山石网科私有云安全场景解决方案


随着云计算技术的不断发展,越来越多的用户采用云计算技术构建新一代的数据中心。云计算在带来便捷、快速和灵活的同时,也带来了新的安全挑战。

挑战与需求

私有云平台不仅面临着传统的网络安全威胁,还面临着传统边界消失、虚拟化平台漏洞、安全与云平台脱离等云计算环境特有的安全问题。如何解决私有云平台的安全合规、云用户之间的安全责任界定、云平台统一安全运维等问题,已经成为用户云计算建设过程中的重要环节。

山石网科私有云安全解决方案倡导的硬件网络安全+虚拟化网络安全解决方案,满足层次化、分布式、全方位的安全防护思路,为用户的私有云平台健康运营保驾护航。

解决方案

山石网科私有云方案从云数据中心边界、租户(业务)VPC 边界、云内微隔离、云网安融合以及统一安全运维管理等方面,分层次、有重点、差异化地进行安全防护措施建设。

 

云数据中心边界安全

云平台大边界安全防护的建设是关注重点,需要同时考虑安全通信网络的要求和安全区域边界的要求,保障整个云平台的正常运转,同时提升防御来自互联网的各类攻击和入侵行为的能力,是保障整个云平台系统安全的关键。

数据中心防火墙采用深度应用识别技术,能够精确识别数千种网络应用,提供详尽的应用风险分析和灵活的策略管控,同时能够结合用户识别、内容识别、国家地理识别等多维度业务场景感知,为用户提供可视化、精细化的应用安全管理。满足等保 2.0 中安全区域边界中访问控制的要求,对于进出网络的数据流实现基于应用协议和应用内容的访问控制。

租户(业务)VPC 边界防护

在用户私有云数据中心中,WebServer服务以及AppServer服务中各个业务需要单独的进行安全防护设置,整个数据中心的大边界安全防护只能针对整体的流量进行安全防护,不能满足单独的业务需求。并且在实际运营中,云平台的安全组功能已经无法满足业务需求,在用户业务中需要对业务系统网络需要单独的业务防护以及启用NAT(SNAT/DNAT)、安全访问控制、QoS功能。

因此需要在云计算环境中部署虚拟防火墙,通过云平台进行流量控制,使每一个租户/业务系统前都可以通过虚拟防火墙的防护,从而为用户提供云计算网络之间的安全隔离和安全防护。

云内东西向微隔离防护

云内东西向微隔离提供的“虚机微隔离”技术为每个虚机提供了“贴身保镖”式的安全防护,通过便捷的引流技术,可为原有的大二层云网络提供再分割的扩展手段,在不改变网络设置的情况下,帮助云平台将同一网段或同一VLAN内,不同业务/不同部门/不同客户之间的虚拟资源分离开来,满足云安全等保规范相关条款定义的资源隔离管控的要求。另外,虚拟化微隔离可将每个业务虚机的流量牵引至云安全业务模块,进行L2-L7层的威胁检测,Web应用防护、网络病毒过滤,从而发现并阻断东西向、南北向流量的安全威胁,阻止攻击和安全风险在云平台内横向和纵向蔓延。

虚拟化微隔离能够洞察云平台内部的细微变化,让管理员对云内资产的变化清晰掌握。采用串行或旁路侦听方式收集并分析虚机之间的数据通信,帮助用户掌控整个云平台上的流量模型,包括虚机之间以及不同虚拟网络之间的流量情况。

虚拟化微隔离业务性能监控功能可监测每个服务的时延、抖动;网络连接的时延、抖动和丢包率数据;虚机的CPU和内存等指标。可绘制出一条完整的业务链,从计算资源、服务质量和网络质量三个方面对一条业务链进行全方位的监控,为业务故障的排查提供更直观和统一的监控界面。

面向 NFV 框架的云网安融合

云网安”的融合当中,用户的云平台需要对接多个厂商,这需要在云平台开发大量对接调试的工作,对接是个显而易见的难题。可使用云·集+轻量级Plugin,帮助用户快速标准化连接多云,通过智能对接排障功能,用户可以更快定位和解决问题,让运维更简单,运营更高效,同时用户还可以利用云·集统管硬件或NFV网元,拓展管理多个硬件设备或计算节点,实现从小规模试点向大规模运营的方案平滑过渡,支持从硬件资源到计算资源的演进过渡,从而实现“云网安”更便捷、更灵活、更标准的融合。

云平台统一安全管理

根据云计算平台建设以及等级保护的要求,需要建设云平台全管理中心。安全管理中心一般部署在运维管理网络中。除了传统的主机安全(如主机防病毒)之外,增加对安全集中管理以及识别位置网络威胁的要求,建议增加以下安全管理手段:

    • 运维管理与运维审计为一体的堡垒机设备,结合等级保护、分级保护等法律法规对运维管理的要求;
    • 安全管理平台通过SSL加密隧道与节点设备通信,对全网的节点设备配置进行统一管理;
    • 远程安全评估系统对云平台部署的各类资产系统实现自动发现和分级管理日志审计平台,统一收集各类设备上的日志信息,包括NAT日志、会话日志、威胁日志、URL日志等。

租户安全资源池

云计算平台建设中,可通过与标准OpenStack云平台的深度对接或通过一体机云外引流等方式建设云安全资源池,与云平台完成管理与流量上的对接后,从云平台角度统一为租户/业务提供云安全资源池。

云安全资源池通过不同安全网元的不同组合,来满足云计算用户对安全的多样性需求,让云上租户可按各自业务系统的特点,实现不同的“加保护”策略。云安全资源池借助于云平台的优势,将所有的安全功能以虚拟化形态呈现,通过与云平台的对接,将安全能力进行自动编排输出,让租户/用户有“安全即服务”的使用体验。

方案价值

全面的纵深防御

山石网科私有云解决方案从大边界、小边界以及统一安全管理等多个维度,立体式加固用户云计算平台的防护能力。在后期方案落地使用时可以从攻击前进行行为建模、风险发现、风险预测来预测潜在风险区域,提前采取安全防护措施,防患于未然。攻击中进行威胁检测、关联分析、响应防护来检测发现已知/未知风险或者异常流量,从而自动/半自动风险减缓和响应。攻击发生后可以迅速处置以及溯源取证,还原完整攻击路径,进行全面风险评估。通过以上方法建立全方位安全立体防护

云网安融合统一

通过软、硬件设备实现的云网融合异构安全解决方案,是云计算技术与SDN、NFV技术相融合的典型发展方向,攻克了SecaaS(安全即服务)只能通过软件防火墙进行实现的技术难题。为云网融合技术在行业的大规模推广使用,打下了坚实的理论和实践基础。为用户提供了可以满足其运营、运维需求的云网融合安全产品,通过VSYS技术的成功应用,节省了初期购买大量硬件防火墙的直接成本,并且大大节省了购买大量硬件而产生的机房空间、配电资源、硬件实施部署、硬件维护管理等连带成本以及宝贵的时间成本,符合国家节能增效、绿色环保的号召。展望未来,随着用户软硬一体化的安全即服务方案的上线,用户可以更加灵活的配置、管理自身的安全资源,通过软、硬件安全产品的不同配置,可以在安全合规性与成本控制间找到一个平衡点。

满足等保合规

从等保2.0及网络安全法要求角度出发,涵盖包括边界安全、云安全、运维安全产品及安全服务,可覆盖等级保护技术要求中安全通信网络、安全区域边界、安全计算环境、安全管理中心绝大部分建设及服务要求,并且方案从云平台本身出发实现云平台安全运营的从繁至简、动态协同、持续保护,提升用户通过等保提升云平台安全能力的实际价值,帮助用户完成并通过等级保护测评,满足等级保护合规性要求。