当在混合多云的时代看IBM的安全视野

在混合多云的时代，看 IBM 的安全视野

法国作家维克多 雨果说， 进步，意味着目标不断前移，阶段不断更新，它的视野总是不断变化的。 用这句话来审视 IBM 的安全业务发展轨迹，或许也是恰当的。在混合多云时代，IBM 安全业务与时俱进、不断变化的视野，从其近期发布的 Cloud Pak for Security 中，应该可以得到很好的印证。

联邦搜索和调查

不移动数据即可获得安全洞察

在混合多云环境下，数据安全及其保护的重要性已毋庸置疑，大量的报告和事实都证明了这一点。同时，这也是各种类型的云公司关注的焦点。

IBM 在这方面当然也会有自己的解决方案，比如 Guardium 和 Secret Server，其领先的探针技术，可以有效侦测在云上乱窜的数据；还有 SIEM 平台 QRadar 和针对 IAM 的身份认证 Cloud Identity；此外，像变形金刚一样的移动式 X-Force Command Center 等，都可以很好地侦测各种威胁并告警和处理。

但在 IBM 看来，未来仍有很大的发展空间。 比如，很多的企业过去在安全方面做了很多投资，从十几家知名的企业买了很多安全产品，但彼此不联通，而且还可能存在漏洞。 IBM 大中华区安全事业部总经理陈文丰认为，这给企业的云安全管理带来了巨大挑战。

IBM 发起的一项全球性调查也证明了这一点。在该项调查中，近一半的受访者 （48%） 表示，企业因为部署了太多独立的安全工具，最终增加了运营复杂性，降低了对整体安全状况的可视性。

基于此，IBM 在国外和 20多家安全厂商共同成立了 OCA（Open Cybersecurity Alliance，开放络安全联盟），希望通过建立统一的标准、统一的协议，采用开源的技术，让联盟之间、成员之间进行数据和信息交换，甚至是分享洞察，并使企业在安全工具方面的投资发挥出应有的价值。

IBM 最新发布的安全产品 Cloud Pak for Security 就是利用了 STIX Shift 开源工具，采用了标准协议，实现了与所有安全工具的互动，具备了即时威胁搜索、侦测和狩猎三大功能。 陈文丰说，在 OCA 联盟中，大家都可以利用这些开源的协议和工具，通过开箱即用的方式即可进行集成，而不需要开放 API。

事实上，这也是 Cloud Pak for Security 具备的第一个重要能力，即 Data Explorer（联邦搜索与调查，Federated Search Investigation）。从表面上看，它只是该产品的一个能力，但其背后则体现了 IBM 的宏观视野和与时俱进的安全观。

众所周知，为了在海量数据中区分出真正的威胁，业界纷纷推出了 SIEM 解决方案。如前所述，IBM 也有自己的 SIEM 平台，但当 SIEM 发现某个威胁事件的时候，不可能第一步就采取行动，而是要针对这个威胁进行调查，此时就会发现 SIEM 中的数据量根本不够，必须要用更多的数据源来辅助调查。

解决这一问题的思路之一是把所有数据都放到 SIEM 中进行调查，其二是在不移动数据的情况下进行调查、分析，显然，前者将导致大量的成本增加、存储压力巨大。 IBM 大中华区安全事2是加快推行绿色技术设备业部技术总监张红卫说，联邦搜索与调查秉持的就是第二种思路 不移动数据，只是在数据之间建立连接，跨安全工具或云来搜索威胁，而获得安全洞察。

目前，Cloud Pak for Security 也是业界第一款不需要将数据迁移至平台即可进行分析并支持此类搜索的工具，其开创价值不言而喻。

安全编排和自动化响应

引领国内外安全发展趋势

如何通过自动化部署处理络攻击，也是 IBM 安全业务的视角。这里谈到的自动化是指启用安全技术，在发现与遏制络攻击或数据泄露事件的过程中增强或取代人为干预活动。这些技术依赖于人工智能、机器学习、分析以及编排能力。

IBM 一项有关自动化部署的调查活动，证明了该部署的重冶金要性 充分利用自动化技术的受访企业，在处理络攻击等多个方面的自我评分均高于整体样本，包括络攻击防御能力、检测能力、响应能力和遏制能力等。那些充分部署安全自动化解决方案的企业，平均节省了 150万美元的数据泄露总成本；而未部署自动化技术的企业在这方面的成本要高出很多。

众所周知，安全信息和事件管理平台（SIEM）是企业络安全的大脑，虽然 SIEM 被金融、医疗和大型企业等安全运维团队视为检测和管理威胁必不可少的工具，但成功的威胁管理需要快速的事件响应，以帮助企业能够快速修复威胁，并加强其安全状态以防止数据泄露。

这一观察视角在全新推出的 Cloud Pak for Security 中自然有所体现，即安全编排和自动化响应（Security Operation Automation Response，SOAR）。用陈文丰的话限位开关、紧要中断开关 [Limit SW, Emergency SW]说， 这是为了顺应国内外的整体安全防护趋势，帮助用户提升事件响应自动化水平，应对上云过程中面临的人才和技能挑战。

在 IBM 看来， SOAR 平台因为人工智能的导入能够显着提升企业事件响应自动化水平，同时 SOAR 还可减轻安全分析师的手动工作量，并提高他们优先处理最紧迫威胁和快速修复的能力，进而帮助企业解决安全人才短缺的问题。

SOAR （Security Operation Automation Response）可以说是 Cloud Pak for Security 具备的第二个能力，它集成了 IBM 的 Resilient 产品，包括三个平台，即 Case 管理、自动化响应和威胁情报平台。 张红卫说，IBM 的 SOAR 与业界同类产品相比具有突出优势，比如在 Case 管理的时候有一个 Knowledge Base；针对不同的安全事件有一个响应的 Template，可以基于这个模板来定制公司的响应流程。

除此之外，该产品集成到 Cloud Paks 平台上并实现容器化以后，还具有了额外价值 IBM 的安全编排和自动化响应功能可与 Red Hat Ansible 相集成，并提供更多的自动化规程，企业能够更快、更有效地做出响应，同时为自己提供加强监管审查所需的信息。

陈文丰说，利用联邦搜索与调查 Data Explorer 完成搜索、侦测并找出根源后，接下来就进入响应阶段，以前主要是人工响应，实现自动化响应并与 Red Hat Ansible 集成后，局面将会大为不同。 假设公司有 1万台电脑，其中有 100台电脑受到了某种类型的病毒攻击，启动自动化流程后，通过 Ansible 就可以自动把补丁打上去，而且可以精准地打到那 100台电脑上，其好处已经不局限于企业内部上云，还包括公有云、私有云等。

混合多云

容器能运行的环境都可安装部署

混合多云是 IBM 整个公司层面的转型方向，也是安全产品研发需要具有的境界和视野，在 Cloud Pak for Security 上当然也应该得到体现。

关于混合多云的发展态势，已无太多着墨的必要。根据 IBM 商业调查报告，85% 的客户都在使用多云环境；另外，98% 的受访者客户在未来三年不只采用多云环境，还会采用混合云环境。

需要提及的是，在这样明朗的态势下，48% 的用户没有有效的管理工具，面临着上云过程中产生的数据、应用、开发、安全等诸多挑战。也正因为此，IBM 在不久前发布了经优化后可在红帽 OpenShift 上运行 IBM Cloud Paks 软件组合，为企业上云提供各项能力，这些软件和服务将在 IBM 混合多云的平台上提供。

继 IBM Cloud Paks 有关应用、数据、集成、自动化、多云管理等五大解决方案发布之后，第六大解决方案 Cloud Pak for Security 隆重登场，同样架构在红帽 Ope打印机内装有液体或粉末等“打印材料”nShift 的平台之上，只要容器能运行的环境都可以安装部署，体现了 IBM 对客户在混合多云环境下数据安全问题的重视。

当企业把关键业务迁移到混合云环境后，数据会分布到不同的工具、云和 IT 基础设施中，造成的漏洞威胁会更大，安全部门的维护复杂程度将大大增加，成本也会非常高昂，甚至需要手动操作。 陈文丰说，Cloud Pak for Security 发布后，为建立混合多云环境下更加连接的安全生态系统奠定了基础。

事实上，在混合多云的环境下，用户也确实需要这样的工具。尽管他们可能部署了公有云、私有云，甚至是混合多云，但并不希望由此增加管理难度，购买更多的安全管理工具，而是希望用一个平台、一套工具、一种方式保护他们的数据安全。而 Cloud Pak for Security 提供的恰恰就是这样一个管理混合多云环境的安全解决方案。

在这些开放灵活的构建模块上开发的 Cloud Pak for Security 支持跨任何云或者本地环境，轻松的实现 容器化 部署。随着企业不断添加新的云部署和迁移，Cloud Pak for Security 可以轻松地适应这些新环境并支持不断扩展 客户甚至能够将敏感和关键任务工作负载放到云中，在中心安全平台上持续监视这些负载并进行控制。

当然，IBM 的安全视野并不只有混合云时代的技术和产品，还包括安全合规，比如欧盟推行的 GDPR 和中国已于 12月 1日正式实施的等保 2.0，以及由此带动的广阔市场。IBM 认为，等保 2.0 实施后中国企业会更加重视安全防范，而符合要求的 IBM 产品机会将会很大。事实上，近两年 IBM 的安全业务每个季度都在增长，也是国内 AIRO（Analytics, Intelligence, Response, Orchestration）市场外企占有率最高的厂商。

除了产品之外，IBM 的视野里还包括服务。受限于安全人才的短缺，企业将需要更多安全托管服务，这一模式在国外也非常普遍，IBM 也十分看重这一市场。为此，Cloud Pak for Security 还为托管安全服务提供商（MSSP）提供了模型，使这些提供商能够大规模的高效运营、连接安全孤岛并优化其安全流程。企业还可以使用各种 IBM 安全服务，例如，按需咨询、定制开发和事故响应等。本文转载自：商业伙伴