数据安全

发布时间 2017-11-06

1、面临挑战


云计算的发展势头在近几年来呈现迅猛的势头,一方面,云计算技术的确为企事业单位的业务带来了新的模式,大大提升了效率与价值;而另一方面,在云计算时代下,企事业单位的应用场景也发生了很大变化,过去的物理安全防护边界消失,传统IT架构下的安全方案变得不那么适合,云计算时代所面临的安全挑战变得更加复杂,这使得用户在采购云计算时,对云安全的担忧因素占比很高。


总体而言,云化环境下的IT安全面临以下3大挑战:


l网络虚拟化使传统网络边界的防护手段失效



由于传统的网络结构中,网络边界一般通过物理的服务器、网络设备、网络接口进行识别,防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量,并按照预设的策略执行防护动作。但随着虚拟化实施之后,系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个虚拟机,这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成,不会与外部网络发生交互,传统的边界防护设备捕捉不到这些流量,也就不能进行防护。因此基于传统的边界防护的手段不适用于对虚拟化环境的边界保护。


l传统信息安全产品难以满足弹性化、个性化的安全需求


传统的信息安全产品通常以硬件形式存在,单台设备的功能与性能比较固定,采购和部署的周期比较长。企业将业务迁移到云中,由于云的弹性伸缩特点,允许企业业务的规模从小到大在一个很大的范围内变化。如果业务规模小、流量小,采用高性能的信息安全产品成本高,而且会造成资源浪费;如果业务规模大流量大,采用低性能的信息安全产品,就会出现信息安全产品性能不足的问题。弹性化的安全需求,不但体现在性能上,还体现在交付与部署时间上。因为业务在短时间内爆炸式增长,也需要安全产品交付与部署时间同步缩短。云计算里支持多租户,不同的租户对安全的需求也是不同的,传统的安全产品难以满足这些弹性化、个性化的安全需求。


l云安全管理对威胁的可视化提出更高挑战


对于传统数据中心而言,由于业务的规模不是特别大,安全管理对威胁的分析、可视、处理,通过多种传统的安全产品基本可以满足。由于业务量变化幅度不大,对威胁的联动响应大部分通过人工就可以满足要求。但随着云时代的到来,系统变得越来越复杂,组件越来越多,用户流量不断上升,各种相关事件和变更需求也越来越多,云的运维管理变得越来越重要,其中安全管理在运维管理之中又是重中之重。安全管理首先需要对云环境的安全风险进行有效的评估,通过对威胁的可视化可以保障运维人员对云的安全状况有整体的掌控。由于云的规模的庞大与分布式特性,对威胁的分析、可视化的安全产品的数量、形态、性能等多个方面都提出了更高的要求。


启明星辰作为云安全联盟(CSA)成员单位,经过持续追踪虚拟化技术发展,并研究虚拟化环境下信息安全实现技术,同时进行了大量实践之后,开发出了一套适用于虚拟化的云安全防护方案,可实现虚拟环境下流量牵引、建立弹性安全资源池等功能。目前该方案已在电信、政府、医疗等多个行业广泛应用。


2、解决方案


启明星辰经过对虚拟化环境深度分析,并基于多年技术积累开发出了软件定义安全SDS(流量牵引)和虚拟威胁检测Vetrix(安全资源池)相结合的云安全解决方案。SDS可实现虚拟环境下导出流量,并将流量分流或复制后交付物理或软件Vetrix进行安全处理的功能。产品部署如下图所示:



2.1 流量牵引方案


2.1.1 方案介绍


软件定义安全SDS由策略控制中心、虚拟导流器和虚拟威胁监控AGT三个模块组成,共同实现虚拟化环境的流量牵引功能。



虚拟威胁监控AGT是SDS的数据报文处理组件。AGT将需要监控的流量从虚拟网络环境中导出到物理设备或Vetrix中,具体的安全业务逻辑由物理安全设备或Vetrix来处理。这种方式对用户业务和网络影响小,AGT本身的处理逻辑也很简单;用物理安全设备处理安全业务可以获取极高的性能,用Vetrix可以获得很好的资源利用效率和弹性扩容。


虚拟威胁监控AGT本质是一台具有特殊功能的虚拟机。AGT接收来自策略控制中心下发的虚拟安全域策略;从虚拟交换机中抓取网络报文,依据策略对报文进行过滤,并将报文转发到指定的目标位置;AGT接收策略中心的控制,并向策略中心反馈统计信息。当有虚拟机迁移时,与虚机配套的安全策略将先于虚机复制到目的AGT中。保障虚机迁移前后的策略一致。


策略控制中心是SDS的管理控制中心,也是系统和用户的交互界面。用户通过策略控制中提供的交互界面可以同vCenter、ESXi中获取信息,可以向系统添加和管理网络安全设备(SecDev);通过策略控制中心还可以划分和管理虚拟安全域,制定和下方安全域导流策略,查看虚拟威胁监控系统的统计信息等。


虚拟化导流器负责虚拟化环境中数据包的抓取、匹配和转发的策略控制,无论在虚拟化网络网络中发生了什么,都可以根据用户策略抓取数据包、多网口抓包、数据包和安全策略的匹配、按照安全策略转发数据包、支持同一个包多目的转发、转发数据包统计信息等操作。


2.1.2 方案特点


虚拟网络威胁可视


对虚拟网络中的流量(含东西向、南北向流量)进行全面导流,帮助用户清晰了解虚拟网络中发生的状况。


虚拟应用安全域化


根据用户对虚拟化网络的需求定义虚拟安全域,及其安全域的虚拟机(VM)成员的数量、安全域的定义、安全域的应用,帮助用户做虚拟化资源的结构化管理,使管理员可以深入虚拟资源,了解威胁。


2.2 安全资源池方案


2.2.1 方案介绍


上述的虚拟威胁监控系统AGT将需要监控的流量从虚拟网络环境中导出后,具体的安全业务处理由物理安全设备或Vetrix安全资源池的虚拟安全设备来处理。


相比物理安全设备,Vetrix安全资源池部署快捷简单,仅需占用少量的虚机资源即可。可以在Vetrix安全资源池中根据需要以软件形态实现虚拟化的Floweye、IDS及审计类产品。


Vetrix安全资源池内部由两部分组成:平台系统和安全市场源服务器。



其中,平台系统是核心,负责安全产品的虚机管理、授权管理以及平台系统的管理,提供安全市场客户端功能,负责从安全市场源服务器下载虚拟安全产品包,平台里运行的安全虚拟机负责具体的安全功能;安全市场源服务器负责提供各种虚拟安全产品包(产品说明、映像文件、产品手册)。这两部分相互独立,可以灵活部署。


Vetrix安全资源池是集成了虚拟IDS、虚拟审计等多种虚拟安全产品于一身的强大虚拟安全管理系统,具备良好的用户体验与易用性,能够为用户构建已知威胁、未知恶意威胁、威胁审计的新一代安全防御体系。该产品系统软件可以运行在工控机和服务器硬件平台上,具有较强的硬件适应性。


2.2.2 方案特点:


安全的独立性


安全功能从物理上独立于虚拟化系统存在,不占用业务主机所在的物理机的性能,且更加便于运行维护,也更易于界定责任。


安全资源池化


可将资源(如:CPU资源、存储资源、网络资源等)提供给多个虚拟安全产品使用,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。有助于用户快速构建安全防御技术体系。


快速伸缩性


客户可以根据需要快速、灵活、方便地配置和释放安全虚拟机资源。对于客户来讲,这种资源是弹性的,能在任何时候获得所需的安全资源量,以应对随时变化的安全性能需求。


按需自助服务


在较少厂商销售或技术人员参与情况下,客户能根据需要获得所需安全资源,如自主确定安全虚拟机的类型、数量等。


3、优势总结


软件定义安全SDS(流量牵引)和虚拟威胁检测Vetrix(安全资源池)相结合的云安全解决方案,是启明星辰基于多年的安全经验积累、采用新一代多核X86高性能硬件平台和云计算技术、SDN技术研发而成的先进的云安全解决方案。为私有云环境下的威胁发现、威胁展示、威胁分析、威胁处理的专业化威胁发现与管理系统,优势如下。


3.1 自主产权,可持续发展


该方案具有完全自主的知识产权,能够帮助政府、军队、金融、电信、制造业、医疗、教育等企事业国家单位对网络安全进行更加方便的安全威胁发现、展示、分析与处理。系统设计之初就充分考虑了用户环境的复杂性、扩展性,以及对安全需求的不断变化,系统的自主设计将可以快速、可持续发展安全产品的功能与技术,为用户带来更多易用、适用、稳定可靠的安全产品。


3.2 节约成本,快速部署


该方案可以将多个安全产品以虚拟机的方式运行在1-N台硬件设备中,在节约了硬件成本的同时,还节约了多台硬件消耗的机架租金、电力、制冷、人力维护等运维成本。


系统内置的市场客户端可以从安全市场获得各种安全产品虚机映像,通过虚机映像可以快速创建各种虚拟化的安全产品,这个过程通常引擎类只需要1~2分钟,最多十几分钟(数据中心产品受限创建硬盘时间,越大尺寸硬盘时间越长),从而实现了快速部署安全产品。


3.3 可软可硬,灵活的商业模式


Vetrix安全资源池支持部署在定制的工控机硬件上,也支持部署在支持虚拟化的商业服务器硬件上;支持软硬件一体销售,也支持用户自己购买服务器硬件(硬件需要符合系统对硬件的要求),厂商只销售软件授权的商业模式。


3.4 统一管理,提高运维效率


该方案具有丰富的管理功能,友好的用户界面,统一的安全产品管理接口。安全产品出现故障时,可以通过界面登陆虚机串口、重启虚机、切换网络等手段,远程处理故障,不用管理员跑机房操作安全产品调试,极大的提高了网络安全产品运维的效率。


3.5 灵活扩展,持续提升安全能力


Vetrix安全资源池支持安全产品虚拟化的部署方式,在单机硬件资源允许的条件下,用户通过创建安全产品虚拟机,快速扩展自己的安全能力;


Vetrix安全资源池支持分布式系统架构,在单机硬件资源不够时,可将多台主机组成硬件资源池,通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式,近乎无限扩展安全能力。


3.6 安全合规,云环境下的迫切选择


传统IT架构满足等保三级要求时,需要部署防火墙、入侵检测、数据审计等产品,在云环境下的虚拟机之间东西向流量,无法采用传统硬件安全设备进行入侵检测与审计,难以满足云等保等合规要求,采用系统整体方案后,可以将云中虚拟机的流量牵引到安全资源池中进行检测与审计,配合云中的虚拟防火墙,边界的防火墙设备,可以满足云等保等合规相关要求。


3.7 独立部署,松耦合且降低业务质量风险


安全产品以虚拟机的方式部署在云中,需要云平台提供CPU、内存、硬盘、网络等资源,安全产品虚拟机容易与云中的其他业务虚机抢夺CPU等硬件资源,影响业务虚机的性能。独立的虚拟化安全资源池,与业务虚机不发生CPU、内存、硬盘等资源的争抢,这样的独立部署架构即减少对云平台的紧耦合,又有效降低云内部署安全虚拟机方案带来的业务质量风险。


3.8 云导流架构,云环境下的威胁不再看不到


采用SDS的云导流架构,可以方便的在Vmware/KVM/Xen等云环境下采集虚拟机之间的东西向、南北向流量,采用Overlay技术导出安全资源池中,通过各种安全检测产品进行检测与分析,使得云环境威胁不再不可见。


4、案例介绍


4.1 背景与需求


国家某机关通过应用虚拟化技术,对现有IT资源进行了整合,建成了私有云。私有云的建成,将硬件资源共享成资源池,可按需分配资源,动态调度资源,冗余的硬件资源得以合理利用,降低了服务器采购数量,明显的减少了投资成本,同时保障了业务用运行的稳定性。云平台采用VMware vSphere解决方案,机关大部分业务已迁移至云上。


私有云的安全防护较为薄弱,仅在资源池网络出口位置部署了防火墙设备。用户关注如何在不影响业务的前提下,实现对云内东西向流量的安全。并要求方案有一定扩展性,能适应未来私有云的扩展。


4.2 解决方案


本方案采用启明星辰的软件定义安全SDS(流量牵引)+虚拟威胁检测Vetrix(安全资源池)的云安全解决方案,应用了软件定义安全SDS、虚拟化安全资源池Vetrix等产品。构建了一个针对东西向流量进行防护的,可扩展的动态安全防护体系。如下图所示:



如上图所示:东西向流量由虚拟威胁监控AGT通过ERSPAN的方式,将数据包采用GRE封装后导出到SDS流转发平台,然后由流转发平台进行解封装。解封装之后的流量可通过SDS流控制平台进行编排。经过编排,流量被分别交付给Vetrix虚拟化安全资源池内的各类虚拟化安全产品。在系统运行过程中,编排的流量和安全资源池内的虚拟安全产品可随时被调整,以动态的适应安全态势的变化。


4.3 实施效果


在本案例中,通过应用软件定义安全系统SDS、虚拟化权资源池Vetrix等系统,形成了对东西向流量进行全面检测分析的动态防护体系。方案具备高可扩展性,用户可根据流量的变化,增加Vetrix资源池的数量,同时可通过增加安全产品镜像的方式,扩展安全产品品类。另外,由于本次应用的虚拟安全产品均为旁路部署,只需通过镜像导出流量,对系统的运行无影响。



4.4 客户价值


1)安全资源独立部署带来的益处


在此应用中,安全资源独立部署,安全与云平台表现为弱耦合关系。这种部署方式使得职责划分更为清晰,同时实现安全产品的集中维护。当云平台升级或切换时,可保留安全资源部分,保护用户的投资。


2)可实现安全设备利旧使用


Vetrix平台可与传统安全设备对接。当用户将业务从传统网络迁移到云端时,原网络中的部分安全产品将被闲置下来,闲置设备可仍可对接到Vetrix平台继续发挥作用。