Palo Alto Networks 高管：雲安全方案怎麼做，在中國怎麼賣

船運公司最怕什麼？

你可能想不到的是，除了變幻莫測的天氣，他們還怕網絡攻擊。

去年，一家“出海”的船運公司遭到了嚴重的網絡攻擊，這家公司在全球有300多個碼頭，每個碼頭的資訊系統如何連接配接起來？船運公司的老闆曾希冀通過專線來實作全球聯絡，後來發現成本實在太高。

上雲成了最經濟有效的選擇。

上雲有上雲的擔憂——上雲了就不會被攻擊嗎？未必。船運公司的需求是安全可視化，也要有針對零日攻擊的保護政策，它還面臨全球站點接入成本很高的挑戰。

為了做到全球的辦公站點和端點端口之間的網絡可視化，剛開始，船運公司考慮用 MPLS（多協定标簽交換） 的技術代替成本高昂的廣域網的方案，後來采用 Palo Alto Networks（以下簡稱派拓）的架構在總部通過 VPN 接入，幾百個站點通過 VM 系列放到國外，通過公有雲接回總部，保證所有的分支機構的接入是安全的，成本比原來降低了很多。

這是派拓的雲安全客戶的經典案例之一。

12 個月裡，派拓花費了 15 億美元收購了 4 家雲方案公司，它打算如何布局産品？雷鋒網宅客頻道編輯與派拓亞太區進階副總裁 Simon Green 和大中華區總裁陳文俊聊了聊。

【 Simon Green（左）和陳文俊（右）】

目标：自動化+內建化

現在雲端也是多樣化，使用者選擇向雲端遷移，不僅隻選擇一朵雲移。在多雲環境下，雲上的安全責任是一種共享分擔的模式。由于沒有一個雲原生态的解決方案能提供跨雲的多雲環境的安全解決方案，雲平台隻能為自己的雲提供一些基礎架構上的安全解決方案，但是使用者需要持續的、多雲環境下統一的安全解決方案。

在這個背景下，派拓在 12 個月裡收購了  4  家雲上解決方案的公司，并且更注重公有雲的安全方案。

因為在部署的過程中，使用者缺少專業的安全維護和管理人員，當他們選擇不同雲的解決方案時，自動化部署就是一個更好的選擇。

除了沒有人，使用者企業中可能有多達 40 多個以上不同的獨立安全産品，每個企業很少有一些集中的安全人員能精通所有的安全産品，進行統一管理。

在攻防鬥争中，攻擊者的手段不斷實作自動化，那麼，防守工具呢？

Simon  Green告訴雷鋒網(公衆号：雷鋒網)，基于上述三點理由，派拓确定了旗下雲安全産品的目标：要讓雲安全方案的部署更內建化、自動化。

Prisma 的思路

派拓推出的這樣的雲安全解決方案名叫“Prisma”。

Prisma 和新一代的防火牆密切相關，它包含了機器學習、人工智能等技術，把公有雲的解決方案以端到端的方式全面提供給使用者，比如內建了合規檢查、容器安全以及無伺服器架構的安全。

Prisma 主要從四個角度來做雲安全。第一，保證使用者在接入時是安全的；第二，保證可視化、合法合規；第三，為雲上的應用提供SaaS服務；第四，依靠防火牆抵擋惡意流量等。

這是什麼意思？

陳解釋，第一，很多客戶在雲上做開發，要保證在雲上的開發環境安全，第二，要有雲威脅保護，抵禦攻擊，保證資料安全。第三，通過雲做接入，要保證接入遠端的客戶接入到雲上，回到總部是安全的。第四，雲上監管合法、合規。

是以，要做到資産資料的風險都可視化，讓使用者自己能看到“我的資料是安全的，資産是可靠的”。在多朵雲、跨雲時，大樓的安全由雲服務商保證，但也要保證“租的房間裡的安全”。

“我們要靈活性，我們要上雲應用，傳統途徑是買裝置、訂購、裝機，放到資料中心裡。在雲上比較靈活，需要多少伺服器、流量就租多少，這個資料很快，我們怎麼保證上了雲後還能有同樣的安全和速度？我們要降低營運成本，不可能為每朵雲建立一套管理體系，我們希望同一套管理體系能管理幾朵雲，可能有SaaS的雲、IaaS的雲、PaaS的雲，這樣才能降低運維成本。”陳文俊說。

但這并不是什麼新産品。

陳文俊透露：“其實我們就是把原來有些産品重新命名 Prisma Access，Prisma SaaS是多模 CASB 五組合起來，Prisma 公有雲是産品線組合起來，最後 VM 是把這幾個線組合起來。”

收購的公司用來做什麼

除了組合已有産品，上述提到的 4 次收購也被“拿”了進來。

成立于 2015 年的 RedLock 總部位于美國加州，該公司開發了支援主流公有雲平台的威脅檢測服務，可以使用 AI 掃描企業部署找出惡意活動的迹象。通過搜集雲環境的資料，RedLock 能夠借助算法将資訊與内部應用等因素相關聯，當服務檢測到違規行為時，可以通過向公司的其他安全工具發出指令自動響應。

2018 年 10 月，派拓收購 RedLock 時曾稱，會将 RedLock 與收購 Evident.io 獲得的部分軟體服務內建在一起，幫助企業組織檢查雲環境的安全設定是否符合資料法規。“客戶可以預期收購之後打造的産品，将在明年初上市。”

看來，說的就是 Prisma 了。

Demisto 成立于2015年，總位于美國加州，是一家幫助企業實作安全營運中心自動化營運的網絡安全聊天機器人初創企業。這個公司研發了一款聊天機器人 DBot，該款機器人能夠幫助安全分析師自動執行一些簡單的任務，并能夠幫助不同的團隊實作實時的協作，進而幫助他們更好的管理以及應對網絡攻擊。該軟體能夠自行運作，同時也能內建到其他服務商，例如使用者可以通過 Slack 界面與機器人聊天。

派拓看上了 Demisto 的 SOC 自動化。

“收集大量的日志以後，我們通過人工智能、機器學習、AI 去判斷出一億條、幾千萬條的日志，通過機器學習能夠判斷出可能隻有10%、20%是有可疑的，這80%就不需要花時間去看。假設我真的看到攻擊進來，自動化下發到我的産品、防火牆、雲安全上自動做主導，這樣能夠自動化，使得客戶對整個攻擊的反應，對人手的需求能減少。”

Twistlock 于 2015 年由以色列企業家和前微軟工程師 Dima Stopel 和Ben Bernstein 創立，為無伺服器，雲和基于容器的應用程式開發網絡安全軟體。PureSec 也是一家以色列公司，它提供的平台讓客戶能夠在可信的安全計算環境中建構和維護安全可靠的無伺服器應用，支援 AWS Lambda、Google Cloud 的 Functions、微軟 Azure Functions 以及 IBM Cloud Functions 等無伺服器産品。

派拓在一天之内宣布了收購這兩家公司，并釋出了上述我們已經介紹的 Prisma 的雲安全服務。派拓曾稱，作為 Prisma 産品的一個組成部分，Twistlock 和 PureSec 将進一步提升派拓在雲安全的所有關鍵領域提供最完整和最全面的雲安全套件的能力。

2018 年，派拓與阿裡雲宣布達成技術合作。2019 年 6 月初，陳文俊向雷鋒網透露，派拓和阿裡雲的合作點主要在于——客戶在選擇阿裡雲之後，肯定會選擇阿裡雲上的虛拟化資源。派拓的 VM 系列能夠非常快速跟虛拟化平台進行無縫內建。當客戶在阿裡雲上選擇資源部署或者回收資源部署時，都能利用虛拟化防火牆，快速部署安全政策。

“是以其實在幾個主要的公有雲供應商裡，它都是首選方案，而且我們現在在阿裡、AWS上，都會先推 VM 的系列。”陳文俊表示，這就是派拓打入中國市場後的政策。