【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

摘要

“防火墙”到底是谁发明的?如果你去追本溯源,会发现“防火墙之父”的这个头衔似乎存在于很多人身上。早在90年代初,William Cheswick和Steven Bellovin撰写了有关防火墙的一本书《防火墙与互联网安全》;David Pensak宣称他构建了首个在商业上成功的防火墙;Marcus Ranum说他的成就就是防火墙发明者;还有个名叫Nir Zuk的家伙说,当代防火墙是他发明的…

“防火墙”到底是谁发明的?如果你去追本溯源,会发现“防火墙之父”的这个头衔似乎存在于很多人身上。早在90年代初,William Cheswick和Steven Bellovin撰写了有关防火墙的一本书《防火墙与互联网安全》;David Pensak宣称他构建了首个在商业上成功的防火墙;Marcus Ranum说他的成就就是防火墙发明者;还有个名叫Nir Zuk的家伙说,当代防火墙是他发明的…

Gartner副总裁、著名分析师John Pescatore对此有这样一番解释:“Cheswick和Bollovin是网络防火墙概念之父:即采用包过滤的方式Deny All,并设定Allow例外;而Ranum是初代防火墙‘产品’——DEC SEAL之父,就是那个著名的开源防火墙(1992年就正式推出了)。”

“Presotto(及其同事)创造了状态检测防火墙的概念。Zuk则是状态防火墙产品之父(在Check Point的时候),随后Zuk在NetScreen公司的时候则推出了应用防火墙,所以我觉得应该称他为防火墙设备之父。”[1]

我们来单独看看最后这个叫Nir Zuk的以色列人,他曾经说过:

“现如今这个世界只有一种防火墙技术,那就是我发明的这种。而其他人所有的工作都纯粹只停留在纸面上。”

细究谁是防火墙之父的问题并没有多大价值,而这个叫Nir Zuk的家伙乃是这篇文章将要详细讨论的公司,Palo Alto Networks的联合创始人兼CTO。然而,Nir Zuk帮助构建状态检测防火墙技术,其实是他还在Check Point这家公司的事情了。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

Palo Alto Networks联合创始人兼CTO Nir Zuk

在FreeBuf看来,即便对于防火墙技术研发有杰出贡献的人有很多,Nir Zuk也不愧“防火墙之父”的名号。可以说,这两年很火的“新一代防火墙(Next-Generation Firewall,NGFW)”概念就是Palo Alto Networks一手打造的。

Palo Alto Networks这家公司也因此从未脱离“革命”二字,这与Zuk的个性和经历存在莫大关联。本文尝试以Zuk的故事为出发点,以“革命”为关键词,探讨Palo Alto Networks这家公司的特色。

与Check Point不得不说的那些年

有关状态检测防火墙,和新一代防火墙(或者叫下一代防火墙)的概念,我们在先前思科防火墙的评测中已经花了比较大的篇幅去介绍(点击这里)。用一句话来概括,新一代防火墙相较状态检测防火墙,其特点是将对流量的检测提升到了应用层(第七层),而状态检测防火墙仅停留在网络层和传输层(第三层&第四层)。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

2016Q1防火墙设备的市场占比排名

前些年,思科的ASA状态检测防火墙市场占有率就在连年下滑,其根本原因是思科对于新一代防火墙的反映比较慢,自2013年收购Sourcefire之后才开始力推FirePOWER系列“新一代防火墙”——这部分市场正被Check Point和Palo Alto Networks全面蚕食。从Gartner去年的统计数据也不难发现防火墙市场现如今的格局。

故事在此背景下便可说开去。状态检测防火墙就是Check Point公司最早推出的。当时从Unit 8200(以色列国防部旗下的神秘间谍部队)退役、二十多岁的Nir Zuk就是Check Point公司的技术主力——他和Check Point联合创始人Gil Shwed,早在Unit 8200部队的时候就是非常要好的朋友。

Shwed说来也是个神人,他在Unit 8200服役期间就打造了全球首款基于IP地址对流量进行筛选的包过滤设备。Zuk在1990年加入了Shwed的队伍,直到Shwed退役并于1993年成立了Check Point(和另外两个同为军人出身的Shlomo Kramer和Marius Nacht)。1994年,Zuk也加入了Check Point,并帮助公司打造了极富盛名的状态检测防火墙。[2]

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

Check Point联合创始人兼CEO Gil Shwed

用现在的话来说,Zuk本人当时就是个极客,每天都在想着开发新产品,似乎没有“革命”就没法活下去。这也是Zuk被称作“防火墙之父”的原因之一。1997年之后,Zuk搬去美国加州为Check Point开发新产品,他与妻子还一起在美国买了房子准备在美国常住。当时他对于团队打造的新产品极具信心,但Check Point以色列总部在这款产品即将发布之际砍掉了该项目。按照Zuk本人的说法,总部给的理由是:“以色列总部的工程师对于有人只是为了好玩,而在美国打造新产品感到很愤怒。”(2010年在ITWorld采访Zuk的时候,他特别补充说:我没在开玩笑,这就是他们给的理由。[3])

Zuk旋即选择了离开Check Point。在离开Check Point之后,他自己开办了一家公司,这家公司2002年被Netscreen收购。在不到一年的时间里,NetScreen就成为全球第二大防火墙供应商。2004年,NetScreen又被Juniper Networks收购。Juniper在当时的安全行业已经是家大公司了,Zuk觉得他根本就不能适应大公司整天削减支出,一个决策就要在企业内部打转好几圈的这种官僚作风,所以再度决定辞职。Juniper在对他挽留的当下,他提要求说:

要我留下,我的要求包括:我想要个自己的项目,我要打造一款全新的防火墙,我需要1000万美元的预算,我还需要挑选25个人,给我两年时间!

Juniper并没有满足Zuk的要求,Zuk便离开了这家公司。现在想想,假若Juniper真的拨出了这些人和预算,“新一代防火墙”的话语权说不定就已经在Juniper手中了。只不过大企业错失良机的故事比比皆是,这样的事也算不得稀罕。

2005年,Zuk的生活和事业陷入低谷,10年婚姻也随工作变迁而消失。此时的Zuk已经35岁,他搬到了山景城的一座小公寓中生活,位于Palo Alto外围。在Zuk的生活不如意之际,他接到了Asheem Chandna的电话——Chandna是谁?这人原本是Check Point的副总裁,比先前Zuk还早2年从Check Point离职。Chandna当时在一家名叫Greylock风投公司,据说他一直在关注Zuk这些年的动向,因为Zuk是Check Point团队中“最醒目的(brightest)”。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

Greylock和Sequoia Capital两家风投公司随后给了Zuk 25万美元的启动资金,Zuk就是在这两家公司的办公室一手打造了当下极富盛名的“新一代防火墙”,这便是Palo Alto Networks公司的由来。值得一提的是,第二年,这两家风投公司又给Palo Alto Networks注资超过900万美元,而Check Point的另一名联合创始人Shlomo Kramer也选择了给这家新公司注资。

这样一来,Palo Alto Networks与Check Point这种千丝万缕的联系便始终不曾断过。前者的董事会成员就包括了后者的两名“叛兵”,Check Point联合创始人Shlomo Kramer和前副总裁Asheem Chandna。这已经足够说明Zuk在技术上是何等受到其他人的肯定。

新一代防火墙的撕X大戏

似乎在早前Zuk离开Check Point之后,便与昔日好友Shwed(Check Point的联合创始人,也是现在的CEO)真正变得势不两立。即便是Palo Alto Networks早已上市的今天(2012年6月,PAN募集2.6亿美元资金IPO上市),依然可以看到Zuk隔空与Shwed撕X,讽刺对方的产品很糟糕。

福布斯杂志当年追问Shwed这段历史的时候,Shwed甚至对于Zuk和Palo Alto Networks的名字都绝口不提。

“我觉得一个好人这样做事是件很悲哀的事情。这个人是先前Check Point的一个很不开心的员工,一个很聪明的人”,“他们也有好的一面,我倾向于去考虑我们越来越好,技术也越来越棒”。

这番话中不知省略了几万字用以表达双方现如今的状态。其实无论Palo Alto Networks如何讽刺Check Point的防火墙产品根本就不能算是新一代防火墙,我们从Gartner的企业防火墙魔力象限之上也依旧能看到,这两家公司的防火墙常年占据第一象限的制高点,几乎被Gartner认为是现如今最优秀的防火墙产品。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

2016年Gartner企业网络防火墙魔力象限

看Gartner在去年5月份发布的企业网络防火墙魔力象限,Palo Alto Networks已经连续第五年位于Leaders领导者象限,而且在纵坐标的执行能力(Ability to Execute)方面冠压群雄。然而,“唯二”与Palo Alto Networks位于Leaders象限的,也就只有Check Point了,且Check Point在横坐标的前瞻性(Completeness of Vision)方面表现得更优秀。(看看Juniper…)

实际上Check Point在这个魔力象限中也已经连续数年蝉联Leaders位置,所以这两者的实力都并不是吹出来的。翻看这两家公司近期的季度财报,其季度营收都越来越靠近,可Check Point早在1993年就成立了,Palo Alto Networks却整整晚了12年,其追赶速度不可谓不神速。

那么这两位撕X的点究竟在哪儿呢?这是本文接下来要分析的重点,理解了这个问题,自然也就能够了解“新一代防火墙”这个概念究竟谁才是正统。

从2009年Gartner正式对“新一代防火墙”这个名词下定义[5],新一代防火墙就已经不光是个营销噱头了。我们再回顾一下新一代防火墙需要满足的主要要求:

- 标准第一代防火墙能力(包过滤、NAT、状态协议检查、VPN等);

- 不仅限于融入网络入侵防御能力;

- 应用感知,和全栈可视性;

- 支持防火墙以外的威胁情报。

实际上,这其中最重要的部分就是所谓的“应用感知和全栈可视性”。这是新一代防火墙相较状态检测防火墙最大的区别,将针对流量的检测提升到了OSI模型中的第七层,并依据对应用层的流量检查,实现对应用的识别,以及直观的可视化。比如说,在这种功能的加持下,防火墙可以实现允许Skype应用流量,但同时却禁止Skype应用中的文件共享功能。这是以前的防火墙无法实现的功能。

当代很多防火墙提供商都宣称自己所推的是新一代防火墙,但我们认为,从Gartner针对新一代防火墙的完整定义来看,Palo Alto Networks可能是为数不多真正有底气可以说自己的产品才是新一代防火墙的厂商(毕竟这货就是他们发明的)。如Fortinet之类前期在推UTM(统一威胁管理)设备的厂商曾经说,新一代防火墙只是个营销噱头,本质上新一代防火墙就是UTM。

如果你对UTM有过了解就不难发现,UTM的理念是对诸多网络安全设备做整合,企业购买一台设备就能解决很多问题,UTM中的IPS模块本质上的确也有应用层的深度包检测能力,这应该是Fortinet认为新一代防火墙和UTM本质相同的原因所在。但这些年,不难发现像Fortinet这样的厂商也开始热推“新一代防火墙”产品,且与其看家的UTM是区分开的,两者是否有差异也就不难理解了。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

那么Palo Alto Networks说自家新一代防火墙“正宗”的底气在哪儿?从其产品的源起开始,Palo Alto Networks的几大杀手锏就包括了防火墙的单流架构(Single-Pass Architecture,或者译作单通架构)、对App-ID、User-ID和Content-ID的识别,从应用、内容和用户三个层面,做到七层可视性。

其中的单流架构可能就是根源所在了。我们先前在分析思科的防火墙产品的时候曾经提到过,思科刚开始应对新一代防火墙来势汹汹的方法是,相对机械地给ASA状态检测防火墙,直接搭配FirePOWER模块(来自收购的SourceFire),就好像一个机架上有两台设备,ASA代码和FirePOWER部分分开,在流量流经的时候,一个包至少需要被检查2次,首先是ASA部分,随后再借由FirePOWER引擎处理检查。即便后来推出的FirePOWER防火墙已经采用统一镜像,也仍然是ASA运行在FTD OS之上的容器中,FTD镜像或本身更像是设备中跑在eXtensible OS系统上的虚拟机。

这很大程度上是上一代做防火墙产品的常规思路,Palo Alto Networks的说法是,“传统安全整合的方式就是在基础防火墙之上加入功能。”“这甚至不能称为整合,而是合并(consolidation),只是简单将多个产品做成一个独立的设备。”“由于功能都在同一台设备上实现,所以会有整合的错觉。”“每个功能都在消耗系统资源。”[6]这些用词看起来很大程度上是在讽刺UTM。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

从结构复杂性、网络性能的角度来看,在安全部署中每加入一台新的安全设备的确会增加架构和管理的复杂性;且新设备的加入意味着网络延迟会有增加。如上图所示,不同模块捕捉不同的应用,这是个相对混乱的局面,最终要呈现的综合可视性也有难度。这种非持续性在流量分类的问题上是存在缺陷的,也一定程度增大了安全风险。

Palo Alto Networks相较当前绝大部分防火墙市场的玩家都更年轻,所以的确是如Zuk想的那样从头打造了一款防火墙。其防火墙从设计之初就想到采用单流架构来处理包。这种架构针对每个包只执行一次操作。在防火墙进行包处理的时候,针对所有流量,networking、策略查询、应用与解码以及签名匹配都只执行一次;而且这种架构在首先执行全栈(full-stack)检查后,将结果上下文面向所有安全执行选项开放。总结成一句话,是“扫描全部,扫描一次”

实际上,这是相当理想化的一种防火墙架构,尤其是在增加了第七层应用可视性之后。从理论上来说,这样的架构的确更有助于节约硬件资源,也能保持更低的网络延迟。而且其技术亮点还有一点是值得一提的,就是硬件加速。

其实硬件加速在传统多安全设备叠加的架构上是个很奢侈的概念,一旦涉及到多引擎扫描,硬件加速就很难了——因为很多厂商开发的“新一代防火墙”针对应用层的内容扫描是后来添加到设备之上的,而不是从设计伊始就从硬件和软件层面做到贯穿整合。所以Palo Alto Networks宣称他们的防火墙产品能为每个主要功能模块提供硬件加速,各种功能(包括User-ID、App-ID等)都在专门的处理器上执行,而且实现了并行处理,这就是依据所在。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

PA-5000系列的硬件核心模块示意图

从我们掌握的信息来看,这里所谓的“专用处理器”算不上什么黑科技,或者说并没有奢侈到采用非标准器件的程度。以PA5000系列为例,防火墙采用Intel Xeon四核处理器,依据其宣传册上画的处理流程,我们猜测应该是令FPGA(或为ASIC?)通过PCIe总线连接Xeon处理器。所以Palo Alto Networks防火墙的价格并不便宜,这部分当然也是需要研发成本的。只不过这应该不算是单流架构的最大功臣,整体架构的单流才的确让主要模块都实现了硬件加速和并行处理。

基于这种单流架构,Palo Alto Networks和其他竞争对手撕X的主要立足点就在于此。比如Palo Alto Networks嘲笑Check Point的所谓新一代防火墙,其实就是状态检测简单地叠加了“Application Blade”,甚至说“Check Point基于状态检测的防火墙,加上像UTM似的blade,无法提供Palo Alto Networks所能提供的安全应用能力[7]”。

Palo Alto Networks防火墙简要解析

自2011年Palo Alto Networks在Gartner的企业防火墙魔力象限位居Leaders象限以来,Gartner都言明这种单流架构都为其客户所乐道,而且的确在性能方面相较竞品更出色。而除此之外,Gartner这些年反复强调Palo Alto Networks的另一个强项在App-ID应用识别能力上,在管理类设备中,其防火墙产品总是在配置方便性和应用识别上拿到最高分。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

这也就要谈到Palo Alto Networks防火墙在应用可视化、威胁防护方面的三板斧了——这三板斧可能是目前所有新一代防火墙产品学习的对象。它们分别是:

-  App-ID:从这个宣传词汇不难理解,就是指识别穿越网络的应用是什么。这实际上是新一代防火墙都在着力的能力,也是实现应用可视性的基础。Palo Alto Networks的防火墙针对应用的识别也并不依赖单一要素,包括应用签名、TLS/SSL和SSH流量的解密、应用和协议Decode(检查那些可能在协议内部搞隧道技术的应用,以及在应用内识别某个特别的功能)、启发式识别(针对隐蔽性更强的应用,比如使用专门加密的VoIP应用)。

新一代防火墙的七层检查特性不止用于威胁检测拦截,还在于应用控制,而且是细粒度的应用功能控制。比如说允许企业员工浏览Facebook,但是不允许使用Facebook邮件、聊天、内容发布和应用的使用;再比如说允许用户用即时通讯工具聊天,但是禁止文件传输,或者只允许特定文件类型的传输。这也是App-ID能够实现的。

Palo Alto Networks本身会维护一个云端App-ID数据库,每周都会更新(每周更新3-5个可识别的App),增加更多已知的商业应用。对于App-ID未知的企业内部自制应用,防火墙也支持用户定制一个App-ID,由用户定义应用分类和检查,且不会受到每周App-ID更新的影响。

-  User-ID:基于用户和分组——而非IP,来实现可视性、安全策略和报告的一种能力。从名字就不难理解,利用User-ID可以基于用户身份信息,进行应用和内容启用策略的部署;也就是了解谁在网络中使用应用。实现以非IP的方式来识别用户和分组,其中的方式还是比较多的。

针对User-ID的识别方式包括GlobalProtect客户端(而且是跨主流平台的)、XML API、syslog监听、端口映射(针对如Citrix XenApp多用户使用相同IP的情况,这种识别方式可以区分用户和应用)、XFF Headers(代理服务器会隐藏用户IP,这种方式则从HTTP客户端请求的XFF header中读取IP地址,将用户真正的IP地址和用户名对应起来)、服务器监听(针对Microsoft Active Directory、Exchange和Novell eDirectory环境)、客户端探查。

-  Content-ID:这才是防火墙威胁防护的根本;主要是用于限制未经授权的数据和文件传输,依据类型阻止敏感数据和文件传输;检测和阻止大范围exploit、恶意程序、具有威胁的web浏览;通过整合的URL数据库进行web过滤。在具体实现上包括了与App-ID中的应用与协议Decoder结合、SSL解密、绕行技术控制等方式,对所有的流量和端口进行分析。

这三板斧解决的问题概括成三句话就是:通过的流量是什么以及是否允许通过(App-ID)?是否允许特定用户或分组通过(User-ID)?流量中存在哪些风险和威胁(Content-ID)?

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

这其中尤为值得一提的是WildFire,本质上这是Palo Alto Networks的威胁情报云,是这家公司安全版图布局中相当重要的一部分——威胁情报本身就是从端点到网络安全设备都在着力的组成部分。针对防火墙(以及端点安全的Traps)无法识别的应用和威胁,防火墙会捕捉那些未知文件,交由WildFire来处理。WildFire也是Palo Alto Networks宣称可预防未知威胁和APT攻击的根本所在。WildFire的主体技术包括了4部分,分别是

动态分析:本质上是种沙盒技术,不过是云上的沙盒——将可疑文件放置到虚拟环境中,对文件进行观察,利用数百种行为特色,实现0day恶意程序和exploit的检查;

静态分析:动态分析的补充;

机器学习:训练可预测的机器学习classifier,识别新型恶意程序和exploit;

Bear Metal分析:将那些真正具有极强隐蔽性的威胁发往真实的硬件环境进行检测。

当某个原本未知的样本被标记为恶意之后,WildFire就会更新,并将其在5分钟内推送给所有WildFire订阅用户。此外,对于企业的应急响应团队来说,WildFire会给出事件的整合日志、分析和可视化,安全团队就能快速定位数据,做出响应。

按照Palo Alto Networks的说法,已经有超过14000家企业、政府和服务提供商在共建WildFire这个威胁情报云了。不光是上述防火墙Content-ID利用WildFire威胁情报云,Palo Alto Networks的产品服务,比如Traps端点防护、Aperture SaaS安全服务,都用到了WildFire。这朵云有与FireEye的威胁情报直接竞争的意思。

撕X从没怕过谁的Zuk 和一路开挂的Palo Alto Networks

无论从哪个角度来看,Palo Alto Networks的防火墙产品都是Gartner定义下的标准“新一代防火墙”,或者说Gartner可能就是按照这家公司的防火墙产品来给新一代防火墙下定义的。我们从这些漂亮的理论解决方案,不难理解从头打造一款新产品,而无需像老厂商那样瞻前顾后,在旧有技术上做新技术的粗暴加法,具备了对一类产品“革命”性的意义。这大概也是Palo Alto Networks这些年发展如此神速的原因。

早些年,(素有以色列余承东之称的)Zuk大嘴就曾经这么评价过包括思科、Sourcefire(那时思科还没收购Sourcefire)、Check Point等在内的竞争对手:“这些厂商就是在做一些犯人在做的事情,提出上诉![10]”那些产品应用层控制只是在做“无用功”,比如Check Point防火墙产品提供85%的折扣,因为Palo Alto的成功,他们基本宣布“以免费的方式放弃产品”了。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

2016Q2全球安全设备市场份额

Palo Alto Networks并非光打嘴炮。文章第一部分援引Gartner的防火墙市占率数据已经很能说明问题,这里还可援引IDC去年9月份统计的“全球安全设备收益,市场份额”[12](安全设备不仅包括防火墙,还有UTM、IPS等),Palo Alto Networks已经和排在第二的Check Point咬得很紧,同比增速近40%,这个速度比思科的1.6%和Check Point的10%可是快了相当多。这个数据和Gartner防火墙市场份额是基本相符的。以这样的增速,超越Check Point不过是时间问题。

或许只在技术原理上吹得如此有派头,尤其是单流架构在防火墙产品中的一枝独秀,最终还是要用“疗效”来说话的。而且我们认为,无论“单流架构”是否真的先进,多引擎叠加是否真的落后,都还是要看效果如何。无论是Gartner还是Palo Alto Networks的企业用户,我们从网上看到的评价普遍是偏正面的。但偶有一些例外,比如说评测机构NSS Labs。这是则小花絮,大约也能表现Zuk敢做敢说的风格。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

2014年著名评测机构NSS Labs说,Palo Alto Networks的新一代防火墙如果采用默认配置来部署,攻击者很容易绕过设备的检测功能,在NSS Labs的测试中,Palo Alto Networks的防火墙连一些常规的隐蔽技术都无法识别。于是在当季的评测中,NSS Labs给予Palo Alto Networks的评级是CAUTION,低于新一代防火墙产品市场的平均水平。

有趣的是,在这一年的NSS Labs的BSD图上,FireEye的成绩也非常糟糕。FireEye是最先对NSS Labs提出质疑的,并表示自己一早就拒绝了参加测试,而NSS Labs的工程师执意自行购买测试,给了个低于平均水平的结果。FireEye当即发布一份声明质疑这份报告的合理性,并详谈了实验室环境和真实环境的差异,而且测试中FireEye产品根本没有连接其威胁情报源。

不过这算不上什么,Palo Alto Networks显然更激动。一向什么都敢说的Zuk表示,公司一直都拒绝参加NSS Labs的测试;而NSS Labs一直以来都把测试搞得很“low”,各种“二流制造商”也能参加。NSS Labs会给厂商颁发名为“reprint rights”的证书,在测试结果公布之前,和这些厂商进行费用谈判,费用超过10万美元。这比费用也就能让厂商公布这份报告,并将之向其潜在客户做宣传了。Zuk明确说:NSS Labs从客户那儿赚不到钱,所以就干这种事。[11]

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

NSS Labs 2016年BSD安全价值图

更有趣的是,Palo Alto Networks前不久才拜托NSS Labs做了产品测试,并将测试结果骄傲地公布到了自家网站上(其防火墙实际的吞吐表现似乎一直被NSS Labs诟病)[9]。而在去年NSS Labs公布的BSD(威胁检测系统)安全价值图上,Palo Alto Networks的成绩依然算不上很好,即便其纵坐标的安全有效性或许有商榷的余地,但横坐标相关的性价比(TCO per Protected Mbps,即受到保护的每1Mbps,所需花费的成本)是个确实的问题。

Gartner也在魔力象限的点评中不止一次地提到,Palo Alto Networks的产品售价昂贵,“按照保护每GB数据耗费的价格来计算,Palo Alto都是企业防火墙供应商中价格最高的厂商之一”。这大概是在物理防火墙市场上,Palo Alto Networks产品最大的短板之一。这其中耗费的成本当然不止是购买防火墙本身的成本,还包括了AutoFocus、GlobalProtect、URL过滤PAN-DB、威胁防护这些订阅服务的额外支出。

难以抑制的产品和运营成本

或许从Zuk的这一路经历来看,Palo Alto Network防火墙和订阅服务的产品价格偏高并不难理解。从Zuk自Check Point和Juniper的两次辞职来看,这就是个典型的极客。Zuk本人在接受ITWorld的专访中也几次三番提到,他很不喜欢大公司的行事风格,一个决定就要在“20个不同的部门的20个人间辗转”,做个产品计划,财务、市场、PR和运营都会在场,“每个人都企图跟产品团队说这可以做,那不可以做”,“这根本就不是他们的工作”。

“Palo Alto Networks虽然不是家小公司,收益也很不错”,“但只要一有那样的苗头出现,我就会很快将之扑灭”。

实际上,在公司将防火墙产品推上市之际,Zuk很快将手持的公司股份稀释到了5%,让早期的公司成员持有更多股份。Zuk说:“Greylock和Sequoia风投公司的合作伙伴说,我的股份会变少,我说没关系。”

另外,“企业家(entrepreneur)和CEO是两件事,而且很多时候是相悖的角色。企业创始人最终变身为成功的CEO,这是很少见的事。”“如果你是个成功的企业家,你极有可能不会是个好的CEO。那就雇个CEO。你是个技术专家,那么就找个在市场方面在行的人。”这也就不难理解,为何Zuk是Palo Alto Networks的联合创始人,但一直都在公司扮演CTO的角色了(而这家公司的CEO的确几度易主)。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

PAN 2017财年Q2财报

在这样一个看来有些“理想化”的领导人的领导下,Palo Alto Networks赚钱能力如何呢?从公司2017财年Q2财报(截至2017年1月31日的前3个月)来看,这一财季公司收益为4.226亿美元。这个数字是伴随常年以来的大跨步攀升达到的,同比增长26%——这在防火墙市场上依然是高增长率。这样的收益成绩和Check Point已经很接近(Check Point截至2016年12月31日的2016财年Q4收益为4.87亿美元),而Check Point的收益同比增速目前大约为6%。

从其2016财年Q3开始,公司就基本结束了将近2年收益持续超50%的高增速。所以从去年开始,财经类媒体已经在唱衰Palo Alto Networks了,而且公司股价目前正在遭遇一波滑铁卢。但我们认为,这和市场整体环境相关,即便这家公司近几个财季的赚钱速度正在逐步放缓或未及预期,却依然是防火墙产品中成长最快的企业,毕竟它的存在历史远没有主要竞争对手那么久。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

PAN近5年收益趋势,数据来源:MarketWatch[13]

不过问题来了,翻看这家公司近5年的财报成绩单,收益的确是步步高升。但按照GAAP来看,上市以来这家公司就在连年亏损(Net Income),2016财年全年亏损金额是2.26亿美元。最新这一季的财报也能看到,亏损量大约是6000万。这对现如今的科技公司而言可能不算什么,但和Check Point相比,这份成绩单就算不上太好看了。

最近这一财季,公司在产品方面的支出已经达到1.13亿美元,大约是Check Point上一季度的2倍;运营支出则高达3.64亿美元,这都是史上最高点。从当前趋势来看,Palo Alto Networks无力抑制快速增长的成本投入。光是销售与市场方面支出的2.26亿美元,就已经占到收益的54%了——而Check Point在这方面的占比为24%

这倒是和Zuk先前对于除技术外其他部分的无视完全匹配。从外人的视角来看,这可能就是Zuk一直存在的“革命”情怀需要承担的后果。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

Non-GAAP标准PAN 2017财年Q2财报

不过就Palo Alto Networks的财报,有一点需要说明。就是按照公司自己的Non-GAAP标准,公司可是赚钱的,而非亏损。所以就有了上面这份按照Non-GAAP标准计的2017Q2财报数据,注意观察最后一栏Net Income,与上面那份GAAP财报Net Loss的差异。

经常阅读财经媒体的读者应该了解,企业在财报中公布GAAP和Non-GAAP两份数据是很正常的事情。GAAP是美国公认会计准则,上市公司需要按照这个标准来发布财报。不过各行各业,甚至具体到每家公司都有其特殊性,所以许多公司都会附上自己的Non-GAAP财报数据,也就是“定制版”财报。

2017Q2公司的Non-GAAP净利润为5960万美元,和GAAP标准计的亏损6060万美元存在约1.2亿美元的差距——这个差距还是比较大的。有兴趣的各位可以自行研读Palo Alto Networks的财报,了解其具体统计标准。一般来说,这种定制版财报中,企业为了让数据更好看或吸引投资者,会采用更有利于自己的统计准则。

革传统端点安全技术的命?

Palo Alto Networks在对安全动向的把控上向来走得非常超前,比如其防火墙产品在安全厂商中也算是第一批上云了,所以针对Azure、AWS、私有云等的支持也早就走得很靠前。这与其产品线相对单一也有关系,防火墙及其相关服务基本就概括了公司的主营项目。

不过在这家公司规划的安全版图中,实则还有一个环节,就是端点防护产品Traps,如下图所示。FreeBuf在针对Carbon Black的企业分析中已经把端点安全产品主流发展方式说得比较清楚。或许知道Palo Alto Networks有在做端点安全的人并不多。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

Gartner在针对Palo Alto Networks防火墙的评价中提到:“Palo Alto并没有能够将其在防火墙方面的成功,复制到端点安全市场。Gartner也很少听到有客户在用Traps。Gartner认为,Palo Alto若将注意力放在端点之上,有可能会对Palo Alto的核心业务——网络安全,造成影响。”

这里提到的Traps,便是Palo Alto Networks近两年来主推的端点安全产品了。2014年3月,公司宣布以2亿美元收购一家安全初创公司Cyvera——这家公司的旗舰产品就叫TRAPS。TRAPS平台当时已经在金融、能源、化学等关键基础设施领域有了应用。Cyvera宣称自家的产品对于0day攻击有极高的拦截成功率。

原本,以Traps在行业内的影响力,我们没有必要花太多笔墨来谈。不过Palo Alto Networks力推的“企业安全平台”这个营销概念中,正在逐步加大Traps的比重;而且我们仔细研读了Traps白皮书,发现其端点安全解决方案相当激进,极有公司的“革命”性特色,就像当年新一代防火墙,革状态检测防火墙的命那样。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

2017年Gartner端点防护平台魔力象限

在今年Gartner刚刚发布的2017端点安全平台魔力象限中[14],Gartner将Traps放在了Visionaries象限。这个象限的意思是,产品执行能力不怎么样,但未来可能会有较大的发展空间。Palo Alto Networks还在自家网站欢天喜地地对这份成就宣传了一番(在Visionaries象限,会宣传的厂商也实在是不多…题外话:关注Carbon Black企业分析的读者注意,今年的魔力象限CB也上榜了!)。

Gartner认为,Traps对于未知文件和应用exploit防护的确有不错的表现,对未修复的漏洞和无文件(file-less)恶意程序攻击也能够提供实时不错的防护。不过Traps虽收集终端相关数据,但不提供事后补救工具和响应机制;而且面对误报的调整,需要高级技术支持协助;另外EPP解决方案并不完整。所以Traps仍然需要配合其他产品。

这个评价完全符合Palo Alto Networks推行的企业安全理念(PAN始终认为防护才是最重要的,检测和响应永远只能是其次;这个理念和近两年企业安全的主流价值观存在一些冲突[15]),以及Traps针对端点防护产品极为激进的革新。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

Palo Alto Networks对于端点防护的理解是这样的:端点防护产品需要阻止两类威胁,其一是恶意程序,其二是exploit。传统的反病毒解决方案,在漏洞exploit的检测方面面临较大的问题,也不能阻止没有签名的恶意程序和exploit;需要对系统进行扫描,这会导致系统变慢、用户被干扰;无法适应类似虚拟桌面架构这样的环境(缺乏弹性)。

所以Palo Alto Networks认为这一类产品早就该抛弃了,提出针对端点防护的需求包括:

坚持防护优先(这一点一直是PAN奉行的原则,PAN坚持认为检测和响应都只能排其次)

对已知、未知恶意程序的防护;

对已知、0day exploit的防护;

集成威胁情报;

对用户的打扰最小化,对内存、带宽、CPU资源占用最小化;

支持Unpatchable的系统(针对提供商不再支持的系统和软件做到保护);

可以实现定制化来满足企业需求。

需求谁都会提,这么美好的需求在安全企业看来简直就是种虚幻的存在。Traps对其实现方式听起来还是有一套的,首先它彻底抛弃了基于签名的恶意程序扫描,而采用一种叫Multi-Method防护的方式。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

比如在针对exploit的问题上(所谓的exploit是指通过合法的文件类型,利用软件漏洞发起攻击),Traps认为没有必要专注于研究海量的攻击方式,或者海量的漏洞,而应该专注于exploit攻击的核心利用技术——Palo Alto Networks提出所有的exploit都依赖于某一些核心利用技术,无论哪一种exploit都无法逃脱这些利用技术,比如说内存破坏或操纵、Logic Flaw(利用操作系统的常规流程,来支持和执行目标应用)、恶意代码执行(exploit的最终目标都是执行恶意代码)。Traps通过对这些核心的防护,来抵御0day exploit。这也是Traps宣称可以保护unpatchable系统的原因所在。

至于在针对恶意程序的防护方面,Traps主要组合了几种技术,包括受信任Publisher执行限制、基于可执行文件的哈希来控制哪些文件可执行/哪些不能(有些类似Bit9的白名单)、基于策略的执行限制(比如说阻止Outlook的“Temp”路径下的文件执行)、通过机器学习对数据做分析;还有就是WildFire威胁云的检查和分析了,就像防火墙那样,将未知恶意程序上传到云端,通过上文提到的沙盒、Bear Metal等分析方式做分析。

由于篇幅的关系,这里无法再细数Traps实现这些,尤其是实现0day exploit防护的方法。不过Palo Alto Networks提出在端点防护方面,针对传统反病毒产品基于签名方案的“彻底替换”,融合了这么多方案仍然是个相对勇敢的思路,虽然或许针对恶意程序的防护所用的技术并不算很新鲜。

但从Gartner对Traps的评价,以及Traps本身制定的远大目标来看,Traps当前还只在发展的初级阶段。或许它会为企业端点防护提供一些新的思路。Traps有没有可能像早年Palo Alto Networks针对防火墙的革命那样,完成对端点防护产品的革命呢?这才是这家公司“革命”血脉能否延续的一次阐释,或者成为公司的另一个增长点。

【企业研究报告】新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

Palo Alto Networks公司目前的企业员工已经达到4000人左右,总部位于加州圣克拉拉,收益水平稳定、财务状况健康,公司规模已非昔日可比。就在前不久,Palo Alto Networks才刚刚宣布即将收购LightCyber,这是一家专注机器学习和行为分析的安全公司,这样的收购行为对PAN的产品来说不足为奇。

只是在几次并购动作过后,不知Nir Zuk是否还一如往昔有着用小公司运营思维来工作的狂想;从前总在喊着要开发“新产品”、革旧产品命的Zuk又是否在现如今的这家“大公司”里追逐他的某个新项目,足以颠覆某种产品模式,续写这段革命史。

主要参考来源

[1]http://www.darkreading.com/who-invented-the-firewall/d/d-id/1129238

[2]https://www.forbes.com/sites/calebmelby/2013/03/27/nir-zuks-palo-alto-networks-is-blowing-up-internet-security/

[3]http://www.itworld.com/article/2756415/careers/how-i-got-here–nir-zuk–cto–palo-alto-networks.html

[4]https://www.paloaltonetworks.com/company/press/2016/palo-alto-networks-named-a-leader-again-in-the-gartner-magic-qua

[5]http://img1.custompublish.com/getfile.php/1434855.1861.sqqycbrdwq/Defining+the+Next-Generation+Firewall.pdf

[6]https://www.paloaltonetworks.com/technologies/single-pass-architecture

[7]https://feelinggooddoinggreat.files.wordpress.com/2011/02/fact_v_fiction_competing_with_checkpoint_applicationblade.pdf

[8]https://www.paloaltonetworks.com/resources/techbriefs/app-id-tech-brief

[9]https://www.paloaltonetworks.com/resources/techbriefs/nss-labs-2016-ngfw-test-report

[10]http://www.networkworld.com/article/2161472/network-security/palo-alto-networks-founder–our-competitors-are-on–death-row-.html

[11]http://www.crn.com/news/security/300072250/palo-alto-networks-fireeye-criticize-nss-labs-testing-firm-defends-itself.htm/pgno/0/1

[12]https://www.idc.com/getdoc.jsp?containerId=prUS41735316

[13]http://www.marketwatch.com/investing/stock/panw/financials

[14]https://www.gartner.com/doc/reprints?id=1-3QD28YK&ct=170113&st=sb

[15]http://www.zdnet.com/article/detect-and-respond-security-too-little-too-late-palo-alto-networks/

* FreeBuf官方出品,本文作者:欧阳洋葱,未经许可禁止转载

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: