安基網 首頁 資訊 安全報 查看內容

2019云安全廠商方案“大閱兵”

2019-10-7 13:04| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 自從Google在2006年公開提出云計算的概念以來,已經過了13年的時間。隨著業務上云的熱潮席卷全球,越來越多的企業對云安全的認知,從最初的顧忌和恐慌,轉變為盲目的信任和依賴。然而,云計算并非企業安全的革命,云 ...

自從Google在2006年公開提出云計算的概念以來,已經過了13年的時間。隨著業務上云的熱潮席卷全球,越來越多的企業對云安全的認知,從最初的顧忌和恐慌,轉變為盲目的信任和依賴。

然而,云計算并非企業安全的革命,云實例與我們的臺式機或獨立服務器其實運行著相同的操作系統。因此,數據上云依舊面臨著來自硬件漏洞的威脅,服務商偷窺、工作人員不可控、安全布控成本增加等新問題也逐步體現。

隨著云計算技術廣泛普及,云安全問題日益受到重視,云安全市場持續快速增長。在這里,雷鋒網根據中國信息通信研究院印發的《中國網絡安全產業白皮書》進行了詳細整理:

2019云安全“大閱兵”

根據 Gartner 數據:2018 年全球云安全軟件市場規模達到58.09 億美元,相比 2017 年增長 18.4%80;Forrester81預測,2023 年云安全支出將增長至 126 億美元。國內外安全廠商持續加大力度布局,2019 年 RSAC700 多家參展企業中,近 42%提供云安全產品和解決方案。

公有云方面:云安全技術創新活躍,風險監測防御、應對多云環境、敏感數據保護等仍然是云安全熱點領域。

云工作負載保護平臺(CWPP82)方面:

1、Symantec 的 CWPP 產品基于內置云原生適配器適應 AWS83、Azure84和 Google85云等不同云計算環境,自動探測可用域、標簽、網絡等云計算環境信息作為策略和告警模塊的上下文信息補充,并通過安裝代理實現漏洞管理、實時惡意軟件保護等功能。

2、Radware86結合沙箱技術和加密挖礦控制套件,采用自動檢測和自動響應來識別、警告和阻止公有云中的加密劫持挖礦活動。

3、青藤云基于自適應安全架構構建云上防護平臺,為用戶提供持續監控、分析及響應;椒圖科技采用RASP87、ASVE88、沙盒等基于異常行為的檢測技術,檢測并防御未知威脅。

云訪問安全代理(CASB)方向:國外主流廠商均已推出 CASB 產品或解決方案,如微軟、Netskope89、Bitglass90、Skyhigh91等。

——國內 CASB 市場仍處于萌芽階段——

1、奇安信產品云守基于對特定云應用的數據安全防護策略保障云端數據及網絡安全,對云端和傳輸中的數據通過認證、標記化和加密等方式進行保護,產品內置 AES92算法、中國標準國密 SM 算法等數十種算法,保證結構化及非結構化數據安全。

2、臻至科技通過使用深度學習技術按需監控相關應用及軟件實 現 CASB 能力,提供 AES-GCM 256 位加密算法、針對 ARM93平臺的CHACHA20 算法以及流式加密等,并支持將所有密鑰部署在全球區塊鏈節點上。

容器安全方向:

1、Aqua94的 Cloud Native Security Platform產品提供了針對容器和無服務環境的綜合型安全管理平臺,包括基于CI/CD95環境掃描的漏洞管理功能、針對 PCI DSS96等標準和法案的合規審計服務以及其他相關安全能力;目前國內在容器安全方向仍處于實驗研究階段。

數據防泄漏(DLP97)方向:

1、McAfee98的 MVSION Cloud 產品對云中數據實施防泄漏策略,自動對敏感信息進行分類,以便在云中進行刪除或隔離;思睿嘉得使用機器學習、自然語言處理、文本聚類分類等技術實現數據分類分級,使用 ORC99和圖片相似度實現圖像內容識別,支持終端策略阻斷、互聯網外發阻斷、郵件審批等數據保護功能。

私有云方面:

除云工作負載保護平臺、數據防泄漏等公私有云均適用的產品外,國內廠商聚焦于以云安全資源池為核心的云安全綜合解決方案。云安全資源池提供虛擬化的安全能力,如防火墻、WAF、IDS、IPS、堡壘機、數據庫審計等,并通過統一安全管理平臺對各類安全能力進行組織和編排,形成整體安全方案。

1、安恒信息通過為用戶提供包含云監測、云防御、云審計等覆蓋全生命周期的云安全產品服務提供一站式云安全解決方案;啟明星辰則運用虛擬化、軟件定義安全等技術提升安全資源的利用效率并形成各項安全能力的動態編排以及實現云上引流。

國內部分云安全廠商能力介紹如表所示:

廠商們的十八般武藝

(一)三六零:360 云安全大腦實踐

1. SaaS 云安全能力

三六零云探系統是一款基于 SaaS 的安全服務產品。依靠 360 安全大腦強大的云端資源,以及 360 在搜索、終端安全、Web 安全、云安全等方面積累的數億用戶群和海量數據,為用戶提供網站漏洞掃描、網頁篡改監測、網頁掛馬監測、黑詞/暗鏈監測、可用性監測、仿冒/釣魚網站監測、未知資產監測、DDoS 攻擊監測等安全監測服務。三六零云探系統旨在通過云端大數據能力,發現企業網站的安全問題。三六零云探架構如下圖所示。

三六零云探架構

產品設計目標:

(1)解決網站未知資產監控問題;

(2)解決網站問題發現不全問題;

(3)解決網站 0Day 漏洞發現問題;

(4)解決網站漏洞修復閉環問題;

(5)解決全國可用性監控問題。

產品組成與架構:

爬蟲引擎是監測平臺重要的基礎組件,完成對監測域名的內容爬取,以供各類分析引擎使用。

大數據平臺存儲爬取的頁面數據,檢測的數據等,可用于后續做大數據分析和數據挖掘。

內容監測 API 和運維平臺主要針對已有數據進行分析,為平臺提供監測結果。

監測平臺 API 和運維平臺主要是將群監測的功能界面化,方便用戶的日常監控及運維管理。

三六零云探可以為用戶提供快速定位問題資產,提供實時托管式的安全監控服務,支持本地化和云端的 SaaS 化部署模式,滿足各種用戶部署要求。

除了三六零云探系統,360 還提供三六零磐云 Web 應用安全防護系統,為用戶提供一套基于云+端的,完整的“事前預警+事中防護+事后服務”Web 安全云解決方案。

2. 云安全集中管理平臺能力

通過 NFV(網絡功能虛擬化)技術把傳統網絡安全設備進行虛擬化以適應虛擬化云計算環境,打造可以為云上用戶動態獲取到云安全資源,從而使云上用戶可以按需獲取相應的安全能力,滿足自身業務安全防護、等保合規和安全運營的需求。

云安全集中管理平臺集成有豐富的安全服務組件能力,包含網絡安全、主機安全、應用安全、數據安全以及安全運維審計等安全能力,可以對異構多云平臺統一安全管理,安全服務編排、自助安全運營等。

(二)山石網科:基于 NFV 框架的云計算租戶級硬件防火墻防護方案

為滿足業務遷移上云的安全性,山石網科與某國內知名電信廠商配合,基于OpenStack 標準框架,實現分行測試云的建設。為實現租戶級的安全防護,和租戶的自服務。租戶之間的安全防護,首先利用 SDN 實現二層網絡隔離。

雷鋒網了解到,租戶之間和租戶與外部的網絡訪問控制采用 OpenStack 的標準 FWaaS 實現,由山石網科的硬件下一代防火墻和云集配合 SDN 和云平臺完成。山石網科硬件下一代防火墻通過 vSYS 功能(一虛多),為每個云租戶創建一個虛擬防火墻,防火墻提供訪問控制、NAT 等相關功能。租戶的自服務,租戶通過在云管平臺進行配置、創建防火墻。

山石云·集提供了標準的FWaaS 的輕量級插件,用于從云管平臺獲取配置信息。根據 FWaaS 上生成的創建防火墻、配置防火墻的信息,由山石云·集對硬件防火墻(或虛擬防火墻)進行生命周期的管理,創建防火墻,配置的注入。

同時山石云·集也提供了對 SDN的接口,利用 SDN 接口,對 SDN 進行配置,以確保和 SDN 配置和生命周期的同步。

山石云·集會保持所有對防火墻或虛擬防火墻配置的狀態信息,以及自身運行狀態的信息,一方面方便用戶在出現故障時能夠及時參與故障排查和恢復,山石云·集設計時完全參照了 NFV 框架,扮演 NFVM 和 EMS 的角色,并提供標準化 RestAPI 接口。

當環境中有 MANO 時,可以配合 MANO、VIM 完成自動化編排部署工作。它向 MANO 提供相關設備信息,便于 MANO 進行編排管理,在 MANO 完成 SDN 配置調整同時,完成防火墻的創建和配置管理。

山石云·集可以自動完成網元管理,包括根據網元運行負載進行擴縮。方案的特點是:

1、標準化方案,基于事實標準 OpenStack 框架或 NFV 標準框架,可實現多個廠家云管平臺、2、SDN 的對接,山石網科已與多個國內廠家完成對接。

3、自動化部署,租戶自服務、云、網、安全自動開通。

4、故障可定位、可排障。

5、平滑向全虛擬化方案過渡,方案未來具備向虛擬網元方向發展。

山石云·集 云安全建設方案如圖所示。

山石云·集 云安全建設方案

(三)中國網安:基于第三方的政務云安全監管實踐

項目基于第三方監管的理念,針對多級云平臺、多種云服務商、多種云平臺技術路線的混合云場景,通過統一平臺實現資源管理、安全管理與云平臺的解耦,為政務云、大型企業等云用戶提供對云服務的統一資源監管、統一安全監管、統一運營管理功能,幫助云用戶解決混合云場景下的統一監管體系,符合等保 2.0集中管控、持續監管的思想,是行業內云安全綜合管理、Cloud SIEM、混合云管理等的云安全熱點問題的落地方案。

1. 基于第三方的多云監管體系

在整體架構中,云監管平臺底層通過云資源適配層(接口適配)的標準數據接口接入不同技術路線的多個云服務商平臺資源數據、安全數據等,支持異構云服務商,也支持匯聚下級云監管平臺采集的數據和分析結果。

上述數據匯聚到云監管平臺后,通過平臺整理、關聯、分析、挖掘,對上提供對多個異構云服務商平臺的統一資源監管、運營監管、安全運維、云服務商能力考評等功能。上述功能,通過統一門戶提供給云租戶和云監管人員使用。基于第三方的多云監管架構如圖所示。

第三方多云監管架構

2. 云監管能力

云監管平臺為云用戶提供的主要云監管能力包括資源監管、運營管理、云服務商能力考評和云安全運維。

資源監管主要提供資源運行狀態監管、資源變更情況監管、資源配置情況監管、資源故障告警情況監管、資源統計分析報表及租戶自身資源操作功能模塊,支持全局視角、云服務商視角、租戶視角、業務視角及單個資源視角等維度的監管。

運營管理將底層資源包裝成標準的可度量的標準化服務對外供應。實現服務目錄管理、訂單全生命周期管理、用戶資源占用的計量和計費、運營情況的報表統計分析等。

云服務商能力考評幫助云監管平臺監管人員對云服務商所提供云服務的綜合監管,由云服務性價比考評、云服務商運維水平考核及云服務商安全審查功能模塊組成。

云安全運維包括態勢感知、安全預警、綜合運維、應急響應、硬件準入管理、安全審計功能和安全服務支撐模塊,對整個政務云平臺安全設備進行統一管理,對接入政務云平臺的各種硬件設備做準入審批,對政務云平臺進行集中安全監管。

(四)天融信:云安全解決方案實踐

天融信云安全解決方案,是天融信云安全縱深防御思想的完美體現,采用安全資源池實現租戶邊界防御,融合基于無代理技術的虛擬化分布式防火墻進行東西向防護,結合 EDR 進行云主機內安全防護,通過云安全管理平臺進行統一管理和云安全態勢呈現,構成了從外到內多層縱深主動防御體系,全面保障政務云安全。云安全防護產品示意圖如圖所示。

云安全防護產品示意圖

統一管控

采用統一云安全管理平臺對安全網元集中管控,實現安全服務一鍵部署、自動激活。用戶通過安全管理平臺對安全網元進行集中化運維,避免大量安全設備帶來的賬號管理困難、運維操作復雜等難題。

動態可視

通過運維監控大屏頁面,對安全資源使用情況、業務系統安全風險進行統一展示,方便運維人員及時發現性能告警、安全威脅。

按需購買

安全資源池為租戶提供豐富的安全網元,允許租戶根據業務發展的安全需求按需購買,滿足個性化防護需求,提供差異化安全防護能力。

深度融合

資源池與上層云平臺深度集成,通過云平臺賬戶直接開通、配置資源池中的安全網元,增加使用便捷性。分布式防火墻與云平臺深度融合,采用零信任、微分段模型,實現以虛機為單位的東西向安全防護。

(五)綠盟:基于安全資源池的云安全服務平臺實踐

1. 總體技術實現架構

充分考慮云計算的特點和優勢,以及最新安全防護技術發展情況,提供資源彈性、按需分配的安全能力。

云平臺安全技術實現架構

展示層:提供安全服務用戶開通、使用、配置各種安全服務的門戶,提供安全運維人員對云平臺進行統一管理、監控的門戶。

服務層:是安全運營服務平臺的核心,其負責安全設備管理、安全資源池的管理以及提供用戶開通安全防護時所需的流量調度功能。在安全防護設備/服務啟用后,還提供服務管理、配置管理、告警管理能力。同時,提供各種安全資源/設備的日志、事件、運維、性能、監控和告警管理。另外,還提供了用戶賬戶、權限等系統管理功能。

資源層:包括了各類安全資源,如傳統安全設備、虛擬化安全設備、大網安全防護服務以及專用安全資源池等。這些安全資源接收上層安全管理平臺的管理,對外提供安全保障能力。

通過此技術實現架構,可以實現安全服務/能力的按需分配和彈性調度。當然,在進行安全防護措施具體部署時,仍可以采用傳統的安全域劃分方法,明確安全措施的部署位置、安全策略和要求,做到有效的安全管控。

2. 平臺功能框架

安全運營服務平臺功能框架如圖所示。

安全運營服務平臺功能框架

安全服務平臺

平臺用于云環境下的安全服務,可以統一管理云平臺中的各種資源。平臺基于安全資源池提供的安全能力以服務化的方式提供給管理員,提供管理、控制、分析、呈現功能的組件。

安全資源池

支持物理安全設備和虛擬安全設備等類型的安全資源,接受資源池控制器的管理,對外提供相應的安全能力。目前,安全資源池中包含了系統掃描器、Web應用防火墻、入侵檢測系統等安全組件。

資源池控制器

控制硬件和虛擬化的安全設備,提供安全策略管理、配置管理、安全能力管理等與特定安全密切相關的功能。根據應用場景的不同,可靈活配置和擴展。

日志分析系統

日志分析系統可以收集設備日志,實現日志的統一管理,將設備用戶行為記錄下來,便于 IT 運維人員進行快速分析和查詢。

(六)亞信安全:服務器深度防護實踐

亞信安全針對云化環境提供的信息安全防護方案——DeepSecurity,通過病毒防護、訪問控制、入侵檢測/入侵防護、虛擬補丁、主機完整性監控、日志審計等功能實現虛擬主機和虛擬系統的全面防護,并滿足信息系統合規性審計要求。

亞信安全針對虛擬化環境提供創新的方法解決安全防護程序帶來的資源消耗問題,通過使用虛擬化層相關的 API 接口實現全面的病毒防護。DeepSecurity 部署如圖所示。

DeepSecurity 部署圖

亞信安全針對虛擬系統中通過接口實現針對虛擬系統和虛擬主機之間的全面防護,無需在虛擬主機的操作系統中安裝 Agent 程序,即虛擬主機系統無代理方式實現實時的防護,這樣無需消耗分配給虛擬主機的計算資源和更多的網絡資源消耗,最大化利用計算資源的同時提供全面病毒的實時防護。

訪問控制

亞信安全 DeepSecurity 防火墻提供全面基于狀態檢測細粒度的訪問控制功能,可以實現針對虛擬交換機基于網口的訪問控制和虛擬系統之間的區域邏輯隔離。DeepSecurity 的防火墻同時支持各種泛洪攻擊的識別和攔截。

惡意代碼防范

亞信安全 DeepSecurity 提供全的主機惡意代碼防護功能,可以防護傳統惡意代碼和新型的安全威脅(例如:勒索軟件、挖礦病毒等)。并提供機器學習功能,對于同一惡意軟件家族的變種。

入侵檢測/防護

DeepSecurity 除了提供傳統 IDS/IPS 系統功能外,還提供虛擬環境中基于政策(policy-based)監控和分析工具,使 DeepSecurity 更精確的流量監控、分析和訪問控制,還能分析網絡行為,為虛擬網絡提供更高的安全性。

虛擬補丁防護

亞信安全 DeepSecurity 通過虛擬補丁技術完全可以解決由于補丁導致的問題,通過在虛擬系統的接口對虛擬主機系統進行評估,并可以自動對每個虛擬主機提供全面的漏洞修補功能,在操作系統在沒有安裝補丁程序之前,提供針對漏洞攻擊的攔截。

亞信安全 DeepSecurity 的虛擬補丁功能既不需要停機安裝,也不需要進行廣泛的應用程序測試。雖然此集成包可以為 IT 人員節省大量時間。虛擬補丁防護如圖所示。

虛擬補丁防護

完整性審計

亞信安全 DeepSecurity 產品可以針對系統支持依據基線的文件、目錄、注冊表等關鍵文件監控和審計功能,當這些關鍵位置為惡意篡改或攻擊時,可以提供為管理員提供告警和記錄功能,從而提供系統的安全性。

日志審計和報表功能

亞信安全 DeepSecurity 提供全面的系統日志和詳盡的報告功能,除了記錄自身的各功能日志外,還可以將虛擬主機操作系統日志結合 DeepSecurity 自身日志進行統一的統計和分析,日志系統還可以生成符合國際相關安全規范的報表。

DeepSecurity 通過對日志進行分析可以讓管理員跟蹤 IT 基礎設施的活動,評估服務器數據泄密事件是否發生、如何發生、何時發生、在何處發生的有效方法。

(七)阿里云:基于全球防御體系的大流量 DDoS 防護實踐

DDoS 高防 IP 服務是阿里云自主研發、通過專用高防機房提供 DDoS 攻擊防護的云安全服務。

服務針對互聯網服務器(包括非阿里云主機)在遭受大流量DDoS 攻擊后導致服務不可用的情況時,將攻擊流量引流到阿里云高防 IP 機房,經過對攻擊流量的清洗后將正常業務流量轉發至源站服務器,從而確保源站服務器的穩定可用。

1. 超大規模分布式全球 DDoS 防御體系

阿里云在全球范圍內升級云盾高防網絡,以提高響應速度和穩定性,防御能力近 10Tbps。DDoS 高防 IP 服務突破了現有 BGP 高防防護帶寬小、購買成本昂貴等不足,相比傳統靜態大帶寬攻擊防御系統的優勢體現在靈活的彈性可擴展能力,更好的網絡穩定性和交付體驗上。

在分布式能力上,DDoS 高防 IP 服務全面升級 BGP Anycast 網絡,充分利用阿里云全球清洗中心能力,采用智能調度技術將大規模 DDoS 攻擊流量自動牽引至距離攻擊源最近的清洗中心,同時具備多機房自動容災的能力。高防 IP 服務也可以為非阿里云內用戶提供同等能力的 DDoS攻擊防御。阿里云內用戶防御架構如圖所示。

阿里云內用戶防御架構

2. 精細化和智能化的防御機制

阿里云基于自主研發的云盾產品,為用戶提供全面的 DDoS 防護服務,可以防護 SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC 攻擊等三到七層 DDoS 攻擊。

除了對傳統業務提供有效的防御之外,阿里云 DDoS 高防 IP 服務層支持對包括社交類 APP、交易、視頻直播和智能物聯網等低延遲,高實時性新業務應用的大規模 DDoS 攻擊防御。

在傳統的代理、探測、反彈、認證、黑白名單、報文合規等標準技術的基礎上,結合 Web 安全過濾、信譽、七層應用分析、用戶行為分析、特征學習、防護對抗、威脅情報等多種技術,對 DDoS 攻擊進行阻斷過濾:

精細化。通過對 in/out 雙向流量信息的分析,提供精細化、域名級別、session 級別的應用級 DDoS 防護;

智能化。擺脫傳統基于統計的分析算法,引入了行為識別、機器學習算法和實踐,使得防御更加高效和精準;

全網威脅情報。基于阿里云安全大數據和全網威脅情報能力,針對全網的惡意 IP 進行持續跟蹤,在去除掉偽造 IP 后,系統能根據 IP 信譽庫自動過濾掉經常發起攻擊的惡意 IP。

3. 防御過程和效果可視化

安全可視化是云安全服務的關鍵能力,特別是在大流量 DDoS 攻擊場景下,對攻擊的實時監控顯得尤為重要。

阿里云 DDoS 高防 IP 服務不斷升級可視化能力,實現攻防的數據化、可視化和透明化。

阿里云 DDoS 高防 IP 服務提供對攻擊完整和詳細的記錄,一方面可以進行快速有效的實時分析,進一步改進防護效果;另一方面也便于后續取證和溯源,變被動防守為主動對抗。

(八)杭州迪普:基于硬件設備的云數據中心安全防護解決方案

迪普科技提出了以“云安全、硬實力”云數據中心安全解決方案,通過獨立的硬件安全設備來解決云網絡的安全問題,幫助用戶構建自動化部署的安全資源池,為云網絡提供全面、彈性、可編排的安全防護能力,如圖所示。

方案部署圖

無縫對接云網絡

由于在云環境下,同一物理服務器下的多租戶互訪默認通過虛擬交換機就能轉發,并不通過物理網絡設備和安全設備。

因此在云環境中東西向安全是一個比較大的難題。迪普科技通過將安全網關與 VXLAN 技術的結合解決了這一問題。

迪普科技 VXLAN 安全網關可以作為 VTEP(VXLAN Tunnel End Point),即三層網關,用于對 VXLAN 報文進行封裝、解封裝,并進行跨 VXLAN 的三層報文轉發。

在虛擬機和安全網關中,形成一個完整的 VXLAN 網絡,處于不同VXLAN 的虛擬機之間互訪必須經過迪普科技安全網關進行轉發和控制,從而實現了對于多租戶之間的安全隔離。三層網關(L3 Gateway)工作原理圖如圖所示。

三層網關(L3 Gateway)工作原理圖

適應多租戶的安全虛擬化

迪普科技使用 N:M 虛擬化技術,將 N 臺設備虛擬成一個資源池,再將資源池按需分成 M 臺邏輯設備,從而實現針對不同的租戶劃分出不同的 VSA(虛擬安全設備),可以從 CPU、內存、吞吐量、并發連接數、新建連接數、路由協議等維度進行劃分,從而實現 1 個租戶、1 個 VSA、1 個配置界面的目標。

自動化編排能力

迪普科技的云安全網關全面支持基于 OpenStack 的云管理,用戶可以像管理計算、存儲、網絡資源一樣管理迪普的安全設備,實現真正意義上的資源自動配置管理。

(九)奇安信:基于協同聯動的云安全實踐

奇安信云安全管理平臺創新性的融合多種安全技術與云計算技術,可面向云上租戶和業務提供全面、定制化的安全服務。該解決方案整體設計以“防范”為中心,基于傳統的邊界防御技術,提升為由“預防—防御—監測—響應”等技術形成的立體安全防護架構,深入云內,覆蓋了云環境中的網絡層、宿主機層、虛擬化層、云主機層、應用層、數據層等多層防護。

云安全管理平臺架構圖

云安全管理平臺主要有以下特點:

立體聯動防御體系

方案遵循“發現”-“阻斷”-“取證”-“研判”-“溯源”的防護體系,通過云安全威脅感知系統將原本碎片化的威脅告警、防護狀態、云內資產等信息數據結構化并統一整合,并結合威脅情報進行安全預判溯源,通過實時交互可視化技術,將原來未知安全威脅變得可視可管,使安全態勢一目了然,最終實現“云端、邊界、端點”+“安全可視與感知”的立體聯動防御體系。

東西向流量的微隔離:

以虛擬主機安全防護為核心,采用軟件定義的安全資源池,通過配置 AV、HFW 和 HIPS,實現東西向流量之間的微隔離,構建主機安全防護,重點解決虛擬網絡層面的邊界防護、虛擬網絡可視化等問題,同時實現虛擬機遷移過程的安全策略跟隨。

安全服務鏈編排

用戶可根據不同業務需求部署不同的安全組件(如 vFW、入侵檢測、vWAF等),按需編排服務節點形成安全服務鏈,在全生命周期內為應用提供安全服務。

(十)深信服:云安全技術實踐

云安全服務鏈技術是深信服在軟件定義安全領域的創新實踐之一。

云安全服務鏈是云計算環境下,安全產品服務化、自動化交付的核心技術,能夠實現基于用戶身份、業務應用類型對網絡流量進行按需防護,支持根據不同業務需求將不同的安全硬件或 NFV 節點(如 vFW、入侵檢測、vLB 等)按需編排形成安全服務鏈,在應用生命周期內為應用提供安全服務。技術原理和框架如圖所示:

云安全服務鏈技術架構

CSSP 將用戶輸入的訂閱信息(如用戶購買的安全組件及定義的組件順序)和標識信息(用戶五元組和 VLAN 信息),通過北向接口下發給 SDN控制器;

SDN 控制器根據用戶的訂閱信息、標識信息和服務節點的網絡配置(如網絡設備的接口、VLAN)計算出流表(基于 OpenFlow 協議)下發給SDN 交換機;

當來自外網的數據流第一次經過 SDN 交換機時,SDN 交換機按照定義的流分類規則匹配數據報文,并將其轉發到相應的服務鏈,進入第一個服務節點;

從第一個服務節點返回到 SDN 交換機的數據流,SDN 交換機基于入端口、五元組信息或 VLAN 查詢流表(基于 OpenFlow 協議),匹配相應的出端口,轉發到下一個服務節點;

數據流按照服務鏈定義的順序在服務節點之間按順序轉發;

最后一個服務節點返回到 SDN 交換機的數據流,SDN 交換機基于入端口、五元組信息或 VLAN 查詢流表(基于 OpenFlow 協議),匹配服務鏈出端口,轉發到內網;

當服務節點狀態發生變化時,如服務節點故障停止工作,CSSP 將檢測到該變化,并通知 SDN 控制器重新計算流表,下發給 SDN 交換機完成服務鏈動態更新;

當用戶訂閱信息發生變化時,如服務節點授權到期,CSSP 將檢測到該變化,并通知 SDN 控制器重新計算流表,下發給 SDN 交換機完成服務鏈動態更新。

未來展望

首先,政策方面:

2019 年 5 月,國家標準《信息安全技術 網絡安全等級保護基本要求》(“等保 2.0”)正式發布并將于年底實施,標準新增“云計算安全擴展要求”,進一步提出不同等級云計算平臺的安全擴展要求;

7 月,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部共同發布《云計算服務安全評估辦法》,以提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平。

云安全政策標準的進一步細化完善,將進一步提高云租戶等對云安全的重視程度,有效帶動云安全市場需求。

其次,支持多云的安全解決方案、云內東西向安全或將成為發展重點。

多云模式可以提供針對不同業務場景和安全需求的解決方案,降低企業上云成本,提高云計算環境的數據業務安全性以及抗災能力。

多云的部署發展,將驅動適配多云模式的安全解決方案需求增長。隨著云計算規模擴大和云中節點數增加,云內滲透威脅亦逐漸加劇,CWPP、微隔離、終端防護等東西向防護技術和產品需求日益迫切。三是云計算技術的發展將進一步推動云安全技術創新。

雷鋒網看來,近年來,云計算技術發展迅速,容器、微服務、云原生、DevOps100等新興技術已逐漸成為云計算技術的新方向,100 DevOps:Development 和 Operations 的組合詞,是一組過程、方法與系統的統稱,用于促進開發(應用程序/軟件工程)、技術運營和質量保障(QA)部門之間的溝通、協作與整合相關安全挑戰也隨之產生,容器安全、DevSecOps101等技術成為云安全領域的研究熱點。

此外,隨著 5G、物聯網、區塊鏈等新技術的發展,云計算環境將面臨新的安全挑戰,從而催生新的云安全需求。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6744892678321734147/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧