上文介紹了戴爾大談零信任架構(gòu)的原因，也提到了現(xiàn)代安全的三大要素，分別為：信任的基礎(chǔ)、簡化的零信任采納和網(wǎng)絡(luò)恢復(fù)計劃。事實上，戴爾作為全球大型IT基礎(chǔ)設(shè)施提供商，能提供多種網(wǎng)絡(luò)安全能力來構(gòu)建現(xiàn)代安全，幫企業(yè)提高業(yè)務(wù)彈性。

比如，數(shù)據(jù)保護能力、檢測和響應(yīng)能力、自動化能力、業(yè)務(wù)連續(xù)性方案、網(wǎng)絡(luò)恢復(fù)方案以及安全專家服務(wù)團隊，這些都能幫企業(yè)提高業(yè)務(wù)彈性。

可以說，戴爾在安全方面頗有積累，不僅如此，戴爾做安全的優(yōu)勢也很明顯。

戴爾做安全的優(yōu)勢

戴爾是全球范圍內(nèi)最大的IT供應(yīng)商之一，而且是少數(shù)擁有從核心到邊緣、到云的多種基礎(chǔ)架構(gòu)的供應(yīng)商，這種依靠豐富的產(chǎn)品類型和超強的市場覆蓋造就的影響力非常難得。

所以，能以此來為企業(yè)提供端到端的整體安全性，就是戴爾做安全最大的優(yōu)勢。

戴爾基于這種優(yōu)勢提出了整體安全愿景，覆蓋基礎(chǔ)架構(gòu)、云、應(yīng)用到設(shè)備四個層次。

基礎(chǔ)架構(gòu)層面。戴爾提供可信賴的基礎(chǔ)架構(gòu)，并且可以跨終端、跨服務(wù)器、跨存儲、跨網(wǎng)絡(luò)等多種安全控制點來執(zhí)行安全策略。對用戶而言，戴爾遍布全球的企業(yè)用戶可以享受到一致性為安全管理帶來的種種便利。

在多云架構(gòu)層面。企業(yè)需要的是統(tǒng)一的云安全策略，安全需要企業(yè)內(nèi)部職能領(lǐng)域之間分擔(dān)責(zé)任，過程通常有些復(fù)雜。戴爾及其合作伙伴提供的平臺，可為網(wǎng)絡(luò)功能和威脅管理提供統(tǒng)一的策略，從而有助于統(tǒng)一多云環(huán)境中的安全管理。

在應(yīng)用開發(fā)層面。戴爾和合作伙伴合作提供了一種一致的操作層，企業(yè)用戶可以在這里開發(fā)、托管和管理應(yīng)用程序。通過戴爾與VMware的合作，企業(yè)用戶可以通過單點登錄在統(tǒng)一的數(shù)字工作空間中發(fā)布一系列應(yīng)用。

在設(shè)備管理層面。戴爾利用跨多種設(shè)備集成的能力，為數(shù)字工作場所提供安全能力。隨著企業(yè)的物聯(lián)網(wǎng)設(shè)備越來越多，高效的安全管理也顯得越來越重要，企業(yè)可以使用戴爾的端點安全技術(shù)進行保護和管理，并且不需要考慮設(shè)備的品牌。

戴爾解決安全問題，推動現(xiàn)代安全轉(zhuǎn)型

戴爾指出了如今安全領(lǐng)域存在的三大問題，也是業(yè)內(nèi)普遍關(guān)注的問題。

首先，如今的安全程序基本都是在應(yīng)用開發(fā)完成后加入進來的，通常在應(yīng)用程序和流程設(shè)計完成之后才考慮安全部分，然后，努力讓安全適合現(xiàn)有的操作。

同時，如今的安全過于零碎和分散，由于安全通常是由一個個開發(fā)團隊來定義的，每個開發(fā)團隊關(guān)注的重點都不盡相同，因此，從整體視角來看，就是一幅各自為政的局面，不利于整體。

第三，如今的安全策略缺乏與業(yè)務(wù)的關(guān)聯(lián)。由于安全通常只考慮安全本身，并沒有考慮業(yè)務(wù)本身的需求。這就會出現(xiàn)，因為要處理安全問題而影響業(yè)務(wù)的局面，可能會對關(guān)鍵的運營職能產(chǎn)生影響，甚至中斷業(yè)務(wù)。

與業(yè)內(nèi)的呼聲一致，戴爾認為，安全必須做出轉(zhuǎn)變，向現(xiàn)代安全轉(zhuǎn)變。

首先，安全性必須是內(nèi)在的。這里所強調(diào)的是，安全能力應(yīng)該在應(yīng)用程序開發(fā)、固件開發(fā)和設(shè)備系統(tǒng)開發(fā)之初就融入進去，要和被保護的架構(gòu)天生就融在一起，也就是常說的“安全左移”。

同時，信息安全團隊要和其他開發(fā)團隊進行統(tǒng)一，包括與DevOps、基礎(chǔ)架構(gòu)/云團隊等進行統(tǒng)一，如何統(tǒng)一呢？比如，可以共享通用的工具和一致的策略，也就是常說的“DevSecOps”。

最后，對于安全策略和業(yè)務(wù)關(guān)聯(lián)的問題。應(yīng)該根據(jù)業(yè)務(wù)來做安全規(guī)劃，既要與IT團隊集成，還必須與業(yè)務(wù)戰(zhàn)略集成，從而讓應(yīng)用程序和基礎(chǔ)架構(gòu)更好地關(guān)聯(lián)，從而減少對業(yè)務(wù)的影響。

戴爾認為，現(xiàn)代安全必須是內(nèi)置的、統(tǒng)一的、情景關(guān)聯(lián)的。換句話說，安全策略和技術(shù)必須與體系結(jié)構(gòu)、應(yīng)用負載以及業(yè)務(wù)目標相統(tǒng)一。

戴爾的安全實踐：以NIST網(wǎng)絡(luò)安全框架來保護數(shù)據(jù)和系統(tǒng)

現(xiàn)代安全所涉及的轉(zhuǎn)變非常之大，那么，在具體的實施層面，要從何下手呢？

戴爾的做法是遵循安全業(yè)內(nèi)普遍遵循的NIST網(wǎng)絡(luò)安全框架，NIST框架有五個關(guān)鍵支柱：

識別，以確保用戶了解業(yè)務(wù)中的所有資產(chǎn)、風(fēng)險和組件；

保護，確保用戶保護業(yè)務(wù)中的人員、供應(yīng)鏈、產(chǎn)品和所有資產(chǎn)；

檢測，專注于持續(xù)監(jiān)控事件和異常；

響應(yīng)，確保用戶有適當(dāng)?shù)牧鞒毯陀媱潄硖幚頇z測到的任何事情；

恢復(fù)，確保用戶在發(fā)生重大問題時可以恢復(fù)；

對應(yīng)的五個關(guān)鍵支柱里，戴爾在端點、網(wǎng)絡(luò)、多云、服務(wù)器/HCI、存儲和數(shù)據(jù)保護五大類產(chǎn)品方案中都埋布了安全控制點。

如圖所見，戴爾的安全設(shè)計非常全面，內(nèi)容也比較多。

為了直觀地呈現(xiàn)戴爾在安全做的工作，我找到了這份《Dell EMC PowerEdge服務(wù)器的網(wǎng)絡(luò)彈性安全》白皮書，看一看企業(yè)用戶都熟悉的PowerEdge服務(wù)器是怎么做的。

白皮書中介紹的是14代和15代PowerEdge內(nèi)置的安全功能，這些功能主要由戴爾遠程訪問控制器（iDRAC9）來實現(xiàn)。按照NIST框架來組織的話，這些功能主要分成了保護、檢測和恢復(fù)三部分：

保護：“保護”功能是NIST網(wǎng)絡(luò)安全框架的關(guān)鍵組成部分，也是白皮書最長的章節(jié)?！氨Ｗo”功能強調(diào)在生命周期的各個方面保護服務(wù)器，包括BIOS、固件、數(shù)據(jù)和物理硬件。

檢測：檢測強調(diào)能夠?qū)Ψ?wù)器系統(tǒng)內(nèi)的配置、健康狀態(tài)和更改事件的完整可見性。檢測惡意網(wǎng)絡(luò)攻擊和未經(jīng)批準的更改，主動引起 IT 管理員的關(guān)注，盡快發(fā)現(xiàn)問題。

恢復(fù)：“恢復(fù)”要強調(diào)的是要快速?？焖賹IOS、固件和操作系統(tǒng)恢復(fù)到已知良好的狀態(tài)；安全地停用服務(wù)器或重新調(diào)整服務(wù)器的用途。

PowerEdge歷來重視安全。比如，在保護階段，系統(tǒng)引導(dǎo)過程中使用了加密的信任根認證BIOS和固件，這使得任何對硬件的非授權(quán)改動（哪怕?lián)Q個沒有戴爾數(shù)字簽名的風(fēng)扇）都會導(dǎo)致系統(tǒng)無法正常開機使用。全是為了防止有人對硬件做手腳。

戴爾在硬件層構(gòu)建了網(wǎng)絡(luò)彈性架構(gòu)，除了PowerEdge服務(wù)器，PowerMax高端存儲的安全設(shè)計也遵循了NIST安全框架。

《Dell PowerMax網(wǎng)絡(luò)安全》白皮書介紹了高端存儲PowerMax中用于網(wǎng)絡(luò)檢測、保護和恢復(fù)的各種功能，雖然沒有嚴格按照NIST的分類進行分類，但是還是列舉了一些主要的功能點。

比如，新發(fā)布的PowerMax 2500/8500陣列使用一個不可變的、基于芯片的硬件信任根（HWRoT）以加密方式確認 BIOS 和 BMC 固件的完整性。這部分明顯屬于NIST框架里“保護”的部分。

CloudIQ使用安全的戴爾科技集團網(wǎng)絡(luò)，并托管在安全的戴爾IT云中，從客戶的數(shù)據(jù)中心和邊緣位置的戴爾存儲和服務(wù)器上，收集、存儲和評估安全配置信息。支持包括PowerEdge服務(wù)器和存儲多個產(chǎn)品。它能為PowerMax做監(jiān)控和故障排除，能為用戶的不當(dāng)配置做一些糾正建議，也可以用機器學(xué)習(xí)和預(yù)測分析來識別異常。

文檔中提到CloudIQ有兩種異常檢測，一種是檢測延遲異常，能分析工作負載對延遲的影響，另一種與安全相關(guān)，叫“數(shù)據(jù)縮減異常檢測”，如果檢測到異常，則可能是有可疑活動或出現(xiàn)了潛在的勒索軟件威脅。

如今勒索軟件非常猖獗，見諸報道的就有很多新聞，比如，2022年，英偉達、征信巨頭TransUnion、印度航空公司SpiceJet、哥斯達黎加政府、美國出版業(yè)巨頭Macmillan等都有一些報道。所以，PowerMax新增的安全功能還是非常有針對性的。

戴爾提出加強現(xiàn)代安全

從勒索軟件事件來看，盡管許多組織有較強的安全防御能力，但安全防線還是被屢屢突破并被勒索，可見安全形勢的嚴峻，這也是包括戴爾在內(nèi)的許多業(yè)內(nèi)大廠關(guān)注現(xiàn)代安全，遵循NIST框架提升現(xiàn)代安全的根本原因。

加強現(xiàn)代安全分為三個方面，首先就是用零信任架構(gòu)、NIST框架的做好對數(shù)據(jù)和系統(tǒng)的防護，企業(yè)可以利用整個IT生態(tài)系統(tǒng)中的整體存在的硬件和流程中的內(nèi)在功能，實現(xiàn)安全方法的現(xiàn)代化。

沒有萬無一失的防護，當(dāng)防護手段被突破，必須要考慮如何進行恢復(fù)，這是NIST框架的最后一個環(huán)節(jié)，也是提升現(xiàn)代安全的第二個方面——提升網(wǎng)絡(luò)彈性，最后，加強安全的第三個方面是降低安全的復(fù)雜性。

到底如何提升網(wǎng)絡(luò)彈性和降低安全復(fù)雜性，且聽下回分解。