私有云CSSP安全解决方案
一、私有云概述
云计算(suàn)颠覆性的(de)改变(biàn)了传统IT的服务模式,在虚拟化的基(jī)础(chǔ)上,将IT资源作为可(kě)提(tí)供的服务,实现了(le)使用者从以前(qián)的“购买(mǎi)软硬件产(chǎn)品(pǐn)”向(xiàng)“购买IT服务”模式转变,在虚拟化实现IT资源(yuán)利用率大幅提升的基础上(shàng),大大提高(gāo)了(le)IT的效率和敏捷性。我们(men)专注于网络安全(quán)和云计算领(lǐng)域,为(wéi)客户提供更简单,更安全,更有价值的(de)IT基础设施,为用户提供企(qǐ)业级私(sī)有云、政务云(yún)、行业云等云(yún)计算整(zhěng)体解决(jué)方案,并具备(bèi)专业的技(jì)术服务能力。
二、私有云安全(quán)分析
IDC调研报告显示:约(yuē)有75%的用户因云的安全性而对IT云化犹豫不决(jué),云安(ān)全问题成为(wéi)影响(xiǎng)云计算发展的重要障碍。到底虚拟化云计(jì)算带来了哪些安全问题呢?
1.安全边界(jiè)缺(quē)失(shī),业务(wù)风险集中:采(cǎi)用虚拟(nǐ)化(huà)技术后,同一台物(wù)理服务器上派生出多台虚拟机并(bìng)承载不同的业务应用(yòng),不同的虚拟(nǐ)机之间通(tōng)过虚拟交换机进(jìn)行(háng)连接,这就导致安全边界(jiè)缺失(shī),因此一(yī)旦出现安全(quán)风(fēng)险就会快(kuài)速扩散。比如病毒一旦感染了其中一台虚(xū)机,几乎就可(kě)以在(zài)服务器(qì)内(nèi)网自(zì)由传(chuán)播。
2.流(liú)量不(bú)可视,风险不可见:在虚拟化云计算网络,原有的环境(jìng)里无法看(kàn)到虚(xū)拟机上的流量(liàng)状况,更无法透视虚拟机交互流量中的安全(quán)风险。而(ér)云时代,东西向流(liú)量(liàng)占比越(yuè)来越大(dà),东西向安全问题将越来越严(yán)重。比如APT攻击、病毒蠕虫、僵尸程序等安全风险都具有横向(xiàng)传播特性,如果不能看清虚机(jī)上的流量内(nèi)容,就无法(fǎ)识别(bié)流量(liàng)中的安全风险(xiǎn),更无(wú)法保障虚机安全。因(yīn)此,一旦某台虚机被黑客控制,可能导致整个云数据中(zhōng)心暴漏在黑客面前,从而产生(shēng)大规模的安全(quán)问题。
3.业务更动态,安全难跟随:在虚拟化云计算环境里,资源实现了解耦,虚机不(bú)再和底层硬件相关,业务虚机会动(dòng)态(tài)的部署(shǔ)和迁移(yí),因此需要(yào)安(ān)全防护策略能(néng)够动态的迁移(yí)和跟随。而传统的(de)硬件安全设备由(yóu)于IP、端(duān)口的固化(huà),导致安全防护策略无法实时(shí)跟随虚机漂移(yí),从而出现安(ān)全防护(hù)间隙。
4.虚拟化层带来新的风(fēng)险:虚拟化(huà)层(céng)Hypervisor是新引入(rù)的操作系统,会(huì)带(dài)来新的安全漏洞,比如(rú)虚拟机溢出、虚(xū)拟机(jī)逃逸等安全(quán)风险,就是Hypervisor漏洞导(dǎo)致的,虚(xū)拟机可以利(lì)用这些漏洞直接攻击Hypervisor,控制host机,造成(chéng)严重的安全后果。
三(sān)、解决方案
我们提供云安全服务平台(CSSP)以保护客户(hù)资产(虚机(jī))和业务为(wéi)核心,以安全防护单(dān)元虚(xū)拟化下(xià)一代防火墙为基础,以持续提供真实可靠的(de)安全防护为目标,对客户的资产和业务进行全面的、立体的安全防护,切实保障虚拟化云环境的安全需求。
云安全防(fáng)护平台,可以无缝集成到Vmware平台,为虚(xū)拟化环境提供专业的安全防护。CSSP平台集成了专业(yè)的云安全防护组件(jiàn),保障虚拟网络内(nèi)部(bù)的(de)L2-L7层(céng)安(ān)全需求,满足虚(xū)拟网络的(de)区域划分和访问控(kòng)制(zhì),透视虚拟机上的交互流量(liàng)内容,实时发现并阻止(zhǐ)安全风险进(jìn)出虚拟网络,有(yǒu)效保障云计算网络安全(quán)。
CSSP云安(ān)全(quán)解决(jué)方案(àn)平台架构
CSSP能(néng)够统一下发虚拟防火(huǒ)墙防护组(zǔ)件,每(měi)一个受保(bǎo)护的Host设备上都有一(yī)个虚拟防火墙(qiáng)实(shí)例,CSSP平台(tái)实现对虚(xū)拟(nǐ)防(fáng)火墙的分布式集(jí)中管理。虚拟防火墙利用引流插件与VMsafe接口实现联动,实现从(cóng)Vmware底层(céng)引流到虚拟防火墙进行检测和清洗,并对干净(jìng)流量(liàng)进行回(huí)注。在极限情况(kuàng)下(xià),CSSP自(zì)动启用bypass模式,不再(zài)从(cóng)VMsafe接口(kǒu)引流(liú),流量将按照原(yuán)有的机制转发(fā)而不经过CSSP,从而保(bǎo)障业务服务(wù)0中断。
1.统一管理
云安全服务平台(tái)CSSP支持对(duì)虚拟防(fáng)火墙进行自(zì)动部署,并实现对(duì)已部署的安全组件进行统一配(pèi)置,因此客户全(quán)组织内可(kě)以执行统一的安全(quán)策略,在极大的(de)减少运维(wéi)人员工(gōng)作量的(de)同时(shí),也能(néng)充分保障安全(quán)策略的一致性,避免出现不必要的错乱而(ér)带来(lái)安全风(fēng)险。
在进(jìn)行安全防护的过程中,虚拟(nǐ)防(fáng)火墙组件会将自身捕获(huò)到的(de)安全信息反馈(kuì)给CSSP,由CSSP进行统计、分析(xī)和展示(shì)。
2.资产发现
CSSP通过调用Vim::find_entity_views接(jiē)口与vCenter进行通信,能够自动发现(xiàn)已部署的资产(chǎn)(包(bāo)括主(zhǔ)机和(hé)网(wǎng)络设备),并能(néng)对资(zī)产的(de)变(biàn)动(dòng)进行(háng)及(jí)时的(1分钟内)信(xìn)息更新。另(lìng)外,用户可以对重点(diǎn)资产进行核(hé)心标记,以便在(zài)相关安(ān)全图示中能够(gòu)更清晰的看(kàn)到重(chóng)点所在。
3.区域划分
通过(guò)CSSP的部署,客(kè)户网络将被(bèi)自动划分为两大区域(yù),其中受到虚拟防火墙组(zǔ)件保护的(de)区域被称之为信任区域,而没(méi)有(yǒu)受到安全组件保护(hù)的(de)区域被称为非信任(rèn)区域。除了(le)这(zhè)种自(zì)动划分以(yǐ)外,用户还可以对信(xìn)任区域的资产进行逻辑区域的划分,从而方(fāng)便用户能(néng)够更精确的对资产应用安全策略。
4.虚机微隔离(lí)
对于CSSP而言,客户网(wǎng)络中的流量被归纳为两大类,所有信任区域(yù)与(yǔ)非信任区(qū)域(yù)之间的(de)流(liú)量(liàng)被称之为(wéi)南北向流量,所(suǒ)有信(xìn)任区域(yù)与信任区域之间的流量被称之(zhī)为东西向流量。而对于所(suǒ)有(yǒu)非信任区域(yù)与非信(xìn)任区(qū)域之间的流量,因为它们(men)无法受(shòu)到安全组件的保护,所以不在CSSP监管之列(liè)。
通过将安全组件植(zhí)入网络结构之中,对(duì)网络进行信任区域和(hé)非信任区(qū)域的划(huá)分,可以更细致的(de)监控(kòng)区域之间的(东(dōng)西向/南北向)流(liú)量并(bìng)强制实施L2-L7各层规则以阻止或允许(xǔ)流量通(tōng)过,从而能(néng)够有效的阻止威胁流量在客户网络中横冲直(zhí)闯(chuǎng),实现(xiàn)的更加灵活又安全的“微隔离”。
5.流量可(kě)视
深(shēn)植于(yú)网络结构之中的虚拟防火墙安(ān)全组件能够实时的监(jiān)控和分析网络中的(de)流量,并将相应的安全信(xìn)息数据汇聚到CSSP,由(yóu)CSSP进行统(tǒng)计分(fèn)析后以图形化的方式呈现(xiàn)到用(yòng)户面前,从而实现网络(luò)流量可视。