山石發聲 | 如何打造私有云安全?山石網科獨辟蹊徑


硬件網絡安全+虛擬化網絡安全
山石網科私有云安全解決方案
優質可靠!

隨著云計算技術的不斷發展,越來越多的用戶采用云計算技術構建新一代的數據中心。云計算在帶來便捷、快速和靈活的同時,也帶來了新的安全挑戰。

挑戰與需求

私有云平臺不僅面臨著傳統的網絡安全威脅,還面臨著傳統邊界消失、虛擬化平臺漏洞、安全與云平臺脫離等云計算環境特有的安全問題。如何解決私有云平臺的安全合規、云用戶之間的安全責任界定、云平臺統一安全運維等問題,已經成為用戶云計算建設過程中的重要環節。

山石網科私有云安全解決方案倡導的硬件網絡安全+虛擬化網絡安全解決方案,滿足層次化、分布式、全方位的安全防護思路,為用戶的私有云平臺健康運營保駕護航。

解決方案

山石網科私有云方案從云數據中心邊界、租戶(業務)VPC 邊界、云內微隔離、云網安融合以及統一安全運維管理等方面,分層次、有重點、差異化地進行安全防護措施建設。

云數據中心邊界安全

云平臺大邊界安全防護的建設是關注重點,需要同時考慮安全通信網絡的要求和安全區域邊界的要求,確保整個云平臺的正常運轉,同時提升針對互聯網的各類攻擊和入侵行為的防御能力,這是保障整個云平臺系統安全的關鍵。

數據中心防火墻采用深度應用識別技術,能夠精確識別數千種網絡應用,提供詳盡的應用風險分析和靈活的策略管控,同時能夠結合用戶識別、內容識別、國家地理識別等多維度業務場景感知,為用戶提供可視化、精細化的應用安全管理。滿足等保2.0中安全區域邊界中訪問控制的要求,對于進出網絡的數據流實現基于應用協議和應用內容的訪問控制。

租戶(業務)VPC 邊界防護

在用戶私有云數據中心中,WebServer服務以及AppServer服務中各個業務需要單獨地進行安全防護設置,整個數據中心的大邊界安全防護只能針對整體的流量進行安全防護,不能滿足單獨的業務需求。并且在實際運營中,云平臺的安全組功能已經無法完全滿足業務需求,在用戶業務中需要對業務系統網絡進行單獨的業務防護,并啟用NAT(SNAT/DNAT)、安全訪問控制、QoS功能。

因此需要在云計算環境中部署虛擬防火墻,通過云平臺進行流量控制,使每一個租戶/業務系統前都可以通過虛擬防火墻的防護,為用戶提供云計算網絡之間的安全隔離和安全防護。

云內東西向微隔離防護

云內東西向微隔離防護方案中的“虛機微隔離”技術為每個虛機提供了“貼身保鏢”式的安全防護,通過便捷的引流技術,可為原有的大二層云網絡提供再分割的擴展手段,在不改變網絡設置的情況下,幫助云平臺將同一網段或同一VLAN內,不同業務/不同部門/不同客戶之間的虛擬資源分離開來,滿足云安全等保規范相關條款定義中的資源隔離管控要求。另外,虛擬化微隔離可將每個業務虛機的流量牽引至云安全業務模塊,進行L2-L7層的威脅檢測、Web應用防護、網絡病毒過濾,從而發現并阻斷東西向、南北向流量的安全威脅,阻止攻擊和安全風險在云平臺內橫向和縱向蔓延。

面向 NFV 框架的云網安融合

“云網安”的融合當中,用戶的云平臺需要對接多個廠商,這需要在云平臺開發大量對接調試的工作,對接是個顯而易見的難題??墒褂迷啤ぜ?輕量級Plugin,幫助用戶快速標準化連接多云,通過智能對接排障功能,用戶可以更快定位和解決問題,讓運維更簡單,運營更高效,同時用戶還可以利用云·集統管硬件或NFV網元,拓展管理多個硬件設備或計算節點,實現從小規模試點向大規模運營的方案平滑過渡,支持從硬件資源到計算資源的演進過渡,從而實現“云網安”更便捷、更靈活、更標準的融合。

云平臺統一安全管理

根據云計算平臺建設以及等級保護的要求,需要建設云平臺全管理中心。安全管理中心一般部署在運維管理網絡中。除了傳統的主機安全(如主機防病毒)之外,增加對安全集中管理以及識別位置網絡威脅的要求,建議增加以下安全管理手段:

(1)運維管理與運維審計為一體的堡壘機設備,結合等級保護、分級保護等法律法規對運維管理的要求;

(2)安全管理平臺通過SSL加密隧道與節點設備通信,對全網的節點設備配置進行統一管理;

(3)遠程安全評估系統對云平臺部署的各類資產系統實現自動發現和分級管理日志審計平臺,統一收集各類設備上的日志信息,包括NAT日志、會話日志、威脅日志、URL日志等。

租戶安全資源池

在云計算平臺建設中,可通過與標準OpenStack云平臺的深度對接或通過一體機云外引流等方式建設云安全資源池,與云平臺完成管理與流量上的對接后,從云平臺角度統一為租戶/業務提供云安全資源池。

云安全資源池通過不同安全網元的不同組合,來滿足云計算用戶對安全的多樣性需求,讓云上租戶可按各自業務系統的特點,實現不同的“加保護”策略。云安全資源池借助于云平臺的優勢,將所有的安全功能以虛擬化形態呈現,通過與云平臺的對接,將安全能力進行自動編排輸出,讓租戶/用戶有“安全即服務”的使用體驗。

方案價值

全面的縱深防御

山石網科私有云解決方案從大邊界、小邊界以及統一安全管理等多個維度,立體式加固用戶云計算平臺的防護能力。在后期方案落地使用時可以從攻擊前進行行為建模、風險發現、風險預測來預測潛在風險區域,提前采取安全防護措施,防患于未然。攻擊中進行威脅檢測、關聯分析、響應防護來檢測發現已知/未知風險或者異常流量,從而自動/半自動風險減緩和響應。攻擊發生后可以迅速處置以及溯源取證,還原完整攻擊路徑,進行全面風險評估。通過以上方法建立全方位安全立體防護。

云網安融合統一

通過軟、硬件設備實現的云網融合異構安全解決方案,是云計算技術與SDN、NFV技術相融合的典型發展方向,攻克了SecaaS(安全即服務)只能通過軟件防火墻進行實現的技術難題。為云網融合技術在行業的大規模推廣使用,打下了堅實的理論和實踐基礎。為用戶提供了可以滿足其運營、運維需求的云網融合安全產品,通過VSYS技術的成功應用,節省了初期購買大量硬件防火墻的直接成本,并且大大節省了購買大量硬件而產生的機房空間、配電資源、硬件實施部署、硬件維護管理等連帶成本以及寶貴的時間成本,符合國家節能增效、綠色環保的號召。展望未來,隨著用戶軟硬一體化的安全即服務方案的上線,用戶可以更加靈活的配置、管理自身的安全資源,通過軟、硬件安全產品的不同配置,可以在安全合規性與成本控制間找到一個平衡點。

滿足等保合規

從等保2.0及網絡安全法要求角度出發,涵蓋包括邊界安全、云安全、運維安全產品及安全服務,可覆蓋等級保護技術要求中安全通信網絡、安全區域邊界、安全計算環境、安全管理中心絕大部分建設及服務要求,并且方案從云平臺本身出發實現云平臺安全運營的從繁至簡、動態協同、持續保護,提升用戶通過等保提升云平臺安全能力的實際價值,幫助用戶完成并通過等級保護測評,滿足等級保護合規性要求。