上,当IP地址改变时,扫描器会改变IP地址,以确保它扫描的是正确的资产。点解是不能这样做的。