“与直觉相反,IDPS产品的第二春可能来了”
入侵检测与防御(IDPS)是一个愈发鸡肋的产品,尤其是NGFW被提出之后。然而Gartner的研究发现,在新的独立IDPS产品采购中,75%是在数据中心或云计算场景下。并且Gartner预测,到2021年底,85%的新采独立IDPS将会在数据中心中出现(云上或本地现代数据中心)。
如下图所示,从2016年开始,IDPS市场每年都在萎缩,市场规模平均每年下降约6%。到2022年,这个市场只剩8亿4700万美元了,比2016年缩减了40%。行业中的普遍观点认为防火墙的功能越来越强大,以及防火墙厂商在下一代防火墙产品力的持续升级,是导致独立IDPS市场不断萎缩的主要原因。
然而Gartner通过最近的研究发现,数据中心场景下对独立IDPS的需求十分火热,并且认为如果这种情况持续下去,将会影响IDPS市场的走向。事实上,在大型企业里,独立IDSP其实是有与生俱来的“预算基础的”。大型企业通常会有专业的IT和安全独立团队,所以管理数据中心防火墙的团队通常和管理数据中心IDPS的是两个团队:防火墙通常归网络运维组,IDPS通常归安全组,各自都有自己的预算来采购他们需要的工具。在大型企业中,很多数据中心IDPS团队都会坚持选择并采购独立的IDPS设备。他们不想要整合的防火墙,比如下一代防火墙,是因为他们希望对设备有完全的掌控力。
数据中心场景的高性能需求唤醒了独立IDPS
我们都知道,现在防火墙堆吞吐量已经不是什么难事了,上Tbps的防火墙在数通厂商的机框防火墙中是很常见的。然而即使是上Tbps防火墙,想做到全功能IDPS跑上40Gbps也不是件容易的事情,而独立的IDPS产品却可以。
- 吞吐率:IDPS检测是一种计算密集型任务,尤其是开启多种检测机制后,这就使得哪怕上T的防火墙在跑IDPS时也会损失90%左右的吞吐率。
- 延迟:除了性能衰减的问题,还有延迟的问题。一条20Gbps的数据中心出口,多功能的防火墙开启全功能IDPS后,会产生3-5微秒的延迟,而做得好的独立IDPS产品,只会给出口增加大约300微妙的延迟,这是10倍的差异。
- 性价比:采购一个满足性能和功能需求的防火墙的成本,可能会是采购合适规格的独立IDPS和防火墙两款设备组合的10倍。
现代大型数据中心的出口通常都超过40Gbps,甚至还有100Gbps出口的。在这种情况下,如果只使用防火墙功能,防火墙是很容易处理的,但是如果启用完整的IDPS功能,几乎不可能做到,或者价格贵到用户无法接受。如上所述,由于防火墙无法在同样深度的检测情况和价格范围下和独立IDPS设备竞争,留给独立IDPS的机会仍然存在。除非防火墙厂商靠堆更多硬件的方式来提升性能,或者大幅降低售价。
在标准的IDPS签名引擎之外,领先的独立IDPS产品还提供应用识别和额外内容检测引擎来检查恶意文件。这些功能都包含在了IDPS吞吐率性能内。而防火墙厂商所标注的IDPS性能通常只是开启了最基础的检测功能而已。
虚拟补丁是独立IDPS持续生存并壮大的主要原因
现代数据中心和云将会承载越来越多的服务器和工作负载。IDPS厂商的安全研究团队在开发IDPS签名或其他功能时,应该把服务器漏洞排在优先级最高的位置。此外,由于几乎没有纯Windows环境的数据中心,IDPS产品的操作系统覆盖上应该尽量全,对于Linux和UNIX的支持必须要重点关注。
更好地对服务器进行保护,意味着对高风险漏洞的覆盖会更好。但是总会有覆盖不到的时候,这时虚拟补丁就会派上用场了。虽然虚拟补丁不是一个新技术,甚至都不会让一直使用IDPS设备的安全运维团队产生惊喜,但是对于基础设施运维团队来说可能十分有用。因为虚拟补丁可以让基础设施运维团队为可能受到攻击的关键系统打上临时的虚拟补丁,等到有维护窗口的时候再安装补丁包,而不用由于安全原因要打补丁而立刻执行一次不在计划中的临时维护。这不仅是节省了时间和潜在的成本,还消除了由于匆忙和临时行为所导致的人为失误所带来的业务稳定性风险。
IBM X-Force的统计表明,有76003个漏洞是可以从网络直接访问的,有13808个漏洞是要从本地才能访问的,如此多能够直接从网络访问的漏洞,给应用系统和网络造成了极大的风险。另一方面,绝大多数的漏洞都不能很快修补,虽然漏洞的平均修复时间从2008年的近44天,已经提升到了2017年的不到10天,但是我们都知道,哪怕攻击者只有1小时的自由攻击时间,造成的危害都是巨大的,更别说10天这么久了。
另一方面,在很多场景下,打补丁可能是不现实的。比如很多OT环境根本不具备打补丁或设备升级的条件,这时虚拟补丁可能是安全团队唯一的选择。
让IDPS适应云计算模式将会打开新的增长窗口
独立IDPS必须加快迭代来适应公有云,这样才能在用户进行云迁移时保护工作负载。而且还必须能够自动的进行弹性扩缩,以满足云上工作负载的动态变化。
在传统数据中心中,面向互联网的业务通常是被分布在多层级的多个DMZ中,并使用防火墙进行隔离,但是在云中,基础防火墙的功能其实已经被云原生的防火墙和网络服务替代了,比如端口过滤、网段隔离。此外,云中的应用架构都是不同层级的应用或中间件部署在不同的计算资源上,并以应用为中心进行隔离,这样的架构如果采用流量牵引的方式可能不太合适,这也是主机代理模式IDPS在云中大行其道的原因。
大多数的组织,尤其是大型组织,已经开始采用多个公有云来处理业务。所以IDPS厂商的第一步就是要让自己的产品出现在所有主流公有云环境中。之后就是要对云上的IDPS软件进行优化以提升性能,并且满足云原生模式来更好的支持公有云架构,毕竟一个简单的虚拟机版本的IDPS设备并不足以实现硬件产品在传统数据中心中的等效作用。在现代数据中心或云中,全部的工作负载都是动态的在进行弹性扩缩、销毁、漂移,资源的使用模式和传统数据中心也大不一样。因此对于云上的安全产品定价模型也会存在一定的挑战。对于现代数据中心、私有云、公有云的计价模型都在遵循按量计费,这就和传统的按设备数量增加授权的模式完全不同了。云计算的定价改变了传统的生意模式,即从永久授权变为了订阅模式。对于用户来说,他们也会希望IDPS或其他安全产品能和基础设施资源一样的付费模式。
注:本文节选并编辑自Gartner报告与峰会胶片,非完全原创