企业在云环境下数据基础设施的安全实践
当越来越多的企业开始采用云服务,安全问题往往成为待考虑的问题。在传统IT环境中,企业默认的逻辑架构是可信的,数据在自己手里,系统部署在自己的数据中心,有自己很清晰的网络安全边界,边界之间会有一个相对比较清晰的防火墙做隔离,有可控的安全策略的管理。
然而一旦云化之后,企业云数据中心面临3个安全挑战:
- 第一,企业接触云之后,基础设施供应方发生了变化,无论是公有云、混合云还是私有云,原有的网络边界越来越模糊,不同业务之间有着不同的访问权限和控制规则;
- 第二,业务模式也在变化,以往的业务是静态的,重构整合之后,业务需要重新部署在共享的技术架构上,静态安全已经无法适应业务的动态变化;
- 此外,威胁在与时俱进,随着大量的信息处理、联接、存储在云中,意味着未来将有大量不可靠的节点通过网络连接到云上,最终威胁云,带来极大的安全风险。
防止云端的平台系统遭到***,一直是许多企业关注的焦点。随着操作系统厂商不断地提高系统的安全性,以及安全防御技术的进步,***已经将***的重点转向了应用安全,通过企业自行开发应用系统的漏洞,***到云端数据中心,获取企业敏感信息。针对应用漏洞,企业可以通过应用漏洞核查与分析工具、***检测系统,应用级防火墙以及安全事件审计系统,进行检测与阻断,将可能的安全风险降至最低。
然而,随着企业不断强化云端数据中心的防护能力,***亦将***转向用户端,通过精密的目标性***(Targeted Attack)手法,长期潜伏企业终端,获得企业内部敏管数据,并作为进一步攻入云端数据中心的最佳跳板。针对目标***采用高持续性威胁APT手法,企业在实施系统安全防护方案时,必须考虑在虚拟机算环境中,安全产品是否能够提供和物理环境一样的防护能力,以及是否会造成资源冲突等问题,虚拟化环境的安全防护对安全厂商是一大挑战,目前仅有少数安全产品可以支持虚拟环境安全防护,并可以有效避开虚拟环境中资源冲突问题。
企业云部分的安全建设往往是企业信息安全的成功与否的关键指标。那么,企业如何应对这些数据安全挑战?
本安全方案应用在企业的云安全方案,可以有效的防护大型企业云平台层面与数据中心的信息资源和IT系统。
企业云安全的建设,主要根据国家相关部门的要求理解,主要分成两个维度:云平台基础设施安全建设和租户的安全防护。
(1)云平台的安全根据相关要求,云平台基础设施首先要符合等保的三级要求,包括完善的安全设备的防护和相关安全管理制度的建立。
(2)租户的安全建设,一方面要做到用户的业务上云后,安全防护能力符合原有的技术指标,即安全防护一致性,另一方面,不同的用户可按照用户需求,提供不同等保级别的防护,即能够提供安全服务目录,实现对用户安全资源的灵活按需分配。
图一 云安全解决方案能力框架
针对云平台和云租户的安全防护进行逻辑性地区域划分,形成的网络安全部署的逻辑框架图
其中,安全管理区、云边界防护区、安全检测区是平台级区域的防护;overlay大二层网络和租户的资源池是租户级的区域和安全防护。
云边界防护主要是针对云边界与外网交互的区域防护,跟传统数据中心出口的安全防护相似,主要涉及流量清洗、NGFW、WEB应用层防护(web服务器没有部署在云内)以及网闸(同步两张网的数据)等物理安全设备。
图三 企业云数据中心建设落地方案实例
- 安全管理区,主要是云平台的部署位置,以及相关云平台管理所涉及的安全设备的部署区域,其中包括堡垒机、日至审计、漏扫、认证等相关产品,用于整个云平台基础设施的安全运维和管理。
- 安全检测区,通过对云环境中全网流量的分析,实现对云平台和云租户的流量安全可视化,通过与云平台的协同联动,实现对流量的多维度分析、安全日志的采集汇总、多业务的安全评估,甚至于云平台和租户的安全态势感知。
图二 云安全资源池分布说明 - 租户边界区,主要是利用高端的NGFW、LB等硬件安全设备,进行虚拟资源池化,形成多个虚拟安全设备,实现虚拟安全设备对于租户一对一的安全防护和有效的安全隔离(租户南北向/租户间)租户区域的网络结构采用了大二层的overlay网络,利用VXLAN协议实现网络虚拟化,有效的实现租户间的网络隔离。
- 租户计算资源池,是利用虚拟化技术,对计算、存储、安全等物理设备实现资源池化,每个租户可进行按需分配,通过新华三独有的SDN服务链技术,实现租户内东西向流量的安全访问,同时通过租户内的虚拟化安全管理产品的部署,实现租户内部资源的有效管理和监控。
那么,企业在应用新华三大安全云数据中心解决方案会有哪些收益?
通过参考《等级保护》、《云安全服务能力要求31168》等业界最佳实践标准,以云平台为统一视角,SDN为调控手段,虚拟化为交付形式,为企业用户,尤其是大型企业和跨国公司提供便捷、可视、灵捷的安全一体化服务。
云安全解决方案主要特性包括:- 安全资源池化与资源编排能力:诸如防火墙、负载均衡等关键安全产品均可通过N:1和1:N的虚拟化方式构建云安全资源池。
- 安全产品自动化部署:方案中所涉及的所有关键安全产品均可以通过VCFC控制器进行统一调度与配置。
- 安全访问路径定义:通过服务链技术和NFV资源池的构建,可以在云环境下自定义访问路径。
- 安全策略跟随:具备完善的策略及会话管理机制,能够规避虚机迁移所产生的策略失效风险。
- 安全合规:方案满足公安部《等级保护》和网信办《云安全能力要求》的标准。
充分满足《等级保护》和《云安全服务能力要求》中相应技术难点的实现,符合等保的设计方式,配合安全服务可以满足一体化项目的安全交付。 - 有效规避合规风险
- 满足安全服务目录化
- 覆盖云安全相关的技术需求
- 规避运营者和使用者的责任边界