上面介绍了戴尔之所以讲零信任架构,也提到了现代安全的三大要素,即:信任基础、简化零信任采用和网络恢复计划。事实上,作为全球大型IT基础架构提供商,戴尔可以提供多种网络安全能力来构建现代安全,帮助企业提高业务弹性。例如数据保护能力、检测和响应能力、自动化能力、业务连续性解决方案、网络恢复解决方案、安全专家服务团队等,都可以帮助企业提高业务弹性。可以说,戴尔在安全方面的积累颇丰,不仅如此,戴尔在安全方面也有着明显的优势。戴尔在安全方面的优势戴尔是全球最大的IT供应商之一,也是为数不多的拥有从核心到边缘再到云的多种基础架构的供应商之一。这种依靠丰富的产品类型和超强的市场覆盖率所造成的影响实属难得。因此,能够为企业提供端到端的整体安全是戴尔在安全方面的最大优势。基于这一优势,戴尔提出了一个整体的安全愿景,涵盖四个层面:基础设施、云、应用和设备。基础设施水平。戴尔提供可靠的基础架构,可以跨终端、服务器、存储、网络等多个安全控制点实施安全策略。对于用户而言,戴尔在全球的企业用户都可以享受到安全管理一致性带来的便利。在多云架构层面。企业需要的是统一的云安全策略。安全需要企业内部各职能部门分担责任,这个过程通常有些复杂。戴尔及其合作伙伴提供了一个平台,为网络功能和威胁管理提供统一的策略,有助于在多云环境中统一安全管理。在应用开发层面。戴尔与合作伙伴合作,提供一致的操作层,业务用户可以在其中开发、托管和管理应用程序。通过戴尔与VMware的合作,企业用户可以通过单点登录在统一的数字化工作空间中发布一系列应用。在设备管理级别。戴尔为数字化工作场所提供安全功能,能够跨多个设备进行集成。随着企业拥有越来越多的物联网设备,高效的安全管理变得越来越重要。无论设备的品牌如何,企业都可以使用戴尔的端点安全技术进行保护和管理。戴尔破解安全难题,推动现代安全转型戴尔指出当今安全领域面临的三大问题,也是业界普遍关注的问题。首先,今天的安全程序基本上都是在应用开发完成后才添加的。安全部分通常是在应用程序和流程设计完成后才考虑的,然后,尽量使安全融入现有的操作。同时,如今的安防过于碎片化和分散。由于安全性通常由各个开发团队定义,因此每个开发团队关注的重点不同。因此,从整体上看,这是一种孤岛的情况。对整体不好。第三,当今的安全策略与业务缺乏相关性。因为安全通常只考虑安全本身,并没有考虑业务本身的需求。这造成了一种情况,即由于处理安全问题而产生的业务影响可能会对关键运营功能产生影响,甚至会中断业务。与业界的声音一致,戴尔认为安全必须转变为现代安全。首先,安全性必须是内在的。这里强调的是,安全能力应该在应用开发、固件开发、设备系统开发之初就融入,并与被保护的架构进行内在集成,也就是常说的“安全左移”。同时,信息安全团队需要与其他开发团队统一,包括DevOps、基础设施/云团队等,如何统一?例如,可以共享通用工具和一致的策略,这通常被称为“DevSecOps”。最后,针对安全策略和业务相关的问题。安全规划要根据业务来做,不仅要和IT团队结合,更要和业务战略结合,让应用和基础设施更好的关联起来,从而减少对业务的影响。戴尔认为现代安全必须是内置的、统一的和上下文相关的。换句话说,安全策略和技术必须与架构、应用程序工作负载和业务目标保持一致。戴尔的安全实践:使用NIST网络安全框架保护数据和系统现代安全涉及如此大的转变,那么我们从哪里开始具体实施层面呢?戴尔的做法是遵循安全行业普遍遵循的NIST网络安全框架。NIST框架有五个关键支柱:识别,确保用户了解业务中的所有资产、风险和组件;保护,确保用户保护业务链中的人员、物资、产品和所有资产;检测,侧重于对事件和异常的持续监控;响应,确保用户有适当的流程和计划来处理检测到的任何事情;恢复,确保用户在出现重大问题时可以恢复;对应的五个关键支柱,戴尔在端点、网络、多云、服务器/HCI、存储和数据保护五大产品解决方案中嵌入了安全控制点。从图中可以看出,戴尔的安全设计非常全面,内容也非常多。为了直观的呈现戴尔在安全方面所做的工作,我找到了这篇《DellEMC PowerEdge服务器的网络弹性安全》白皮书,看看企业用户熟悉的PowerEdge服务器是如何做的。白皮书描述了第14代和第15代PowerEdge的内置安全功能,这些功能主要由戴尔远程访问控制器(iDRAC9)实现。按照NIST框架组织,这些功能主要分为保护、检测和恢复三部分:保护:“保护”功能是NIST网络安全框架的关键组成部分,也是白皮书最长的一章。“保护”功能强调在服务器生命周期的各个方面保护服务器,包括BIOS、固件、数据和物理硬件。检测:检测强调对服务器系统内的配置、健康状态和更改事件具有完整的可见性。检测恶意网络攻击和未经批准的更改,并尽快主动提请IT管理员注意问题。恢复:“恢复”要强调的是要快。快速将BIOS、固件和操作系统恢复到已知的良好状态;安全地停用或重新利用服务器。PowerEdge一直非常重视安全性。例如,在保护阶段,在系统启动过程中使用加密的信任根认证BIOS和固件,任何未经授权的硬件更改(甚至更改没有戴尔数字签名的风扇)都会导致系统无法正常启动。所有这些都是为了防止有人篡改硬件。戴尔在硬件层构建了弹性网络架构。除了PowerEdge服务器,PowerMax高端存储的安全设计也遵循NIST安全框架。《Dell PowerMax网络安全》白皮书介绍了高端存储PowerMax中网络检测、保护和恢复的各种功能。虽然没有严格按照NIST的分类进行分类,但是列出了一些主要的功能点。例如,新发布的PowerMax2500/8500阵列使用不可变的、基于硅的硬件信任根(HWRoT)以加密方式确认BIOS和BMC固件的完整性。这部分显然属于NIST框架的“受保护”部分。CloudIQ使用安全的DellTechnologies网络并托管在安全的戴尔IT云中,从客户数据中心和边缘位置的戴尔存储和服务器收集、存储和评估安全配置信息。支持包括适用于PowerEdge服务器和存储的多种产品。它可以监控PowerMax并对其进行故障排除,针对不当的用户配置提出纠正建议,并使用机器学习和预测分析来识别异常情况。文档中提到CloudIQ有两种异常检测,一种是检测延迟异常,可以分析工作负载对延迟的影响,另一种是与安全相关的,称为“数据缩减异常检测”。如果检测到异常,则可能存在可疑活动或潜在的勒索软件威胁。现在勒索软件很猖獗,新闻报道也很多。比如2022年,NVIDIA、信贷巨头TransUnion、印度航空公司SpiceJet、哥斯达黎加政府、美国出版巨头Macmillan都有一些报道。因此,PowerMax新的安全特性还是很有针对性的。戴尔提出加强现代安全从此次勒索事件来看,虽然很多机构的安全防御能力很强,但安全防线屡屡被攻破和勒索,可见安全形势严峻。工厂专注于现代安全,遵循NIST框架,推动现代安全的根本原因。加强现代安全分为三个方面。首先是使用零信任架构和NIST框架来保护数据和系统。企业可以利用整个IT生态系统中硬件和流程的固有功能来实现安全。方法现代化。没有万无一失的保护。当保护方法被破坏时,需要考虑如何恢复。这是NIST框架的最后一个环节,也是提高现代安全性——提高网络弹性的第二个方面。最后,加强安全的第三个方面是降低安全的复杂性。如何提高网络弹性,降低安全复杂度,且听下一章。
