云安全之路 | 當我們談云網絡安全的時候我們在談什么


“由于網絡安全產品的碎片化和客戶需求多樣化,

網絡安全廠商向云租戶提供

虛擬化的網絡安全產品和方案與

云平臺廠商內置提供的安全產品和方案

將長期共存?!?/strong>

【云安全之路】往期文章:

這,就是你需要的混合云多云網絡安全解決方案

從網絡安全說起??

“云網絡安全”顧名思義,就是云上的網絡安全,所以理解“云網絡安全”,我們需要先回顧一下在物理網絡中我們都做了哪些網絡安全的工作,然后再看怎么把物理網絡中的網絡安全產品和方案搬到云上。
?
對于通用的網絡安全的定義,《GBT22239-2019 信息安全技術網絡安全等級保護基本要求》中是這樣描述的:“通過采取必要措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力”。?
總結來說,網絡安全的重點工作有兩類:訪問控制和威脅控制。物理網絡中常見的網絡安全產品包括防火墻、接入訪問控制、入侵防御系統、防病毒和反惡意軟件、虛擬專用網絡等。?

理解云網絡安全?

回顧完物理網絡中的網絡安全,理解“云網絡安全”就容易了,我們也給“云網絡安全”下個定義:“專指面向云租戶或用戶的云工作負載(虛機和容器)和業務的網絡安全建設活動,是傳統物理網絡中網絡安全建設活動在云業務環境中的變體,通常是把傳統物理硬件安全設備變形為適配云環境的虛擬化安全網元,并按照云網絡的業務邏輯進行組網部署”。云業務環境中的網絡安全建設按網絡安全產品的特點可以分為引流型、代理型、訪問型、主機型等幾類,防火墻、入侵防御屬于引流型,Web 應用防火墻屬于代理型,漏洞掃描、堡壘機屬于訪問型,防病毒屬于主機型。對于引流型云網絡安全產品,由于其受限于云網絡技術,不同類型的不同云環境有不同的技術方案,而其它類型除了使用虛擬機或軟件的產品,部署使用上跟在物理網絡中并沒有不同。?

云計算安全責任共擔模型—云網絡安全的范圍??

我們談云網絡安全時,常常需要討論云計算安全責任共擔模型,因為它明確指出了云網絡安全覆蓋的范圍。下圖摘自《云計算開源產業聯盟 – 云計算安全責任共擔白皮書(2020 年)》,從中我們可以看到云網絡安全的范圍作用于云主機的操作系統、網絡、以及應用,而根據云業務類型的不同,云網絡安全的責任主體又有所不同,對于 IaaS 業務,云網絡安全的責任主體完全是云租戶自己;對于 PaaS 業務,云網絡安全需要由云服務商和云租戶共同完成(云租戶看不到云主機),而對于 SaaS 業務,云網絡安全則完全需要云服務商來保證。

典型的公有云網絡安全方案—東西南北、云上云下

公有云上的網絡安全方案是隨著公有云的技術演進而演進的,如下圖所示,目前主流的方案是將所有虛擬化網絡安全網元都部署在獨立的安全 VPC 中,互聯網流量通過防火墻做 NAT,VPC 間流量通過防火墻不做 NAT,云上云下流量通過防火墻走 VPN。代理型和訪問型的網絡安全產品對云網絡的條件要求不高,只需網絡連通即可。

云網絡安全能力滿足度評估:等保 2.0(云計算場景)?

?
如何評價云網絡安全建設的水平和成熟度,目前業內通常參考的是等保 2.0(云計算場景)的滿足度,下圖總結于《GBT22239-2019 信息安全技術網絡安全等級保護基本要求》,云計算業務場景的等級保護既要滿足安全通用要求又要滿足云計算安全擴展要求。在云環境中,無論是安全通用要求還是云計算安全擴展要求都需要部署虛擬化的網絡安全網元來滿足,需要的虛擬化網絡安全網元包括:防火墻、VPN、入侵檢測防御、病毒過濾防護、堡壘機、漏洞掃描、Web 應用防火墻、日志審計等,根據等級保護級別的不同,網元的種類需求不同。

總結?

?
云安全是一個很大的概念,在信通院新發布的云安全全景圖 2.0 版本中,云安全覆蓋了云工作負載保護、網絡安全、數據安全、應用安全、身份和訪問安全、安全管理和運營、DevSecOps、業務安全、安全服務等 9 大領域,本文中探討的云網絡安全是其中的一個領域。相比于其它領域, 云網絡安全更多是傳統物理網絡中網絡安全建設活動在云業務環境中的變體,即將傳統物理硬件安全設備變形為適配云環境的虛擬化安全網元,并按照云網絡的業務邏輯進行組網部署,因此云網絡安全這個領域通常還是傳統物理網絡安全的廠商在參與。
隨著 SaaS 化網絡安全服務需求越來越迫切,一些云平臺廠商逐步開始向云租戶提供內置的網絡安全能力(如防火墻、入侵防御等),并在向更多自研或者集成第三方安全能力的方向邁進。由于網絡安全產品的碎片化和客戶需求多樣化,網絡安全廠商向云租戶提供虛擬化的網絡安全產品和方案與云平臺廠商內置提供的安全產品和方案將長期共存。