隨著雲計算、大數據、物聯網等技術架構的發展與應用將進一步完善,未來運營商的網絡將呈現出規模更大、速度更快、應用更豐富、資源更集中、接入方式更多種多樣的趨勢。同時,雲計算也爲運營商帶來了很大的安全挑戰,過去的物理安全防護邊界消失,傳統IT架構下的安全方案變得不那麽適合,雲計算時代所面臨的安全挑戰變得更加複雜,這使得運營商在搭建雲計算平台時及部署雲業務應用時,愈加重視安全因素的考慮。

下面爲運營商用戶需要解決的雲安全挑戰:

1、網絡虛擬化使傳統網絡邊界的防護手段失效

由于傳統的網絡結構中,網絡邊界一般通過物理的服務器、網絡設備、網絡接口進行識別,防火牆和入侵檢測設備可以采用串接和旁路的方式捕獲進出邊界的流量,並按照預設的策略執行防護動作。但隨著虛擬化實施之後,系統之間的邊界不單單是以物理設備的形式存在。比如在物理服務器中虛擬出多個虛擬機,這些虛擬機之間以及虛擬機與宿主機之間的通信都只會在服務器內完成,不會與外部網絡發生交互,傳統的邊界防護設備捕捉不到這些流量,也就不能進行防護。因此基于傳統的邊界防護的手段不適用于對虛擬化環境的邊界保護。

2、傳統信息安全産品難以滿足彈性化、個性化的安全需求

傳統的信息安全産品通常以硬件形式存在,單台設備的功能與性能比較固定,采購和部署的周期比較長。企業將業務遷移到雲中,由于雲的彈性伸縮特點,允許企業業務的規模從小到大在一個很大的範圍內變化。如果業務規模小、流量小,采用高性能的信息安全産品成本高,而且會造成資源浪費;如果業務規模大流量大,采用低性能的信息安全産品,就會出現信息安全産品性能不足的問題。彈性化的安全需求,不但體現在性能上,還體現在交付與部署時間上。因爲業務在短時間內爆炸式增長,也需要安全産品交付與部署時間同步縮短。雲計算裏支持多租戶,不同的租戶對安全的需求也是不同的,傳統的安全産品難以滿足這些彈性化、個性化的安全需求。

3、安全處理資源的爭奪增加雲計算項目的投資成本

病毒掃描或防病毒更新等占用資源較多的操作會快速導致系統(CPU、內存和磁盤I/O)負荷激增,同時導致業務虛擬機密度下降。這將影響虛擬化或雲計算項目的投資收益率(ROI)。


4、雲安全管理對威脅的可視化提出更高挑戰


對于傳統運營商數據中心而言,由于業務的規模不是特別大,安全管理對威脅的分析、可視、處理,通過多種傳統的安全産品基本可以滿足。由于業務量變化幅度不大,對威脅的聯動響應大部分通過人工就可以滿足要求。但隨著雲時代的到來,系統變得越來越複雜,組件越來越多,用戶流量不斷上升,各種相關事件和變更需求也越來越多,雲的運維管理變得越來越重要,其中安全管理在運維管理之中又是重中之重。安全管理首先需要對雲環境的安全風險進行有效的評估,通過對威脅的可視化可以保障運維人員對雲的安全狀況有整體的掌控。由于雲的規模的龐大與分布式特性,對威脅的分析、可視化的安全産品的數量、形態、性能等多個方面都提出了更高的要求。



啓明星辰作爲雲安全聯盟(CSA)成員單位,經過持續追蹤虛擬化技術發展,並研究虛擬化環境下信息安全實現技術,同時進行了大量實踐之後,開發出了一套適用于虛擬化的雲安全防護方案,可實現運營商虛擬環境下流量牽引、建立彈性安全資源池等功能。目前該方案已在電信、移動、聯通、廣電等多個省廣泛應用。


解決方案


啓明星辰經過對虛擬化環境深度分析,並基于多年技術積累開發出了軟件定義安全SDS和虛擬化安全資源池Vetrix相結合的雲安全解決方案,滿足運營商客戶各種雲場景的安全需求。SDS在虛擬環境下導出流量,並將流量分流或複制後交付物理或軟件Vetrix進行安全處理。産品部署如下圖所示:

1、虛擬化安全資源池Vetrix


虛擬化安全資源池由各種物理形態或虛擬形態的網絡安全設備組成,這些安全設備不再采用單獨部署、各自爲政的工作模式,而是由管理中心統一部署、管理、調度,以實現相應的安全功能。安全資源可以按需取用,支持高擴展性、高彈性,就像一個資源池一樣。


虛擬化威脅檢測系統,是啓明星辰自主研發的基于KVM虛擬化技術的可擴展信息安全檢測與防護系統,是承載在Vetrix之上的安全防護産品。其和Vetrix的關系類似于蘋果App和AppStore的關系。Vetrix具有可集成多種虛擬安全産品于一身的強大擴展能力。虛擬化的安全産品包括:虛擬IDS(vIDS)、虛擬數據庫審計(vDBA)、虛擬FlowEye(vFA)、虛擬業務審計(vBA)等。産品安裝後,用戶可根據自己的需求動態調整相應的虛擬安全産品,而無需經過複雜的硬件産品上架過程。


安全産品虛擬化就是使軟件和硬件相互分離,把軟件從主要安裝硬件中分離出來,使得安全産品的系統可以直接運行在虛擬環境上,可允許多個安全産品同時運行在一個物理硬件之上。

 其中,Vetrix虛擬化系統是Vetrix的基礎平台,負責安全産品的虛機管理、授權管理以及系統的自身管理。Vetrix系統提供虛擬安全市場功能,安全市場源服務器負責提供各種虛擬安全産品包映像文件。用戶可從安全市場源服務器下載虛擬安全産品包,並安裝在Vetrix系統的虛擬機裏,由安全虛擬機負責實現具體的安全功能。Vetrix和安全市場兩部分相互獨立,可以靈活部署。

2、軟件定義安全(SDS)

SDS理念是從SDN引申而來,原理是將物理的、虛擬化的網絡安全設備與它們的接入模式、部署位置解耦,抽象爲安全資源池裏的資源,通過軟件編程的方式進行智能化、自動化地編排和管理,以實現相應的安全功能,從而完成網絡安全防護。就工作機制而言,SDS分解爲軟件定義安全資源、軟件定義流量、軟件定義高級威脅模型,三個舉措環環相扣,形成一個動態、閉環的工作模型。


●軟件定義安全資源:配備安全資源是實現網絡安全防護的基礎。在SDS模式下,安全資源由管理中心通過軟件編程的方式進行統一注冊、管理,以便實現後續的靈活編排和調度。


●軟件定義流量:由軟件編程的方式來實現網絡流量的轉發控制,通過將目標網絡流量轉發到安全設備上,來實現安全設備的邏輯部署和使用。


●軟件定義高級威脅模型:對原始報文、流、安全事件等信息進行深度整理和挖掘,實現對高級安全威脅等未知威脅的實時分析和建模,之後將建模結果應用于安全資源並進行流量調整,實現安全聯動自動化。


啓明星辰軟件定義安全系統基于SDS理念,通過軟件編程的方式調用安全設備資源,實現了一種靈活、智能、自動化、服務化的網絡安全防護,能夠幫助用戶應對複雜網絡環境下的安全挑戰,具備如下特色:


●安全可自定義:通過軟件編排的方式,使得各種安全資源能夠靈活組合,方便實現多種安全設備的協同防護。


●虛實融合:平台可以根據安全功能需求調用各種安全資源,無論是物理的還是虛擬化的安全設備。


●多租戶靈活部署:支持對網絡流量做細粒度區分,針對不同流量采用不同的安全策略,適用于多租戶環境。各個租戶可以按照各自的需求進行個性化的安全功能定制,具備高彈性、可計量性。


●多層次的威脅發現:通過多種安全設備協同防護以及安全大數據分析中心的全局性安全情報,實現安全威脅的層層過濾,使得各種已知威脅甚至未知威脅均無處遁形,深度解決用戶的網絡安全隱患,保護核心資産。


●安全高可靠增強:提供智慧流安全平台級、安全設備級的雙機熱備,當檢測到故障發生時,可以實時的、自動地對平台自身、安全設備的進行主備切換。當主備安全設備均發生故障時,還能夠采取bypass方式,確保網絡不中斷,避免單點故障。當設備故障解除後,能夠實時的、自動地還原安全路徑,快速恢複網絡流量監控。


●安全資源彈性可擴展:軟件編排的方式、支持虛擬化的安全設備等特性簡化了安全設備集群化部署。平台支持多元化負載均衡算法,可以實現安全設備性能的線性擴展。


●兼容第三方安全設備:第三方安全設備可以直接接入啓明星辰智慧流安全平台,作爲安全資源池裏的資源接受平台控制管理中心的調度、管理,保護企業現有投資,節約網絡安全成本。

3、部署方式

業務資源池與安全資源池直連
 
在VMware環境下,業務資源池虛機可與Vetrix服務器直連,此場景下VTAP下設置爲不對複制的流量進行封裝,流量直接由業務資源池交付至Vetrix資源池。適用于小規模部署,且可將Vetrix服務器部署在與業務資源池的相近的位置。
 

如業務資源池需要通過網絡與Vetrix服務器直連,此場景下,需將VTAP設置爲對流量進行封裝,采用SDS流轉發平台解封裝後將流量交付給各類安全産品。


優勢總結

軟件定義安全SDS和虛擬化安全資源池Vetrix相結合的雲安全解決方案,是啓明星辰基于多年的安全經驗積累、采用新一代多核X86高性能硬件平台和雲計算技術、SDN技術研發而成的先進的雲安全解決方案。爲私有解決了運營商客戶雲環境下的威脅發現、威脅展示、威脅分析、威脅處理的專業化威脅發現與管理問題,優勢如下。

1、節約成本,快速部署

該方案可以將多個安全産品以虛擬機的方式運行在1-N台硬件設備中,在節約了硬件成本的同時,還節約了多台硬件消耗的機架租金、電力、制冷、人力維護等運維成本。

系統內置的市場客戶端可以從安全市場獲得各種安全産品虛機映像,通過虛機映像可以快速創建各種虛擬化的安全産品,這個過程通常引擎類只需要1~2分鍾,最多十幾分鍾(數據中心産品受限創建硬盤時間,越大尺寸硬盤時間越長),從而實現了快速部署安全産品。

2、可軟可硬,靈活的商業模式

Vetrix安全資源池支持部署在定制的工控機硬件上,也支持部署在支持虛擬化的商業服務器硬件上;支持軟硬件一體銷售,也支持用戶自己購買服務器硬件(硬件需要符合系統對硬件的要求),廠商只銷售軟件授權的商業模式。

3、獨立部署,松耦合且降低業務質量風險

安全産品以虛擬機的方式部署在雲中,需要雲平台提供CPU、內存、硬盤、網絡等資源,安全産品虛擬機容易與雲中的其他業務虛機搶奪CPU等硬件資源,影響業務虛機的性能。獨立的虛擬化安全資源池,與業務虛機不發生CPU、內存、硬盤等資源的爭搶,這樣的獨立部署架構即減少對雲平台的緊耦合,又有效降低雲內部署安全虛擬機方案帶來的業務質量風險。

4、統一管理,提高運維效率

該方案具有豐富的管理功能,友好的用戶界面,統一的安全産品管理接口。安全産品出現故障時,可以通過界面登陸虛機串口、重啓虛機、切換網絡等手段,遠程處理故障,不用運維人員跑機房操作安全産品調試,極大的提高了運維效率。

5、靈活擴展,持續提升安全能力

Vetrix安全資源池支持安全産品虛擬化的部署方式,在單機硬件資源允許的條件下,用戶通過創建安全産品虛擬機,快速擴展自己的安全能力;

Vetrix安全資源池支持分布式系統架構,在單機硬件資源不夠時,可將多台主機組成硬件資源池,通過在資源池中獲得硬件資源並創建安全産品線虛擬機的方式,近乎無限擴展安全能力。

6、安全合規,雲環境下的迫切選擇

傳統IT架構滿足等保三級要求時,需要部署防火牆、入侵檢測、數據審計等産品,在雲環境下的虛擬機之間東西向流量,無法采用傳統硬件安全設備進行入侵檢測與審計,難以滿足雲等保等合規要求,采用系統整體方案後,可以將雲中虛擬機的流量牽引到安全資源池中進行檢測與審計,配合雲中的虛擬防火牆,邊界的防火牆設備,可以滿足雲等保等合規相關要求。

案例介紹

1、背景與需求

某省電信用戶應用虛擬化技術,對現有IT資源進行了整合,建成了內部私有雲,供上層各電信業務系統使用。私有雲的建成,將硬件資源共享成資源池,可按需分配資源,動態調度資源,冗余的硬件資源得以合理利用,降低了服務器采購數量,明顯的減少了投資成本,同時保障了業務用運行的穩定性。雲平台采用VMwarevSphere解決方案,電信大部分業務已遷移至雲上。

私有雲的安全防護較爲薄弱,僅在資源池網絡出口位置部署了防火牆設備。用戶關注如何在不影響業務的前提下,實現對雲內東西向流量的安全。並要求方案有一定擴展性,能適應未來私有雲的擴展。

2、解決方案

本方案采用啓明星辰的軟件定義安全SDS+虛擬威脅檢測Vetrix的雲安全解決方案,應用了軟件定義安全SDS、虛擬化安全資源池Vetrix等産品。構建了一個針對東西向流量進行防護的,可擴展的動態安全防護體系。

東西向流量由虛擬威脅監控AGT通過ERSPAN的方式,將數據包采用GRE封裝後導出到SDS流轉發平台,然後由流轉發平台進行解封裝。解封裝之後的流量可通過SDS流控制平台進行編排。經過編排,流量被分別交付給Vetrix虛擬化安全資源池內的各類虛擬化安全産品。在系統運行過程中,編排的流量和安全資源池內的虛擬安全産品可隨時被調整,以動態的適應安全態勢的變化。

3、實施效果

在本案例中,通過應用軟件定義安全系統SDS、虛擬化權資源池Vetrix等系統,形成了對東西向流量進行全面檢測分析的動態防護體系。方案具備高可擴展性,用戶可根據流量的變化,增加Vetrix資源池的數量,同時可通過增加安全産品鏡像的方式,擴展安全産品品類。另外,由于本次應用的虛擬安全産品均爲旁路部署,只需通過鏡像導出流量,對系統的運行無影響。

4、客戶價值

●安全資源獨立部署帶來的益處
 
在此應用中,安全資源獨立部署,安全與雲平台表現爲弱耦合關系。這種部署方式使得職責劃分更爲清晰,同時實現安全産品的集中維護。當雲平台升級或切換時,可保留安全資源部分,保護用戶的投資。


●可實現安全設備利舊使用
 
Vetrix平台可與傳統安全設備對接。當用戶將業務從傳統網絡遷移到雲端時,原網絡中的部分安全産品將被閑置下來,閑置設備可仍可對接到Vetrix平台繼續發揮作用。