面對云安全,如何構建和管理“安全云”環境是當前服務商和用戶面臨的主要挑戰。如何管理云計算中復雜的虛擬化環境?如何實現多類型安全設備的統一日志管理和事件關聯分析?如何對虛擬化環境下的安全策略進行管理和部署?如何根據業務變化,快速及時的實現安全策略自動化分發和動態調整?諸如此類等等復雜的虛擬化環境對安全管理提出了新的要求:
高性能。云計算環境中設備資源、數據大集中,需要對海量事件進行集中采集和分析,安全管理系統應具有更先進的技術以大大提高事件處理能力。
統一管理。云計算環境中存在多種類型、多個廠家的設備資源,各種設備日志格式、內容千差萬別,要求安全管理平臺能夠屏蔽其差異性,實現統一的智能分析和審計,并提供豐富的綜合分析報告。
可遷移。云計算環境中虛擬化的應用,使管理單元從傳統上的以“設備中心”向以“虛擬實例”為中心轉變,各種資源的池化管理也使業務變化更為頻繁,要求安全策略必須實現自動化部署,以便能夠及時跟蹤業務變化并完成動態調整,減少人工處理帶來的業務延遲。
多業務系統的融合。云計算環境中IT管理系統也趨于融合,安全管理系統與其他管理系統聯系越加緊密,與網絡管理不斷融合,同時與身份管理系統、運營管理系統也要密切協同配合。這就要求安全管理平臺更加具有開放性。
針對以上這些新的應用特點,集中化、虛擬化,自動化、開放成為新一代云安全管理平臺的必備特征。
一、 云安全管理平臺的整體架構
云安全管理平臺應構建起智能開放統一的系統架構,以適應當前的云安全管理需求。如圖1所示,第一,采用開放的SOA架構,提供SOAP/REST開放接口,方便與其他業務系統進行融合和協作;第二,采用分層設計,通過資源訪問層將各種設備資源的訪問接口進行適配和封裝,利于對不同資源集中管控;第三,平臺支撐層提供模塊化的基礎管理功能,包括高性能采集和分析引擎,大容量數據存儲,虛擬化資源管理,完善的知識庫系統等;第四,業務管理層對基礎管理功能進行組合,實現基于業務的全方位、多視角的安全管理。
圖1 云安全管理平臺系統框架
二、 集中的虛擬化資源管理
和傳統的網絡環境不同,在云計算環境中大量使用了虛擬化技術。比如“一虛多”,即一臺設備虛擬成多臺,如“多虛一”,即多臺設備處理同一個業務,又如“多虛多”,即多個業務在多臺虛擬服務器上運行。此外由于虛擬化實例的廣泛使用,整個云中的安全設備已經虛化成了一個包含多個虛擬單元的資源池,資源分配更加的隨心所欲,不再局限于死板的物理資源分配。此時的安全管理軟件平臺,無論是在設備配置管理還是安全日志分析等方面,都需要基于虛擬化的設備資源,而不是基于單個物理設備來進行。而且,對于這些虛擬化單元,用戶權限管理也要進一步細化,在完成初始化的用戶虛擬化資源分配和綁定后,后續的任何操作,都應該可以基于不同租戶的不同管理員進行;每個管理員都可以隨時對本企業的安全資源進行策略配置調整,管理維護企業本身的安全事件分析報告。
新一代安全管理平臺能夠管理各種安全設備,多種安全業務在一套平臺中集中展現和部署,物理/虛擬資源統一管理,實現網絡安全的集中化管理。用戶可以根據實際情況劃分區域,面向虛擬資源,支持將虛擬設備劃分為不同的虛擬設備組,同時靈活的權限管理允許不同用戶管理不同的虛擬化安全設備,滿足對虛擬化資源的分級分權管理需求,確保以最經濟、高效的方式讓新增業務快速上線并運行,對虛擬資源分配、跟蹤、執行,為業務運營提供有力支撐。
[page]三、 快速的事件智能分析
在云計算環境中,要求安全管理平臺對云及虛擬化環境下的IT資源統一進行監控、審計和分析,要求具有更先進的海量數據處理與分析能力,以海量事件采集為例,需要滿足每秒幾萬條事件的處理能力,同時完成海量事件的快速查詢和綜合分析,提供豐富的事件報表。
新一代安全管理平臺將基于虛擬化資源,進行海量事件采集和統計分析,對全網范圍內的安全事件進行綜合的智能分析,并提供各種直觀、詳細的報告,滿足用戶的定制報告需求。在全景式的分析報告中,管理員可以輕松地看到整網過去的安全狀況和未來的安全趨勢,有效的幫助其了解需要重點關注的網絡攻擊,發現各種安全風險,以便提早防范。安全管理平臺還將具有強有力的審計能力,能夠從歷史數據中快速查找到相關的安全事件信息,通過深入的數據查詢,對具體的安全事件深入分析,能夠一步一步追蹤,剝繭抽絲,最終發現安全事件攻擊來源及根本原因。同時利用高效的關聯分析技術以及完善的知識庫系統,能夠在成千上萬條安全事件中快速準確發現當前正在發生的重要事件,及時對網絡安全提前預警進而實現對攻擊行為的準確隔離。
四、 自動化的策略動態調整
在傳統的管理模式中,管理員關注資源的管理,側重如何從底層資源出發保障業務和性能。而云模式下的管理則更側重資源的自動化調配和調度,以及基于網絡業務的服務深度保障,即如何根據業務性能需求變化來調整和優化資源供給方案。虛擬化的使用首先是帶來需要管理目標的增加,再就是系統架構會隨著業務的變化而不斷的發生動態的變更,這就要求安全管理系統必須能夠根據動態變化的虛擬化環境,做出相應的安全策略調整;對于管理員來說,需要為各種應用、各種處理程序,以及各種數據基礎設置正確的安全策略,當面對數量眾多安全策略,管理員迫切希望這些安全策略具有可移植性并易于配置,而常規模式下的手工網絡操作將引起業務服務的長時間中斷,已經不能滿足當前業務的要求。當資源或服務發生變化時(例如服務擴容,服務虛擬化引入的VM調整、遷移等),要求安全策略能夠隨之自動的進行動態調整,而不必重新實施和部署對應的安全策略,減少網絡維護工作量,提高企業運營效率。安全管理平臺的自動化體現在兩個方面:
一是能夠根據資源和業務的變化,自動實現安全策略配置的動態調整。例如,當云計算環境內的虛擬機遷移時,安全管理平臺能夠感應到虛擬機遷移狀況,從虛擬機管理系統中獲取虛擬機遷移前后的各種信息,包括虛擬機遷移前所在物理主機以及遷移后物理主機位置及IP地址信息,然后通過網絡管理系統中的網絡拓撲圖(拓撲圖中包括了所有網絡資源的連接關系),定位出遷移后物理主機所在交換機端口進而找到所屬防火墻設備,然后系統自動匹配并找出虛擬機原有安全策略,并將原有策略重新部署到新的防火墻中,實現安全策略的自動遷移,實現云計算環境中多種安全設備的安全策略的一致性與快速部署,保障網絡安全。遷移過程如圖2所示。
圖2 安全策略自動遷移示意
二是智能的監控和告警。當安全管理系統接收到安全設備發送的安全攻擊事件時,會提取攻擊事件中的攻擊源和攻擊目的信息,在網絡拓撲中,直觀顯示出攻擊源到攻擊目的的攻擊路徑——從攻擊發起者途徑了解哪些網絡設備和安全設備到最終攻擊服務器,方便管理員定位查看。同時能夠預先設置策略,對關鍵的攻擊事件,直接定位攻擊源接入網絡的源頭設備,自動對該設備下發阻斷策略,比如關閉端口,設置ACL、QoS等,快速對攻擊者進行封堵,避免攻擊泛濫到整個網絡。
[page]五、 業務自動編排
在云計算環境中,基礎設施可能隨著業務需求的變換而不斷增長、調整。如果管理員不能對資源及業務進行快速部署,勢必會陷入低效率價值而非聚焦服務。這就要求實現高度智能的業務管理:將各種資源提供的能力抽象出來,根據業務對網絡安全的要求,建立統一的機制,基于業務流程合理編排成用戶所需的安全策略模板。比如針對防火墻設備可以抽象出“定義Zone”、“定義Rule”、“定義Profile”等模型,將其定義為防火墻策略模板。針對LB設備可以抽象出“服務器”、“服務器組”、“虛服務”、“LB policy”等,將其定義為LB策略模板,然后進一步將防火墻策略模板、IPS策略模板、LB策略模板等定義為某種業務安全策略模板。
圖3顯示了安全策略模板化的過程。在這一過程中,管理人員可以把用戶情況,設備情況以及用戶與網絡安全資源之間的分配關系輸入到管理平臺中,管理系統將自動的建立人員與網絡安全配置關系,通過鑒別用戶身份,分配用戶所需資源及對應的安全策略,包括防火墻設備、IPS設備、LB設備等,最后針對用戶或業務編排出安全策略模板。當出現業務資源變化時,管理員就可以直接利用已有安全模型及安全策略模板快速實現業務的建立與部署,使其擺脫業務規劃、實施、變更和監控整個流程的管理復雜性,提高響應云服務需求的業務快速部署能力。同時通過編排實現的各種策略模板,也可供第三方IaaS(基礎架構即服務)、PaaS(平臺即服務)、SaaS(軟件即服務)等云計算管理系統調用,最大限度地提高企業在基礎設施建設中的投資價值。
圖3安全策略的模板化
當通過自動編排能力交付網絡安全服務后,就可以把實現一個業務安全策略部署的預期時間縮短到幾分鐘時間,從而實現快速的業務部署能力。由此,管理員將徹底從云服務建立、調整、擴容等繁雜的配置工作任務中解脫出來,而將主要精力聚焦于為客戶提供高效率、高質量、高保障的服務上來。
六、 多業務融合與協同管理
作為安全業務的集成管理平臺,不僅需要提供單獨業務模塊的管理,還需要將多種業務模塊融合,進而支持多系統協同聯動,實現網絡安全業務的全流程管理。安全管理包括多種業務模塊,如防火墻管理,IPS管理,LB管理等,不同設備使用了不同的日志類型和業務配置模式,平臺能夠將多種業務模塊有機結合在一起,屏蔽業務模塊差異,提供統一的安全事件分析和策略部署能力。
新一代云安全管理平臺能夠從云接入環節開始,與第三方認證系統聯動,提供基于用戶身份的安全業務管控。首先能夠針對用戶的進行流量統計分析,并能夠基于用戶下發安全策略,對用戶帶寬,訪問資源權限進行控制,還能夠基于用戶對訪問資源情況進行審計,從用戶角色的角度,實現對安全業務的“監”、“管”、“查”。另外,支持同第三方云計算管理系統以及虛擬機管理系統協同工作,根據不同租戶的安全業務需求,結合資源負荷狀況,實現動態調配虛擬機資源,并能夠針對虛擬資源的變化實現安全策略的動態調配。
圖4 多業務系統協同
圖4以LB業務為例,展示安全管理平臺和云管理平臺、虛擬機管理系統間的協同。云管理平臺針對不同租戶分配不同的資源和策略,并調用安全管理平臺提供的接口進行部署;安全管理平臺完成部署后,會實時監測提供業務的資源可用性狀況,包括虛擬機CPU、內存、當前連接數等信息,從而判斷出業務資源是否已超負荷運行;當發現業務資源告警,則會自動觸發通知虛擬機管理系統(如VMware vCenter),創建新的虛擬機;當新建虛擬機完成后,安全管理平臺會獲取其IP信息;最后,安全管理平臺動態調整LB策略,將新資源加入到現有業務中,提高業務處理能力,確保業務服務正常。
[page]七、 開放的架構
云計算最終的目標是達到系統的按需運營,能夠根據用戶請求執行服務的開通。任何一套管理系統,都不可能滿足所有用戶的需求,這就要求用戶在建設數據中心時具備開放的管理戰略,管理系統具備開放的能力。
新一代安全管理平臺采用基于面向服務(SOA)的開放管理架構,提供了封裝網絡安全業務的管理調用接口,包括SOAP、RESTful等開放接口,第三方業務系統可以使用這些接口實現對網絡資源的調度和編排,也為安全管理平臺與第三方云計算管理系統協同聯動提供技術支持,幫助第三方業務系統具備構建靈活業務網絡的能力。
通過開放的接口,可以將不同產品不同格式的日志轉換為固定格式并實時上報,以利于上層管理平臺的解析處理,實現整網安全事件的統一分析;可以支持上層的安全策略管理平臺調用安全策略部署的接口,實現對全網安全設備的統一策略部署。例如廠商提供的安全管理平臺已經定制出各種安全策略模板,第三方云計算管理系統就可以通過這些開放的接口直接調用已有安全策略模板,實現對不同租戶的安全策略進行部署,避免其針對不同廠商設備進行適配以及重復開發,滿足快速實現業務部署需求。
八、 結束語
未來的網絡不僅需要從網絡安全的角度出發來保障用戶和業務,也要從用戶和業務的角度出發來優化網絡安全。這意味著安全管理平臺需要采用全新的管理模型和靈活的功能架構,并且充分考慮基礎設施、技術趨勢、業務運行、運維服務等各種管理要素,建立一個開放式、標準化、易擴展、可聯動的統一智能安全管理平臺,以適應云計算環境對安全管理的新要求。
京公網安備 11010502049343號