【編者按】
隨著云計算的興起,云安全成了大家不得不關(guān)注的話題,各大安全廠商紛紛推出了自己的云安全產(chǎn)品和方案。漢柏公司云安全事業(yè)部總經(jīng)理王智民,將與大家一同分享一下他對云安全的理解以及漢柏的云安全發(fā)展之道。
云的本質(zhì)是“按需”提供信息技術(shù)服務(wù)
云計算時代的到來,對于“云”的本質(zhì)真是眾說紛紜。有人說“云”就是“虛擬化”,有人說“云”就是“軟件定義”……這些認(rèn)識似乎都不準(zhǔn)確。筆者認(rèn)為,“云”的本質(zhì),應(yīng)該是“按需”提供信息技術(shù)服務(wù)。那么何為“按需”呢?就是要彈性、可編程、自動化。
云計算模式的發(fā)展,給我們帶來了很多的變化,最明顯的一點就是我們可以隨時隨地的按需享受云服務(wù)。為了實現(xiàn)按需提供IT服務(wù)的特征,目前云技術(shù)主要分為兩大技術(shù)陣營:虛擬化與非虛擬化。將對外或?qū)?nèi)能夠按需提供服務(wù)的企業(yè)進(jìn)行了分類,可以看到做SaaS和內(nèi)容服務(wù)的提供商,一般租戶不超過4000個,比如Google、Facebook并未采用虛擬化技術(shù),但是同樣可以提供按需服務(wù)的云服務(wù),而在企業(yè)服務(wù)、租戶大于4000的提供商多半采用了虛擬化技術(shù)。私有云或公有云出現(xiàn)后,傳統(tǒng)應(yīng)用面臨云化的趨勢,如何做應(yīng)用云化,并非將傳統(tǒng)應(yīng)用簡單的運行在虛機(jī)或容器中就算云應(yīng)用了,必須能夠符合云特征“按需提供應(yīng)用服務(wù)”才能算云應(yīng)用。
隨“云”而來的安全焦慮
云應(yīng)用雖然方便快捷,但隨“云”而來的安全隱患卻成為云用戶最關(guān)心的問題。是否能夠隨時隨地都獲得相應(yīng)質(zhì)量的云服務(wù)?數(shù)據(jù)資產(chǎn)是否受到法律保護(hù),是否會被非法泄露或使用?這些問題無疑給云用戶造成了諸多的困擾。
從云服務(wù)環(huán)境結(jié)構(gòu)角度分析,云服務(wù)環(huán)境主要由終端、管道和數(shù)據(jù)中心構(gòu)成。終端安全隱患主要是指非法或者具有安全風(fēng)險的終端及用戶接入云。數(shù)據(jù)中心安全隱患從防護(hù)的角度來看主要有:物理安全、虛擬化安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、運維安全等。除此之外,跨云的安全管理與監(jiān)控,云內(nèi)部的安全風(fēng)險識別、防范、安全事件的及時響應(yīng)以及國家范圍內(nèi)的網(wǎng)絡(luò)安全統(tǒng)一監(jiān)控、控制、應(yīng)急系統(tǒng),也是云數(shù)據(jù)中心需要重點關(guān)注和解決的。管道安全隱患則是指數(shù)據(jù)在傳輸過程的泄漏、篡改以及網(wǎng)絡(luò)帶寬與質(zhì)量保障等。
從云服務(wù)環(huán)境虛擬化角度分析,在計算環(huán)境、網(wǎng)絡(luò)環(huán)境和存儲環(huán)境三方面也都存在著安全隱患。
漢柏云安全防護(hù)解決方案
漢柏為解決云環(huán)境下的紛繁復(fù)雜的安全隱患,整合多種安全產(chǎn)品,借鑒SDN的理念,推出漢柏云安全產(chǎn)品OPC-Sec,以提供全面的云安全防護(hù)解決方案。
漢柏安全云系統(tǒng)結(jié)構(gòu)
漢柏云安全產(chǎn)品OPC-Sec以網(wǎng)絡(luò)節(jié)點、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)邊界與網(wǎng)絡(luò)節(jié)點聯(lián)動三個方面為出發(fā)點,在云的基礎(chǔ)設(shè)施、虛擬化、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、內(nèi)容、移動及管理等多個方面提供全面的防護(hù)解決方案。
漢柏云安全系統(tǒng)提供全方位的安全防護(hù)解決方案
云的核心安全問題涵蓋物理安全、基礎(chǔ)設(shè)施安全、虛擬化安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、內(nèi)容安全、移動安全、運維管理安全等,漢柏云安全產(chǎn)品OPC-Sec在各個方面都有專門的解決方案。
在云主機(jī)病毒方面,漢柏云安全產(chǎn)品OPC-Sec使用的是無代理病毒防護(hù)解決方案。其優(yōu)勢包括:
提升物理服務(wù)器的效率,相同硬件配置提高搭載虛機(jī)數(shù)量和提升虛機(jī)性能。
基于物理節(jié)點,簡化管理,基于主機(jī)安裝,一次安裝。虛機(jī)無需安裝代理。
自動繼承的防護(hù),虛機(jī)鏡像即裝即防。
在網(wǎng)絡(luò)安全防護(hù)方面,漢柏云安全產(chǎn)品OPC-Sec可以提供的解決方案主要有:
針對云數(shù)據(jù)中心運維提供安全防護(hù),比如云平臺管理中心、應(yīng)用集群管理中心、安全防護(hù)控制中心等
針對云內(nèi)租戶網(wǎng)絡(luò)提供安全防護(hù)和安全服務(wù),比如針對租戶提供VPN,從而使得租戶方便構(gòu)建混合云;針對租戶提供虛擬防火墻;針對租戶提供IPS、抗DDoS、WAF等安全防護(hù)服務(wù)
在云環(huán)境下的應(yīng)用安全防護(hù)方面,漢柏云安全產(chǎn)品OPC-Sec可以提供的解決方案主要有:
在數(shù)據(jù)中心的網(wǎng)關(guān)處部署“流量型”、“應(yīng)用型”、“資源耗盡型”的抗DDoS攻擊系統(tǒng)
在數(shù)據(jù)中心的網(wǎng)關(guān)處部署針對WEB服務(wù)系統(tǒng)的防護(hù)系統(tǒng)(WAF)
在數(shù)據(jù)中心的網(wǎng)關(guān)處部署針對VDIserver的安全防護(hù)系統(tǒng)比如防火墻
在數(shù)據(jù)中心網(wǎng)關(guān)處部署針對虛擬化系統(tǒng)的管理節(jié)點比如vCenter、OpenStack的安全防護(hù)系統(tǒng)
定期、自動的對數(shù)據(jù)中心的應(yīng)用進(jìn)行“滲透測試”,發(fā)現(xiàn)漏洞和威脅,綜合分析并及時糾正
云應(yīng)用防護(hù)
除此之外,漢柏云安全產(chǎn)品OPC-Sec還在數(shù)據(jù)安全、運維安全以及移動訪問安全等方面提供一系列的解決方案。
漢柏云安全服務(wù),為云提供安全防護(hù)
一般企業(yè)局域網(wǎng)都存在安全防護(hù)的需求,傳統(tǒng)企業(yè)一般都會采用自購安全設(shè)備,自己管理和運維安全服務(wù),這種方式缺點很明顯,資金投入大、維護(hù)成本高。安全云服務(wù)模式出現(xiàn)后,企業(yè)如果通過公有云購買安全云服務(wù),則資金投入較小、無需自己維護(hù)、部署時間基本在幾分鐘之內(nèi)。
漢柏安全云服務(wù)是通過虛擬化技術(shù)實現(xiàn)的,可以幫助用戶搭建提供各種安全云服務(wù)的環(huán)境,比如內(nèi)網(wǎng)隱藏服務(wù)、帶寬保障服務(wù)、入侵防護(hù)服務(wù)、病毒檢測服務(wù)、流量清洗服務(wù)、Web防護(hù)服務(wù)等。
漢柏云服務(wù)系統(tǒng)體系結(jié)構(gòu)
漢柏云安全系統(tǒng)作為安全云服務(wù)平臺,支持多種租戶識別與隔離機(jī)制,支持虛機(jī)形態(tài)的獨立安全系統(tǒng)服務(wù)和邏輯隔離的安全特性服務(wù)。漢柏云安全服務(wù)既為云提供安全防護(hù),又可以作為安全服務(wù)提供的云平臺。該服務(wù)系統(tǒng)具備以下特點:
以網(wǎng)絡(luò)安全資源的集群和池化為基礎(chǔ),將安全資源集中起來為多個用戶共享服務(wù),并根據(jù)客戶的需求動態(tài)分配或再分配不同的物理或虛擬的資源。
以互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)的業(yè)務(wù)提供途徑,用戶可以隨時隨地通過網(wǎng)絡(luò)使用安全云服務(wù)提供的各種安全能力。
系統(tǒng)具備為用戶提供靈活的功能模塊選擇的能力,而且安全云服務(wù)提供容量上的可伸縮的業(yè)務(wù)提供能力,用戶可以按需自助服務(wù)。
漢柏云安全系統(tǒng)讓服務(wù)更加透明化,用戶可以在不必了解內(nèi)部部署方式的前提下享受相應(yīng)的安全防護(hù)能力,而且實現(xiàn)客戶在業(yè)務(wù)使用中的零維護(hù)、零管理。并通過安全云服務(wù)自服務(wù)系統(tǒng)的開發(fā)實現(xiàn)客戶自助服務(wù)和客戶與業(yè)務(wù)提供商的最小化交互。
用戶可不必投資、擁有和維護(hù)在安全云中所能提供相應(yīng)能力的安全設(shè)備,而直接購買安全云提供的各種業(yè)務(wù)。