实现业务计算集中模式的云计算数据中心

云内东西向流量不可见不可控

云计算数据中心的安全建设要求再度升级

如何保障云上环境的安全运行?

【找准边界,吃定安全】往期文章:

从访问控制谈起,再看零信任模型

威胁情报加持,泛边界下的全局主动防御体系如何着手?

流量剧增?看山石网科如何打破传统限制

随着 IT 技术的快速发展,虚拟化、云计算等新兴技术越来越多地被各行业用户广泛应用于构建新一代的数据中心,这不仅极大提高了服务器的利用率,而且改善了数据中心的工作效能,在实现资源快速灵活部署和调配的同时,也带来管理效能的提升。与此同时,实现业务计算集中模式的云计算数据中心,也必然成为攻击者关注的焦点。云计算新技术的引入,由于云环境的资源共享特性及相关技术服务模式的开放性、复杂性和可伸缩性等特点,正促使着网络边界变得更加模糊,云内东西向流量不可见不可控,导致传统的以明确网络边界为基础的信息安全策略在新的云计算 IT 架构中变得日益难以应对。

随着等保合规中云计算安全扩展要求的提出,对云计算数据中心的安全建设要求再度升级,建设方案必须遵从相关政策和法律法规标准规范要求来设计规划云平台和租户的安全防护体系,明确云平台和租户的等级保护级别,保障云上环境的安全运行。

因此,如何确保云计算数据中心运行在安全的环境下,满足合规要求,考虑从云平台虚拟化环境东西南北向全维度流量安全防护提供针对性完善、可靠的解决方案,是用户业务系统上云必须面对的现实问题。

云平台“南北”向流量的安全防护

对于云计算数据中心,云平台是对外提供服务的基础,无论是平台建设方,还是租户,对于平台自身的稳定性、安全性都是极为关注的。因此云平台“南北向”的安全建设需要从虚拟化云平台数据中心的大边界安全、虚拟化云平台的租户 / VPC 小边界安全、以及平台服务可靠性方面来建设,保证平台业务系统安全可靠运行。

在传统数据中心中一般只关注数据中心出口的安全防护,但在云平台环境中不仅需要重点保护云平台数据中心的出口安全,更需要对每个租户 /VPC 业务的小边界网络做到安全可控,所以需要按云数据中心的实际情况分别建立不同边界的安全防护,通过层层防护,保证云平台上的租户安全。

(1)大边界 - 云数据中心边界安全防护

云数据中心通过与大量网络互联,将面临大量来自外部的网络威胁,在云平台的出口,即整个云数据中心的出口为云平台南北向流量的安全防御边界。南北向安全防护由在数据中心核心和出口部署的高性能防火墙、IPDS、抗 DDOS、应用交付等硬件设备处理。

云数据中心大边界安全防护的建设是关注重点,需要同时考虑安全通信网络的要求和安全区域边界的要求,保障整个云平台的正常运转,同时提升防御来自互联网的各类攻击和入侵行为的能力,是保障整个云平台系统安全的关键。

数据中心边界安全防护需要满足等保 2.0 中安全区域边界中访问控制的要求,对于进出网络的数据流实现基于应用协议和应用内容的访问控制。需要具备病毒查杀、流量管理、VPN 等安全功能防护,支持 HA 高可靠性部署,在实现应用级细粒度访问控制的基础上,同时具备恶意代码防范、网络带宽优化、远程加密接入能力,并能提供高可靠持续性防护,满足等保 2.0 中安全区域边界中恶意代码防范的要求。由于当前安全威胁的不断进化和新型攻击技术的出现,原有的安全防护理念和防护技术面临着巨大冲击,如何在新旧技术交叠应用的变革过程中,更有效地检测和防御系统网络面临的安全问题,也是需要关注的重点,在部署防火墙基础之上,应进一步考虑补充综合的威胁检测防御平台增强边界的防御能力。

(2)小边界 - 租户(业务 VPC)边界安全防护

在用户云数据中心中,各个租户 / VPC 业务需要单独的进行安全防护设置,整个数据中心的大边界安全防护只能针对整体的流量进行安全防护,不能满足单独的业务需求。并且在实际运营中,云平台的安全组功能已经无法满足业务需求,在用户业务中需要对业务系统网络单独进行业务防护以及启用 NAT(SNAT/DNAT)、安全访问控制、QoS 功能

虚拟化云平台小边界安全防护需要在云计算环境中部署虚拟化防火墙,通过云平台进行流量控制,使每一个租户 / 业务系统前都可以通过虚拟防火墙的防护,从而为用户提供云计算网络之间的安全隔离和安全防护。

虚拟化防火墙需要支持入侵防御 (IPS)、病毒过滤 (AV)、精细化应用识别、虚拟专用网 (VPN)、负载均衡等丰富的网络安全防护功能,从而为针对云平台的网络威胁提供有效防御。同时,虚拟化防火墙通过与云计算平台的紧密结合,借助云计算的优势特性,具备快速部署和迁移能力,可按需部署和扩展安全服务资源,并可与现有的云管理平台进行紧密集成,将管理和安全防护能力直接深入到云计算架构中,可伴随着客户对虚拟业务资源的需求增长或缩减。

虚拟化防火墙以虚拟机形式部署设备,能够克服硬件防火墙的限制,在云计算环境中可部署于更加靠近 VM 的位置,对于 VM 主机内部流量进行过滤,实现云平台内更加颗粒化的安全防护。同时,用户可以根据网络搭建需求,弹性调配和管理网络资源等,并且能够按需进行灵活迁移,当性能不足时,可通过增加虚拟化设备或提高设备使用的虚机资源,实现设备的弹性伸缩,充分发挥云计算优势。

云平台“东西”向流量安全防护

在云数据中心中,不同业务虚拟机之间也存在大量的安全互访需求,即涉及到云平台内部东西向流量的安全防护。在实际应用中需要对业务系统之间流量进行安全防护,主要考虑以下几点:

• 需要监控各个业务服务器流量详情

• 需要对各个业务系统之间访问进行访问控制

• 需要实时进行安全防护

业务系统部署后,由于服务器虚拟化采用大二层部署方式,对于虚机与虚机之间的互访流量无法进行查看,当业务服务器流量负载过高时,无法具体确认哪些是异常应用流量,增加了用户对业务系统维护的难度;同时,为了保证重要业务系统的稳定运行,也需要对各个业务系统之间的访问进行控制,避免一些非必要业务虚机非法访问重要业务系统。

基于云平台东西向流量的“微隔离”与“可视化”安全防护

虚拟化微隔离提供的“虚机微隔离”技术为每个虚机提供了“贴身保镖”式的安全防护,通过独有的引流技术,可为原有的大二层云网络提供再分割的扩展手段,在不改变网络设置的情况下,帮助云平台将同一网段或同一 VLAN 内,不同业务 / 不同部门 / 不同客户之间的虚拟资源分离开来,满足云安全等保规范相关条款定义的资源隔离管控要求。另外,虚拟化微隔离需将每个业务虚机的流量牵引至云安全业务模块,进行 L2-L7 层的威胁检测、Web 应用防护、网络病毒过滤,从而发现并阻断东西向、南北向流量的安全威胁,阻止攻击和安全风险在云平台内横向和纵向蔓延。

虚拟化平台东西向流量的可视化防护,需借助深度可视化技术,识别出虚机流量中的具体应用类型,并在此基础上提供了流量与应用控制功能,可对虚机间的业务访问进行细粒度的权限控制,保护云内部业务安全运行,有效的限制了安全风险的影响范围和扩散范围。同时也可作为云平台运维辅助工具,支持为云管理员快速定位 / 阻断异常流量、非法访问、违规访问行为、内部威胁事件发起源等安全事件,全方位监控产品组件的运行状态,并能在异常状态发生时提出相应警示和排错建议,保障云平台的健康、高效的运行。

云数据中心内各业务系统之间交互关系复杂,虚拟化微隔离与可视化防护系统还需提供多维度的性能质量监控,包括资源利用率,网络和服务质量监控,并具备告警提示;支持服务链自梳理可助力管理员梳理云内业务内部逻辑结构,快速定位业务故障环节,提升安全运维效率,保障业务安全运营。

山石网科作为中国网络安全行业的技术创新领导厂商,是国内最早进入云安全领域的安全厂商之一,致力于通过发展云安全原子能力、云原生安全、云安全平台,可为用户提供全场景纵深防御的云计算安全解决方案。

近些年山石网科不断加大对云计算安全产品的研发投入,陆续发布了虚拟化下一代防火墙产品 - 山石云·界、云内微隔离与可视化产品 - 山石云·格、云安全资源池解决方案 -山石云·池、云安全网元管理系统 - 山石云·集,以及各类虚拟化云计算安全产品构建丰富的云安全产品能力。山石网科云安全业务,凭借丰富的云安全产品和广泛的生态合作伙伴,覆盖私有云、公有云、多租户运营专有云、云网融合以及混合云等 5 大安全防护场景,可为客户在多种云计算环境中提供全方位的纵深安全保护,为客户云计算业务保驾护航。

找准边界,吃定安全 | 云化下的新边界,东西南北流量该如何防护?相关推荐

  1. 云化Web IDE,在线开发新模式

    目录 前言 一.初识云IDE 二.CSDN 云IDE 1.如何使用云IDE 2.使用云IDE 三.云IDE的使用感受 四.总结 前言 工欲善其事必先利其器,作为程序员,我们在编写代码的时候,一定会选用 ...

  2. 华为fusion超融合虚拟服务器,华为FusionCube超融合:满足客户未来一切云化所需...

    有数据显示,到2021年混合云市场将达到约917.4亿美元.企业正在部署基于云的解决方案,以克服传统IT基础架构难以解决的业务挑战,混合云解决方案和服务的成本效益正在推动这个市场. 如今,不管是云计算 ...

  3. 数字化转型有捷径?不妨尝试一下全面云化网络

    点击上方  "中国云报"  可关注! 未来十年将是信息技术和商业模式创新升级的十年,更是行业用户全方位数字化转型的十年,挑战和机遇前所未有. 有研究表明,2000年至今,从全球50 ...

  4. 找准边界,吃定安全 | 高性能硬件防御问题难解?硬件加速引擎闪亮登场

    山石网科 A7600 智能下一代防火墙 高性能.高可靠.轻量化.更便捷 软件灵活性和硬件高效性的统一 [找准边界,吃定安全]往期回顾:  串联边界设备协同,便捷运营思维让安全更有效 流量剧增?看山石网 ...

  5. 找准边界,吃定安全 | 流量剧增?看山石网科如何打破传统限制

    创新的资源管理算法 基于会话的全分布式处理流程 山石网科全分布式架构 打破了传统架构的限制 [找准边界,吃定安全]往期文章: 从访问控制谈起,再看零信任模型 威胁情报加持,泛边界下的全局主动防御体系如 ...

  6. 携程AI和推荐系统的云化实践

    嘉宾简介 于磊,携程公共BI,高级总监.毕于上海交通大学计算机科学与技术系,获博士学位.2012年在苏黎世联邦理工大学访学,师从 ACM fellow, Dr. Donald Kossman,从事高并 ...

  7. 爱奇艺APP的自动化录制回放系统 全云化处理新体验

    在面对大量的APP功能用例回归测试的时候,测试开发工程师最头痛的问题之一便是新功能交付时间紧迫,原有功能回归测试耗时长,自动化脚本都没时间跟进补齐测试用例.导致核心功能回归遗漏,新功能测试质量也得不到 ...

  8. docker镜像启动后端口号是多少_java项目docker云化入门

    01 创建java项目 从spring官网快速开始找一份样例代码即可,代码样例如下: 1.指定pom父文件和依赖 <parent><groupId>org.springfram ...

  9. 如何找准职业方向,获得更高收入?

    商业洞察 丨 作者 / 刘润 整理 / 由之 本期音频由搜狗AI提供的变声技术支持. 本文首发于2020年5月.经常有同学跟我说,不知道如何找准自己的职业方向. 想转行,却又不知道该干什么,前途一片迷 ...

最新文章

  1. 虚拟机中LINUX系统的安装
  2. linux 实验2 进程创建,实验2Linux进程控制与通信
  3. 【CSS3】好玩的动画线框
  4. 横向ListView(四) —— 添加滚动条
  5. 华为二面!!!被问常用API,这也太偏门了吧,我秀了一波hhhh~
  6. python适合编程语言吗_为什么说python是适合新手入门的编程语言
  7. Android使用sqlliteOpenhelper更改数据库的存储路径放到SD卡上
  8. C++中的floor()函数
  9. 9、kubernetes之statefulset控制器
  10. Hyperledger Fabric 网络搭建详解
  11. android 地图不能拖动,英雄联盟不能拖动小地图的处理方法
  12. iOS 强制屏幕实现旋转功能
  13. Unity3D - 关于ASTC压缩格式的一些资料搜集
  14. 全国哀悼日,网站黑白素配方法
  15. 密码学常用工具,作图
  16. 以“人民的名义”劝你快去读点书
  17. 人群密度估计--Recurrent Attentive Zooming for Joint Crowd Counting and Precise Localization
  18. 32-CrawlSpider类爬虫与Spider类爬虫比较-【都是基于Scrapy框架】
  19. 研发效能度量的正确姿势与落地实践(演讲PPT分享版)
  20. IP反查网站,ip反查接口,旁站查询接口大全,通过IP查域名汇总

热门文章

  1. Window10 106日文键盘和101英文键盘的追加方法
  2. NC106350 POJ1753 Flip Game 翻转游戏
  3. html+css基础仏学习教程之HTML 中播放声音或者视频的方法有很多种。
  4. HDU The Last Practice
  5. 云服务器 ECS 建站教程:快速搭建 ThinkPHP 框架
  6. 百度CEO李彦宏就故障事件表态:史无前例
  7. 好看的鼠标hover效果
  8. sentinel 整合dubbo限流
  9. python游戏开发实战:视频转彩色字符动画
  10. 互联网产品经理的未来