【編者按】
隨著云計算的興起,云安全成了大家不得不關注的話題,各大安全廠商紛紛推出了自己的云安全產品和方案。漢柏公司云安全事業部總經理王智民,將與大家一同分享一下他對云安全的理解以及漢柏的云安全發展之道。
云的本質是“按需”提供信息技術服務
云計算時代的到來,對于“云”的本質真是眾說紛紜。有人說“云”就是“虛擬化”,有人說“云”就是“軟件定義”……這些認識似乎都不準確。筆者認為,“云”的本質,應該是“按需”提供信息技術服務。那么何為“按需”呢?就是要彈性、可編程、自動化。
云計算模式的發展,給我們帶來了很多的變化,最明顯的一點就是我們可以隨時隨地的按需享受云服務。為了實現按需提供IT服務的特征,目前云技術主要分為兩大技術陣營:虛擬化與非虛擬化。將對外或對內能夠按需提供服務的企業進行了分類,可以看到做SaaS和內容服務的提供商,一般租戶不超過4000個,比如Google、Facebook并未采用虛擬化技術,但是同樣可以提供按需服務的云服務,而在企業服務、租戶大于4000的提供商多半采用了虛擬化技術。私有云或公有云出現后,傳統應用面臨云化的趨勢,如何做應用云化,并非將傳統應用簡單的運行在虛機或容器中就算云應用了,必須能夠符合云特征“按需提供應用服務”才能算云應用。
隨“云”而來的安全焦慮
云應用雖然方便快捷,但隨“云”而來的安全隱患卻成為云用戶最關心的問題。是否能夠隨時隨地都獲得相應質量的云服務?數據資產是否受到法律保護,是否會被非法泄露或使用?這些問題無疑給云用戶造成了諸多的困擾。
從云服務環境結構角度分析,云服務環境主要由終端、管道和數據中心構成。終端安全隱患主要是指非法或者具有安全風險的終端及用戶接入云。數據中心安全隱患從防護的角度來看主要有:物理安全、虛擬化安全、網絡安全、應用安全、數據安全、運維安全等。除此之外,跨云的安全管理與監控,云內部的安全風險識別、防范、安全事件的及時響應以及國家范圍內的網絡安全統一監控、控制、應急系統,也是云數據中心需要重點關注和解決的。管道安全隱患則是指數據在傳輸過程的泄漏、篡改以及網絡帶寬與質量保障等。
從云服務環境虛擬化角度分析,在計算環境、網絡環境和存儲環境三方面也都存在著安全隱患。
漢柏云安全防護解決方案
漢柏為解決云環境下的紛繁復雜的安全隱患,整合多種安全產品,借鑒SDN的理念,推出漢柏云安全產品OPC-Sec,以提供全面的云安全防護解決方案。
漢柏安全云系統結構
漢柏云安全產品OPC-Sec以網絡節點、網絡邊界、網絡邊界與網絡節點聯動三個方面為出發點,在云的基礎設施、虛擬化、網絡、應用、數據、內容、移動及管理等多個方面提供全面的防護解決方案。
漢柏云安全系統提供全方位的安全防護解決方案
云的核心安全問題涵蓋物理安全、基礎設施安全、虛擬化安全、網絡安全、應用安全、數據安全、內容安全、移動安全、運維管理安全等,漢柏云安全產品OPC-Sec在各個方面都有專門的解決方案。
在云主機病毒方面,漢柏云安全產品OPC-Sec使用的是無代理病毒防護解決方案。其優勢包括:
提升物理服務器的效率,相同硬件配置提高搭載虛機數量和提升虛機性能。
基于物理節點,簡化管理,基于主機安裝,一次安裝。虛機無需安裝代理。
自動繼承的防護,虛機鏡像即裝即防。
在網絡安全防護方面,漢柏云安全產品OPC-Sec可以提供的解決方案主要有:
針對云數據中心運維提供安全防護,比如云平臺管理中心、應用集群管理中心、安全防護控制中心等
針對云內租戶網絡提供安全防護和安全服務,比如針對租戶提供VPN,從而使得租戶方便構建混合云;針對租戶提供虛擬防火墻;針對租戶提供IPS、抗DDoS、WAF等安全防護服務
在云環境下的應用安全防護方面,漢柏云安全產品OPC-Sec可以提供的解決方案主要有:
在數據中心的網關處部署“流量型”、“應用型”、“資源耗盡型”的抗DDoS攻擊系統
在數據中心的網關處部署針對WEB服務系統的防護系統(WAF)
在數據中心的網關處部署針對VDIserver的安全防護系統比如防火墻
在數據中心網關處部署針對虛擬化系統的管理節點比如vCenter、OpenStack的安全防護系統
定期、自動的對數據中心的應用進行“滲透測試”,發現漏洞和威脅,綜合分析并及時糾正
云應用防護
除此之外,漢柏云安全產品OPC-Sec還在數據安全、運維安全以及移動訪問安全等方面提供一系列的解決方案。
漢柏云安全服務,為云提供安全防護
一般企業局域網都存在安全防護的需求,傳統企業一般都會采用自購安全設備,自己管理和運維安全服務,這種方式缺點很明顯,資金投入大、維護成本高。安全云服務模式出現后,企業如果通過公有云購買安全云服務,則資金投入較小、無需自己維護、部署時間基本在幾分鐘之內。
漢柏安全云服務是通過虛擬化技術實現的,可以幫助用戶搭建提供各種安全云服務的環境,比如內網隱藏服務、帶寬保障服務、入侵防護服務、病毒檢測服務、流量清洗服務、Web防護服務等。
漢柏云服務系統體系結構
漢柏云安全系統作為安全云服務平臺,支持多種租戶識別與隔離機制,支持虛機形態的獨立安全系統服務和邏輯隔離的安全特性服務。漢柏云安全服務既為云提供安全防護,又可以作為安全服務提供的云平臺。該服務系統具備以下特點:
以網絡安全資源的集群和池化為基礎,將安全資源集中起來為多個用戶共享服務,并根據客戶的需求動態分配或再分配不同的物理或虛擬的資源。
以互聯網絡為基礎的業務提供途徑,用戶可以隨時隨地通過網絡使用安全云服務提供的各種安全能力。
系統具備為用戶提供靈活的功能模塊選擇的能力,而且安全云服務提供容量上的可伸縮的業務提供能力,用戶可以按需自助服務。
漢柏云安全系統讓服務更加透明化,用戶可以在不必了解內部部署方式的前提下享受相應的安全防護能力,而且實現客戶在業務使用中的零維護、零管理。并通過安全云服務自服務系統的開發實現客戶自助服務和客戶與業務提供商的最小化交互。
用戶可不必投資、擁有和維護在安全云中所能提供相應能力的安全設備,而直接購買安全云提供的各種業務。
京公網安備 11010502049343號