山石發聲 | 如何打造私有云安全?山石網科獨闢蹊徑
硬件網絡安全+虛擬化網絡安全
山石網科私有云安全解決方案
優質可靠!
隨着雲計算技術的不斷髮展,越來越多的用戶採用雲計算技術構建新一代的數據中心。雲計算在帶來便捷、快速和靈活的同時,也帶來了新的安全挑戰。
挑戰與需求
私有云平臺不僅面臨着傳統的網絡安全威脅,還面臨着傳統邊界消失、虛擬化平臺漏洞、安全與雲平臺脫離等雲計算環境特有的安全問題。如何解決私有云平臺的安全合規、雲用戶之間的安全責任界定、雲平臺統一安全運維等問題,已經成爲用戶雲計算建設過程中的重要環節。
山石網科私有云安全解決方案倡導的硬件網絡安全+虛擬化網絡安全解決方案,滿足層次化、分佈式、全方位的安全防護思路,爲用戶的私有云平臺健康運營保駕護航。
解決方案
山石網科私有云方案從雲數據中心邊界、租戶(業務)VPC 邊界、雲內微隔離、雲網安融合以及統一安全運維管理等方面,分層次、有重點、差異化地進行安全防護措施建設。
雲數據中心邊界安全
雲平臺大邊界安全防護的建設是關注重點,需要同時考慮安全通信網絡的要求和安全區域邊界的要求,確保整個雲平臺的正常運轉,同時提升針對互聯網的各類攻擊和入侵行爲的防禦能力,這是保障整個雲平臺系統安全的關鍵。
數據中心防火牆採用深度應用識別技術,能夠精確識別數千種網絡應用,提供詳盡的應用風險分析和靈活的策略管控,同時能夠結合用戶識別、內容識別、國家地理識別等多維度業務場景感知,爲用戶提供可視化、精細化的應用安全管理。滿足等保2.0中安全區域邊界中訪問控制的要求,對於進出網絡的數據流實現基於應用協議和應用內容的訪問控制。
租戶(業務)VPC 邊界防護
在用戶私有云數據中心中,WebServer服務以及AppServer服務中各個業務需要單獨地進行安全防護設置,整個數據中心的大邊界安全防護只能針對整體的流量進行安全防護,不能滿足單獨的業務需求。並且在實際運營中,雲平臺的安全組功能已經無法完全滿足業務需求,在用戶業務中需要對業務系統網絡進行單獨的業務防護,並啓用NAT(SNAT/DNAT)、安全訪問控制、QoS功能。
因此需要在雲計算環境中部署虛擬防火牆,通過雲平臺進行流量控制,使每一個租戶/業務系統前都可以通過虛擬防火牆的防護,爲用戶提供雲計算網絡之間的安全隔離和安全防護。
雲內東西向微隔離防護
雲內東西向微隔離防護方案中的“虛機微隔離”技術爲每個虛機提供了“貼身保鏢”式的安全防護,通過便捷的引流技術,可爲原有的大二層雲網絡提供再分割的擴展手段,在不改變網絡設置的情況下,幫助雲平臺將同一網段或同一VLAN內,不同業務/不同部門/不同客戶之間的虛擬資源分離開來,滿足雲安全等保規範相關條款定義中的資源隔離管控要求。另外,虛擬化微隔離可將每個業務虛機的流量牽引至雲安全業務模塊,進行L2-L7層的威脅檢測、Web應用防護、網絡病毒過濾,從而發現並阻斷東西向、南北向流量的安全威脅,阻止攻擊和安全風險在雲平臺內橫向和縱向蔓延。
面向 NFV 框架的雲網安融合
“雲網安”的融合當中,用戶的雲平臺需要對接多個廠商,這需要在雲平臺開發大量對接調試的工作,對接是個顯而易見的難題。可使用雲·集+輕量級Plugin,幫助用戶快速標準化連接多雲,通過智能對接排障功能,用戶可以更快定位和解決問題,讓運維更簡單,運營更高效,同時用戶還可以利用雲·集統管硬件或NFV網元,拓展管理多個硬件設備或計算節點,實現從小規模試點向大規模運營的方案平滑過渡,支持從硬件資源到計算資源的演進過渡,從而實現“雲網安”更便捷、更靈活、更標準的融合。
雲平臺統一安全管理
根據雲計算平臺建設以及等級保護的要求,需要建設雲平臺全管理中心。安全管理中心一般部署在運維管理網絡中。除了傳統的主機安全(如主機防病毒)之外,增加對安全集中管理以及識別位置網絡威脅的要求,建議增加以下安全管理手段:
(1)運維管理與運維審計爲一體的堡壘機設備,結合等級保護、分級保護等法律法規對運維管理的要求;
(2)安全管理平臺通過SSL加密隧道與節點設備通信,對全網的節點設備配置進行統一管理;
(3)遠程安全評估系統對雲平臺部署的各類資產系統實現自動發現和分級管理日誌審計平臺,統一收集各類設備上的日誌信息,包括NAT日誌、會話日誌、威脅日誌、URL日誌等。
租戶安全資源池
在雲計算平臺建設中,可通過與標準OpenStack雲平臺的深度對接或通過一體機雲外引流等方式建設雲安全資源池,與雲平臺完成管理與流量上的對接後,從雲平臺角度統一爲租戶/業務提供雲安全資源池。
雲安全資源池通過不同安全網元的不同組合,來滿足雲計算用戶對安全的多樣性需求,讓雲上租戶可按各自業務系統的特點,實現不同的“加保護”策略。雲安全資源池藉助於雲平臺的優勢,將所有的安全功能以虛擬化形態呈現,通過與雲平臺的對接,將安全能力進行自動編排輸出,讓租戶/用戶有“安全即服務”的使用體驗。
方案價值
全面的縱深防禦
山石網科私有云解決方案從大邊界、小邊界以及統一安全管理等多個維度,立體式加固用戶雲計算平臺的防護能力。在後期方案落地使用時可以從攻擊前進行行爲建模、風險發現、風險預測來預測潛在風險區域,提前採取安全防護措施,防患於未然。攻擊中進行威脅檢測、關聯分析、響應防護來檢測發現已知/未知風險或者異常流量,從而自動/半自動風險減緩和響應。攻擊發生後可以迅速處置以及溯源取證,還原完整攻擊路徑,進行全面風險評估。通過以上方法建立全方位安全立體防護。
雲網安融合統一
通過軟、硬件設備實現的雲網融合異構安全解決方案,是雲計算技術與SDN、NFV技術相融合的典型發展方向,攻克了SecaaS(安全即服務)只能通過軟件防火牆進行實現的技術難題。爲雲網融合技術在行業的大規模推廣使用,打下了堅實的理論和實踐基礎。爲用戶提供了可以滿足其運營、運維需求的雲網融合安全產品,通過VSYS技術的成功應用,節省了初期購買大量硬件防火牆的直接成本,並且大大節省了購買大量硬件而產生的機房空間、配電資源、硬件實施部署、硬件維護管理等連帶成本以及寶貴的時間成本,符合國家節能增效、綠色環保的號召。展望未來,隨着用戶軟硬一體化的安全即服務方案的上線,用戶可以更加靈活的配置、管理自身的安全資源,通過軟、硬件安全產品的不同配置,可以在安全合規性與成本控制間找到一個平衡點。
滿足等保合規
從等保2.0及網絡安全法要求角度出發,涵蓋包括邊界安全、雲安全、運維安全產品及安全服務,可覆蓋等級保護技術要求中安全通信網絡、安全區域邊界、安全計算環境、安全管理中心絕大部分建設及服務要求,並且方案從雲平臺本身出發實現雲平臺安全運營的從繁至簡、動態協同、持續保護,提升用戶通過等保提升雲平臺安全能力的實際價值,幫助用戶完成並通過等級保護測評,滿足等級保護合規性要求。
我不允許你到現在
還沒看過絕美電子雜誌《巖談》!
山石網科是中國網絡安全行業的技術創新領導廠商,自成立以來一直專注於網絡安全領域前沿技術的創新,提供包括邊界安全、雲安全、數據安全、內網安全在內的網絡安全產品及服務,致力於爲用戶提供全方位、更智能、零打擾的網絡安全解決方案,是您優質可靠的夥伴!
山石網科爲金融、政府、運營商、互聯網、教育、醫療衛生等行業累計超過23,000家用戶提供高效、穩定的安全防護。山石網科在蘇州、北京和美國硅谷均設有研發中心,業務已經覆蓋了中國、美洲、歐洲、東南亞、中東等50多個國家和地區。
(文章配圖源自網絡)