北京大学采用山石云·格保护校园虚拟化数据中心


价值

  • 虚机间通信访问控制。
  • 虚机间通信、应用、威胁可视。

概要:北京大学的私有云计算系统运行多年,在完善云计算资源池外部逐项安全防护手段同时,将目光聚焦在云内安全防护和可视,通过部署山石云·格产品,实现云内部虚机间访问控制,虚机间通信、应用和威胁可视,构建“从微入手,层层防护”的云计算安全防护体系。

近年来,在“211工程”和“985工程”的支持下,北京大学进入了一个新的历史发展阶段,在学科建设、人才培养、师资队伍建设、教学科研等各方面都取得了显著成绩,为将北大建设成为世界一流大学奠定了坚实的基础。今天的北京大学已经成为国家培养高素质、创造性人才的摇篮、科学研究的前沿和知识创新的重要基地,也是国际交流的重要桥梁和窗口。 云计算,特别是云计算安全,在国内乃至国际上都是信息领域的新课题。特别是云计算安全,尚处在缺理论、缺实践、缺标准的阶段。作为国内教育信息化建设的领军团队,北京大学率先建设私有云计算基础设施之后,又将践行的目标锁定在云计算安全的新领域。

需求分析

随着北京大学各项业务的快速增长,为了更高效更节约的服务校园内的各项业务,北京大学建立了自己的云计算数据中心,利用VMware私有云服务器,搭建了校园云平台为校内各单位提供云计算服务。通过向各单位提供虚拟服务器计算资源、存储资源,承载各单位的WEB、数据库等应用。在利用基于硬件的下一代防火墙等产品,做到数据中心和计算资源池外部的边界防护后。

北京大学的信息安全团队将视角聚焦到云内部。采用云计算服务技术之后,高性能的一台物理服务器就能虚拟10乃至更多数量的虚拟机,过去靠交换机、VLAN、地址分段再结合硬件去隔离开的若干个安全域,现在一股脑的都揉在了物理服务器内部。传统的安全防护手段只能守在外面,而大的计算资源池内,只能利用VLAN实现一些粗粒度的隔离。如何做到云内部,不同安全域之间的隔离和控制,如何实现云内虚机间流量、应用、威胁的可视?如何在实现安全、可视同时尽可能不对网络做太多修改,影响应用的正常使用,成为摆在信息安全团队面前的难题。

解决方案

山石网科的技术团队根据北京大学的需求,考虑到业务持续性、安全性诸多要求,提供了山石云·格产品。结合数据中心边界、计算资源池边界的下一代防火墙,为北京大学构建了“从微入手、层层防护”的云计算中心安全防护解决方案。

北京大学的信息安全团队对山石网科云计算安全产品云·格进行了严格的测试,山石网科云·格产品表现出色,安全防护和可视化两大特点得到信息安全团队的认可。

在细微防护方面,山石云·格的微隔离解决方案,可以实现虚机间基于状态监测机制、地址、端口的多维度细粒度访问控制,阻断虚机间的攻击。山石云·格的IPS引擎还能够防范虚机间恶意代码传播。

在可视方面,山石云·格内置应用识别引擎,不仅仅可以看到虚机间的流量,还可以识别流量中的应用。山石云·格的“透视镜”功能能够将应用、威胁、时间、虚机间关系有机整合在一起,展现云内应用的“链”、攻击“链”和威胁“链”。

运行效果

北京大学在选择山石网科云计算安全产品云·格之后,逐步在对云计算资源池的主机加入保护。一方面逐步加入被防护主机,同时在逐步将一些VLAN内的虚机加入防护。在逐步加入防护的过程,通过梳理虚机业务,借助云内可视功能,一步步对业务虚机制定“微隔离”访问控制策略。

在硬件下一代防火墙、山石云·格产品的配合下,北京大学在践行安全云计算之路。

相关产品

云内微隔离与可视化平台
(山石云·格)
山石云·格基于无代理、零打扰的理念,提供精细化微隔离、云内安全可视化、智能化运营等功能特性,帮助用户将“零信任”的安全理念融入云数据中心建设的过程中。
下一代防火墙
山石网科E系列下一代防火墙基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,可为用户提供 L2-L7 层网络的全面安全防护。