山石网科公有云租户多VPC安全解决方案


随着云计算的快速发展, 越来越多的企业处于建设成本、维护难度等各方面的考虑,通常会采用租用公有云来构建自己的整体业务系统。一些业务比较复杂的企业会在公有云中启用多个VPC((Virtual Private Cloud虚拟私有云)来部署不同的业务系统,如下图。

图:公有云下企业启用多个VPC

这种情况下,由于实际云租户并不是公有云的建设者,传统物理层面的防护建设思路就需要做出改变,那么云租户如何考虑云中业务安全设计、建设业务的安全防护呢?

云租户业务安全需求点

根据等保对业务系统安全建设要求,云租户需从几个方面进行安全考虑:

  1. 业务VPC边界安全:
    • 对公有云中VPC边界进行安全防护。
    • 实现租户内部VPC之间流量的安全检测及异常告警。
  2. 业务系统应用及数据安全防护:
    • 对业务应用系统及数据库进行安全防护以及审计。
  3. 建设云中安全管理中心:
    • 在云中建立安全管理中心实现云中业务集中管理、安全运维、日志审计、漏洞检测等。
    • 对云中设备和业务实现安全可靠的远程运维。

云租户整体安全解决方案:

依据等保通用要求及云计算扩展要求,对公有云业务系统划分不同的业务区域,构建不同的VPC区域:业务VPC、安全管理中心VPC、业务转发VPC。

1、保证VPC边界安全及VPC之间流量检测:

  • 在VPC区域边界采用虚拟化防火墙进行基于应用级别最小安全访问控制,开启入侵防护、防病毒进行恶意代码防护。
  • 在业务出口边界采用HA部署虚拟化防火墙,实现高可靠。
  • 山石的虚拟防火墙(云界)可以对流量进行GRE封装,并将流量发送到云中流量分析系统或者传送到本地流量分析设备,实现VPC之间流量安全检测。

2、对业务系统应用及数据进行安全防护:

  • 采用vWAF及网页防篡改系统防止例如SQL注入、网页篡改、爬虫等WEB攻击,保障业务系统安全。
  • 对数据库采用vDBA实现数据库安全控制与独立审计。

3、建设云中安全管理中心:

  • 在云中建立安全管理中心VPC,以虚拟化方式将产品部署到云中。实现云中业务集中管理、安全运维、日志审计、漏洞检测等功能。
  • 在安全管理中心VPC边界虚拟防火墙开启VPN隧道实现远程管理运维。

4、构建可持续安全运营

完成如上安全产品的部署后,基本满足网络的基础安全防护要求,由于网络是在动态变化的,网络威胁也是在不断更新进步的,山石认为安全是一个动态的、持续的过程,所以在基础安全架构之上,应引入安全运营的理念,即由运维人员,或专业的安全服务人员,基于现有安全产品收集到的信息,进行安全状态评估、加固过程,从而形成探查-加固-探查的动态过程,持续提升云业务安全防护能力,整个网络安全状态呈螺旋上升状态。

 

方案价值

山石网科云租户整体安全解决方案,以“可持续安全观”技术理念为引领,从租户自我安全建设角度出发,从云租户VPC之间的边界防护、业务应用保护、数据安全以及云中安全管理中心建设等几方面,帮助企业实现云中业务可持续安全运营。

  • 云中安全自己做主:满足企业自己进行云上业务系统的安全保护,并且实现云中异常流量检测,满足等保要求。
  • 全方位多层次防护:真正意义上的云中租户业务系统东西向+南北向、数据安全+应用安全+网络安全防护。
  • 方便快捷扩展性强:安全上线快,解耦云平台,安全策略可以随业务系统迁移而进行迁移,可复用安全产品保护投资。