业务背景
在中国,云计算市场规模在不断扩大,三大电信运营商已建成规模化行业云平台,各省市政务云也已基本完成一期建设,金融、零售、教育、物流、医疗、制造、传媒等行业云也在此趋势下竞相向前发展,形成了较为良好的发展态势。
然而,资源集中使云平台更容易成为黑客攻击的目标,云上的安全问题也更加突出。安全已成为用户上云的最大阻力。idc调研显示,云计算所面临的挑战汇中,安全问题排在首位。2019年rsa大会上,云安全跃居热词榜首。
风险与挑战
云平台安全合规风险
根据等保2.0/gbt 31167等云安全政策要求,云服务商必须满足安全合规要求并通过相关安全审查,具备保障用户数据和业务系统安全的能力。当用户业务系统进行等保测评时,首先应关注云平台是否已经测评,如未测评,则无法开展对用户系统的测评。
云用户安全需求难以满足
传统云平台安全架构仅能够对用户提供通用的安全策略,不能适用于所有用户。用户因而不能根据自身业务需求选择和管理安全组件,这将放大用户业务系统“上云”后安全责任难以界定等风险,从而对“上云”产生顾虑。另外,不适用的安全策略也会影响用户业务系统通过等保测评。
云平台缺乏安全全局监测和快速响应能力
以防御为主的安全方案能够让云平台及用户具备应对网络攻击的能力,但是由于缺乏全局的安全检测能力,云平台运营方不得不面对碎片化的安全管理界面,不仅安全运维效率低下,而且加重了运营方的工作强度。最终导致未能及时发现安全风险。与此同时,由于缺乏快速响应能力导致不能及时处置云平台中发生的安全事故,使得攻击的危害进一步蔓延到其他资产,造成更大的损失。
解决思路
落实平台自身安全合规
云平台自身安全应遵照等保2.0要求,基于云平台业务特性,从云平台边界安全防护、宿主机及虚拟化安全和云管理平台安全出发,在满足合规的基础上,对云平台提供持续保护。
为用户/业务提供安全能力
为打消用户上云对安全风险的顾虑,云平台应能够为云用户业务系统提供池化的安全资源服务,可基于软件定义的安全资源池、openad等高性能的安全硬件设备和云眼/云盾等安全云服务,供用户自行选用和配置安全策略。除此以外,针对paas/saas等云服务模式,云平台应基于池化安全资源服务和应用自身的访问控制策略和安全加固措施,共同保障业务安全。
统一管理,实现安全全局监测
通过在安全运营中心构建网络安全感知平台,可帮助云平台运营者实现对云内所有安全事件的全局监测和统一管理。在各业务区部署流量检测探针,实现对云内资产日志及网络流量的统一采集与分析。当资产的脆弱性风险和网络攻击等安全威胁出现时,可在第一时间发现问题,并于全网海量资产中实现威胁的精确定位。通过平台的大数据分析能力,还原攻击链,对事件进行溯源分析,以便进一步的电子取证, 节约企事业单位对通信链路的投资成本。
构建安全事件快速响应能力
基于网络安全感知平台,通过边界、端口安全设备与平台的联动工作机制,以及平台与深信服安全服务专家的联动机制。可实现针对安全事件的快速响应,包括边界安全网关对可疑ip的一键封锁,终端安全软件对可疑文件的一键隔离/查杀,以及基于安全服务专家对安全事件进一步的分析定位,快速找出威胁根源,及时处置,并针对事件溯源分析,提供修复和加固建议。
深信服云安全方案框架图
方案实现
基于核心交换设备、虚拟防火墙、edr和下一代防火墙构建云管理平面与业务平面、虚拟机与宿主机、不同安全级别的等保业务区、不同用户的虚拟网络vpc以及虚拟机微隔离五个层面的网络隔离。基于下一代防火墙、应用交付、上网行为管理等构建边界立体防御体系,vpn网关构建安全接入平台,堡垒机、日志审计保障云管理平台运维安全。云平台基于上述安全设备形成满足等保2.0技术要求的安全合规体系。
基于云安全资源池、openad和云眼/云盾,构建池化的安全资源服务,供用户使用,包括负载均衡、下一代防火墙、堡垒机、日志审计等组件,用户可根据业务需求进行安全自管理。基于安全感知平台和流量探针,构建安全监测预警体系,实现云安全全局监测和统一管控。另外,依托深信服提供的高级威胁分析与处置服务,安全服务专家可联动安全感知平台的现有分析结果,协助安全运维人员实现对安全事件的及时处置。
方案优势
