私有云CSSP安全解决方案
一、私有云概述
云计(jì)算(suàn)颠覆(fù)性的改变了传(chuán)统IT的服务模(mó)式,在虚拟(nǐ)化(huà)的(de)基础(chǔ)上,将IT资源作为可(kě)提供的服务,实现了使用者(zhě)从(cóng)以前的“购买软硬件产(chǎn)品(pǐn)”向“购买IT服务”模式转变,在虚(xū)拟化实现IT资(zī)源利用率大(dà)幅提升的基础(chǔ)上,大大(dà)提高(gāo)了IT的效率和敏捷性。我们专注(zhù)于(yú)网络安全和(hé)云计(jì)算领(lǐng)域,为客户提供(gòng)更简(jiǎn)单,更安全,更有价值的IT基础设施,为(wéi)用户提供企业级(jí)私有云、政务云、行业云等云(yún)计算(suàn)整体(tǐ)解决方案,并具备专业的技术服务能力。
二、私有(yǒu)云(yún)安全分析
IDC调(diào)研报告显(xiǎn)示:约有75%的用户因云的安全性(xìng)而对IT云(yún)化(huà)犹(yóu)豫不决,云(yún)安全(quán)问题成为影响云计(jì)算发展的重要障碍。到底虚拟(nǐ)化云计(jì)算带来了哪些安全问题呢(ne)?
1.安(ān)全边界缺(quē)失(shī),业务风险集中:采用虚拟(nǐ)化技术后,同一台(tái)物理服务器(qì)上(shàng)派生出多台虚拟机并承载不(bú)同的业务应用,不同(tóng)的虚拟机之间(jiān)通过(guò)虚拟交(jiāo)换机进行连接,这就导致安全边(biān)界(jiè)缺失,因此一旦出现安全风险就会快速扩散。比如病毒一旦感染了其中(zhōng)一台(tái)虚(xū)机,几(jǐ)乎就(jiù)可以在服(fú)务器内(nèi)网自由传播(bō)。
2.流(liú)量不可视(shì),风险(xiǎn)不可见:在(zài)虚拟化云计算(suàn)网络,原有的(de)环境里无法(fǎ)看到虚拟机(jī)上的流量状况,更无法(fǎ)透视虚拟(nǐ)机交互流量中的安全风险。而云时代,东西向流量(liàng)占比(bǐ)越来越大(dà),东西向安(ān)全问题将越(yuè)来越严重。比如APT攻(gōng)击(jī)、病毒蠕虫(chóng)、僵尸程序等安全风险都具有(yǒu)横向传(chuán)播特(tè)性(xìng),如果不能(néng)看清虚(xū)机(jī)上的流量内(nèi)容,就无法识别流(liú)量中的安全风险(xiǎn),更无(wú)法保障虚机安全。因此(cǐ),一旦某台虚机被黑客控制,可能导致整个云数据中心(xīn)暴(bào)漏在黑客面前,从而产生大规模的安全(quán)问题。
3.业务更动态,安全难跟(gēn)随:在虚(xū)拟化云计算环境里,资源实现了解(jiě)耦,虚(xū)机不再和(hé)底层硬件相关,业务虚机会动态的部署和(hé)迁移,因此需(xū)要安全防护策略能够动(dòng)态的迁移和跟随。而传(chuán)统的(de)硬件安全设备由于IP、端口的固化,导致安全防护(hù)策(cè)略(luè)无法实时跟随虚机漂移,从而出现安(ān)全防(fáng)护间隙。
4.虚拟化层(céng)带来新的风(fēng)险:虚拟化层Hypervisor是新引入的操作系(xì)统,会带来新的安(ān)全漏洞,比如虚拟机溢出、虚拟机逃(táo)逸(yì)等安全(quán)风险,就是Hypervisor漏洞导致的,虚拟机可以利用这些漏(lòu)洞直接攻击(jī)Hypervisor,控制(zhì)host机,造成严(yán)重的安全(quán)后果。
三、解决方案
我(wǒ)们提供云安全服务(wù)平台(CSSP)以保护客户资产(chǎn)(虚机)和业(yè)务为核(hé)心(xīn),以安全防(fáng)护(hù)单元虚拟化下一代防火墙为基(jī)础,以持(chí)续提供真实(shí)可靠的安全防护为(wéi)目标,对客户的(de)资产和业务进行全面的(de)、立(lì)体的安全(quán)防护(hù),切(qiē)实保障虚拟化云环境的安全需求(qiú)。
云安全(quán)防护平(píng)台(tái),可以无缝集成到Vmware平(píng)台,为(wéi)虚拟化环境提供专业的安全防护。CSSP平(píng)台(tái)集成(chéng)了专业的(de)云安全防护组件(jiàn),保障(zhàng)虚拟网(wǎng)络(luò)内部的L2-L7层安全需求,满足虚拟网络的区(qū)域划分和(hé)访问控制(zhì),透视虚(xū)拟机上的交(jiāo)互流量(liàng)内容,实时(shí)发现并阻止安全风险进出虚拟网络(luò),有效保障云计算网络安(ān)全。
CSSP云安全解决方案平(píng)台架构
CSSP能够(gòu)统一下发虚(xū)拟防火墙防护组件,每一个受保(bǎo)护的Host设(shè)备上都(dōu)有一个虚拟防火墙实例,CSSP平台实现对虚拟(nǐ)防火墙的分布式集中管理。虚拟防火(huǒ)墙利用引流插件与VMsafe接口(kǒu)实现联动,实现从Vmware底层引流到虚拟防火墙进行检(jiǎn)测(cè)和清洗,并对(duì)干(gàn)净流量(liàng)进行回注。在(zài)极(jí)限(xiàn)情况下,CSSP自动启用bypass模式,不再从VMsafe接口引(yǐn)流,流量将按照(zhào)原有(yǒu)的机制转发而(ér)不经过CSSP,从而保障业(yè)务服(fú)务0中断。
1.统一管理
云安全服务平(píng)台CSSP支(zhī)持(chí)对(duì)虚拟(nǐ)防火墙(qiáng)进行自(zì)动部署(shǔ),并(bìng)实现对已部署的安全组件进行统一配置,因此客户(hù)全组织(zhī)内(nèi)可(kě)以执行统一的安全策(cè)略,在极大的减少运维人员工作量的同时(shí),也能充分保障安(ān)全策略的一致性,避免出现不(bú)必(bì)要的(de)错乱而带来(lái)安全风(fēng)险。
在进行安(ān)全防护的过程中,虚拟防火墙组件会将自(zì)身捕获(huò)到的安全信(xìn)息反馈给CSSP,由CSSP进行统计、分析和展(zhǎn)示。
2.资(zī)产发现
CSSP通(tōng)过调用Vim::find_entity_views接口与vCenter进行通信(xìn),能够自动(dòng)发现已部署的资产(包括(kuò)主(zhǔ)机和网(wǎng)络设备),并能对资产的变动进行及时(shí)的(de)(1分钟内)信息更新。另外,用(yòng)户可以对重点资产进行核心标记,以便(biàn)在相关安(ān)全图(tú)示中能够更清晰的看到(dào)重点所(suǒ)在。
3.区域划(huá)分
通过CSSP的(de)部署,客户(hù)网络将被自动划分为(wéi)两大区域,其中受(shòu)到虚拟防火墙(qiáng)组件保护的(de)区域被称之为信任区(qū)域,而没有受到安(ān)全组件(jiàn)保护的(de)区域被称为非信(xìn)任区域。除了这种自动划分以(yǐ)外,用户还可以对信任区域的资产(chǎn)进(jìn)行逻辑区(qū)域(yù)的划分,从而方(fāng)便(biàn)用户能(néng)够更精(jīng)确的对资产应用(yòng)安全策略。
4.虚机微隔离(lí)
对于CSSP而言,客户网络中(zhōng)的流量被(bèi)归纳为两大类,所有信任区域(yù)与非信任区域之间的流量(liàng)被(bèi)称之为南北向(xiàng)流量,所有信任区域与信任(rèn)区域(yù)之(zhī)间的流量被(bèi)称(chēng)之为东西(xī)向流量。而对(duì)于所有非信任(rèn)区域与非信任(rèn)区域(yù)之间的流量,因为它们无法受(shòu)到安全组件的保护,所以不在CSSP监管之列(liè)。
通过将安全组(zǔ)件植入网络结(jié)构之中,对网络进行信任区域和非信(xìn)任区域的划分(fèn),可以(yǐ)更细致的(de)监控区域之间的(de)(东西向/南北向)流量并强(qiáng)制实施L2-L7各(gè)层规则以阻止或允许流量通过,从而能够有效的阻止威(wēi)胁流量在客户网络中横冲直(zhí)闯,实现的更加(jiā)灵活又安(ān)全的“微隔离(lí)”。
5.流(liú)量可视(shì)
深(shēn)植于网(wǎng)络(luò)结构之中的(de)虚(xū)拟防火墙(qiáng)安(ān)全组(zǔ)件(jiàn)能够实时的监控和分(fèn)析网络(luò)中的流量,并将相(xiàng)应的安全信息数据汇聚到CSSP,由CSSP进行统计分析后(hòu)以图形化的方式呈现到用(yòng)户面前,从而(ér)实现网络流量(liàng)可视。