找準邊界,吃定安全 | 云化下的新邊界,東西南北流量該如何防護?


實現業務計算集中模式的云計算數據中心

云內東西向流量不可見不可控

云計算數據中心的安全建設要求再度升級

如何保障云上環境的安全運行?

【找準邊界,吃定安全】往期文章:

從訪問控制談起,再看零信任模型

威脅情報加持,泛邊界下的全局主動防御體系如何著手?

流量劇增?看山石網科如何打破傳統限制

 

隨著 IT 技術的快速發展,虛擬化、云計算等新興技術越來越多地被各行業用戶廣泛應用于構建新一代的數據中心,這不僅極大提高了服務器的利用率,而且改善了數據中心的工作效能,在實現資源快速靈活部署和調配的同時,也帶來管理效能的提升。與此同時,實現業務計算集中模式的云計算數據中心,也必然成為攻擊者關注的焦點。云計算新技術的引入,由于云環境的資源共享特性及相關技術服務模式的開放性、復雜性和可伸縮性等特點,正促使著網絡邊界變得更加模糊,云內東西向流量不可見不可控,導致傳統的以明確網絡邊界為基礎的信息安全策略在新的云計算 IT 架構中變得日益難以應對。

隨著等保合規中云計算安全擴展要求的提出,對云計算數據中心的安全建設要求再度升級,建設方案必須遵從相關政策和法律法規標準規范要求來設計規劃云平臺和租戶的安全防護體系,明確云平臺和租戶的等級保護級別,保障云上環境的安全運行。

因此,如何確保云計算數據中心運行在安全的環境下,滿足合規要求,考慮從云平臺虛擬化環境東西南北向全維度流量安全防護提供針對性完善、可靠的解決方案,是用戶業務系統上云必須面對的現實問題。

云平臺“南北”向流量的安全防護

對于云計算數據中心,云平臺是對外提供服務的基礎,無論是平臺建設方,還是租戶,對于平臺自身的穩定性、安全性都是極為關注的。因此云平臺“南北向”的安全建設需要從虛擬化云平臺數據中心的大邊界安全、虛擬化云平臺的租戶 / VPC 小邊界安全、以及平臺服務可靠性方面來建設,保證平臺業務系統安全可靠運行。
在傳統數據中心中一般只關注數據中心出口的安全防護,但在云平臺環境中不僅需要重點保護云平臺數據中心的出口安全,更需要對每個租戶 /VPC 業務的小邊界網絡做到安全可控,所以需要按云數據中心的實際情況分別建立不同邊界的安全防護,通過層層防護,保證云平臺上的租戶安全。

(1)大邊界 – 云數據中心邊界安全防護

云數據中心通過與大量網絡互聯,將面臨大量來自外部的網絡威脅,在云平臺的出口,即整個云數據中心的出口為云平臺南北向流量的安全防御邊界。南北向安全防護由在數據中心核心和出口部署的高性能防火墻、IPDS、抗 DDOS、應用交付等硬件設備處理。

云數據中心大邊界安全防護的建設是關注重點,需要同時考慮安全通信網絡的要求和安全區域邊界的要求,保障整個云平臺的正常運轉,同時提升防御來自互聯網的各類攻擊和入侵行為的能力,是保障整個云平臺系統安全的關鍵。

數據中心邊界安全防護需要滿足等保 2.0 中安全區域邊界中訪問控制的要求,對于進出網絡的數據流實現基于應用協議和應用內容的訪問控制。需要具備病毒查殺、流量管理、VPN 等安全功能防護,支持 HA 高可靠性部署,在實現應用級細粒度訪問控制的基礎上,同時具備惡意代碼防范、網絡帶寬優化、遠程加密接入能力,并能提供高可靠持續性防護,滿足等保 2.0 中安全區域邊界中惡意代碼防范的要求。由于當前安全威脅的不斷進化和新型攻擊技術的出現,原有的安全防護理念和防護技術面臨著巨大沖擊,如何在新舊技術交疊應用的變革過程中,更有效地檢測和防御系統網絡面臨的安全問題,也是需要關注的重點,在部署防火墻基礎之上,應進一步考慮補充綜合的威脅檢測防御平臺增強邊界的防御能力。

(2)小邊界 – 租戶(業務 VPC)邊界安全防護

在用戶云數據中心中,各個租戶 / VPC 業務需要單獨的進行安全防護設置,整個數據中心的大邊界安全防護只能針對整體的流量進行安全防護,不能滿足單獨的業務需求。并且在實際運營中,云平臺的安全組功能已經無法滿足業務需求,在用戶業務中需要對業務系統網絡單獨進行業務防護以及啟用 NAT(SNAT/DNAT)、安全訪問控制、QoS 功能。


虛擬化云平臺小邊界安全防護需要在云計算環境中部署虛擬化防火墻,通過云平臺進行流量控制,使每一個租戶 / 業務系統前都可以通過虛擬防火墻的防護,從而為用戶提供云計算網絡之間的安全隔離和安全防護。

虛擬化防火墻需要支持入侵防御 (IPS)、病毒過濾 (AV)、精細化應用識別、虛擬專用網 (VPN)、負載均衡等豐富的網絡安全防護功能,從而為針對云平臺的網絡威脅提供有效防御。同時,虛擬化防火墻通過與云計算平臺的緊密結合,借助云計算的優勢特性,具備快速部署和遷移能力,可按需部署和擴展安全服務資源,并可與現有的云管理平臺進行緊密集成,將管理和安全防護能力直接深入到云計算架構中,可伴隨著客戶對虛擬業務資源的需求增長或縮減。

虛擬化防火墻以虛擬機形式部署設備,能夠克服硬件防火墻的限制,在云計算環境中可部署于更加靠近 VM 的位置,對于 VM 主機內部流量進行過濾,實現云平臺內更加顆?;陌踩雷o。同時,用戶可以根據網絡搭建需求,彈性調配和管理網絡資源等,并且能夠按需進行靈活遷移,當性能不足時,可通過增加虛擬化設備或提高設備使用的虛機資源,實現設備的彈性伸縮,充分發揮云計算優勢。

云平臺“東西”向流量安全防護

在云數據中心中,不同業務虛擬機之間也存在大量的安全互訪需求,即涉及到云平臺內部東西向流量的安全防護。在實際應用中需要對業務系統之間流量進行安全防護,主要考慮以下幾點:

? 需要監控各個業務服務器流量詳情
? 需要對各個業務系統之間訪問進行訪問控制
? 需要實時進行安全防護

業務系統部署后,由于服務器虛擬化采用大二層部署方式,對于虛機與虛機之間的互訪流量無法進行查看,當業務服務器流量負載過高時,無法具體確認哪些是異常應用流量,增加了用戶對業務系統維護的難度;同時,為了保證重要業務系統的穩定運行,也需要對各個業務系統之間的訪問進行控制,避免一些非必要業務虛機非法訪問重要業務系統。

基于云平臺東西向流量的“微隔離”與“可視化”安全防護

虛擬化微隔離提供的“虛機微隔離”技術為每個虛機提供了“貼身保鏢”式的安全防護,通過獨有的引流技術,可為原有的大二層云網絡提供再分割的擴展手段,在不改變網絡設置的情況下,幫助云平臺將同一網段或同一 VLAN 內,不同業務 / 不同部門 / 不同客戶之間的虛擬資源分離開來,滿足云安全等保規范相關條款定義的資源隔離管控要求。另外,虛擬化微隔離需將每個業務虛機的流量牽引至云安全業務模塊,進行 L2-L7 層的威脅檢測、Web 應用防護、網絡病毒過濾,從而發現并阻斷東西向、南北向流量的安全威脅,阻止攻擊和安全風險在云平臺內橫向和縱向蔓延。

虛擬化平臺東西向流量的可視化防護,需借助深度可視化技術,識別出虛機流量中的具體應用類型,并在此基礎上提供了流量與應用控制功能,可對虛機間的業務訪問進行細粒度的權限控制,保護云內部業務安全運行,有效的限制了安全風險的影響范圍和擴散范圍。同時也可作為云平臺運維輔助工具,支持為云管理員快速定位 / 阻斷異常流量、非法訪問、違規訪問行為、內部威脅事件發起源等安全事件,全方位監控產品組件的運行狀態,并能在異常狀態發生時提出相應警示和排錯建議,保障云平臺的健康、高效的運行。

云數據中心內各業務系統之間交互關系復雜,虛擬化微隔離與可視化防護系統還需提供多維度的性能質量監控,包括資源利用率,網絡和服務質量監控,并具備告警提示;支持服務鏈自梳理可助力管理員梳理云內業務內部邏輯結構,快速定位業務故障環節,提升安全運維效率,保障業務安全運營。

山石網科作為中國網絡安全行業的技術創新領導廠商,是國內最早進入云安全領域的安全廠商之一,致力于通過發展云安全原子能力、云原生安全、云安全平臺,可為用戶提供全場景縱深防御的云計算安全解決方案。

近些年山石網科不斷加大對云計算安全產品的研發投入,陸續發布了虛擬化下一代防火墻產品 – 山石云·界、云內微隔離與可視化產品 – 山石云·格、云安全資源池解決方案 -山石云·池、云安全網元管理系統 – 山石云·集,以及各類虛擬化云計算安全產品構建豐富的云安全產品能力。山石網科云安全業務,憑借豐富的云安全產品和廣泛的生態合作伙伴,覆蓋私有云、公有云、多租戶運營專有云、云網融合以及混合云等 5 大安全防護場景,可為客戶在多種云計算環境中提供全方位的縱深安全保護,為客戶云計算業務保駕護航。