Palo Alto Networks 高管：雲安全方案怎麼做，在中國怎麼賣

船運公司最怕什麼？

你可能想不到的是，除了變幻莫測的天氣，他們還怕網路攻擊。

去年，一家「出海」的船運公司遭到了嚴重的網路攻擊，這家公司在全球有300多個碼頭，每個碼頭的信息系統如何連接起來？船運公司的老闆曾希冀通過專線來實現全球聯絡，後來發現成本實在太高。

上雲成了最經濟有效的選擇。

上雲有上雲的擔憂——上雲了就不會被攻擊嗎？未必。船運公司的需求是安全可視化，也要有針對零日攻擊的保護策略，它還面臨全球站點接入成本很高的挑戰。

為了做到全球的辦公站點和端點埠之間的網路可視化，剛開始，船運公司考慮用 MPLS（多協議標籤交換） 的技術代替成本高昂的廣域網的方案，後來採用 Palo Alto Networks（以下簡稱派拓）的架構在總部通過 VPN 接入，幾百個站點通過 VM 系列放到國外，通過公有雲接回總部，保證所有的分支機構的接入是安全的，成本比原來降低了很多。

這是派拓的雲安全客戶的經典案例之一。

12 個月里，派拓花費了 15 億美元收購了 4 家雲方案公司，它打算如何布局產品？雷鋒網宅客頻道編輯與派拓亞太區高級副總裁 Simon Green 和大中華區總裁陳文俊聊了聊。

【 Simon Green（左）和陳文俊（右）】

現在雲端也是多樣化，用戶選擇向雲端遷移，不僅只選擇一朵雲移。在多雲環境下，雲上的安全責任是一種共享分擔的模式。由於沒有一個雲原生態的解決方案能提供跨雲的多雲環境的安全解決方案，雲平台只能為自己的雲提供一些基礎架構上的安全解決方案，但是用戶需要持續的、多雲環境下統一的安全解決方案。

在這個背景下，派拓在 12 個月里收購了 4 家雲上解決方案的公司，並且更注重公有雲的安全方案。

因為在部署的過程中，用戶缺少專業的安全維護和管理人員，當他們選擇不同雲的解決方案時，自動化部署就是一個更好的選擇。

除了沒有人，用戶企業中可能有多達 40 多個以上不同的獨立安全產品，每個企業很少有一些集中的安全人員能精通所有的安全產品，進行統一管理。

在攻防鬥爭中，攻擊者的手段不斷實現自動化，那麼，防守工具呢？

Simon Green告訴雷鋒網，基於上述三點理由，派拓確定了旗下雲安全產品的目標：要讓雲安全方案的部署更集成化、自動化。

派拓推出的這樣的雲安全解決方案名叫「Prisma」。

Prisma 和新一代的防火牆密切相關，它包含了機器學習、人工智慧等技術，把公有雲的解決方案以端到端的方式全面提供給用戶，比如集成了合規檢查、容器安全以及無伺服器架構的安全。

Prisma 主要從四個角度來做雲安全。第一，保證用戶在接入時是安全的；第二，保證可視化、合法合規；第三，為雲上的應用提供SaaS服務；第四，依靠防火牆抵擋惡意流量等。

這是什麼意思？

陳解釋，第一，很多客戶在雲上做開發，要保證在雲上的開發環境安全，第二，要有雲威脅保護，抵禦攻擊，保證數據安全。第三，通過雲做接入，要保證接入遠端的客戶接入到雲上，回到總部是安全的。第四，雲上監管合法、合規。

所以，要做到資產數據的風險都可視化，讓用戶自己能看到「我的數據是安全的，資產是可靠的」。在多朵雲、跨雲時，大樓的安全由雲服務商保證，但也要保證「租的房間里的安全」。

「我們要敏捷性，我們要上雲應用，傳統途徑是買設備、訂購、裝機，放到數據中心裡。在雲上比較靈活，需要多少伺服器、流量就租多少，這個數據很快，我們怎麼保證上了雲後還能有同樣的安全和速度？我們要降低運營成本，不可能為每朵雲建立一套管理體系，我們希望同一套管理體系能管理幾朵雲，可能有SaaS的雲、IaaS的雲、PaaS的雲，這樣才能降低運維成本。」陳文俊說。

但這並不是什麼新產品。

陳文俊透露：「其實我們就是把原來有些產品重新命名 Prisma Access，Prisma SaaS是多模 CASB 五組合起來，Prisma 公有雲是產品線組合起來，最後 VM 是把這幾個線組合起來。」

除了組合已有產品，上述提到的 4 次收購也被「拿」了進來。

成立於 2015 年的 RedLock 總部位於美國加州，該公司開發了支持主流公有雲平台的威脅檢測服務，可以使用 AI 掃描企業部署找出惡意活動的跡象。通過搜集雲環境的數據，RedLock 能夠藉助演算法將信息與內部應用等因素相關聯，當服務檢測到違規行為時，可以通過向公司的其他安全工具發出命令自動響應。

2018 年 10 月，派拓收購 RedLock 時曾稱，會將 RedLock 與收購 Evident.io 獲得的部分軟體服務集成在一起，幫助企業組織檢查雲環境的安全設置是否符合數據法規。「客戶可以預期收購之後打造的產品，將在明年初上市。」

看來，說的就是 Prisma 了。

Demisto 成立於2015年，總位於美國加州，是一家幫助企業實現安全運營中心自動化運營的網路安全聊天機器人初創企業。這個公司研發了一款聊天機器人 DBot，該款機器人能夠幫助安全分析師自動執行一些簡單的任務，並能夠幫助不同的團隊實現實時的協作，從而幫助他們更好的管理以及應對網路攻擊。該軟體能夠自行運行，同時也能集成到其他服務商，例如用戶可以通過 Slack 界面與機器人聊天。

派拓看上了 Demisto 的 SOC 自動化。

「收集大量的日誌以後，我們通過人工智慧、機器學習、AI 去判斷出一億條、幾千萬條的日誌，通過機器學習能夠判斷出可能只有10%、20%是有可疑的，這80%就不需要花時間去看。假設我真的看到攻擊進來，自動化下發到我的產品、防火牆、雲安全上自動做主導，這樣能夠自動化，使得客戶對整個攻擊的反應，對人手的需求能減少。」

Twistlock 於 2015 年由以色列企業家和前微軟工程師 Dima Stopel 和Ben Bernstein 創立，為無伺服器，雲和基於容器的應用程序開發網路安全軟體。PureSec 也是一家以色列公司，它提供的平台讓客戶能夠在可信的安全計算環境中構建和維護安全可靠的無伺服器應用，支持 AWS Lambda、Google Cloud 的 Functions、微軟 Azure Functions 以及 IBM Cloud Functions 等無伺服器產品。

派拓在一天之內宣布了收購這兩家公司，並發布了上述我們已經介紹的 Prisma 的雲安全服務。派拓曾稱，作為 Prisma 產品的一個組成部分，Twistlock 和 PureSec 將進一步提升派拓在雲安全的所有關鍵領域提供最完整和最全面的雲安全套件的能力。

2018 年，派拓與阿里雲宣布達成技術合作。2019 年 6 月初，陳文俊向雷鋒網透露，派拓和阿里雲的合作點主要在於——客戶在選擇阿里雲之後，肯定會選擇阿里雲上的虛擬化資源。派拓的 VM 系列能夠非常快速跟虛擬化平台進行無縫集成。當客戶在阿里雲上選擇資源部署或者回收資源部署時，都能利用虛擬化防火牆，快速部署安全策略。

「所以其實在幾個主要的公有雲供應商里，它都是首選方案，而且我們現在在阿里、AWS上，都會先推 VM 的系列。」陳文俊表示，這就是派拓打入中國市場後的策略。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！