思科本周分享了有关其全新Live Protect方案的更多细节,并介绍了该方案如何帮助基于Nexus架构的数据中心运营商保护关键资源。
Live Protect方案于近期举办的Cisco Live活动上正式发布并进行了演示。据思科数据中心网络团队产品管理负责人Shankar Varanasy介绍,面向Nexus基础设施的Cisco Live Protect以实时防护盾取代了具有破坏性的传统补丁周期,能够即时缓解漏洞风险。
Varanasy在本周发布的博客文章中写道:"通过在本地部署的Cisco Nexus One和Cisco Nexus Dashboard统一编排这些主动防御措施,管理员可在威胁出现的第一时间将其化解,在不影响业务正常运行的前提下实现更高的安全防护水位。这种方式从根本上消除了安全与可用性之间的传统矛盾,使数据中心能够在维持高安全性与高性能的同时,确保服务持续不间断地交付。"
在技术实现层面,Varanasy表示:"Live Protect通过嵌入NX-OS的Tetragon代理,利用扩展的Berkeley包过滤器(eBPF)技术——这是Linux内核的一项强大特性——在内核层面实现深度可见性与安全执行,对系统调用、文件操作、进程控制和网络流量进行监控,从而检测并阻止权限提升、控制平面攻击以及其他复杂威胁。"
Varanasy进一步说明,Live Protect漏洞防护盾本质上是针对特定已验证漏洞条件的策略,属于临时性措施,一旦部署了永久性软件修复,防护盾应予以停用。
思科基础设施与安全业务集团高级副总裁兼总经理Tom Gillis在6月份发布的博客文章中强调:"Live Protect不是补丁,它不能取代核心生命周期管理规范或永久性软件更新的需要。它是一种临时性、精准化的防护盾,只需点击几下即可针对特定漏洞进行风险缓解。它就像是'堵住大坝缺口的手指',是一种应急管控手段,可在不中断系统运行的情况下应用于正在运行的系统,填补常规维护窗口之间的安全空白。"
Gillis还详细阐述了Live Protect的工作原理:该技术利用eBPF在操作系统内核中运行沙箱化程序,"这使我们能够获得深度可见性和精细化控制能力,在不修改内核源代码、不需要系统重启的情况下,从根源上拦截并阻止漏洞利用行为。"
他进一步解释道:"eBPF的独特能力使我们可以实施非常精细、精准的管控措施,防止已知漏洞被利用。防护盾的粒度可以精细到'禁止某个特定进程访问某个特定文件'的程度。正因为防护盾如此精细和具体,其误报率极低。简单来说,该进程本就不应该访问那个特定文件,所以我们直接禁止它访问。"
Varanasy同时指出了当前数据中心面临的安全挑战:"数据中心环境正变得越来越复杂,这增加了攻击者可利用的入口点数量。老旧系统和过时基础设施使情况更加棘手,因为它们往往缺乏安全加固的产品、软件兼容性以及最新的安全特性。因此,传统系统需要频繁进行人工更新、故障排查和安全补丁部署,以应对层出不穷的安全威胁——尤其是面对Claude Mythos等Anthropic AI模型,此类技术可以以前所未有的速度自主发现并利用软件漏洞。各团队将大量时间耗费在基础设施的维护与安全保障上,而非专注于核心业务目标。"
"传统安全补丁方式需要安排计划内停机和维护窗口,这会延迟关键修复措施的部署,使网络长期暴露在零日攻击风险之下。这些延迟形成了漏洞暴露窗口期,给复杂攻击者留下了可乘之机。"Varanasy补充道。
科技服务提供商World Wide Technology(WWT)一直密切关注Cisco Live Protect的发展动态,并将这一新能力称为"令人真正振奋的创新"。
WWT在Cisco Live活动后发布的博客文章中写道:"本次发布中最具实际影响力的消息之一,是Live Protect在Cisco Nexus 9000系列上正式全面可用。"
"Live Protect所解决的问题,是每一个基础设施和安全团队都深有体会的痛点,"WWT写道,"当一个严重漏洞被披露时,永久性修复需要经历完整的补丁周期:测试、变更控制、维护窗口、跨团队协调。在威胁快速演进的环境下,这一过程所需的时间往往是企业所承受不起的。Live Protect能够立即插入思科验证的运行时防护,在永久修复方案按正常流程推进的同时,迅速关闭漏洞暴露窗口。无需重启,不影响业务运营。"
以下是思科公布的Live Protect其他关键信息:
Live Protect是一种补偿性安全控制措施,旨在缓解漏洞披露至完成修复这段过渡期间的安全风险。客户仍应持续将定期软件维护作为优先事项,并及时部署永久性补丁或修复版本。
Live Protect并非万能。防护盾的可用性取决于多种因素,包括漏洞性质、漏洞利用特征、受支持平台、软件版本、策略配置、工作模式以及思科验证状态。
产品可用性取决于受支持的思科产品、软件版本、策略、模式、交付路径、管理界面及生命周期支持情况。目前仅Nexus系列产品提供支持,园区和分支机构产品预计将于今年晚些时候跟进。
Q&A
Q1:Cisco Live Protect是什么,它和传统补丁有什么区别?
A:Cisco Live Protect是思科为Nexus数据中心基础设施推出的实时安全防护方案。与传统补丁需要安排维护窗口、停机测试不同,Live Protect利用eBPF技术在内核层面即时部署防护盾,无需重启系统即可缓解漏洞风险。但它不是补丁的替代品,属于临时性应急措施,正式补丁发布后仍需部署。
Q2:Live Protect用了什么技术,为什么能做到不重启系统就防护漏洞?
A:Live Protect采用扩展的Berkeley包过滤器(eBPF)技术,通过嵌入NX-OS的Tetragon代理在Linux内核中运行沙箱化程序。eBPF无需修改内核源代码即可实现深度监控与精细管控,例如禁止特定进程访问特定文件,从而在不中断系统运行的情况下阻断漏洞利用行为,误报率极低。
Q3:Cisco Live Protect目前支持哪些产品,未来会扩展吗?
A:目前Cisco Live Protect仅在Cisco Nexus系列产品上提供支持,具体包括Nexus 9000系列已正式全面可用。思科表示,园区网络和分支机构产品的支持预计将于2025年晚些时候推出。此外,防护盾的可用性还受软件版本、漏洞类型、策略配置等多种因素影响。
好文章,需要你的鼓励
全球数据中心建设需求持续高涨。北美方面,美国数据中心建设支出年化达510亿美元,微软在威斯康星州开放33亿美元设施,亚马逊和谷歌宣布在密苏里州合计投资250亿美元。欧洲方面,SoftBank将在法国建设5GW AI数据中心,投资额达750亿欧元。亚太地区,AirTrunk计划在印度投资210亿美元建设3GW数据中心。中东与非洲地区也有多项大规模项目落地。
这项研究提出Epi2Diff方法,通过将大型推理模型的解题思考过程拆解为认知片段序列,提取过程特征预测考题对人类的难度,在四个真实考试数据集上超越了所有对比基线。
随着企业将AI融入机器人、工业设备等物理基础设施,边云协同架构正成为关键课题。以Luminous Robotics和先正达为例:前者在太阳能农场部署的机器人每秒做出10次决策,数据定期上传云端持续优化模型;后者通过Cropwise平台整合卫星、无人机、拖拉机传感器数据,辅助农民完成约150项农业决策。两家公司均强调,边缘端负责实时响应,云端负责模型训练与更新,同时保持人工监督以确保安全与准确性。
南京大学与阿里巴巴提出MIMFlow,将掩码图像建模与标准化流端到端融合,让生成模型专注语义建模,以更少参数和更少令牌在ImageNet上取得FID 2.50的优异表现。