隨著云計算、大數據、物聯網等技術架構的發展與應用將進一步完善,未來運營商的網絡將呈現出規模更大、速度更快、應用更豐富、資源更集中、接入方式更多種多樣的趨勢。同時,云計算也為運營商帶來了很大的安全挑戰,過去的物理安全防護邊界消失,傳統IT架構下的安全方案變得不那么適合,云計算時代所面臨的安全挑戰變得更加復雜,這使得運營商在搭建云計算平臺時及部署云業務應用時,愈加重視安全因素的考慮。

下面為運營商用戶需要解決的云安全挑戰:

1、網絡虛擬化使傳統網絡邊界的防護手段失效

由于傳統的網絡結構中,網絡邊界一般通過物理的服務器、網絡設備、網絡接口進行識別,防火墻和入侵檢測設備可以采用串接和旁路的方式捕獲進出邊界的流量,并按照預設的策略執行防護動作。但隨著虛擬化實施之后,系統之間的邊界不單單是以物理設備的形式存在。比如在物理服務器中虛擬出多個虛擬機,這些虛擬機之間以及虛擬機與宿主機之間的通信都只會在服務器內完成,不會與外部網絡發生交互,傳統的邊界防護設備捕捉不到這些流量,也就不能進行防護。因此基于傳統的邊界防護的手段不適用于對虛擬化環境的邊界保護。

2、傳統信息安全產品難以滿足彈性化、個性化的安全需求

傳統的信息安全產品通常以硬件形式存在,單臺設備的功能與性能比較固定,采購和部署的周期比較長。企業將業務遷移到云中,由于云的彈性伸縮特點,允許企業業務的規模從小到大在一個很大的范圍內變化。如果業務規模小、流量小,采用高性能的信息安全產品成本高,而且會造成資源浪費;如果業務規模大流量大,采用低性能的信息安全產品,就會出現信息安全產品性能不足的問題。彈性化的安全需求,不但體現在性能上,還體現在交付與部署時間上。因為業務在短時間內爆炸式增長,也需要安全產品交付與部署時間同步縮短。云計算里支持多租戶,不同的租戶對安全的需求也是不同的,傳統的安全產品難以滿足這些彈性化、個性化的安全需求。

3、安全處理資源的爭奪增加云計算項目的投資成本

病毒掃描或防病毒更新等占用資源較多的操作會快速導致系統(CPU、內存和磁盤I/O)負荷激增,同時導致業務虛擬機密度下降。這將影響虛擬化或云計算項目的投資收益率(ROI)。


4、云安全管理對威脅的可視化提出更高挑戰


對于傳統運營商數據中心而言,由于業務的規模不是特別大,安全管理對威脅的分析、可視、處理,通過多種傳統的安全產品基本可以滿足。由于業務量變化幅度不大,對威脅的聯動響應大部分通過人工就可以滿足要求。但隨著云時代的到來,系統變得越來越復雜,組件越來越多,用戶流量不斷上升,各種相關事件和變更需求也越來越多,云的運維管理變得越來越重要,其中安全管理在運維管理之中又是重中之重。安全管理首先需要對云環境的安全風險進行有效的評估,通過對威脅的可視化可以保障運維人員對云的安全狀況有整體的掌控。由于云的規模的龐大與分布式特性,對威脅的分析、可視化的安全產品的數量、形態、性能等多個方面都提出了更高的要求。



啟明星辰作為云安全聯盟(CSA)成員單位,經過持續追蹤虛擬化技術發展,并研究虛擬化環境下信息安全實現技術,同時進行了大量實踐之后,開發出了一套適用于虛擬化的云安全防護方案,可實現運營商虛擬環境下流量牽引、建立彈性安全資源池等功能。目前該方案已在電信、移動、聯通、廣電等多個省廣泛應用。


解決方案


啟明星辰經過對虛擬化環境深度分析,并基于多年技術積累開發出了軟件定義安全SDS和虛擬化安全資源池Vetrix相結合的云安全解決方案,滿足運營商客戶各種云場景的安全需求。SDS在虛擬環境下導出流量,并將流量分流或復制后交付物理或軟件Vetrix進行安全處理。產品部署如下圖所示:

1、虛擬化安全資源池Vetrix


虛擬化安全資源池由各種物理形態或虛擬形態的網絡安全設備組成,這些安全設備不再采用單獨部署、各自為政的工作模式,而是由管理中心統一部署、管理、調度,以實現相應的安全功能。安全資源可以按需取用,支持高擴展性、高彈性,就像一個資源池一樣。


虛擬化威脅檢測系統,是啟明星辰自主研發的基于KVM虛擬化技術的可擴展信息安全檢測與防護系統,是承載在Vetrix之上的安全防護產品。其和Vetrix的關系類似于蘋果App和AppStore的關系。Vetrix具有可集成多種虛擬安全產品于一身的強大擴展能力。虛擬化的安全產品包括:虛擬IDS(vIDS)、虛擬數據庫審計(vDBA)、虛擬FlowEye(vFA)、虛擬業務審計(vBA)等。產品安裝后,用戶可根據自己的需求動態調整相應的虛擬安全產品,而無需經過復雜的硬件產品上架過程。


安全產品虛擬化就是使軟件和硬件相互分離,把軟件從主要安裝硬件中分離出來,使得安全產品的系統可以直接運行在虛擬環境上,可允許多個安全產品同時運行在一個物理硬件之上。

 其中,Vetrix虛擬化系統是Vetrix的基礎平臺,負責安全產品的虛機管理、授權管理以及系統的自身管理。Vetrix系統提供虛擬安全市場功能,安全市場源服務器負責提供各種虛擬安全產品包映像文件。用戶可從安全市場源服務器下載虛擬安全產品包,并安裝在Vetrix系統的虛擬機里,由安全虛擬機負責實現具體的安全功能。Vetrix和安全市場兩部分相互獨立,可以靈活部署。

2、軟件定義安全(SDS)

SDS理念是從SDN引申而來,原理是將物理的、虛擬化的網絡安全設備與它們的接入模式、部署位置解耦,抽象為安全資源池里的資源,通過軟件編程的方式進行智能化、自動化地編排和管理,以實現相應的安全功能,從而完成網絡安全防護。就工作機制而言,SDS分解為軟件定義安全資源、軟件定義流量、軟件定義高級威脅模型,三個舉措環環相扣,形成一個動態、閉環的工作模型。


●軟件定義安全資源:配備安全資源是實現網絡安全防護的基礎。在SDS模式下,安全資源由管理中心通過軟件編程的方式進行統一注冊、管理,以便實現后續的靈活編排和調度。


●軟件定義流量:由軟件編程的方式來實現網絡流量的轉發控制,通過將目標網絡流量轉發到安全設備上,來實現安全設備的邏輯部署和使用。


●軟件定義高級威脅模型:對原始報文、流、安全事件等信息進行深度整理和挖掘,實現對高級安全威脅等未知威脅的實時分析和建模,之后將建模結果應用于安全資源并進行流量調整,實現安全聯動自動化。


啟明星辰軟件定義安全系統基于SDS理念,通過軟件編程的方式調用安全設備資源,實現了一種靈活、智能、自動化、服務化的網絡安全防護,能夠幫助用戶應對復雜網絡環境下的安全挑戰,具備如下特色:


●安全可自定義:通過軟件編排的方式,使得各種安全資源能夠靈活組合,方便實現多種安全設備的協同防護。


●虛實融合:平臺可以根據安全功能需求調用各種安全資源,無論是物理的還是虛擬化的安全設備。


●多租戶靈活部署:支持對網絡流量做細粒度區分,針對不同流量采用不同的安全策略,適用于多租戶環境。各個租戶可以按照各自的需求進行個性化的安全功能定制,具備高彈性、可計量性。


●多層次的威脅發現:通過多種安全設備協同防護以及安全大數據分析中心的全局性安全情報,實現安全威脅的層層過濾,使得各種已知威脅甚至未知威脅均無處遁形,深度解決用戶的網絡安全隱患,保護核心資產。


●安全高可靠增強:提供智慧流安全平臺級、安全設備級的雙機熱備,當檢測到故障發生時,可以實時的、自動地對平臺自身、安全設備的進行主備切換。當主備安全設備均發生故障時,還能夠采取bypass方式,確保網絡不中斷,避免單點故障。當設備故障解除后,能夠實時的、自動地還原安全路徑,快速恢復網絡流量監控。


●安全資源彈性可擴展:軟件編排的方式、支持虛擬化的安全設備等特性簡化了安全設備集群化部署。平臺支持多元化負載均衡算法,可以實現安全設備性能的線性擴展。


●兼容第三方安全設備:第三方安全設備可以直接接入啟明星辰智慧流安全平臺,作為安全資源池里的資源接受平臺控制管理中心的調度、管理,保護企業現有投資,節約網絡安全成本。

3、部署方式

業務資源池與安全資源池直連
 
在VMware環境下,業務資源池虛機可與Vetrix服務器直連,此場景下VTAP下設置為不對復制的流量進行封裝,流量直接由業務資源池交付至Vetrix資源池。適用于小規模部署,且可將Vetrix服務器部署在與業務資源池的相近的位置。
 

如業務資源池需要通過網絡與Vetrix服務器直連,此場景下,需將VTAP設置為對流量進行封裝,采用SDS流轉發平臺解封裝后將流量交付給各類安全產品。


優勢總結

軟件定義安全SDS和虛擬化安全資源池Vetrix相結合的云安全解決方案,是啟明星辰基于多年的安全經驗積累、采用新一代多核X86高性能硬件平臺和云計算技術、SDN技術研發而成的先進的云安全解決方案。為私有解決了運營商客戶云環境下的威脅發現、威脅展示、威脅分析、威脅處理的專業化威脅發現與管理問題,優勢如下。

1、節約成本,快速部署

該方案可以將多個安全產品以虛擬機的方式運行在1-N臺硬件設備中,在節約了硬件成本的同時,還節約了多臺硬件消耗的機架租金、電力、制冷、人力維護等運維成本。

系統內置的市場客戶端可以從安全市場獲得各種安全產品虛機映像,通過虛機映像可以快速創建各種虛擬化的安全產品,這個過程通常引擎類只需要1~2分鐘,最多十幾分鐘(數據中心產品受限創建硬盤時間,越大尺寸硬盤時間越長),從而實現了快速部署安全產品。

2、可軟可硬,靈活的商業模式

Vetrix安全資源池支持部署在定制的工控機硬件上,也支持部署在支持虛擬化的商業服務器硬件上;支持軟硬件一體銷售,也支持用戶自己購買服務器硬件(硬件需要符合系統對硬件的要求),廠商只銷售軟件授權的商業模式。

3、獨立部署,松耦合且降低業務質量風險

安全產品以虛擬機的方式部署在云中,需要云平臺提供CPU、內存、硬盤、網絡等資源,安全產品虛擬機容易與云中的其他業務虛機搶奪CPU等硬件資源,影響業務虛機的性能。獨立的虛擬化安全資源池,與業務虛機不發生CPU、內存、硬盤等資源的爭搶,這樣的獨立部署架構即減少對云平臺的緊耦合,又有效降低云內部署安全虛擬機方案帶來的業務質量風險。

4、統一管理,提高運維效率

該方案具有豐富的管理功能,友好的用戶界面,統一的安全產品管理接口。安全產品出現故障時,可以通過界面登陸虛機串口、重啟虛機、切換網絡等手段,遠程處理故障,不用運維人員跑機房操作安全產品調試,極大的提高了運維效率。

5、靈活擴展,持續提升安全能力

Vetrix安全資源池支持安全產品虛擬化的部署方式,在單機硬件資源允許的條件下,用戶通過創建安全產品虛擬機,快速擴展自己的安全能力;

Vetrix安全資源池支持分布式系統架構,在單機硬件資源不夠時,可將多臺主機組成硬件資源池,通過在資源池中獲得硬件資源并創建安全產品線虛擬機的方式,近乎無限擴展安全能力。

6、安全合規,云環境下的迫切選擇

傳統IT架構滿足等保三級要求時,需要部署防火墻、入侵檢測、數據審計等產品,在云環境下的虛擬機之間東西向流量,無法采用傳統硬件安全設備進行入侵檢測與審計,難以滿足云等保等合規要求,采用系統整體方案后,可以將云中虛擬機的流量牽引到安全資源池中進行檢測與審計,配合云中的虛擬防火墻,邊界的防火墻設備,可以滿足云等保等合規相關要求。

案例介紹

1、背景與需求

某省電信用戶應用虛擬化技術,對現有IT資源進行了整合,建成了內部私有云,供上層各電信業務系統使用。私有云的建成,將硬件資源共享成資源池,可按需分配資源,動態調度資源,冗余的硬件資源得以合理利用,降低了服務器采購數量,明顯的減少了投資成本,同時保障了業務用運行的穩定性。云平臺采用VMwarevSphere解決方案,電信大部分業務已遷移至云上。

私有云的安全防護較為薄弱,僅在資源池網絡出口位置部署了防火墻設備。用戶關注如何在不影響業務的前提下,實現對云內東西向流量的安全。并要求方案有一定擴展性,能適應未來私有云的擴展。

2、解決方案

本方案采用啟明星辰的軟件定義安全SDS+虛擬威脅檢測Vetrix的云安全解決方案,應用了軟件定義安全SDS、虛擬化安全資源池Vetrix等產品。構建了一個針對東西向流量進行防護的,可擴展的動態安全防護體系。

東西向流量由虛擬威脅監控AGT通過ERSPAN的方式,將數據包采用GRE封裝后導出到SDS流轉發平臺,然后由流轉發平臺進行解封裝。解封裝之后的流量可通過SDS流控制平臺進行編排。經過編排,流量被分別交付給Vetrix虛擬化安全資源池內的各類虛擬化安全產品。在系統運行過程中,編排的流量和安全資源池內的虛擬安全產品可隨時被調整,以動態的適應安全態勢的變化。

3、實施效果

在本案例中,通過應用軟件定義安全系統SDS、虛擬化權資源池Vetrix等系統,形成了對東西向流量進行全面檢測分析的動態防護體系。方案具備高可擴展性,用戶可根據流量的變化,增加Vetrix資源池的數量,同時可通過增加安全產品鏡像的方式,擴展安全產品品類。另外,由于本次應用的虛擬安全產品均為旁路部署,只需通過鏡像導出流量,對系統的運行無影響。

4、客戶價值

●安全資源獨立部署帶來的益處
 
在此應用中,安全資源獨立部署,安全與云平臺表現為弱耦合關系。這種部署方式使得職責劃分更為清晰,同時實現安全產品的集中維護。當云平臺升級或切換時,可保留安全資源部分,保護用戶的投資。


●可實現安全設備利舊使用
 
Vetrix平臺可與傳統安全設備對接。當用戶將業務從傳統網絡遷移到云端時,原網絡中的部分安全產品將被閑置下來,閑置設備可仍可對接到Vetrix平臺繼續發揮作用。