虛擬化資源池就敢稱安全云?來看看真正的安全云吧
作者:星期二, 七月 16, 20190

云計算是 IT 領域內一場偉大的變革,自云計算提出后,安全問題已成為阻礙其發展的主要因素。然而,對于云安全業內主要有兩種聲音:一種是針對云自身的安全保護,也稱為云計算安全;另一種是使用云的形式提供和交付安全,即云計算技術在安全領域的具體應用,也就是常說的安全云。安全牛于不久前采訪了安全云領域優秀廠商安數云云安全產品線的負責人吳雷,探討安全云究竟給予用戶一種怎樣的安全。

一、云安全的興起

云安全是什么?

云安全是一種基于云計算技術發展演變而來的網絡安全防御解決方案。目前,大多應用場景是:云本身的安全由云計算服務商提供,也稱為“云原生安全”,而云上租戶的安全由安全廠商提供。企業需要了解云計算安全的可實施細節,而其部署的云平臺可以通過適當的策略來確保安全性。

也就是說,云安全的標準形態是:

1)云本身的基礎安全屬性

2)云上租戶的系統安全。

云安全面臨怎樣的挑戰?

那么,云計算本身是安全的嗎?前提必然是云計算服務提供商能夠很好的保護客戶數據。組織必須自己決定需要哪些安全功能,例如,基本的云安全包括的基礎安全功能,當然,企業需要企業級安全選擇。

吳雷認為,在多租戶環境中,數據被存儲在共享的基礎架構中,與共享的物理磁盤或數據庫一樣,因為有可能無意中在數據中混合其他租戶的數據,這種做法具有極高風險。

也正是如此,會在無意中將重要的業務信息外泄給未經授權的實體。保存在外包位置的數據可能會被第三方運營商訪問,存在機密信息泄露的情況。企業內用戶需要先驗證內容的完整性和內容的來源再做使用,而在外包的存儲供應商處保存具有轉售價值的信息和內容,這些內容是否可受到保護也會受到質疑。

等保2.0中云等保的要求

云計算在等保 2.0 中占據了非常重要的位置,并在等保 1.0 的基礎上做了很大調整,擴大了保護領域的同時明確構成云等保要求的四部分:網絡通信安全、區域邊界安全、計算環境安全和管理中心,提出相應防護要求和 “云責任共擔” 模型。

吳雷說,云計算系統網絡架構是扁平化的,業務應用系統和硬件平臺松耦合。安數云發現租戶個性化安全服務能力的需求,安全云的安全策略可以根據自己的需求來定義,這是傳統安全的耦合性難以實現的(租戶個性化);云等保要求安全管理中心,進行體系性的統一調動。為劃分責任單獨分開云管理系統和云平臺,只要保證安全服務完整、可靠即可。

二、何為安全云?

定制化安全服務的安全云

由于信息技術的快速增長,安全技術的迅猛發展和不斷更新的黑客策略,依靠云計算輸出的安全能力是一個合理的選擇。因為,如果管理得當,安全云可以提供最小化的管理成本和服務提供商的干涉。

吳雷認為,隨著安全防護邊界的模糊,防護需求不斷演變,為了滿足多租戶對安全服務定制化的需求,安全云誕生了。傳統安全設備都是獨立運行,安全設備的更新換代,造成嚴重的資源浪費、運維過于復雜,導致用戶網絡拓撲結構十分復雜、維護成本極高。轉而將云計算應用于網絡安全領域,將網絡安全能力和資源云化,并以此為用戶提供按需的網絡安全服務。

為此,安數云提出云安全資源池的概念,并于 2017 年迅速研發產品進行落地。所謂安全資源池,就是利用云計算技術的容器特性,構建一個云資源池,部署用戶網絡、私有云、IDC 中,在資源池中將網絡安全產品虛擬化,當用戶需要某種安全功能時,動態進行調度運用。這種做法充分運用了軟件定義技術,通過 “軟件定義流量、軟件定義資源、軟件定義威脅” ,為用戶建立起動態的、閉環的軟件定義的云安全服務體系,讓云安全問題的解決變得簡單、敏捷、合規。

吳雷表示,安數云以安全資源池為基礎,協同各種安全產品這些安全資源包括了滿足各類用戶安全防護的安全能力,比如安數云自主研發的 WAF、NGIPS、CASB 等。其次,安全云具備了各種安全防護能力的按需提供能力,用戶可以靈活地根據自身業務特點和成本預算選擇安全業務。用戶可以省去投資和維護安全設備的成本,轉而直接購買安全云提供的安全服務。傳統安全工具提供不了多種安全產品的自由定制和有效管理,尤其是當企業使用多個廠商安全產品的時候。

他說,安全云的獨特之處在于,對于用戶來講安全服務可按需定制,對運營商而言,無需購入多種安全產品,各租戶可以共用一臺虛擬安全設備,既能節省安全資源,也能實現高效運行。

三、安全云的核心技術

只有基于 SDN 的云平臺才是安全云

SDN 給云平臺的管理帶來了一個契機,原來模糊的邊界因 SDN 變成了一個有結構的網絡,使得安全能夠重新找到一個著力點。它有效的改善安全策略和管理的復雜度,降低企業的 IT 運維成本。

吳雷在采訪中說,云平臺的資源池化、虛擬化,只有在軟件定義之后才能稱之為安全云。因為云平臺在引入 SDN 之后可以提升在管理、組網以及協同上的能力,實現有效的快速響應、資源調度和需求感知等。用戶對于安全服務能力有不同的要求,僅在企業內部無法做到點對點的區域性安全,增加了安全運維難度。只有 SDN 能夠使得最終系統更加簡易化、商業化,否則再完備的設計也只能停留紙面。相比之下,SDN 顆粒度小、彈性高且靈活,便于進行網絡劃分,傳統的協議無法滿足安全云發展的核心訴求。SDN 天生帶有簡便安全策略管理的基因,因此只有基于 SDN 的云平臺才是安全云。

多點聯動的安全縱深防御能力

事實上,安全云最大的優勢是降低成本,同時提高了敏捷度,甚至提高了并發性能(比如云資源的彈性擴容),但是與安全設備相比,安全云增加了攻擊平面、降低了可信邊界,安全云的整體設計顯得尤為重要,這就意味著在生命周期中需謹慎管理安全云,以避免帶來新的威脅。而縱深防御體系能增強安全防護能力,收緊攻擊平面。吳雷談及安數云的縱深防御能力,它主要表現為多點聯動防御:

A. 支持第三方的安全服務能力

B. 具備把各種安全產品組合提供給用戶的能力

C.可以把防護類型的多家安全廠家串聯,保證用戶縱深行防護能力

安全牛評

虛擬化技術和安全設備的結合,驅動了云上的安全虛擬化、混合化。絕對意義上的安全是不存在的,安全云雖然降低了企業部署安全產品的成本,增強企業使用多種安全產品的管理可控性,但是也增加了安全云設計的難度。信息安全和應用的關系正在發生轉變,無論是縱深防御、軟件定義網絡,或是安全虛擬化。網絡安全同新技術融合的成果,有待我們進一步探索和實踐。

相關閱讀

 

十二大主流云安全威脅

谷歌GCP:最安全的云平臺?

 

 


相關文章

寫一條評論

 

 

0條評論