今天,网络黑客的攻击策略可谓五花八门:病毒、拒绝服务(DoS)、特洛伊木马、恶意访问企业信息或者采用IP欺骗、中间人或端口重定向的手段来威胁网站内容的安全。与此同时,这些安全缺口对公司损益平衡表的影响日益增加,变得不容忽视。
防范这些攻击的成本是巨大的,包括专门用于检测攻击行为的人员和设备、清理和恢复系统的费用以及攻击对员工工作效率所造成的负面影响。最近,由首席安全官(CSO)杂志进行的一项研究表明,2003年企业和政府网络因遭受犯罪性攻击所导致的损失超过6.65亿美元。
随着攻击手段日益复杂,传统的虚拟专用网(VPN)或防火墙产品已经不能满足企业的需要,这迫使他们寻求更高水平的安全性。为了应对这些安全威胁,许多公司正在投资构建新的入侵检测和防护系统(IDS/IPS)或者能够分析数据流内容而不仅是数据包头信息的深度检测防火墙。在理想情况下,这些新系统将帮助企业鉴别安全威胁,甚至包括那些深藏在应用数据头信息或载荷中的安全隐患,从而成功地防止攻击。
不过,在大多数情况下,这些新的安全系统可能安装复杂,而且维护费用昂贵。对企业而言,这意味着更高的运营成本和资本开支。这些增加的开销对于小办公室/家庭办公(SoHo)以及小型企业是特别沉重的负担,因为与他们的强大竞争对手一样,SoHo也需要安全保护,但必须构建在更低的成本结构上。
此外,当前使用的安全解决方案不具备良好的可扩展性。随着企业的发展,服务提供商必须在整个广域网为他们的站点增加更多设备,并且每台设备都必须安装和维护。此外,要实现针对移动用户的全局安全策略既困难又麻烦。他们必须通过常驻软件或硬件来增强安全性,或者通过企业站点的安全系统来路由所有请求。
新型安全架构
通过将网络安全服务的管理转移到网络边缘,服务提供商能解决这些技术和商业挑战。借助这种新架构,他们能很容易增强整体安全策略,而不必为每个远程站点部署物理硬件和软件。其次,服务提供商能够在DoS攻击到达企业之前,在接入链路上中断它们。这减轻了企业检测和防范攻击的负担,最终对服务提供商和客户的成本都有正面影响。同时,对于企业而言,这种架构更容易扩展、更有效而且更透明。随着企业的发展,他们只需简单地签署一份新的服务等级协议(SLA),剩余的事情就可以交由服务提供商处理。
更重要的是,这种新的架构方法给服务提供商和客户提供了众多的商业利益。在现有架构下,客户要承担由于业务规模增长而增加的所有安全服务成本。通过将安全服务转移到网络接入点,服务提供商现在能与所有客户共同分担用于安全应用的额外硬件和软件费用。因为成本是由整个客户群分摊,所以企业可以实现更具吸引力的规模经济。
对服务提供商来说,这种架构提供了一种新的、有吸引力的收入来源。过去,服务提供商的每比特收益一直在下降,IP服务的利润率很薄。通过将安全功能转移到网络边缘,他们现在能提供一系列高附加值的安全服务,从传统的VPN和二至四层防火墙到IDS/IPS、内容过滤以及实时病毒和垃圾邮件防护。
为了构建这种架构并向通过DSL或有线电缆连接网络的SoHo和小型企业用户提供服务,服务提供商需要采用新的IP DSL接入复用器(DSLAM)和线缆调制解调器终端系统(CMTS)设备。因为服务将基于订购的方式提供,所以实际的做法是在一个安全刀片(Security Blade)上提供服务,这可以服务机柜中的所有端口。服务提供商可以通过更高吞吐量的边缘路由器或者IP服务路由器向他们的大中型企业客户提供同样的系列服务。这些高容量的系统可以使用类似的服务器刀片,或者在某些情况下,采用直接集成了安全技术的线卡。
为了应对新的要求,网络汇聚设备供应商面临两个主要障碍。首先是性能驱动。为了达到服务所要求的深度包检测水平,接入和边缘设备开发商必须使用极大数量的存储器和很高的运算速度。汇聚吞吐速率不仅必须支持端口速度,而且在某种情况下,还要支持全部背板性能。因此,用于DSLAM 或 CMTS机柜的刀片必需支持大约 2Gbps的吞吐率或者1Gbps的双向速率。在边缘路由器或IP服务路由器领域,吞吐率必需接近10Gbps。而且,由于服务要满足SLA的承诺,安全刀片必需在不牺牲精度或可靠性的前提下达到这些吞吐率。
最后,新的解决方案必须以一个合理的成本来获得这样的吞吐量和精度。目前的解决方案试图通过在一块电路板上集成多个ASIC器件来提供类似级别的服务,但其成本非常高昂。因此,下一代解决方案必须采用高性能、低成本的通信专用标准产品来开发。
策略管理
服务提供商面临的第二项挑战是需要支持这些安全应用所要求的全面威胁评估和策略分配基础架构。这些策略必须逐个节点持续地维护、更新和分配。
很少有服务提供商能够开发管理这些复杂策略集所需的复杂基础设施。通常,服务提供商将发现可行的做法是与拥有管理这些基础架构的专业技术的第三方安全公司合作。
防范攻击的关键将是开发这类网络汇聚设备:它们允许服务提供商在网络接入点以一种高效的方式集成广泛的安全服务。为了完成这项任务,服务提供商和网络设备开发商将需要这样的供应商:他们能够整合协处理器与数据包检测技术,同时已经与领先的第三方安全方案提供商建立了良好的合作关系。
作者:Mark Orthodoxou
IP协处理器部产品经理
IDT公司
京公网安备 11011202001138号
