close


在上篇 零事故的背後:解密冬奧網絡安全的「眼睛」,綜合講述了天眼作為網絡安全的「眼睛」,實現冬奧「雲上+雲下」全網流量數據採集,自動化檢測網絡威脅之後,相信不少小夥伴都有這樣的疑問:既然冬奧有雲廠商,為什麼最終由天眼和雲廠商一起守護雲上冬奧的網絡安全?

今天,就帶您來解密天眼為什麼能「上雲」,又是怎麼在雲上發揮作用的。

1


雲上冬奧,網絡安全再遇大考驗


北京2022年冬奧會創造了許多歷史,這其中,有一項歷史性革新值得在奧運史上寫下濃墨重彩的一筆,那就是「雲上冬奧」。不僅是賽事成績、賽事轉播,還有運動員抵離、醫療、食宿、交通等信息系統均100%運行在雲上。

「雲上奧運,為奧運打開了一扇新的大門,為奧運書寫新的歷史。」國際奧委會主席托馬斯·巴赫在一次「雲端」受訪中這樣評價本屆冬奧會。



雲上冬奧的實現,讓冬奧網絡信息的暴露面更大,所面臨的網絡安全威脅也更大,對於雲上安全建設提出了更高的挑戰。


首先,傳統的邊界防護手段不能應對雲環境「東西向流量」中的潛在威脅;其次,對於防火牆、WAF等設備來說,流量分析只能針對普通的異常安全事件,而針對冬奧這類國家級賽事面臨的更加高級且複雜的攻擊,例如APT攻擊、未知威脅0day攻擊等威脅收效甚微,需要主動監控、持續分析攻擊痕跡,而這種能力是雲上常規安全方案所不具備的。

當然,以上冬奧面臨的雲上安全建設挑戰,也是彼時籌備冬奧會的組織委員會需要迫切解決的問題。

2


6個月5輪嚴苛評審,冬奧組委認為天眼上雲很有必要

基於雲上冬奧所面臨的以上問題,以及奇安信對冬奧「零事故」的承諾,天眼上雲勢在必行。「天眼上雲的方案」先後在6個月內,經歷了國際奧委會、冬奧信息系統處、冬奧網絡安全處、冬奧第三方安全諮詢服務單位,以及奧組委技術處組織的共5輪專家組評審,分別從冬奧網絡安全技術、成本、時間、可行性等不同角度進行了全面評估。


評審嚴苛、提交資料嚴苛,在5輪評審中,天眼團隊竭盡全力準備方案、進行匯報,最終得到奧組委的認可:「雲廠商和天眼的方案,兩者各有所長,互為補充,無法相互替代。」這期間,也離不開冬奧保障總架構師尹智清、冬奧安全運營中心現場項目經理仝磊給予天眼團隊的指導和支持。

評審通過之後,雲天眼先後又經歷了雲廠商技術測試驗證、冬奧安全交付、冬奧安全運維等漫長而艱巨的考驗,才最終得以與雲廠商一同為冬奧網絡安全檢測提供雙重保障。


那麼,為什麼天眼能以絕對優勢讓冬奧組委通過了雲天眼的威脅檢測方案?這份方案的關鍵在哪裡?


1、「天眼+雲廠商」提供雙重雲上安全保障

首先,天眼上雲後,主要負責對冬奧雲上南北、東西向的流量進行檢測,可以結合精準強大的威脅情報,以及沙箱動靜態結合檢測惡意文件的能力,發現防火牆等傳統設備在網絡中不能識別的APT攻擊、定向高級攻擊、危險操作行為等安全風險。

「儘管冬奧在雲上的網絡流量首先會經過雲廠商WAF設備,一部分Web類攻擊會在這裡被監測和阻斷。但我認為並不足夠,雲天眼會作為第二道關卡的守門員,對APT攻擊和惡意文件威脅進行進一步分析和識別,做到萬無一失。」冬奧網絡安全專家李洪亮認為,冬奧網絡安全保障「零事故」離不開天眼和雲廠商的雙重保障。,

其次,天眼能為安全分析人員提供全量的網絡行為數據及專業的數據檢索分析平台,實現對長期網絡通訊數據進行快速數據挖掘,對攻擊行為快速取證、分析溯源。

「天眼就像攝像頭,能持續錄製犯罪過程,警察查看的時候隨時可以回放,而防火牆等設備是相機,只能記錄某個時刻」,冬奧網絡安全建設方案評審專家組在方案評審過程中舉了一個通俗易懂,但恰到好處的例子,這也決定了天眼與雲廠商為冬奧提供網絡安全檢測時的不同價值。天眼的「攝像機」 與雲廠商的「相機」互相配合,兩者在雲上威脅檢測及回溯的能力瞬間倍增,真正實現針對全網、雲平台的流量採集、檢測和分析,實時生產告警,展現出1+1>2的安全保障效果。,

值得一提的是,在冬奧技術測試期間,鑑於雲天眼的技術表現能力,冬奧組委要求天眼在原來雲廠商的基礎上擴容50%,增加對冬奧移動業務流量「冬奧通」APP的安全監測。這也標誌着天眼「雲上」安全檢測的成熟度,體現了冬奧組委對天眼的極大信任。

註:「冬奧通App」 作為服務於北京2022年冬奧會和冬殘奧會的手機應用程序「統一入口」,為所有涉奧人員提供包括健康防疫、交通出行、賽事信息等在內的40項服務。


2、「雲地結合」敏捷級聯方案,降本增效,增強雲上威脅發現能力

針對冬奧雲上、雲下複雜的業務及網絡IT環境,天眼團隊經過嚴謹的調查、研究和分析後,決定採用「雲地結合」分布式級聯部署方案。即雲上、雲下異地分布存儲數據,在不影響威脅管理及響應的前提下,實現天眼分析中心按需、實時提取雲上及雲下的安全數據。


該方案一方面可以提供大容量、高密度的數據處理能力,另一方面,方便上級系統管理下級系統,實現「按需提取」數據,降低冬奧網絡安全成本。整個級聯部署方案適用於大型複雜的網絡環境中,具有良好的伸縮性。


以雲上安全監測為例,來看看雲天眼是如何實現敏捷級聯部署,為冬奧降本增效的。


在雲上,雲廠商藉助流量采發Agent將網絡原始流量輸出雲天眼探針,雲天眼探針對原始流量集中預處理、檢測、分析,產生告警日誌、網絡流量日誌。其中,所有的告警日誌將統一上送至接收雲上雲下綜合數據的「天眼分析中心」,但所有的網絡流量日誌仍然異地存儲在下級的雲天眼分析平台。當分析人員需要對攻擊行為進行詳細分析時,可以隨時按需調取雲上或雲下的下級分析平台的網絡行為數據,以及沙箱中的惡意樣本文件,清晰掌握惡意行為的網絡通信數據,並結合威脅情報進行深入調查,利用搜索、統計、可視化關聯等方法和技術,幫助其進行溯源分析,呈現出完整的攻擊過程。

顯然,只有分析人員需要對攻擊進行詳細分析研判的時候,才需要調取關聯的行為數據,不需要的時候仍然存儲在雲天眼分析平台中。這樣一來,不僅節省了數據在雲下重複存儲的成本,也大大降低了網絡帶寬占用,提高網絡的利用率及威脅分析管理水平。


「這種網絡安全級聯部署的方式,就像市公安局通過部署在全市各個地方的攝像頭對全市治安進行監控,但是需要調取某個路段的監控攝像時,可隨時從下級轄區公安局監控系統中提取。」奇安信冬奧保障總架構師尹智清表示。



3、 高並發、突發流量彈性力強,雲上天眼高可用


雲上冬奧轉播現場

對比傳統衛星轉播,雲上轉播最重要的是保障網絡傳輸的效果,網絡需要承載海量的數據傳輸,並具備承載高並發、突發流量的彈性能力。
而這一點,網絡安全同樣需要經受考驗。


雲天眼基於自身分層解耦設計,可對接入層、數據層、業務層解耦,使用雲上自有的kafka、Elasticsearch、DB等服務,實現在冬奧雲上轉播流量激增時,提高對網絡威脅檢測的靈活性、安全性和彈性伸縮性,保障了海量數據處理與分析的實時性,確保對已知和未知威脅的發現能力,以及威脅檢測的準確度。

開幕式、閉幕式作為冬奧會的重頭戲和壓軸戲,是萬眾矚目的焦點,此時的網絡流量必然是最大的。

據統計,在冬奧會開幕式當日,天眼產生的流量日誌25億條,告警日誌約3萬條;閉幕式當日,天眼產生的流量日誌24億條,告警日誌1.3萬條。其中,告警日誌會上傳到運營態勢感知系統進行進一步的人工分析和研判,流量日誌仍存儲在天眼中,供分析研判人員深度溯源分析時按需提取。大流量的數據流轉與存儲,足以證明天眼承載高並發、突發流量的彈性能力。




結語:

雲天眼全面覆蓋國內主流雲平台,與雲上原有安全能力形成互補

隨着越來越多的客戶業務遷移到雲端,雲下的安全威脅也蔓延到雲平台,雲平台成為發生網絡攻擊的重災區。不僅僅是像冬奧會這樣的國家重大活動需要重視雲上安全,日常大型企事業單位客戶更應該注重對雲上、雲下綜合安全感知能力的建設。


在經歷了雲上奧運對檢測能力、上億級流量數據處理等的考驗,天眼繼承「奧運標準」,已將冬奧中天眼「雲地結合」的級聯部署方案及經驗實現落地,成功應用到承載全國所有大中小學校師生使用的「教育部國家智慧教育平台項目」中,經受國家級線上平台的大流量考驗。
結合此前,雲天眼與互聯網流量巨頭字節跳動、紅色城市關基單位上海移動、以及在線教育引領者作業幫在雲上安全的合作,目前雲天眼已經實現完全覆蓋國內主流雲平台。

未來,雲天眼將結合不同客戶的業務場景,幫助客戶建立一套建在「雲」上的監測預警、威脅檢測、溯源分析和響應處置能力的高級威脅檢測平台,與客戶雲上原有的防禦體系構建起互補完整的安防體系,從容應對雲上安全威脅。




相關閱讀

▷零事故的背後:一道關乎北京冬奧的網絡縱深防線

▷冬奧網絡安全「零事故」,離不開這份「中國方案」

▷3.8億次網絡攻擊與冬奧「零事故」承諾背後的攻防博弈

▷奧運「零事故」世界紀錄背後:實戰化態勢感知如何「三位一體」

▷零事故的背後:解密冬奧網絡安全的「眼睛」


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()