湖南教育考试院用山石云·格保护虚机安全


价值

  • 云内安全域动态创建、调整
  • 为虚机提供2-7层全面安全防护
  • 虚机间通信、应用、威胁可视
  • 精细化阻断云内向外攻击
  • 安全防护充分利用通用硬件计算资源,提升系统高可用

概要

湖南省教育考试院的部分应用系统在私有云上运行,采用山石云·格微隔离和可视化产品,实现安全防护弹性扩展、业务连续性和精细化虚机级安全防护,弥补原有硬件防火墙在云环境防护的不足。

需求分析

湖南省教育考试院承担了湖南省内高中、高等教育、研究生、成人教育、自学、大量面向社会的非学历证书、中外合作教育的招生、考试工作。为了更及时的响应新需求,服务社会,同时节省宝贵的机房空间、充分利用计算资源,湖南省教育考试院很早就采用了VMware的服务器虚拟化产品,构建了私有云环境,将部分非**和对I/O需求少的应用系统迁移到虚拟化平台上,为外部公众、兄弟单位和内部提供支撑。

湖南省教育考试院在建设私有云之初,就把安全放在了非常重要的地位考虑。在之前的虚拟化计算资源池中,采用了硬件防火墙加VLAN的方式进行了安全域之间的隔离和互访控制。某知名厂家的硬件防火墙作为虚拟化计算资源池的边界防护,同时在硬件防火墙上启用了虚拟防火墙功能,每个应用系统由一个虚拟防火墙做边界防护。除了防火墙,其他的网络安全设备、堡垒机等产品手段也不断完善中。

使用过程中,湖南教育考试院发现硬件防火墙的方案在云计算环境中已经难以适应,突出表现在以下几点。首先是弹性不足,扩展性不好。采用硬件防火墙的方式,每上线一个应用系统,都需要去增加虚拟防火墙的配置,相对繁琐。同时硬件防火墙的处理能力是有局限的,使用中发现启用的虚拟防火墙数量过多后,也会带来一些问题。其次是无法做到计算资源共享,例如硬件防火墙采用专用硬件,如果设备出现故障需要返厂维修的时候,则只能从HA变成单一硬件防护,无法共享相对充裕的服务器硬件资源。再有就是在云环境中,硬件防火墙防护颗粒太大,在出现云计算资源池内部,比如安全域内、VLAN内攻击,由内部向外部攻击时,防护起来、定位起来难。

湖南省教育考试院正在扩建新的云计算资源池,他们希望采用新的产品技术,做好安全防护,摸索一条真正适应云环境的全面网络安全防护方法。

解决方案

湖南教育考试院选择了山石云·格产品来提供云环境的安全防护,在已有的网络划分基础上,部署了山石云·格产品,配合外部硬件防火墙、堡垒机为虚拟化环境提供全面防护。

山石云·格是软件形态的网络安全产品,是符合云计算安全潮流的VNF(网络功能虚拟化)类产品。安全防护可以充分利用云计算资源池的通用物理服务器硬件,实现了计算资源的分享和利用。同时也可以随着物理计算节点的增加,实现动态的扩展,满足云计算对安全防护弹性的需求。由于共享服务器的计算资源,不会出现专有硬件平台损害导致防护能力减弱的窘境,提升了整体的业务持续性。

山石云·格为虚机和云计算环境提供了全面的防护:

  • 山石云·格是微隔离产品,可以提供最小粒度到虚机级别的防护,倘若出现由内向外攻击,能够迅速定位,并利用网络攻击防护引擎、IPS等功能进行精细化阻断。
  • 利用山石云·格划分调整安全域时,只关心虚机、虚网络,且在单一配置点即可完成引流、安全策略的配置,配置更简单。
  • 山石云·格的微隔离技术在上线防护中,未造成云内三层网络的变化,尽可能减少了安全防护对业务系统的影响。
  • 山石云·格支持防火墙、IPS和网络防病毒,提供了全面安全防护。
  • 而山石云·格提供的按照网络或基于虚机名称的批量策略部署功能,可以批量部署安全策略,降低网络安全管理员的工作强度。

山石云·格的可视化功能,帮助用户可以了解云计算环境中虚机间的通信、威胁的情况。

运行情况

山石云·格在湖南教育考试院运行正常。山石云·格帮助用户实现云内细粒度的安全防护、可视。下一步用户希望结合山石云·格的微隔离和堡垒机,加强对外包维护团队管理,避免外包团队带来的恶意软件对云内的安全威胁。

相关产品

云内微隔离与可视化平台
(山石云·格)
山石云·格基于无代理、零打扰的理念,提供精细化微隔离、云内安全可视化、智能化运营等功能特性,帮助用户将“零信任”的安全理念融入云数据中心建设的过程中。