信息安全超级实践系列企业在云环境下数据基础设施的安全
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了信息安全超级实践系列企业在云环境下数据基础设施的安全相关的知识,希望对你有一定的参考价值。
企业在云环境下数据基础设施的安全实践
当越来越多的企业开始采用云服务,安全问题往往成为待考虑的问题。在传统IT环境中,企业默认的逻辑架构是可信的,数据在自己手里,系统部署在自己的数据中心,有自己很清晰的网络安全边界,边界之间会有一个相对比较清晰的防火墙做隔离,有可控的安全策略的管理。
然而一旦云化之后,企业云数据中心面临3个安全挑战:
- 第一,企业接触云之后,基础设施供应方发生了变化,无论是公有云、混合云还是私有云,原有的网络边界越来越模糊,不同业务之间有着不同的访问权限和控制规则;
- 第二,业务模式也在变化,以往的业务是静态的,重构整合之后,业务需要重新部署在共享的技术架构上,静态安全已经无法适应业务的动态变化;
- 此外,威胁在与时俱进,随着大量的信息处理、联接、存储在云中,意味着未来将有大量不可靠的节点通过网络连接到云上,最终威胁云,带来极大的安全风险。
防止云端的平台系统遭到***,一直是许多企业关注的焦点。随着操作系统厂商不断地提高系统的安全性,以及安全防御技术的进步,***已经将***的重点转向了应用安全,通过企业自行开发应用系统的漏洞,***到云端数据中心,获取企业敏感信息。针对应用漏洞,企业可以通过应用漏洞核查与分析工具、***检测系统,应用级防火墙以及安全事件审计系统,进行检测与阻断,将可能的安全风险降至最低。
然而,随着企业不断强化云端数据中心的防护能力,***亦将***转向用户端,通过精密的目标性***(Targeted Attack)手法,长期潜伏企业终端,获得企业内部敏管数据,并作为进一步攻入云端数据中心的最佳跳板。针对目标***采用高持续性威胁APT手法,企业在实施系统安全防护方案时,必须考虑在虚拟机算环境中,安全产品是否能够提供和物理环境一样的防护能力,以及是否会造成资源冲突等问题,虚拟化环境的安全防护对安全厂商是一大挑战,目前仅有少数安全产品可以支持虚拟环境安全防护,并可以有效避开虚拟环境中资源冲突问题。
企业云部分的安全建设往往是企业信息安全的成功与否的关键指标。那么,企业如何应对这些数据安全挑战?
本安全方案应用在企业的云安全方案,可以有效的防护大型企业云平台层面与数据中心的信息资源和IT系统。
企业云安全的建设,主要根据国家相关部门的要求理解,主要分成两个维度:云平台基础设施安全建设和租户的安全防护。
(1)云平台的安全根据相关要求,云平台基础设施首先要符合等保的三级要求,包括完善的安全设备的防护和相关安全管理制度的建立。
(2)租户的安全建设,一方面要做到用户的业务上云后,安全防护能力符合原有的技术指标,即安全防护一致性,另一方面,不同的用户可按照用户需求,提供不同等保级别的防护,即能够提供安全服务目录,实现对用户安全资源的灵活按需分配。
图一 云安全解决方案能力框架
针对云平台和云租户的安全防护进行逻辑性地区域划分,形成的网络安全部署的逻辑框架图
其中,安全管理区、云边界防护区、安全检测区是平台级区域的防护;overlay大二层网络和租户的资源池是租户级的区域和安全防护。
云边界防护主要是针对云边界与外网交互的区域防护,跟传统数据中心出口的安全防护相似,主要涉及流量清洗、NGFW、WEB应用层防护(web服务器没有部署在云内)以及网闸(同步两张网的数据)等物理安全设备。
图三 企业云数据中心建设落地方案实例
- 安全管理区,主要是云平台的部署位置,以及相关云平台管理所涉及的安全设备的部署区域,其中包括堡垒机、日至审计、漏扫、认证等相关产品,用于整个云平台基础设施的安全运维和管理。
- 安全检测区,通过对云环境中全网流量的分析,实现对云平台和云租户的流量安全可视化,通过与云平台的协同联动,实现对流量的多维度分析、安全日志的采集汇总、多业务的安全评估,甚至于云平台和租户的安全态势感知。
图二 云安全资源池分布说明 - 租户边界区,主要是利用高端的NGFW、LB等硬件安全设备,进行虚拟资源池化,形成多个虚拟安全设备,实现虚拟安全设备对于租户一对一的安全防护和有效的安全隔离(租户南北向/租户间)租户区域的网络结构采用了大二层的overlay网络,利用VXLAN协议实现网络虚拟化,有效的实现租户间的网络隔离。
- 租户计算资源池,是利用虚拟化技术,对计算、存储、安全等物理设备实现资源池化,每个租户可进行按需分配,通过新华三独有的SDN服务链技术,实现租户内东西向流量的安全访问,同时通过租户内的虚拟化安全管理产品的部署,实现租户内部资源的有效管理和监控。
那么,企业在应用新华三大安全云数据中心解决方案会有哪些收益?
通过参考《等级保护》、《云安全服务能力要求31168》等业界最佳实践标准,以云平台为统一视角,SDN为调控手段,虚拟化为交付形式,为企业用户,尤其是大型企业和跨国公司提供便捷、可视、灵捷的安全一体化服务。
云安全解决方案主要特性包括:- 安全资源池化与资源编排能力:诸如防火墙、负载均衡等关键安全产品均可通过N:1和1:N的虚拟化方式构建云安全资源池。
- 安全产品自动化部署:方案中所涉及的所有关键安全产品均可以通过VCFC控制器进行统一调度与配置。
- 安全访问路径定义:通过服务链技术和NFV资源池的构建,可以在云环境下自定义访问路径。
- 安全策略跟随:具备完善的策略及会话管理机制,能够规避虚机迁移所产生的策略失效风险。
- 安全合规:方案满足公安部《等级保护》和网信办《云安全能力要求》的标准。
充分满足《等级保护》和《云安全服务能力要求》中相应技术难点的实现,符合等保的设计方式,配合安全服务可以满足一体化项目的安全交付。 - 有效规避合规风险
- 满足安全服务目录化
- 覆盖云安全相关的技术需求
- 规避运营者和使用者的责任边界
以上是关于信息安全超级实践系列企业在云环境下数据基础设施的安全的主要内容,如果未能解决你的问题,请参考以下文章