为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
· 安全数字运营 · 安全连接 · 安全数据 · 安全计算
随着云计算技术的不断发展,越来越多的用户采用云计算技术构建新一代的数据中心。云计算在带来便捷、快速和灵活的同时,也带来了新的安全挑战。
私有云平台不仅面临着传统的网络安全威胁,还面临着传统边界消失、虚拟化平台漏洞、安全与云平台脱离等云计算环境特有的安全问题。如何解决私有云平台的安全合规、云用户之间的安全责任界定、云平台统一安全运维等问题,已经成为用户云计算建设过程中的重要环节。
山石网科私有云安全解决方案倡导的硬件网络安全+虚拟化网络安全解决方案,满足层次化、分布式、全方位的安全防护思路,为用户的私有云平台健康运营保驾护航。
山石网科私有云方案从云数据中心边界、租户(业务)VPC 边界、云内微隔离、云网安融合以及统一安全运维管理等方面,分层次、有重点、差异化地进行安全防护措施建设。
云平台大边界安全防护的建设是关注重点,需要同时考虑安全通信网络的要求和安全区域边界的要求,保障整个云平台的正常运转,同时提升防御来自互联网的各类攻击和入侵行为的能力,是保障整个云平台系统安全的关键。
数据中心防火墙采用深度应用识别技术,能够精确识别数千种网络应用,提供详尽的应用风险分析和灵活的策略管控,同时能够结合用户识别、内容识别、国家地理识别等多维度业务场景感知,为用户提供可视化、精细化的应用安全管理。满足等保 2.0 中安全区域边界中访问控制的要求,对于进出网络的数据流实现基于应用协议和应用内容的访问控制。
在用户私有云数据中心中,WebServer服务以及AppServer服务中各个业务需要单独的进行安全防护设置,整个数据中心的大边界安全防护只能针对整体的流量进行安全防护,不能满足单独的业务需求。并且在实际运营中,云平台的安全组功能已经无法满足业务需求,在用户业务中需要对业务系统网络需要单独的业务防护以及启用NAT(SNAT/DNAT)、安全访问控制、QoS功能。
因此需要在云计算环境中部署虚拟防火墙,通过云平台进行流量控制,使每一个租户/业务系统前都可以通过虚拟防火墙的防护,从而为用户提供云计算网络之间的安全隔离和安全防护。
云内东西向微隔离提供的“虚机微隔离”技术为每个虚机提供了“贴身保镖”式的安全防护,通过便捷的引流技术,可为原有的大二层云网络提供再分割的扩展手段,在不改变网络设置的情况下,帮助云平台将同一网段或同一VLAN内,不同业务/不同部门/不同客户之间的虚拟资源分离开来,满足云安全等保规范相关条款定义的资源隔离管控的要求。另外,虚拟化微隔离可将每个业务虚机的流量牵引至云安全业务模块,进行L2-L7层的威胁检测,Web应用防护、网络病毒过滤,从而发现并阻断东西向、南北向流量的安全威胁,阻止攻击和安全风险在云平台内横向和纵向蔓延。
虚拟化微隔离能够洞察云平台内部的细微变化,让管理员对云内资产的变化清晰掌握。采用串行或旁路侦听方式收集并分析虚机之间的数据通信,帮助用户掌控整个云平台上的流量模型,包括虚机之间以及不同虚拟网络之间的流量情况。
虚拟化微隔离业务性能监控功能可监测每个服务的时延、抖动;网络连接的时延、抖动和丢包率数据;虚机的CPU和内存等指标。可绘制出一条完整的业务链,从计算资源、服务质量和网络质量三个方面对一条业务链进行全方位的监控,为业务故障的排查提供更直观和统一的监控界面。
云网安”的融合当中,用户的云平台需要对接多个厂商,这需要在云平台开发大量对接调试的工作,对接是个显而易见的难题。可使用云·集+轻量级Plugin,帮助用户快速标准化连接多云,通过智能对接排障功能,用户可以更快定位和解决问题,让运维更简单,运营更高效,同时用户还可以利用云·集统管硬件或NFV网元,拓展管理多个硬件设备或计算节点,实现从小规模试点向大规模运营的方案平滑过渡,支持从硬件资源到计算资源的演进过渡,从而实现“云网安”更便捷、更灵活、更标准的融合。
根据云计算平台建设以及等级保护的要求,需要建设云平台全管理中心。安全管理中心一般部署在运维管理网络中。除了传统的主机安全(如主机防病毒)之外,增加对安全集中管理以及识别位置网络威胁的要求,建议增加以下安全管理手段:
云计算平台建设中,可通过与标准OpenStack云平台的深度对接或通过一体机云外引流等方式建设云安全资源池,与云平台完成管理与流量上的对接后,从云平台角度统一为租户/业务提供云安全资源池。
云安全资源池通过不同安全网元的不同组合,来满足云计算用户对安全的多样性需求,让云上租户可按各自业务系统的特点,实现不同的“加保护”策略。云安全资源池借助于云平台的优势,将所有的安全功能以虚拟化形态呈现,通过与云平台的对接,将安全能力进行自动编排输出,让租户/用户有“安全即服务”的使用体验。
山石网科私有云解决方案从大边界、小边界以及统一安全管理等多个维度,立体式加固用户云计算平台的防护能力。在后期方案落地使用时可以从攻击前进行行为建模、风险发现、风险预测来预测潜在风险区域,提前采取安全防护措施,防患于未然。攻击中进行威胁检测、关联分析、响应防护来检测发现已知/未知风险或者异常流量,从而自动/半自动风险减缓和响应。攻击发生后可以迅速处置以及溯源取证,还原完整攻击路径,进行全面风险评估。通过以上方法建立全方位安全立体防护
通过软、硬件设备实现的云网融合异构安全解决方案,是云计算技术与SDN、NFV技术相融合的典型发展方向,攻克了SecaaS(安全即服务)只能通过软件防火墙进行实现的技术难题。为云网融合技术在行业的大规模推广使用,打下了坚实的理论和实践基础。为用户提供了可以满足其运营、运维需求的云网融合安全产品,通过VSYS技术的成功应用,节省了初期购买大量硬件防火墙的直接成本,并且大大节省了购买大量硬件而产生的机房空间、配电资源、硬件实施部署、硬件维护管理等连带成本以及宝贵的时间成本,符合国家节能增效、绿色环保的号召。展望未来,随着用户软硬一体化的安全即服务方案的上线,用户可以更加灵活的配置、管理自身的安全资源,通过软、硬件安全产品的不同配置,可以在安全合规性与成本控制间找到一个平衡点。
从等保2.0及网络安全法要求角度出发,涵盖包括边界安全、云安全、运维安全产品及安全服务,可覆盖等级保护技术要求中安全通信网络、安全区域边界、安全计算环境、安全管理中心绝大部分建设及服务要求,并且方案从云平台本身出发实现云平台安全运营的从繁至简、动态协同、持续保护,提升用户通过等保提升云平台安全能力的实际价值,帮助用户完成并通过等级保护测评,满足等级保护合规性要求。