找准边界,吃定安全 | 云化下的新边界,东西南北流量该如何防护?


实现业务计算集中模式的云计算数据中心

云内东西向流量不可见不可控

云计算数据中心的安全建设要求再度升级

如何保障云上环境的安全运行?

【找准边界,吃定安全】往期文章:

从访问控制谈起,再看零信任模型

威胁情报加持,泛边界下的全局主动防御体系如何着手?

流量剧增?看山石网科如何打破传统限制

 

随着 IT 技术的快速发展,虚拟化、云计算等新兴技术越来越多地被各行业用户广泛应用于构建新一代的数据中心,这不仅极大提高了服务器的利用率,而且改善了数据中心的工作效能,在实现资源快速灵活部署和调配的同时,也带来管理效能的提升。与此同时,实现业务计算集中模式的云计算数据中心,也必然成为攻击者关注的焦点。云计算新技术的引入,由于云环境的资源共享特性及相关技术服务模式的开放性、复杂性和可伸缩性等特点,正促使着网络边界变得更加模糊,云内东西向流量不可见不可控,导致传统的以明确网络边界为基础的信息安全策略在新的云计算 IT 架构中变得日益难以应对。

随着等保合规中云计算安全扩展要求的提出,对云计算数据中心的安全建设要求再度升级,建设方案必须遵从相关政策和法律法规标准规范要求来设计规划云平台和租户的安全防护体系,明确云平台和租户的等级保护级别,保障云上环境的安全运行。

因此,如何确保云计算数据中心运行在安全的环境下,满足合规要求,考虑从云平台虚拟化环境东西南北向全维度流量安全防护提供针对性完善、可靠的解决方案,是用户业务系统上云必须面对的现实问题。

云平台“南北”向流量的安全防护

对于云计算数据中心,云平台是对外提供服务的基础,无论是平台建设方,还是租户,对于平台自身的稳定性、安全性都是极为关注的。因此云平台“南北向”的安全建设需要从虚拟化云平台数据中心的大边界安全、虚拟化云平台的租户 / VPC 小边界安全、以及平台服务可靠性方面来建设,保证平台业务系统安全可靠运行。
在传统数据中心中一般只关注数据中心出口的安全防护,但在云平台环境中不仅需要重点保护云平台数据中心的出口安全,更需要对每个租户 /VPC 业务的小边界网络做到安全可控,所以需要按云数据中心的实际情况分别建立不同边界的安全防护,通过层层防护,保证云平台上的租户安全。

(1)大边界 – 云数据中心边界安全防护

云数据中心通过与大量网络互联,将面临大量来自外部的网络威胁,在云平台的出口,即整个云数据中心的出口为云平台南北向流量的安全防御边界。南北向安全防护由在数据中心核心和出口部署的高性能防火墙、IPDS、抗 DDOS、应用交付等硬件设备处理。

云数据中心大边界安全防护的建设是关注重点,需要同时考虑安全通信网络的要求和安全区域边界的要求,保障整个云平台的正常运转,同时提升防御来自互联网的各类攻击和入侵行为的能力,是保障整个云平台系统安全的关键。

数据中心边界安全防护需要满足等保 2.0 中安全区域边界中访问控制的要求,对于进出网络的数据流实现基于应用协议和应用内容的访问控制。需要具备病毒查杀、流量管理、VPN 等安全功能防护,支持 HA 高可靠性部署,在实现应用级细粒度访问控制的基础上,同时具备恶意代码防范、网络带宽优化、远程加密接入能力,并能提供高可靠持续性防护,满足等保 2.0 中安全区域边界中恶意代码防范的要求。由于当前安全威胁的不断进化和新型攻击技术的出现,原有的安全防护理念和防护技术面临着巨大冲击,如何在新旧技术交叠应用的变革过程中,更有效地检测和防御系统网络面临的安全问题,也是需要关注的重点,在部署防火墙基础之上,应进一步考虑补充综合的威胁检测防御平台增强边界的防御能力。

(2)小边界 – 租户(业务 VPC)边界安全防护

在用户云数据中心中,各个租户 / VPC 业务需要单独的进行安全防护设置,整个数据中心的大边界安全防护只能针对整体的流量进行安全防护,不能满足单独的业务需求。并且在实际运营中,云平台的安全组功能已经无法满足业务需求,在用户业务中需要对业务系统网络单独进行业务防护以及启用 NAT(SNAT/DNAT)、安全访问控制、QoS 功能。


虚拟化云平台小边界安全防护需要在云计算环境中部署虚拟化防火墙,通过云平台进行流量控制,使每一个租户 / 业务系统前都可以通过虚拟防火墙的防护,从而为用户提供云计算网络之间的安全隔离和安全防护。

虚拟化防火墙需要支持入侵防御 (IPS)、病毒过滤 (AV)、精细化应用识别、虚拟专用网 (VPN)、负载均衡等丰富的网络安全防护功能,从而为针对云平台的网络威胁提供有效防御。同时,虚拟化防火墙通过与云计算平台的紧密结合,借助云计算的优势特性,具备快速部署和迁移能力,可按需部署和扩展安全服务资源,并可与现有的云管理平台进行紧密集成,将管理和安全防护能力直接深入到云计算架构中,可伴随着客户对虚拟业务资源的需求增长或缩减。

虚拟化防火墙以虚拟机形式部署设备,能够克服硬件防火墙的限制,在云计算环境中可部署于更加靠近 VM 的位置,对于 VM 主机内部流量进行过滤,实现云平台内更加颗粒化的安全防护。同时,用户可以根据网络搭建需求,弹性调配和管理网络资源等,并且能够按需进行灵活迁移,当性能不足时,可通过增加虚拟化设备或提高设备使用的虚机资源,实现设备的弹性伸缩,充分发挥云计算优势。

云平台“东西”向流量安全防护

在云数据中心中,不同业务虚拟机之间也存在大量的安全互访需求,即涉及到云平台内部东西向流量的安全防护。在实际应用中需要对业务系统之间流量进行安全防护,主要考虑以下几点:

• 需要监控各个业务服务器流量详情
• 需要对各个业务系统之间访问进行访问控制
• 需要实时进行安全防护

业务系统部署后,由于服务器虚拟化采用大二层部署方式,对于虚机与虚机之间的互访流量无法进行查看,当业务服务器流量负载过高时,无法具体确认哪些是异常应用流量,增加了用户对业务系统维护的难度;同时,为了保证重要业务系统的稳定运行,也需要对各个业务系统之间的访问进行控制,避免一些非必要业务虚机非法访问重要业务系统。

基于云平台东西向流量的“微隔离”与“可视化”安全防护

虚拟化微隔离提供的“虚机微隔离”技术为每个虚机提供了“贴身保镖”式的安全防护,通过独有的引流技术,可为原有的大二层云网络提供再分割的扩展手段,在不改变网络设置的情况下,帮助云平台将同一网段或同一 VLAN 内,不同业务 / 不同部门 / 不同客户之间的虚拟资源分离开来,满足云安全等保规范相关条款定义的资源隔离管控要求。另外,虚拟化微隔离需将每个业务虚机的流量牵引至云安全业务模块,进行 L2-L7 层的威胁检测、Web 应用防护、网络病毒过滤,从而发现并阻断东西向、南北向流量的安全威胁,阻止攻击和安全风险在云平台内横向和纵向蔓延。

虚拟化平台东西向流量的可视化防护,需借助深度可视化技术,识别出虚机流量中的具体应用类型,并在此基础上提供了流量与应用控制功能,可对虚机间的业务访问进行细粒度的权限控制,保护云内部业务安全运行,有效的限制了安全风险的影响范围和扩散范围。同时也可作为云平台运维辅助工具,支持为云管理员快速定位 / 阻断异常流量、非法访问、违规访问行为、内部威胁事件发起源等安全事件,全方位监控产品组件的运行状态,并能在异常状态发生时提出相应警示和排错建议,保障云平台的健康、高效的运行。

云数据中心内各业务系统之间交互关系复杂,虚拟化微隔离与可视化防护系统还需提供多维度的性能质量监控,包括资源利用率,网络和服务质量监控,并具备告警提示;支持服务链自梳理可助力管理员梳理云内业务内部逻辑结构,快速定位业务故障环节,提升安全运维效率,保障业务安全运营。

山石网科作为中国网络安全行业的技术创新领导厂商,是国内最早进入云安全领域的安全厂商之一,致力于通过发展云安全原子能力、云原生安全、云安全平台,可为用户提供全场景纵深防御的云计算安全解决方案。

近些年山石网科不断加大对云计算安全产品的研发投入,陆续发布了虚拟化下一代防火墙产品 – 山石云·界、云内微隔离与可视化产品 – 山石云·格、云安全资源池解决方案 -山石云·池、云安全网元管理系统 – 山石云·集,以及各类虚拟化云计算安全产品构建丰富的云安全产品能力。山石网科云安全业务,凭借丰富的云安全产品和广泛的生态合作伙伴,覆盖私有云、公有云、多租户运营专有云、云网融合以及混合云等 5 大安全防护场景,可为客户在多种云计算环境中提供全方位的纵深安全保护,为客户云计算业务保驾护航。