为您推荐

随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
湖南省教育考试院的部分应用系统在私有云上运行,采用山石云·格微隔离和可视化产品,实现安全防护弹性扩展、业务连续性和精细化虚机级安全防护,弥补原有硬件防火墙在云环境防护的不足。
湖南省教育考试院承担了湖南省内高中、高等教育、研究生、成人教育、自学、大量面向社会的非学历证书、中外合作教育的招生、考试工作。为了更及时的响应新需求,服务社会,同时节省宝贵的机房空间、充分利用计算资源,湖南省教育考试院很早就采用了VMware的服务器虚拟化产品,构建了私有云环境,将部分非**和对I/O需求少的应用系统迁移到虚拟化平台上,为外部公众、兄弟单位和内部提供支撑。
湖南省教育考试院在建设私有云之初,就把安全放在了非常重要的地位考虑。在之前的虚拟化计算资源池中,采用了硬件防火墙加VLAN的方式进行了安全域之间的隔离和互访控制。某知名厂家的硬件防火墙作为虚拟化计算资源池的边界防护,同时在硬件防火墙上启用了虚拟防火墙功能,每个应用系统由一个虚拟防火墙做边界防护。除了防火墙,其他的网络安全设备、堡垒机等产品手段也不断完善中。
使用过程中,湖南教育考试院发现硬件防火墙的方案在云计算环境中已经难以适应,突出表现在以下几点。首先是弹性不足,扩展性不好。采用硬件防火墙的方式,每上线一个应用系统,都需要去增加虚拟防火墙的配置,相对繁琐。同时硬件防火墙的处理能力是有局限的,使用中发现启用的虚拟防火墙数量过多后,也会带来一些问题。其次是无法做到计算资源共享,例如硬件防火墙采用专用硬件,如果设备出现故障需要返厂维修的时候,则只能从HA变成单一硬件防护,无法共享相对充裕的服务器硬件资源。再有就是在云环境中,硬件防火墙防护颗粒太大,在出现云计算资源池内部,比如安全域内、VLAN内攻击,由内部向外部攻击时,防护起来、定位起来难。
湖南省教育考试院正在扩建新的云计算资源池,他们希望采用新的产品技术,做好安全防护,摸索一条真正适应云环境的全面网络安全防护方法。
湖南教育考试院选择了山石云·格产品来提供云环境的安全防护,在已有的网络划分基础上,部署了山石云·格产品,配合外部硬件防火墙、堡垒机为虚拟化环境提供全面防护。
山石云·格是软件形态的网络安全产品,是符合云计算安全潮流的VNF(网络功能虚拟化)类产品。安全防护可以充分利用云计算资源池的通用物理服务器硬件,实现了计算资源的分享和利用。同时也可以随着物理计算节点的增加,实现动态的扩展,满足云计算对安全防护弹性的需求。由于共享服务器的计算资源,不会出现专有硬件平台损害导致防护能力减弱的窘境,提升了整体的业务持续性。
山石云·格为虚机和云计算环境提供了全面的防护:
山石云·格的可视化功能,帮助用户可以了解云计算环境中虚机间的通信、威胁的情况。
山石云·格在湖南教育考试院运行正常。山石云·格帮助用户实现云内细粒度的安全防护、可视。下一步用户希望结合山石云·格的微隔离和堡垒机,加强对外包维护团队管理,避免外包团队带来的恶意软件对云内的安全威胁。
© 2010 – 2023 山石网科,保留一切权利。 北京市公安局朝阳分局备案编号1101051794 京ICP备09083327号-1 https://beian.miit.gov.cn/