Palo Alto Networks徐湧:網絡安全架構面臨四大挑戰

中國IDC圈1月6日報導， 第九屆中國IDC產業年度大典（http://idcc.idcquan.com/2014/）將於2015年1月7日-9日在北京。國家會議中心舉行，屆時工信部、通信發展司、電信研究院相關領導，IDC企業、電信運營商、網際網路企業、設備廠商等各行業精英將齊聚一堂，圍繞"大變革 新生態"這一主題，進行思維與腦力的碰撞，共同推動中國IDC產業的健康發展，預計參會規模將達4000人次。

"百家訪談"（http://idcc.idcquan.com/2014/interview/）作為第九屆IDC大會的預熱活動之一，目前正在火熱進行中，近百位IDC和上下遊知名企業高層將應邀參與到其中，為行業發展提供具有實際參考價值的觀點和建議。

近日，Palo Alto Networks 大中華區銷售總裁徐湧也應邀參與到"百家訪談"欄目中來，徐湧表示，對於雲服務提供商而言，如何根據不同用戶的安全等級要求，提供定製的可區分的安全等級服務是IDC建設者們要應對的一個挑戰。

Palo Alto Networks 大中華區銷售總裁徐湧

徐湧現任Palo Alto Networks大中華區銷售總裁，負責推動Palo Alto Networks 在中國、臺灣和香港的業務增長及擴展。徐湧在信息科技及電訊領域擁有超過三十年的豐富經驗。在加入Palo Alto Networks之前，他曾在Aruba Networks服務四年，擔任中國區經理和副總裁，負責業務和團隊發展，通過加強本地客戶和合作夥伴關係提升公司的市場地位。此前，他擔任過Alcatel-Lucent 企業業務部亞太區和日本副總裁、Riverstone Networks亞太區和日本副總裁、以及EMC中國銷售副總裁等職。徐湧也曾在思科公司任職區域經理七年，負責電訊、企業和金融等關鍵行業的重要客戶業務。徐湧持有上海大學理學士學位和美國舊金山大學 （University of San Francisco） 計算機科學碩士學位，以及美國紐約Dowling College工商管理碩士學位。

隨著網際網路、雲平臺和大數據產業的加速發展，IDC產業再次進入了大規模建設階段，未來企業客戶將不會再自己搭建並維護後端IT基礎設施和應用，逐步轉向雲服務方式。IDC提供雲服務的能力成為客戶選擇的重要因素之一。

如此背景下， 徐湧表示，對於雲服務提供商而言，如何根據不同用戶的安全等級要求，提供定製的可區分的安全等級服務是IDC建設者們要應對的一個挑戰。

現在的網絡安全市場相比幾年前發生了巨大變化，從用戶角度來看，業務運維模式在改變，大量應用朝著雲、虛擬化、移動三個方面飛速前進，網際網路承載更多的關鍵業務，如何保障關鍵業務的安全運行是安全架構師面臨的首要任務。

徐湧認為安全架構的挑戰主要體現在如下幾個方面：

首先是定向APT攻擊。APT採用一系列攻擊組合來找到用戶系統的弱點和漏洞，然後量身定製攻擊方法， 其可怕之處在於傳統安全防護方案無法提前察覺到這類攻擊，新的防護體系要能針對APT攻擊鏈的各個環節有針對性的防護手段。

其次是未知威脅。包括桌面端、伺服器端、移動端的各種系統無論是私有的還是開源的，都很難保證沒有漏洞，而零日威脅利用這些事前沒有發覺的漏洞發起攻擊， 所有以特徵碼為基礎的防護體系都會失效，以行為分析為主的主動防護技術會日趨普及和大量應用，大家寄予厚望的就屬能夠模擬環境以進行未知威脅偵測與監控的沙箱（Sandbox），最重要的發展重點有兩項，一為沙箱技術能多快偵測到未知威脅，另一個則是能多快地連帶啟動整體的防護機制。

另外虛擬化帶來的對東西流量的管控也是一個緊迫的需求，雖然多個安全廠商都推出虛擬機版本，但是否兼容多種虛擬環境，並能在單一虛擬機版高效集成主要防護措施，降低運維複雜度，對所有廠商都是挑戰。

最後是終端的威脅防護，這裡不僅僅是指NAC和個人防火牆/防病毒等通常意義上的端點防護，掃描整個硬碟和實時升級特徵庫是令人難以忍受的過程，而且無法識別未知威脅，下一代的端點防護是對威脅或病毒所採用的攻擊原理進行攔截，這些編制威脅或病毒的技術原理手段數量是有限的，也不用頻繁升級。

也正因為這些安全挑戰的存在，對於Palo Alto Networks來說諸多機遇也隨之而來。Palo Alto Networks作為下一代企業安全平臺領導廠商，帶給用戶的是全方位的縱深防禦體系，從實（機）到虛（機），從南北流量到東西流量，從雲端到終端，從已知（特徵）到未知（沙箱）的整體防護， 通過4個環節，應用全流量可視->放行允許流量->消除已知威脅->消除未知威脅來實現最大程度的安全保障。IDC是Palo Alto Networks的重點客戶群，在組建雲平臺的過程中，雲安全可以交由Palo Alto Networks 來提供最佳保障。

此次訪談中，徐湧向記者重點介紹了Palo Alto Networks的優秀解決方案。過去的安全產品會有二個極端，一個是信息孤島，一個是信息泛濫，有用的信息之間沒有形成關聯，沒用的信息成了海量垃圾。Palo Alto Networks的新一代安全防護平臺就是摒棄以前的設備疊加的方式， 消除各個安全產品單一為戰的局面， 建立一套相對完整的簡單的集中的安全平臺，可以擴展到對雲端和終端的安全管控，可以對網際網路出口和IDC及虛擬化的管控，可以對SCADA工業設備進行管理， 將主要的安全功能例如防火牆、IPS、防病毒、WAF、漏洞掃描、未知防禦、主機管理、ＶＰＮ等集成在單一平臺，實現單一日誌關聯管理，統一策略管理，簡化安全運維方式和成本，提高安全運維效率。 同時Palo Alto Networks為用戶提供全面的威脅可視化報告。前期需求調研階段，在不改動用戶物理環境的前提下，為用戶進行豐富靈活的測試方案和健康檢查， 集中展示基於應用、基於用戶、基於內容的已知和未知威脅分析，幫助用戶充分理解網絡使用狀況和問題，為技術準備提供依據，這個安全體檢和報告對用戶是免費的，用戶體驗之後會有全新的認識。

我們的解決方案還包括雲安全服務、企業出口網關、伺服器虛擬化安全，沙箱技術，防APT攻擊， 企業大規模VPN安全組網，端點和行動裝置防護等等。可以單獨發相關方案給大家。

最後在談及第九屆IDC大會時，徐湧表示，希望能在會上了解目前IDC建設單位和網際網路客戶對安全的主要關注點有哪些，主要的需求是什麼，行業主流的解決方案，參會單位的統計信息等等。