叮咚！这是针对Gartner最新安全趋势的全面解读，请您查收

《Gartner 2016-2017年网络安全最新趋势》全面解读系列文——第一篇

自上期发布《价值500，000元的Gartner安全新趋势，你真的要错过吗？》后，已经在安全圈引起一股小风暴。小编将把这12个大趋势分为四期，一一为大家详细解读。

本篇为第一环节，分析应用、数据、体系三大趋势，分别为应用运行时的自我保护、以数据为核心的审计和保护、软件定义网络。

一、应用运行自我保护Runtime Application Self-Protection

1、什么是应用运行自我保护（RASP）？

RASP是一种安全技术，它将安全保护代码直接嵌入到应用程序中，能分析应用行为和行为情景进而持续分析系统的安全态势，无需人工干预就能实现自我保护或者自动重新配置系统。

2、应用如何实现自我保护？

服务器中的应用运行时，RASP一般会安全代码内置到应用中。它可以拦截所有对系统的请求，保证系统安全；最后直接向应用程序发起验证后的数据请求。

RASP可用于web或非web应用程序中，不会影响应用的设计。准确地说，可以为运行程序的服务器增加检测和保护功能，提高安全性。

RASP既可以作为诊断模型，又可以在攻击发生时仅仅发挥报警作用，还有自我保护模式，阻断可能存在的恶意代码执行。

3、RASP的优劣如下：

优势

1、RASP技术能详细观察系统行为，有助于提高安全准确性。

2、从数据产生到销毁，保护程序与数据始终如影随形。

3、自我保护数据有助于企业满足某些法规要求。即便黑客盗取了自我保护数据，也无法读取或使用它。

劣势

1、需要单独保护每个应用。

2、程序执行自我保护过程中可能对性能产生影响。

3、使用RASP，企业无需构建安全应用程序，使用临时提供的虚拟补丁补上已知漏洞，当不使用RASP后这些漏洞仍然存在。并且RASP无法防御所有类型的漏洞。

二、以数据为核心的审计和保护Data-Centric Audit and Protection

1、什么是DCAP？

随着数据增长，客户很难管理海量的静态和动态数据。但用户可以通过数据流来了解风险然后采取可行措施，这就是DCAP。DCAP产品可以集中管理数据安全策略，统一控制结构化、半结构化和非结构化的数据库或数据竖井。

2、DCAP产品功能

在数据安全治理（DSG，见文末科普）策略基础上，DCAP：

1、通过集中管理和监测用户和管理员权限及行为，对敏感数据库进行分类、清点，并控制对这些敏感数据的访问。

2、提供单独的管理控制台，支持不同数据库形式的数据安全策略应用程序。

3、设置、监测、控制特定用户身份对数据的访问权限（包括管理员和开发人员）。划分职责始终是控制访问、监测特定敏感数据分类的核心功能。

4、通过合规、报告和取证分析来审计日志中的异常行为，实时响应（如报警或切断访问等）。

5、实时监测用户数据访问行为，一旦出现异常行为就发出安全报警。阻止非法用户行为及异常地理位置访问。

6、使用阻断、脱敏、加密、令牌化、代码混淆等技术划分用户和管理员的职责。

3、现有市场

DCAP市场的产品包括关系数据库管理系统、非结构化文件存储、结构化环境、云IaaS和SaaS存储。

注：图中厂商虽然是DCAP产品代表，但当前还没有哪个厂商能提供完整的DCAP产品。DCAP市场还处于发展萌芽期，只有少数几个厂商能够解决一部分或全部竖井问题。

三、软件定义网络Software-defined Network

为了加快企业IT服务，企业正在逐步将数据中心转变为一个可计算、可存储的联网资源库，这些资源可以灵活调配，这就叫做软件定义数据中心（SDDC）。SDDC的主要目标就是实现敏捷性，在不同网段、数据中心和脱离物理基础架构的云中，让IT服务运行、扩展地更快、更透明。

第一阶段，保护软件定义数据中心（Software-defined DataCenter）

对企业来说，转变为SDDC的第一步就是开发软件定义网络（SDN）。SDN可以利用基于软件的新架构要素（例如虚拟网络控制器），以及新的网络协议（如VXLAN）；还能保护可编程基础架构的APIs免受攻击或被滥用。但由于SDN无法保证L3-L7的信息安全服务，如恶意软件检测、应用控制、应用防火墙。因此，企业必须保证下一代信息安全服务能够精确地集成、交互和理解SDN。

第二阶段，集成软件定义基础设施（Software-defined Infrastructure）

信息安全控制措施必须意识到周边基础设施的变化。这些基础设施的核心是：信息安全策略能定义链接属性——用户和群组应该可以链接到（或不能链接到）某种应用软件。否则，软件定义基础设施就不够完整。

由于每个SDN组都有自己的逻辑网络，在L3用路由或防火墙进行分段的做法已经落伍，因为通道终端可以实现跨子网映射、制定数据包格式。这会影响安全控制措施的部署、威胁基础分段和传统安全厂商的控制服务。

第三阶段，开发软件定义安全（Software-defined Security）

Gartner认为安全和数据中心基础架构一样，需要由软件定义。软件定义安全（SDSec）的首要目标是无论应用程序在本地还是公有云上运行，都能不断防御新型威胁、保证软件控制措施自动到位、快速支持不断变化的业务和合规要求。

但同时，我们应该看到硬件在软件定义安全（SDSec）中仍然发挥着作用，如安全数据阶段（检测数据包和流量）仍然得益于硬件的处理能力。

“信息安全基础架构太过僵硬，无法快速支持数字化商业的变化需求，或者无法提供有效保护。企业必须开发不断支持动态和自适应数据中心的信息安全产品”。这个转变趋势对基于软件基础架构的厂商来说是利好消息。

四、小结

Gartner预测到2017年，15%的应用运行环境都会内置自我保护功能；

到2018年，DCAP将会替代25%大企业中分散的竖井式数据安全工具；

软件定义一切是2014年Gartner提出的趋势之一，但到今年，已经具体到了SDN、SDSec、SDS等细分领域，到2017年，60%的企业私有云部署中，信息安全控制将实现自动化。

五、青藤科普

DSG：Digital Security Governance，数据安全治理。这是一套信息治理子集，主要通过制定好的数据策略和流程来保护企业数据（结构化数据库和非结构化文件格式）。实施过程中一般采用这些技术产品：DAP（数据审计和保护），FCAP（以文件为核心的审计和保护），CASB（云安全访问代理），DLP（数据泄露防护）等。

DSG的分类和清点数据功能成为包括DCAP和DLP在内的许多数据安全产品的核心功能。你get到了吗？

点击这里查看《Gartner 2016-2017网络安全新趋势全文解读》。

更多信息请关注微信公众号：qingtengyun