戴爾整體安全愿景 覆蓋基礎(chǔ)架構(gòu)、云、應(yīng)用到設(shè)備四個(gè)層次

此前戴爾科技集團(tuán)談零信任架構(gòu)的原因，也提到了現(xiàn)代安全的三大要素，分別為：信任的基礎(chǔ)、簡(jiǎn)化的零信任采納和網(wǎng)絡(luò)恢復(fù)計(jì)劃。

事實(shí)上，作為端到端IT解決方案及服務(wù)提供商，戴爾擁有的多種網(wǎng)絡(luò)安全能力，能有效幫助企業(yè)提高業(yè)務(wù)彈性，構(gòu)建現(xiàn)代安全。

比如，數(shù)據(jù)保護(hù)能力、檢測(cè)和響應(yīng)能力、自動(dòng)化能力、業(yè)務(wù)連續(xù)性方案、網(wǎng)絡(luò)恢復(fù)方案以及安全專家服務(wù)團(tuán)隊(duì)等，這些都能幫企業(yè)提高業(yè)務(wù)彈性。

可以說，在安全方面，戴爾是專業(yè)的，不僅如此，戴爾在安全領(lǐng)域有著非常明顯的優(yōu)勢(shì)。

安全領(lǐng)域，我們是專業(yè)的

從規(guī)模來看，戴爾作為全球最大的IT解決方案提供商之一，而且是少數(shù)擁有從核心到邊緣、到云的多種基礎(chǔ)架構(gòu)的供應(yīng)商。

所以，能以此來為企業(yè)提供端到端的整體安全性，就是戴爾做安全最大的優(yōu)勢(shì)。

基于這樣的優(yōu)勢(shì)，戴爾提出了整體安全愿景，覆蓋基礎(chǔ)架構(gòu)、云、應(yīng)用到設(shè)備四個(gè)層次：

基礎(chǔ)架構(gòu)層面。戴爾提供可信賴的基礎(chǔ)架構(gòu)，并且可以跨終端、跨服務(wù)器、跨存儲(chǔ)、跨網(wǎng)絡(luò)等多種安全控制點(diǎn)來執(zhí)行安全策略。對(duì)用戶而言，戴爾遍布全球的企業(yè)用戶可以享受到一致性為安全管理帶來的種種便利。

在多云架構(gòu)層面。企業(yè)需要的是統(tǒng)一的云安全策略，安全需要企業(yè)內(nèi)部職能領(lǐng)域之間分擔(dān)責(zé)任，過程通常有些復(fù)雜。戴爾及其合作伙伴提供的平臺(tái)，可為網(wǎng)絡(luò)功能和威脅管理提供統(tǒng)一的策略，從而有助于統(tǒng)一多云環(huán)境中的安全管理。

在應(yīng)用開發(fā)層面。戴爾和合作伙伴合作提供了一種一致的操作層，企業(yè)用戶可以在這里開發(fā)、托管和管理應(yīng)用程序。通過戴爾與VMware的合作，企業(yè)用戶可以通過單點(diǎn)登錄在統(tǒng)一的數(shù)字工作空間中發(fā)布一系列應(yīng)用。

在設(shè)備管理層面。戴爾利用跨多種設(shè)備集成的能力，為數(shù)字工作場(chǎng)所提供安全能力。隨著企業(yè)的物聯(lián)網(wǎng)設(shè)備越來越多，高效的安全管理也顯得越來越重要，企業(yè)可以使用戴爾的端點(diǎn)安全技術(shù)進(jìn)行保護(hù)和管理，并且不需要考慮設(shè)備的品牌。

如何向現(xiàn)代安全轉(zhuǎn)變

如今，安全領(lǐng)域存在的三大問題，也是業(yè)內(nèi)普遍關(guān)注的問題。

首先，當(dāng)下的安全程序基本都是在應(yīng)用開發(fā)完成后加入進(jìn)來的，通常是在應(yīng)用程序和流程設(shè)計(jì)完成之后才考慮安全部分，讓安全來適合現(xiàn)有的操作。

其次，安全過于零碎和分散，由于安全通常是由一個(gè)個(gè)開發(fā)團(tuán)隊(duì)來定義的。每個(gè)開發(fā)團(tuán)隊(duì)關(guān)注的重點(diǎn)都不盡相同，因此，從整體視角來看，就是一幅各自為政的局面，不利于整體。?

第三，如今的安全策略缺乏與業(yè)務(wù)的關(guān)聯(lián)。由于安全通常只考慮安全本身，并沒有考慮業(yè)務(wù)本身的需求。這就會(huì)出現(xiàn)，因?yàn)橐幚戆踩珕栴}而影響業(yè)務(wù)的局面，可能會(huì)對(duì)關(guān)鍵的運(yùn)營職能產(chǎn)生影響，甚至中斷業(yè)務(wù)。

與業(yè)內(nèi)的呼聲一致，戴爾認(rèn)為，安全必須做出轉(zhuǎn)變，向現(xiàn)代安全轉(zhuǎn)變。

首先，安全性必須是內(nèi)在的。這里所強(qiáng)調(diào)的是，安全能力應(yīng)該在應(yīng)用程序開發(fā)、固件開發(fā)和設(shè)備系統(tǒng)開發(fā)之初就融入進(jìn)去，要和被保護(hù)的架構(gòu)天生就融在一起，也就是常說的“安全左移”。

其次，信息安全團(tuán)隊(duì)要和其他開發(fā)團(tuán)隊(duì)進(jìn)行統(tǒng)一。包括與DevOps、基礎(chǔ)架構(gòu)/云團(tuán)隊(duì)等進(jìn)行統(tǒng)一，如何統(tǒng)一呢？比如，可以共享通用的工具和一致的策略，也就是常說的“DevSecOps”。

最后，對(duì)于安全策略和業(yè)務(wù)關(guān)聯(lián)的問題，應(yīng)該根據(jù)業(yè)務(wù)來做安全規(guī)劃。既要與IT團(tuán)隊(duì)集成，還必須與業(yè)務(wù)戰(zhàn)略集成，從而讓應(yīng)用程序和基礎(chǔ)架構(gòu)更好地關(guān)聯(lián)，從而減少對(duì)業(yè)務(wù)的影響。

戴爾認(rèn)為，現(xiàn)代安全必須是內(nèi)置的、統(tǒng)一的、情景關(guān)聯(lián)的。換句話說，安全策略和技術(shù)必須與體系結(jié)構(gòu)、應(yīng)用負(fù)載以及業(yè)務(wù)目標(biāo)相統(tǒng)一。

以NIST網(wǎng)絡(luò)安全框架來保護(hù)

數(shù)據(jù)和系統(tǒng)

現(xiàn)代安全所涉及的轉(zhuǎn)變非常之大，那么，在具體的實(shí)施層面，要從何下手呢？

戴爾的做法是遵循安全業(yè)內(nèi)普遍遵循的NIST網(wǎng)絡(luò)安全框架，NIST框架有五個(gè)關(guān)鍵支柱：

識(shí)別：以確保用戶了解業(yè)務(wù)中的所有資產(chǎn)、風(fēng)險(xiǎn)和組件；

保護(hù)：確保用戶保護(hù)業(yè)務(wù)中的人員、供應(yīng)鏈、產(chǎn)品和所有資產(chǎn)；

檢測(cè)：專注于持續(xù)監(jiān)控事件和異常；

響應(yīng)：確保用戶有適當(dāng)?shù)牧鞒毯陀?jì)劃來處理檢測(cè)到的任何事情；

恢復(fù)：確保用戶在發(fā)生重大問題時(shí)可以恢復(fù)；

對(duì)應(yīng)的五個(gè)關(guān)鍵支柱里，戴爾在端點(diǎn)、網(wǎng)絡(luò)、多云、服務(wù)器/HCI、存儲(chǔ)和數(shù)據(jù)保護(hù)五大類產(chǎn)品方案中都埋布了安全控制點(diǎn)。

?

如圖所見，戴爾的安全設(shè)計(jì)非常全面，可以說考慮到了方方面面。

而為了直觀呈現(xiàn)戴爾在安全方面的工作，我們以《Dell PowerEdge服務(wù)器的網(wǎng)絡(luò)彈性安全》白皮書為例。白皮書中介紹的是14代和15代PowerEdge內(nèi)置的安全功能，這些功能主要由戴爾遠(yuǎn)程訪問控制器（iDRAC9）來實(shí)現(xiàn)。

按照NIST框架的話，這些功能主要分成了保護(hù)、檢測(cè)和恢復(fù)三部分：

●保護(hù)：“保護(hù)”功能是NIST網(wǎng)絡(luò)安全框架的關(guān)鍵組成部分，也是白皮書最長的章節(jié)?！氨Ｗo(hù)”功能強(qiáng)調(diào)在生命周期的各個(gè)方面保護(hù)服務(wù)器，包括BIOS、固件、數(shù)據(jù)和物理硬件。

●檢測(cè)：檢測(cè)強(qiáng)調(diào)能夠?qū)Ψ?wù)器系統(tǒng)內(nèi)的配置、健康狀態(tài)和更改事件的完整可見性。檢測(cè)惡意網(wǎng)絡(luò)攻擊和未經(jīng)批準(zhǔn)的更改，主動(dòng)引起IT管理員的關(guān)注，盡快發(fā)現(xiàn)問題。

●恢復(fù)：“恢復(fù)”要強(qiáng)調(diào)的是要快速。快速將BIOS、固件和操作系統(tǒng)恢復(fù)到已知良好的狀態(tài)；安全地停用服務(wù)器或重新調(diào)整服務(wù)器的用途。

PowerEdge歷來重視安全。比如，在保護(hù)階段，系統(tǒng)引導(dǎo)過程中使用了加密的信任根認(rèn)證BIOS和固件，這使得任何對(duì)硬件的非授權(quán)改動(dòng)（哪怕?lián)Q個(gè)沒有戴爾數(shù)字簽名的風(fēng)扇）都會(huì)導(dǎo)致系統(tǒng)無法正常開機(jī)使用。全是為了防止有人對(duì)硬件做手腳。

戴爾在硬件層構(gòu)建了網(wǎng)絡(luò)彈性架構(gòu)，除了PowerEdge服務(wù)器，PowerMax高端存儲(chǔ)的安全設(shè)計(jì)也遵循了NIST安全框架。

《Dell PowerMax網(wǎng)絡(luò)安全》白皮書介紹了高端存儲(chǔ)PowerMax中用于網(wǎng)絡(luò)檢測(cè)、保護(hù)和恢復(fù)的各種功能，雖然沒有嚴(yán)格按照NIST的分類進(jìn)行分類，但是還是列舉了一些主要的功能點(diǎn)。

比如，新發(fā)布的PowerMax 2500/8500陣列使用一個(gè)不可變的、基于芯片的硬件信任根（HWRoT）以加密方式確認(rèn) BIOS 和 BMC 固件的完整性。這部分明顯屬于NIST框架里“保護(hù)”的部分。

? ? ? ? ? ? ? ?

“CloudIQ使用安全的戴爾科技集團(tuán)網(wǎng)絡(luò)，并托管在安全的戴爾IT云中，從客戶的數(shù)據(jù)中心和邊緣位置的戴爾存儲(chǔ)和服務(wù)器上，收集、存儲(chǔ)和評(píng)估安全配置信息。支持包括PowerEdge服務(wù)器和存儲(chǔ)多個(gè)產(chǎn)品。它能為PowerMax做監(jiān)控和故障排除，能為用戶的不當(dāng)配置做一些糾正建議，也可以用機(jī)器學(xué)習(xí)和預(yù)測(cè)分析來識(shí)別異常?！?/p>

文檔中提到CloudIQ有兩種異常檢測(cè)，一種是檢測(cè)延遲異常，能分析工作負(fù)載對(duì)延遲的影響，另一種與安全相關(guān)，叫“數(shù)據(jù)縮減異常檢測(cè)”，如果檢測(cè)到異常，則可能是有可疑活動(dòng)或出現(xiàn)了潛在的勒索軟件威脅。

如今勒索軟件非常猖獗，見諸報(bào)道的就有很多新聞，比如，2022年，征信巨頭TransUnion、印度航空公司SpiceJet、哥斯達(dá)黎加政府、美國出版業(yè)巨頭Macmillan等都有一些報(bào)道。所以，PowerMax新增的安全功能是非常具有針對(duì)性的。

加強(qiáng)現(xiàn)代安全的三個(gè)方面

從勒索軟件事件來看，盡管許多組織有較強(qiáng)的安全防御能力，但安全防線還是被屢屢突破并被勒索，可見安全形勢(shì)的嚴(yán)峻，這也是包括戴爾在內(nèi)的許多業(yè)內(nèi)廠商關(guān)注現(xiàn)代安全，遵循NIST框架提升現(xiàn)代安全的根本原因。

加強(qiáng)現(xiàn)代安全分為三個(gè)方面，首先就是用零信任架構(gòu)、NIST框架的做好對(duì)數(shù)據(jù)和系統(tǒng)的防護(hù)，企業(yè)可以利用整個(gè)IT生態(tài)系統(tǒng)中的整體存在的硬件和流程中的內(nèi)在功能，實(shí)現(xiàn)安全方法的現(xiàn)代化。

沒有萬無一失的防護(hù)，當(dāng)防護(hù)手段被突破，必須要考慮如何進(jìn)行恢復(fù)，這是NIST框架的最后一個(gè)環(huán)節(jié)，也是提升現(xiàn)代安全的第二個(gè)方面——提升網(wǎng)絡(luò)彈性，最后，加強(qiáng)安全的第三個(gè)方面是降低安全的復(fù)雜性。