[科技资讯] Aruba: 云安全技术趋势和针对物联网的身份认证授权体系

云安全技术趋势下的发展策略

传统的安全架构和技术仍然是必要的，可以很好地控制连接和访问，有效保护网络边界，防止已知攻击。然而，它们所依赖的一些假设和条件不再普遍适用。

随着智能终端和物联网应用的普及，用户的移动性越来越强，所以网络的边界越来越模糊；同时，当前应用和管理的发展趋势是基于云的。随着越来越多的信息通过云传输，安全性的重点已经从最初的端点安全性转移到交付的应用程序、数据安全性和用户体验。这种重心的转移也让行业面临更多的问题。网络供应商不仅要保证数据安全，提供良好的用户体验，还要保持信息的完整性和开放性。最后，攻击行为的起点往往在企业内部，因此云应用服务提供商很难区分正常用户行为和恶意用户行为。对此，阿鲁巴中国总裁谢建国发表了一些看法。他认为，云安全未来的发展趋势包括以下几个部分:

首先是开放。传统的安全技术都是基于孤岛的解决方案，这些孤岛缺乏有效的联动机制，难以应对当前和未来的攻击。比如防火墙拦截了非法访问或者已知的攻击，但是无法与网络基础设施链接，就会造成两个问题:一是无法快速定位问题终端，因为防火墙只能看到攻击者的源ip，而无法确切知道攻击者的身份、终端类型等信息；二是无法形成安全闭环，无法通知网络基础设施隔离问题终端，所以攻击者会一直连接网络，尝试第二次、第三次攻击。因此，阿鲁巴希望未来的安全解决方案能够建立一个开放和标准的生态环境并付诸实践。目前，阿鲁巴已经与全球100多家供应商建立了生态环境，包括传统安全供应商、终端管理供应商(mdm)、siem供应商和网络基础设施供应商。阿鲁巴与这些合作伙伴共享信息，同时可以进行安全联动，形成安全闭环。

二是大数据分析和机器学习技术的应用。传统的安全技术是一种被动模式，安全管理员只能试图维持现状，应对已知的攻击。并且当问题出现时，传统的安防系统报警不够智能:一是需要大量的人工来清除日志噪音；然后确定真正的、最关键的要处理的目标；最后，关联不同的数据需要几个步骤，理解和修复安全问题需要几个小时甚至几天。根据2018年的安全分析报告，目前，87%的终端劫持攻击只需要几分钟或更短时间，而68%的被劫持终端需要等待数月甚至更长时间才能被发现。因此，未来的安全管理模式将从事件驱动模式向大数据分析驱动模式转变，在这种新模式下，可以实现自动安全闭环。在这个新模型中，大数据分析和机器学习技术是关键。通过大数据分析和机器学习，可以主动跟踪用户行为，识别异常，以网络实体为中心自动关联相关信息，最终与网络基础设施和安全设备形成自动安全闭环。目前，阿鲁巴已经将大数据分析和机器学习技术引入到所有产品中，其中内省产品可以检测异常的用户实体行为。

第三，数据采集还需要长时间沉入网络边缘。阿鲁巴认为，在各种云应用完全开放之前，数据收集仍然需要沉入网络的边缘。比如某用户在半夜突然下载office365中的大量公司文档，但作为office365的服务提供商，无法判断这是正常行为还是有风险的信息泄露问题。因为他们除了自己的数据之外，无法关联该用户的其他相关实体信息，所以无法有效分析这种行为。如果数据采集下沉到网络边缘，可以通过siem平台、认证服务器、网络基础设施收集用户的相关信息，然后发送到大数据分析和机器学习分析平台，让平台进行智能数据关联，识别异常行为。例如，通过收集dns数据来判断该用户是否有dga异常行为，收集网络基础设施数据来判断是否有外部链接到该终端，收集邮件服务器数据来分析该用户是否随后向第三方个人邮箱发送了大量附件邮件，同时根据该用户的日常行为基线(如何时访问office365以及是否经常下载大量附件)，对这些数据进行关联分析，从而识别该用户的行为是否是异常行为。

如何构建物联网身份认证授权系统

阿鲁巴认为，未来的认证和授权系统不仅是为了用户的访问授权，也是为了终端识别和访问授权。物联网的应用是未来的发展趋势。物联网时代，会有大量的物联网终端接入网络，包括摄像头、各种传感器、可穿戴设备、门锁、车辆家电等。但这些物联网终端往往是哑终端，很难对这些终端采用传统的安全认证方式，如802.1x认证、门户认证等。如果采用mac地址认证，很难对这些终端传输的数据进行加密。这些物联网终端的安全性必将成为未来关注的焦点。比如几年前美国的摄像头劫持事件，导致全球dns根服务器被攻击。因此，阿鲁巴提出了一些解决方案:

一种是加密开放网络的数据。目前无线领域广泛使用的Wpa2加密算法在开放网络中不加密数据，这意味着使用门户认证或mac认证的终端在无线传输数据时以明文传输数据。因此，阿鲁巴率先开发了wpa3加密算法，可以使未来的终端在开放网络下对数据链路层进行加密。

第二，应用机器学习对终端类型进行识别和分类，尤其是物联网终端。由于哑终端不能采用传统的认证方法，所以他们应该主动识别这些终端，并最终根据这些终端的类型动态分配安全策略。然而，很难认识到物联网终端依赖于传统的特征库。例如，同一个安卓终端可能是相机、可穿戴设备甚至汽车，因此需要一种更先进和智能的方法来识别和分类这些终端。目前，阿鲁巴clearpass认证平台具有应用机器学习识别终端的能力。该方案是一个基于云的解决方案，可以收集这些终端的静态属性(如mac地址、dhcp指纹、snmp等)。)和网络流行行为(如使用的网络协议、网络应用类型、传输的数据类型等。)在网络边缘，并分析他们的行为(如访问固定的ip地址或域名)。通过这些数据，可以在不依赖传统特征库的情况下识别终端。同时，通过这个云平台，利用众包机制，优化了识别准确率。一旦终端被准确识别和分类，阿鲁巴clearpass认证平台就可以根据信息返回不同的认证结果和授权策略，从而实现智能访问和授权。