1. 程式人生 > >【資訊保安超級實踐系列】企業在雲環境下資料基礎設施的安全

【資訊保安超級實踐系列】企業在雲環境下資料基礎設施的安全

企業在雲環境下資料基礎設施的安全實踐
當越來越多的企業開始採用雲服務,安全問題往往成為待考慮的問題。在傳統IT環境中,企業預設的邏輯架構是可信的,資料在自己手裡,系統部署在自己的資料中心,有自己很清晰的網路安全邊界,邊界之間會有一個相對比較清晰的防火牆做隔離,有可控的安全策略的管理。
然而一旦雲化之後,企業雲資料中心面臨3個安全挑戰:

  1. 第一,企業接觸雲之後,基礎設施供應方發生了變化,無論是公有云、混合雲還是私有云,原有的網路邊界越來越模糊,不同業務之間有著不同的訪問許可權和控制規則;
  2. 第二,業務模式也在變化,以往的業務是靜態的,重構整合之後,業務需要重新部署在共享的技術架構上,靜態安全已經無法適應業務的動態變化;
  3. 此外,威脅在與時俱進,隨著大量的資訊處理、聯接、儲存在雲中,意味著未來將有大量不可靠的節點通過網路連線到雲上,最終威脅雲,帶來極大的安全風險。
    防止雲端的平臺系統遭到***,一直是許多企業關注的焦點。隨著作業系統廠商不斷地提高系統的安全性,以及安全防禦技術的進步,***已經將***的重點轉向了應用安全,通過企業自行開發應用系統的漏洞,***到雲端資料中心,獲取企業敏感資訊。針對應用漏洞,企業可以通過應用漏洞核查與分析工具、***檢測系統,應用級防火牆以及安全事件審計系統,進行檢測與阻斷,將可能的安全風險降至最低。
    然而,隨著企業不斷強化雲端資料中心的防護能力,***亦將***轉向使用者端,通過精密的目標性***(Targeted Attack)手法,長期潛伏企業終端,獲得企業內部敏管資料,並作為進一步攻入雲端資料中心的最佳跳板。針對目標***採用高持續性威脅APT手法,企業在實施系統安全防護方案時,必須考慮在虛擬機器算環境中,安全產品是否能夠提供和物理環境一樣的防護能力,以及是否會造成資源衝突等問題,虛擬化環境的安全防護對安全廠商是一大挑戰,目前僅有少數安全產品可以支援虛擬環境安全防護,並可以有效避開虛擬環境中資源衝突問題。
    企業雲部分的安全建設往往是企業資訊保安的成功與否的關鍵指標。那麼,企業如何應對這些資料安全挑戰?
    本安全方案應用在企業的雲安全方案,可以有效的防護大型企業雲平臺層面與資料中心的資訊資源和IT系統。
    企業雲安全的建設,主要根據國家相關部門的要求理解,主要分成兩個維度:雲平臺基礎設施安全建設和租戶的安全防護。
    (1)雲平臺的安全根據相關要求,雲平臺基礎設施首先要符合等保的三級要求,包括完善的安全裝置的防護和相關安全管理制度的建立。
    (2)租戶的安全建設,一方面要做到使用者的業務上雲後,安全防護能力符合原有的技術指標,即安全防護一致性,另一方面,不同的使用者可按照使用者需求,提供不同等保級別的防護,即能夠提供安全服務目錄,實現對使用者安全資源的靈活按需分配。

圖一 雲安全解決方案能力框架
針對雲平臺和雲租戶的安全防護進行邏輯性地區域劃分,形成的網路安全部署的邏輯框架圖
其中,安全管理區、雲邊界防護區、安全檢測區是平臺級區域的防護;overlay大二層網路和租戶的資源池是租戶級的區域和安全防護。
雲邊界防護主要是針對雲邊界與外網互動的區域防護,跟傳統資料中心出口的安全防護相似,主要涉及流量清洗、NGFW、WEB應用層防護(web伺服器沒有部署在雲內)以及網閘(同步兩張網的資料)等物理安全裝置。

圖三 企業雲資料中心建設落地方案例項

  • 安全管理區,主要是雲平臺的部署位置,以及相關雲平臺管理所涉及的安全裝置的部署區域,其中包括堡壘機、日至審計、漏掃、認證等相關產品,用於整個雲平臺基礎設施的安全運維和管理。
  • 安全檢測區,通過對雲環境中全網流量的分析,實現對雲平臺和雲租戶的流量安全視覺化,通過與雲平臺的協同聯動,實現對流量的多維度分析、安全日誌的採集彙總、多業務的安全評估,甚至於雲平臺和租戶的安全態勢感知。
    圖二 雲安全資源池分佈說明
  • 租戶邊界區,主要是利用高階的NGFW、LB等硬體安全裝置,進行虛擬資源池化,形成多個虛擬安全裝置,實現虛擬安全裝置對於租戶一對一的安全防護和有效的安全隔離(租戶南北向/租戶間)租戶區域的網路結構採用了大二層的overlay網路,利用VXLAN協議實現網路虛擬化,有效的實現租戶間的網路隔離。
  • 租戶計算資源池,是利用虛擬化技術,對計算、儲存、安全等物理裝置實現資源池化,每個租戶可進行按需分配,通過新華三獨有的SDN服務鏈技術,實現租戶內東西向流量的安全訪問,同時通過租戶內的虛擬化安全管理產品的部署,實現租戶內部資源的有效管理和監控。
    那麼,企業在應用新華三大安全雲資料中心解決方案會有哪些收益?
    通過參考《等級保護》、《雲安全服務能力要求31168》等業界最佳實踐標準,以雲平臺為統一視角,SDN為調控手段,虛擬化為交付形式,為企業使用者,尤其是大型企業和跨國公司提供便捷、可視、靈捷的安全一體化服務。
    雲安全解決方案主要特性包括:
    1. 安全資源池化與資源編排能力:諸如防火牆、負載均衡等關鍵安全產品均可通過N:1和1:N的虛擬化方式構建雲安全資源池。
    2. 安全產品自動化部署:方案中所涉及的所有關鍵安全產品均可以通過VCFC控制器進行統一排程與配置。
    3. 安全訪問路徑定義:通過服務鏈技術和NFV資源池的構建,可以在雲環境下自定義訪問路徑。
    4. 安全策略跟隨:具備完善的策略及會話管理機制,能夠規避虛機遷移所產生的策略失效風險。
    5. 安全合規:方案滿足公安部《等級保護》和網信辦《雲安全能力要求》的標準。
      充分滿足《等級保護》和《雲安全服務能力要求》中相應技術難點的實現,符合等保的設計方式,配合安全服務可以滿足一體化專案的安全交付。
    6. 有效規避合規風險
    7. 滿足安全服務目錄化
    8. 覆蓋雲安全相關的技術需求
    9. 規避運營者和使用者的責任邊界