作為中國網(wǎng)絡(luò)安全可視化技術(shù)的中堅力量和實踐專家，安博通產(chǎn)品經(jīng)理在2017年RSA大會正式開展第一天著重走訪和調(diào)研了國際網(wǎng)絡(luò)安全可視化的主要參展廠商。經(jīng)過初步整理和分析，在這里為大家奉上網(wǎng)絡(luò)安全可視化界的第一手新鮮資料，包括三個維度、七個趨勢、六家參展廠商以及未來發(fā)展預(yù)測。

網(wǎng)絡(luò)安全可視化的三個觀察維度

安博通產(chǎn)品經(jīng)理認為，網(wǎng)絡(luò)安全可視化產(chǎn)品主要從以下三個維度對業(yè)務(wù)進行觀察：

1 整網(wǎng)路徑分析可視

在此維度上，產(chǎn)品重點功能以呈現(xiàn)由大量網(wǎng)絡(luò)與安全設(shè)備構(gòu)成的企業(yè)網(wǎng)絡(luò)拓撲為基礎(chǔ)，以安全域的概念對網(wǎng)絡(luò)進行劃分，通過復(fù)雜的計算快速給出安全域到安全域節(jié)點到節(jié)點的訪問路徑，并在此基礎(chǔ)上疊加策略分析、流量分析、漏洞分析和威脅分析等多種服務(wù)。

要進行整網(wǎng)路徑分析，需要具備以下兩個主要技術(shù)能力：首先是兼容多樣性，產(chǎn)品需要通過讀取網(wǎng)絡(luò)信息進行路徑計算，如果需要完成安全域到安全域的業(yè)務(wù)路徑計算，其中可能包含大量節(jié)點間關(guān)系，僅讀取路由節(jié)點的信息是遠遠不夠的，還需要同時具備讀取網(wǎng)絡(luò)設(shè)備、安全網(wǎng)關(guān)設(shè)備、應(yīng)用層安全設(shè)備、負載均衡設(shè)備等幾乎所有節(jié)點信息的能力，這對產(chǎn)品的性能也同時提出了很高要求;第二是產(chǎn)品的圖形計算能力，當(dāng)處理安全域到安全域的業(yè)務(wù)流，而不是節(jié)點到節(jié)點簡單拓撲計算時，其運算量呈幾何級數(shù)增加，對數(shù)據(jù)庫和前臺呈現(xiàn)能力都帶來了極大的考驗，一旦出現(xiàn)計算問題將無法快速和直觀地進行圖形展現(xiàn)。

在所有調(diào)研廠商中，提問是否支持安全域到安全域的業(yè)務(wù)路徑分析與展示時，僅有Redseal一家答復(fù)支持，而其他廠商人員均直接答復(fù)無法支持，僅能支持節(jié)點到節(jié)點功能，且圖形化展示能力和返回時間相比Redseal存在一定差距。由此可見，在大規(guī)?？绲赜驈V域網(wǎng)或大型內(nèi)網(wǎng)的場景下，Redseal適用性最佳，體現(xiàn)出其技術(shù)實力和積累。

[[183661]]

2 設(shè)備運維管理可視

在此維度上，產(chǎn)品主要關(guān)注基于設(shè)備及設(shè)備組的運維問題，而運維的靈魂就在于策略落地，圍繞著單機或全局防火墻設(shè)備的安全策略進行各種各樣的服務(wù)和操作，例如策略評分、策略遷移、策略清理等等，其核心目的還是幫助網(wǎng)絡(luò)管理員或IT manager進行快速高效可靠的運維工作。

說到組織的運維，自然離不開組織架構(gòu)的概念，業(yè)界頂尖的IT運維工具都繞不開組織架構(gòu)這個復(fù)雜而重要的需求。在運維方面，Tufin具備較強的優(yōu)勢，Tufin產(chǎn)品可根據(jù)組織架構(gòu)方便地創(chuàng)建多級嵌套關(guān)系的設(shè)備組，并基于不同層次的設(shè)備組給與不同的策略動作。面對復(fù)雜的組織架構(gòu)時，“基于架構(gòu)下策略”要比“基于策略套架構(gòu)”更加高效，同時前者也比后者的實現(xiàn)難度高許多，可見Tufin在此種場景下的高適應(yīng)度。尤其通過筆者與會場人員確認，在最新版本中，Tufin與Palo Alto設(shè)備組進行聯(lián)合開發(fā)，推出策略組解決方案，可適應(yīng)龐大組織架構(gòu)，配合Tufin優(yōu)勢的工作流特性，更能提高兩者共同使用時的運維效率。

3 安全策略路徑可視

在此維度上，產(chǎn)品似乎稍顯遠離組織架構(gòu)和整體網(wǎng)絡(luò)，而是緊緊抓住安全策略和用戶業(yè)務(wù)這兩個靈魂和重點提供服務(wù)，更加適合作為專門的策略管理工具出現(xiàn)，處理訪問關(guān)系特別復(fù)雜而且業(yè)務(wù)經(jīng)常需要變更的組織。

而說到策略管理維度，F(xiàn)ireMon無疑是更加老牌和資深的玩家，在其最新V8版本中，主要新增特性仍然圍繞著策略，包括：策略變更管理(全網(wǎng)策略和單一設(shè)備策略、策略健康度評分機制、策略評估報表和歷史記錄查詢等)、策略清理(基于安全域/節(jié)點的策略查詢、策略效率評估等)、策略合規(guī)檢查(基線檢查、策略白名單等)?？梢哉f，從安全策略層面觀察，F(xiàn)ireMon幾乎可以幫助一個IT manager做到所有想做的事情。

而對于安全策略的基本操作和呈現(xiàn)，則在五家參展廠商的產(chǎn)品中均提供類似功能，例如計算和查看路徑上的安全策略，或者基于某些安全威脅日志查看對應(yīng)的安全策略，又或是基于節(jié)點查詢所有相關(guān)的安全策略。在安全策略路徑維度大書特書成為了所有人的共識，大家在此處也似乎無法通過一些特性拉開差距，在2017年的RSA大會上沒有看到基于策略的突破性技術(shù)革新，也不能不說是種遺憾。

網(wǎng)絡(luò)安全可視化的七個共同趨勢

筆者在走訪各個廠商的展臺時，均向工作人員提問在過去一年的開發(fā)工作中有何重大進展，也即在2017年新品種有哪些新增的功能，各廠商的回答存在驚人的相似，可見多家廠商的思路在獨創(chuàng)特色的同時，也因為業(yè)界必然趨勢而逐漸趨同。

1 云服務(wù)支持

在2016年，云上服務(wù)給世界帶來的變革毋庸贅言，云計算環(huán)境下的網(wǎng)絡(luò)安全服務(wù)也日漸成熟，網(wǎng)絡(luò)安全可視化方面也別無二致。所有廠商均提出在新版本中提供對Amazon Web Services(AWS)和其他云計算環(huán)境的支持，對Virtual Private Cloud(VPC)的部署和變更進行及時響應(yīng)，提供基于云環(huán)境的可視化分析。

在各廠商的產(chǎn)品中，已經(jīng)可以支持對VPC的識別和策略分析：

2 虛擬化支持

同樣成為各家相同關(guān)注點的是虛擬化環(huán)境中的vFirewall支持，各家廠商均能有效支持VMWARE NSX平臺以及主流虛擬化平臺，提供Software Defined Data Center(SDDC)的安全能力，這幾乎已經(jīng)成為網(wǎng)絡(luò)安全可視化界的入門門檻，中國廠商如果想要進入可視化領(lǐng)域，還需要多多修煉虛擬化功力。

3 安全路徑呈現(xiàn)

在2016年的版本中，F(xiàn)ireMon、Tufin以及Algosec三家公司沒有提供網(wǎng)絡(luò)路徑呈現(xiàn)功能，似乎他們更加關(guān)注于單個設(shè)備或設(shè)備組的安全策略，而非安全路徑。但在2017年的版本中，五家攻擊均提供了安全路徑計算和呈現(xiàn)功能，使其已經(jīng)成為一種標(biāo)配，足見此功能的用戶需求之迫切。盡管后來者在努力追趕，但基于前文說明，只有Redseal能提供安全域之間的路徑分析，而其他廠商依然停留在節(jié)點之間的層面。期待在2018年的RSA大會上，我們可以看到各家廠商對安全域路徑分析的支持。

4 與大數(shù)據(jù)領(lǐng)域展開合作

在與廠商溝通中，大家不約而同地提到了與大數(shù)據(jù)公司或多或少的合作，其中Redseal和Algosec均已經(jīng)發(fā)布與Splunk合作的解決方案，兩者彼此調(diào)用使用處理漏洞和威脅數(shù)據(jù)，對發(fā)生的威脅做及時響應(yīng)，再與路徑進行關(guān)聯(lián)。這也為中國安全可視化廠商提供了與大數(shù)據(jù)巨頭進行合作的新思路。

5 漏洞引入和比對

Redseal和Skybox兩家廠商具備較好的路徑計算和呈現(xiàn)能力，兩家廠商均將最新的漏洞信息導(dǎo)入到系統(tǒng)中，并與路徑上的威脅信息進行并對，從而確認威脅是否正在發(fā)生在關(guān)鍵路徑上，并能實時查詢漏洞的詳細信息，以便及時進行補救和處理。同時，Algosec也在其產(chǎn)品中提供漏洞處理功能。

6 Html 5頁面化

在最新發(fā)布版本中，多家廠商表示在前臺對瀏覽器進行更好的支持，以便于用戶使用瀏覽器代替原有的專用程序進行管理，甚至使用移動終端進行管理。與國內(nèi)不同的是，網(wǎng)絡(luò)安全可視化在美國并非新興領(lǐng)域，幾家參展廠商已經(jīng)有十年的歷史，當(dāng)時還普遍使用JAVA Swing技術(shù)，不足以支撐如此復(fù)雜的數(shù)據(jù)和交互。而隨著Web技術(shù)發(fā)展和移動終端的普及，通過瀏覽器管理軟件已經(jīng)成為現(xiàn)實，網(wǎng)絡(luò)管理員使用手機躺在沙發(fā)上進行策略管理已經(jīng)是非常容易的事情。

7 功能疊加呈現(xiàn)

在過去幾年時間里，各個廠商選擇了具有各自特色的方向進行發(fā)展：Redseal深耕路徑，F(xiàn)ireMon精于策略，Tufin關(guān)注運維。而在2017年RSA會議上，我們看到Redseal努力在路徑上疊加漏洞威脅分析和端點安全監(jiān)測，F(xiàn)ireMon做起了路徑呈現(xiàn)，Tulfin在策略遷移上下了大功夫。大家在彼此的優(yōu)勢基礎(chǔ)上，不斷疊加其他功能并進行統(tǒng)一呈現(xiàn)，未來的安全可視化產(chǎn)品，必將更加高度集成統(tǒng)一化，將運維人員、IT經(jīng)理或合規(guī)管理者統(tǒng)統(tǒng)納入目標(biāo)用戶群，也必將因為趨同而產(chǎn)生更加直接和激烈的競爭。

六家參展廠商的橫向分析

1 Redseal

Redseal在整網(wǎng)路徑計算方面具備優(yōu)勢，如果你有復(fù)雜的安全域配置和訪問關(guān)系而又需要經(jīng)常查詢路徑是否合規(guī)，那么Redseal將是最佳也可能是唯一的選擇。同時Redseal與Splunk、Forescout和Rapid7進行深度合作，在各個領(lǐng)域疊加功能，其產(chǎn)品特性較為豐富。

值得一提的是，在漏洞處理方面，redseal提出了漏洞評級的概念，系統(tǒng)得到漏洞信息后會根據(jù)以下維度對漏洞進行重要性評估并給出漏洞評級，以便管理人員可以優(yōu)先處理那些高優(yōu)先級漏洞：漏洞主機是否可以從一個不被信任的網(wǎng)絡(luò)進行利用，漏洞主機是否存在可以通往資產(chǎn)或重要節(jié)點的路徑，漏洞可達路徑上的資產(chǎn)的重要性。例如，當(dāng)漏洞主機存在路徑可以到達核心服務(wù)器或互聯(lián)網(wǎng)出口設(shè)備時，盡管此漏洞本身威脅性不高，但其依然應(yīng)該被判定為高級漏洞，這就是“漏洞再高危與我無關(guān)，漏洞出現(xiàn)在我家才與我有關(guān)”概念的體現(xiàn)，可以幫助運維者擺脫傳統(tǒng)基于漏洞高危程度對海量日志做判定的錯誤。

2 Skybox

說到Skybox，似乎是Redseal與FireMon的結(jié)合，既在整網(wǎng)路徑方面和漏洞感知方面提供能力，也可以用于基于策略的運維，但在兩個方面均存在些許差距。在界面呈現(xiàn)方面略顯粗糙，讀取海量日志信息時缺乏有效的窗口工具，對于可視化產(chǎn)品來講，頁面的美觀呈現(xiàn)應(yīng)該是核心競爭力。

如果用戶對路徑分析和策略管理同時存在需求，則Skybox提供的解決方案將會比較適用，其對虛擬環(huán)境和云環(huán)境的支持也已十分完善。

3 FireMon

FireMon依然在策略管理的細節(jié)上追求精益求精，從最新版本的改進內(nèi)容大部分圍繞著安全策略就可見一斑，且將基于policy的產(chǎn)品進一步細分為Policy Optimizer和Policy Planner。同時，F(xiàn)ireMon在展會上重點宣傳了新推出的風(fēng)險分析產(chǎn)品安全管理產(chǎn)品，其核心功能也是基于對安全策略的處理，可以說在Firewall policy細分領(lǐng)域精耕細作，具備技術(shù)領(lǐng)先性。當(dāng)筆者提問到相比同類產(chǎn)品最大的優(yōu)勢時，F(xiàn)ireMon工作人員的答復(fù)是性能：使用FireMon可以同時處理上千臺防火墻設(shè)備的網(wǎng)絡(luò)，但其他廠商的規(guī)格大約在百臺數(shù)量級。

FireMon的產(chǎn)品可以更貼切地被歸類為Firewall Policy manager，非常適合對防火墻策略存在重大需求的用戶。

4 Tufin

從工作流角度看，tufin是最先擁有workflow功能的廠商，已經(jīng)可以處理SDN & 云環(huán)境，相比FireMon新推出的Policy Planner更為成熟和豐富。

Tufin對于用戶以一個專業(yè)的運維工具形象出現(xiàn)，可以讓用戶更高效地規(guī)劃和處理網(wǎng)絡(luò)、安全設(shè)施甚至IT系統(tǒng)。當(dāng)被問到相比FireMon最大的優(yōu)勢時，Tufin的答復(fù)是其他人與他們相比并不知道“設(shè)備組”和“策略組”的概念，Tufin最新與Palo Alto合作即在此方面。對于用戶數(shù)量眾多、組織架構(gòu)特別復(fù)雜的組織機構(gòu)，可以使用Tufin基于用戶組嵌套的策略特性，有助于解決紛繁復(fù)雜的運維問題。

5 Algosec

談到Algosec，其主打功能也是圍繞安全策略，尤其是當(dāng)用戶使用Fortinet和CheckPoint防火墻時，Algo產(chǎn)品可以方便地在兩者間進行轉(zhuǎn)換，對于策略的翻譯和遷移更有效率。在設(shè)備運維和策略管理方面，Algosec提供與競爭對手類似的能力，在整網(wǎng)路徑方面，同樣僅能支持節(jié)點到節(jié)點的計算。

6 安博通

與以上參展廠商對比，來自國內(nèi)的安博通安全策略可視化自適應(yīng)分析平臺產(chǎn)品結(jié)合Redseal和FireMon的特性，已經(jīng)具備整網(wǎng)路徑分析、工作流以及安全策略統(tǒng)一梳理功能，且支持本土化常見的防火墻和三層設(shè)備，適用于等級保護測評、內(nèi)網(wǎng)安全運維、安全策略遷移等多個領(lǐng)域。

在最新展示的產(chǎn)品規(guī)劃中，安博通將自己擅長的流量分析能力與漏洞威脅分析能力疊加到可視化平臺中。當(dāng)用戶計算路徑后，可即時查看路徑上的流量構(gòu)成并確認是否存在安全威脅。相比其他參展廠商不對流量進行分析的做法，安博通憑借良好的應(yīng)用識別功底，使用探針將流量進行解析和呈現(xiàn)，幫助用戶更好地了解自己的網(wǎng)絡(luò)流量模型，從而更有效地進行運維和處理威脅。

網(wǎng)絡(luò)安全可視化的未來發(fā)展預(yù)測

通過對2017 RSA大會上網(wǎng)絡(luò)安全可視化廠商的分析，我們不難得出結(jié)論，網(wǎng)絡(luò)安全可視化產(chǎn)品的未來必將走向云化、虛擬化、功能疊加化的方向;同時，在安全策略梳理、頁面可視化呈現(xiàn)、組織架構(gòu)嵌套、安全域路徑計算等強技術(shù)“內(nèi)功”領(lǐng)域，能夠提供最佳能力者將會取得市場的青睞;通過觀察業(yè)界領(lǐng)先者，我們發(fā)現(xiàn)產(chǎn)品在被區(qū)分和細化，產(chǎn)品系列將會逐漸豐富，不同功能將會分散到不同產(chǎn)品中被更加深入將成為趨勢，而非功能特性大集中;網(wǎng)絡(luò)安全可視化產(chǎn)品功能和規(guī)劃逐漸趨同，產(chǎn)品獨有特色正在消失，在安全策略管理方面似乎遇到創(chuàng)新瓶頸，從業(yè)者更多地對功能進行深入挖掘和用戶體驗的提升。

安博通作為網(wǎng)絡(luò)安全可視化技術(shù)的領(lǐng)軍廠商，提供對虛擬化環(huán)境的部署支持，并與中天翼云、數(shù)夢云、太極云等云計算巨頭進行深度合作，實現(xiàn)云化和虛擬化;在路徑計算、安全基線和策略統(tǒng)一梳理方面，安博通正集成越來越多國內(nèi)外安全和網(wǎng)絡(luò)設(shè)備，提供更好的計算能力;在功能疊加方面，安博通規(guī)劃網(wǎng)絡(luò)流量分析與漏洞分析兩個模塊，在路徑上展示流量詳情和威脅詳情，幫助用戶打造真正的網(wǎng)絡(luò)安全作戰(zhàn)地圖。相信在不久的將來，安博通安全策略可視化自適應(yīng)分析平臺必將走上舞臺，幫助更多用戶看透安全本質(zhì)，體驗可視價值。