树立Web安全2.0标准,带给广大企业用户全新体验
近日,全球知名的网络安全与Web安全领导厂商----Wedge Networks宣布,随着基于Web的应用普及,新的安全威胁层出不穷,传统上滞后于攻击行为的Web 1.0时代的防御手段逐渐落伍,全球用户正在和主流信息安全厂商一道迈入Web安全2.0全新时代。
新时代新要求
随着互联网产业的发展,信息安全已经由传统的单一产品防护,过渡到以Web环境为基础, Web应用为载体的整体IT计算环境的新时代。全新的IT基础设施与互联网应用,促使全球Web安全产业发展迅速。
不幸的是,随着产业的发展,各种安全威胁的变化层出不穷。当前越来越多的安全威胁的产生、传播、破坏速度大大加快,各种威胁的最终表现趋于利益获取,威胁的隐蔽手段与技术水平越来越高。
令人遗憾的是,面对全新的挑战,传统的Web安全解决方案几乎无能为力。这是因为传统的防御手段采用一种被动回应的机制,即不断通过修补的方式来应对迅速出现的Web安全事件。因此,传统的Web安全防御解决方案始终落后于攻击一步。
例如,当大多数恶意软件通过软盘或U盘传播扩散时,桌面AV(杀毒软件)是有效的解决方案。但是如果威胁的源头转移到互联网上,那么利用桌面AV打击基于Web的恶意软件,只能相当于是用抗生素预防传染病。另一个例子是,传统的Web安全网关解决方案,它在对付Web 1.0环境时相当有效。但是,当合法的网站开始传播带病毒的内容时,它们就变得无能为力了。
作为回应这种新形势的被动措施,一些安全厂商将深层内容扫描模块添加到他们已有的网络设备中,但这却导致了一场更大的灾难:速度缓慢、不稳定的网络给用户带来了困扰。即使如此,这些解决方案东拼西凑的本质仍然造成网络的极度不安全。遗憾的是,像UTM这类设备正在遭遇类似的痛苦。
虽然所有这些传统解决方案试图追赶上来,但全球的互联网环境正在发生巨变:2009年6月30日,全球Internet用户数量达到了17亿,几乎占全球人口的25%。每天诞生的恶意软件的庞大数量使已有防御系统不堪重负。当前,防卫的边界变得模糊不清----电子邮件利用Web协议提交、大量的服务器运行在大型数据中心中、桌面系统被漫游在3G或Wi-Fi等移动数据网络中的便携机所取代。
当全世界的IT经理们看到关于恶意软件和基于Web的攻击数量较去年增加了3倍的报告时,大家都很明白:常规的Web安全1.0解决方案已无能为力。
对此,稳捷网络的专家们意识到:Web安全2.0技术架构和解决方案是实现扭转这场将要输掉的追赶比赛的途径。这是种基于两个因素的判断:防止恶意活动传播的常识以及来自稳捷网络的可以提供实现这种防御所需性能的创新技术。新技术的应用将满足企业、服务提供商和数亿Internet用户需要的新一代更快、更安全网络。
Web 2.0与Web安全2.0
有必要先明确一点:Web安全2.0来源于Web 2.0, 与Web 1.0相比,Web 2.0引入了大量的交互功能,并一度对Web安全带来大量安全隐患。
对此,稳捷网络的专家们认为,交互式网页在Internet的早期时代就已存在了。某些安全漏洞很久以前就被发现和被利用了。与Web 2.0相关的安全事件只是最近由于连接在一起的Web用户的庞大数量而成为一个大问题。因此,当用户在谈论Web 2.0网络比Web 1.0更严重时,人们实际上有意无意地提到两个方面:大范围的感染和快速传播的感染。
事实上,Web安全2.0技术架构和解决方案旨在控制这两个方面。在宏观上,采用这种方式将延缓并最终阻止恶意感染的传播。在微观上,Web安全2.0解决方案保护的每一个计算节点(服务器、桌面机等)将免受恶意内容和病毒暴发的影响。这种更少的传染和更少的传播最终将阻止Web 2.0的安全威胁,确保更快、更安全的Web。
可喜的是,与两年前相比,市场对Web 2.0带来的安全问题有了更多的意识。这个目标市场规模庞大,而且还在不断增长。基于关于几个重叠的子市场细分的可信任的分析报告,专家们保守估计全球Web安全2.0市场将在2009年底时规模达到15亿美元。
新时代的技术标准
在阐述Web安全2.0时代的技术标准之前,必须明确一点,Web安全2.0技术架构和Web安全1.0技术架构之间的关键不同是对问题空间的假定:
Web安全2.0(W2.0S)假定基于动态的、不断变化的、多向通信的全球网络;Web安全1.0假定可以很容易分类的单向、静态的Web。
Web安全2.0假定多数恶意内容是由无辜携带者传播的;Web安全1.0假定恶意件只由做坏事的人分发。
Web安全2.0假定大多数攻击是通过合法的Web应用传播的;Web安全1.0假定大多数攻击是通过非常端口进来的。
Web安全2.0假定网络带宽的增长率将远远超过CPU时钟周期的增长率;Web安全1.0假定问世两年的专用CPU可以在今后5年里处理Web传输流。
Web安全2.0假定攻击可以来自使用不同的应用协议的多种携带者;Web安全1.0假定保护一种协议足矣。
Web安全2.0假定网络将由于满足不同目的的计算设备而变得更加异构;Web安全1.0假定只保护桌面或者只保护服务器就足够了。
Web安全2.0假定安全解决方案应当适应现有网络;Web安全1.0假定解决方案本身是焦点,集成它可能要以改造网络为代价。
不难看出,在Web安全2.0时代之下,所有的安全理念都改变了,新的要求促使技术架构、产品设计、解决方案集成都出现了全新的变化。符合Web安全2.0理念的安全产品必须从体系结构和功能设计上做出转变,只有这样才能取得新时代要求下的性能。
从具体功能来看,尽管过去不是没有处理单独的Web 2.0弱点的技术或产品,但Web 2.0弱点在几个关键方面与老Web的弱点是不同的:它们的规模更大、更加动态并且缺少传统Web 1.0定义的边界。
因此Web安全2.0解决方案在以下的技术方面不同于传统的解决方案:
提供高容量
灵活适应变化
容易部署在任何网段中
一言以蔽之,Web安全2.0不要求新安全功能,但它要求大规模提供安全功能,同时非常灵活,易于部署。打个比方,Web安全2.0就像是辆高速汽车,而Web 安全 1.0就像是辆马车。它们都运送货物,但是用马车的人与开汽车的人相比处于巨大的劣势。
衡量Web安全2.0产品
在评估Web安全2.0产品时,有几个需要考虑的关键因素。
第一,它能够提供抵御至少一种攻击(如网络传播的恶意件、注入攻击、多通道消费攻击等)的防御吗?鉴于Web 2.0安全解决方案的大容量要求,考虑采用誓如高速防毒墙等专用的产品来对付这些攻击是个好主意。这方面的技术标准是启动完全保护时的高吞吐量和低延时。
第二,它可以高性价比地实现吗?经验告诉用户,部署安全解决方案的主要费用不是购买产品本身,而是以后持续不断的部署和管理费用。好的解决方案允许即插即用。
第三,用户可以多快地使用全新的解决方案来对付新威胁?好的解决方案具有迅速学习的优秀架构以及来自厂商的基础设施支持。例如,许多中国企业正在向全球市场扩张。这些公司将必须与已经拥有全球基础设施的世界级厂商合作,以便在世界任何地方都能迅速收到(每小时一次)攻击特征更新。同理,进入中国市场的跨国公司必须与在中国拥有更新基础设施的厂商合作。
总的来看,通过战略合作和独有的开放服务总线安全服务架构,稳捷网络的产品包含几家领先安全厂商的检测算法和知识库。因此,稳捷网络的产品不仅在应用协议有效载荷分析上最快、最准确,而且还是市场上得到最好支持的解决方案。企业和服务提供商利用智能路由(Stealth Routing)技术可以很容易地将稳捷网络BeSecure安全网关连接在其网络上,获取Web安全2.0解决方案的全新体验。
稳捷网络2.0优势
相对而言,稳捷网络的产品和解决方案最显著的优势是,具备高性能、深层次的内容检查架构。这种高性能使稳捷网络的产品能为Web 2.0应用和主机提供最准确的、大覆盖面的安全保护。
众所周知,Web安全2.0面临的头号障碍是性能。目前一线安全厂商青睐多核架构,并以此为基础推出不少高吞吐率的安全网关。对此,稳捷网络的专家表示,多核架构是一个在Web安全2.0环境下的良好选择。与此同时,稳捷网络利用几种独特的技术来充分利用多核架构。换句话说,稳捷网络的安全网关可以在内核数量上取得线性可伸缩性。
最后,Web安全2.0下安全解决方案的管理复杂度也是需要仔细思考的问题。事实上,如果产品不合适,解决方案会非常复杂。对此稳捷网络的专家们认为,在目前的技术架构当中,存在着许多需要平衡的因素----网络带宽与常规解决方案的处理能力之间不断扩大的差距的平衡、好的可用性与好的安全性的平衡、统一的威胁管理与不统一的攻击的平衡。
毫无疑问,控制复杂性的关键平衡因素是解决方案的性能。有了性能,网络吞吐量将不会受到影响,全面的安全性可以在不牺牲应用的可用性条件下实现,计算资源可以充分地分配来加强防线压力最大的部分。因此,高性能Web安全2.0解决方案将使安全管理变得更便宜。
例如,稳捷网络看到了不少用户的网络和应用吞吐量需求大大超过传统安全产品的容量的情况。因此,这些用户必须处理非常复杂的容量规划问题,而在多数情况下,不能取得充分的安全覆盖。
此外,稳捷网络还与十分了解Web 2.0安全问题的用户合作。这些企业选择可以提供准确性、性能和易于部署性的解决方案。对于它们来说,Web安全2.0解决方案简化了设计、实现和维护安全解决方案的整个生命周期。
