【51CTO.com原创稿件】根据IBM商业价值研究院调研报告显示，全球85%的受访企业已经在多云环境中运营，而98%的企业计划在3年内使用混合、多云的服务。然而，在多云与混合云的时代，目前48%的企业缺乏有效的管理工具，面临上云所产生的数据管理问题、应用开发问题、数据安全问题等挑战。

国内外安全形势严峻，企业上云挑战重重

“在云和跨云的时代里，有几件很重要的事，与安全是共通的。第一，上云需要有共同的标准，所以有容器化。第二，需要开源的技术。第三，AI安全。不管是上公有云、私有云或者是混合云，都是这三个特性。” IBM大中华区安全事业部总经理陈文丰在近日接受媒体采访时如是说。

IBM大中华区安全事业部总经理 陈文丰

他与记者分析道，当前，国内外安全形势依旧严峻，自国外实施GDPR以后，某些行业受到黑客攻击，导致数据泄露的企业面临着高金额的处罚。而国内数据泄露的事件也层出不穷，各行业企业都面临着同样的问题，数据泄漏是大型企业普遍所面临的议题。当这些企业要上云的时候，他们所要考虑的问题就变得更复杂。目前有很多企业虽然部署了一些安全工具，但是很难把数据与不同的安全和分析工具集成在一起，也很难跨云环境把数据整合起来，以发现高级威胁。而且企业在运维管理中，绝大多数流程需手动操作，这存在重大安全隐患。

IBM Cloud Pak for Security护航企业上云之旅

为了帮助更多用户应对上云挑战，IBM多年来先后提供了多个云安全产品和解决方案，比如：针对云的管理可以支持很多的公有云的QRadar，针对云上身份认证的Cloud Identity，数据安全产品Guardium等。

不仅如此，11月20日，一直具备前瞻性眼光的IBM在纽约正式发布了Cloud Pak for Security，创新性地实现了无需从原始数据源移动数据而能连接任意安全工具、云和本地部署的系统。该平台现已可用，包括了用于搜索威胁的开源技术，能够帮助加速自动响应网络攻击，而且可在任何环境中运行。

据IBM大中华区安全事业部技术总监张红卫介绍，IBM Cloud Pak for Security采用 Red Hat OpenShift 等开源技术开发，这些技术是企业云环境的基础。Cloud Pak for Security能够搜索并转换各种来源的安全数据，汇集企业多云IT环境中的关键安全洞察。该平台是可扩展的，因此可以随着时间的推移添加更多的工具和应用。“在这个平台上，我们部署了一些安全解决方案，或者安全能力来提供给最终用户。今年，我们先推出了两个服务能力：Data Explorer(联邦搜索与调查，Federated Search & Investigation)与安全编排和自动化响应（Security Operation & Automation Response，简称：SOAR）。”

IBM大中华区安全事业部技术总监 张红卫

IBM Cloud Pak for Security两大能力：联邦搜索和调查与SOAR

为了更好的让大家理解这两大能力，张红卫解释道，IBM利用了边缘计算的概念实现了联邦搜索和调查能力，可以不移动数据，只与数据之间建立一个连接，就可以在终端通过联邦搜索和调查的命令下达到各个数据源做调查，收集相应的结果反馈。

张红卫强调，联邦搜索和调查能力之所以能够不移动数据就可以实现，是因为采用了开放网络安全联盟（Open Cybersecurity Alliance）中基于标准协议的STIX Shift开源工具。联盟成员均可以将开源的协议和工具，利用在自家产品中，所有成员就可以开箱即用。

谈到SOAR能力安全圈的人都不陌生，那么IBM的SOAR有何不同呢？张红卫回答记者，与业界SOAR产品相同，IBM的产品Resilient也包含了三个平台：事件管理、自动化响应和威胁情报平台，并且已经被集成到Cloud Pak for Security中。Resilient的优势在于：

第一，针对不同的安全事件有不同的模板，企业可以基于模板定制响应流程。

第二，模块化的响应流程。比如：人力主管由张三换成李四时，只需要在模块里面把张三的名字换成李四的名字，就会将所有的“张三”替换掉，而不需要去每个战术手册里寻找替换。

第三，拥有隐私模块。这是十分独特的一项功能，该模块集成了很多关于个人隐私的法律法规条例，当安全事件牵涉到个人隐私时，企业用户可以根据所在行业、地区判断应该遵守哪些法律法规，然后基于这些法律法规采取行动。

此外，Resilient还开放了API，可以和很多设备进行集成联动，这些集成的应用发布到APP 市场里，大家可以到网站上下载，然后和Resilient集成。

陈文丰总结说，无论是在企业内部，还是在混合云、多云时代，Cloud Pak for Security能够添加很多安全工具，非常容易搜索和侦测安全隐患，然后再去调查，找出根源，进入自动化响应阶段。举个例子，假设公司有1万台电脑，有100台受到某种类型的病毒攻击。我们侦测出来要去启动自动流程，通过自动化运维工具Ansible自动为这100台打补，这就是一个应用场景。所以即使是安全专业能力不足的人也能够很容易使用这款产品，自动化处理安全事件。

在张红卫看来，Cloud Pak for Security是企业安全“大脑”的一部分。企业安全架构核心“大脑”的能力是做安全分析和事件响应，它们的主要功能就是威胁的侦测和调查、事件的编排和自动化响应。“虽然目前Cloud Pak for Security推出的两大能力只是‘大脑’的一部分，我们还会继续加强‘大脑’，让它更强壮。”

开放网络安全联盟是做什么的？

上文提到，IBM在新产品Cloud Pak for Security中率先实施了开源项目，使安全工具在整个安全生态系统中能够自然的协同工作，而其中采用的开源工具来自于近期新成立的开放网络安全联盟。

记者了解到，为进一步加速业界向开放安全的迁移，作为开放网络安全联盟的创始成员之一，IBM 和其他 20多家组织正在共同研究开放标准和开放源代码技术，以实现产品的互操作性，避免安全行业的供应商锁定问题。

“开放网络安全联盟的目的是通过建立统一的标准和协议，甚至开源的代码，让联盟之间、成员之间可以进行数据交换、信息交换，甚至是分享洞察。大家跟随一定的标准，实现开箱即用的目标。联盟希望用开放云代码的技术，把各厂商的安全产品更有效地互通、互联，让我们能够在开放的世界里面更有效地整合。” 陈文丰表示，IBM Cloud Pak for Security就是利用这样的技术，通过开源的技术可以跟所有的安全工具做互动，实现了即时侦测、威胁侦测、威胁狩猎的功能，这就是利用开放的界面。

“目前，这个数据源已经支持很多厂家，比如基于Elastic开发的SIEM，已经实现连接，可以进行开箱即用的集成。另外，针对终端的一些设备，也有一些缺省和集成。IBM的目标是不断扩大数据源的集成，一个是基于开放网络安全联盟的，一个就是我们会主动去做。” 张红卫补充说。

陈文丰坦言：“我们希望更多的人加入联盟，利用开箱即用的方式来进行集成。不管是国内还是国外的安全公司，都应该朝着这个方向去努力。”

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】