5年前,云安全是道門,擋在你面前。
5年后,云安全有門道,開放讓你進。
我們5年的實踐經驗濃縮成一句話是:以軟件定義安全為指導思想、以安全域為基本單元、以可視化地了解全局態勢為目標,來部署企業私有云安全。
接下來,我們就展開來講,面對復雜的私有云環境,云安全該怎么來規劃、部署。
我們知道,企業用戶搭建的私有云環境通常都非常復雜。主要表現在以下幾個方面:
第一,私有云環境中,網絡邊界變得復雜。虛擬化技術打破了各種計算資源之間物理界限,使用戶可以最大化應用計算資源或者存儲能力。同時也使云計算環境中的網絡邊界,不再像傳統網絡中的物理邊界那樣清晰、明確。
第二,相較于公有云環境,企業私有云環境中應用的設備和系統多來自眾多不同的品牌,因此,各種對接問題層出不窮。在實踐中,用戶的需求往往是:不僅要能對接各種云平臺,譬如VMware、openstack、基于openstack的華為和華三云平臺,也要能對接各種SDN方案,諸如思科、華為、華三、銳捷各類SDN方案,還要能對接各種存儲系統,諸如EMC、華為、曙光等等。
第三,企業私有云管理變得復雜。在云計算環境中,基礎設施、計算資源、系統架構都可能隨著業務需求的變化而不斷發生動態的變化和調整,這無疑對管理提出了很高的要求。
以上幾個問題,若用網絡安全的語言來解讀,則變成了——
第一,以往基于物理安全域/安全邊界的防護機制,使得安全設備無法在虛擬化環境中找到防護的“邊界”。所以,要找回邊界。
第二,部署的云安全解決方案,要兼容各種系統、設備,處理好各種對接問題,否則無法滿足實踐中的真實需求。所以,要跨最多的平臺;
第三,若安全管理不能相應地做到可視化管理,就猶如好馬沒有配上好鞍一樣,企業私有云環境無法得到更佳的安全防護。所以,要讓安全可見。
第四,安全無小事。云安全管理要實現從安全可配、到安全可見、到安全可管、再到安全可控的閉環管理。
因此,針對企業私有云安全的部署,從實踐中,我們總結出了可行的思路和方法。
從部署思路的角度來說,要用統一管理的思想、全局的視角,做從上至下的整體布局和規劃;從部署方法的角度來說,應同等地注重軟件定義安全的技術實力以及最佳實踐能力這兩方面。沒有真正落地的實踐能力,技術再好,也是空談;沒有很強的技術能力,實踐上也無法達到為用戶帶來“最佳”的體驗。
針對當前云安全領域尤其是企業在云環境應用中的安全問題,我們是怎樣來幫助用戶實現他們在云安全解決方案中的最佳實踐的呢?我們有這樣幾個主要思路:
第一,安全管理平臺化。通過一個統一的云安全管理平臺,找回消失的邊界,使得在虛擬邊界上重新部署安全設備成為可能。用戶通過這樣統一的安全管理平臺,不僅可以清晰地看到包括計算資源和網絡資源在內的各種云內狀況,還可以清晰地看到通過業務邏輯定義的安全域和安全子域,以及云內從安全域到資產各個層面的流量關系、鏈接關系等。總之,用戶就此獲得了一個超越于某一個安全領域的、更高層面的安全管控視角。
第二,安全資源池化。傳統的安全防護手段都是硬件物理設備部署在安全邊界上,每新建一個系統就要新購置一批安全設備,而且面臨著一堆實施部署的難題。通過建設動態可彈性擴展的安全資源池,在資源池里部署軟件安全設備,實現安全資源的池化。這樣,不僅可以動態擴展安全資源池的計算能力,使之超過單個硬件的處理能力,更重要的是,能夠通過對安全資源的統一管理,基于用戶業務需求細粒度地按需編排安全資源的使用,實現安全的敏捷可控。
第三,安全部署自動化。通過我們的解決方案,安全域的劃分、虛擬化鏡像節點的部署和安全措施的部署都可以實現自動化。這無疑使得網絡安全運維和管理變得更簡單,也更能滿足私有云環境的實際要求。
第四,安全管理的兼容性。從虛擬化平臺的角度來說,我們可以很好地兼容VMware、KVM、Xen等主流平臺;從云平臺來說,我們可以很好地兼容華為、華三、openstack等云平臺;從SDN控制器來說,我們也可以很好地兼容華為、華三、銳捷等主流SDN控制器。此外,安全資源池架構也具有很好的開放性,不僅可以部署第三方的各種軟件安全產品,包括但不限于防火墻、入侵檢測、審計、WAF等,而且無需對第三方軟件做大的改動。更重要的是,還可以兼容第三方安全產品的管理平臺。
總結來說,主導思想就是要“用軟件定義安全管理、軟件定義安全邊界、軟件定義安全服務”,通過安全管理平臺,統一并可視化管理私有云環境里的安全策略、安全資源、安全域等等,并通過自動化的靈活配置,滿足虛擬化環境的“隨需所取”的需求,從而為私有云的運營提供有力的、安全的防護和支撐。
如果說,總體思路是大的指導方針,那對于每一個具體環境、具體項目,有針對性的解決方案和策略則是必須的實踐措施。尤其是在面對幾大虛擬化云平臺主流,譬如VMware、華為、華三等,我們的思考和具體實踐是什么?敬請關注我們接下來的系列探討文章。
京公網安備 11010502049343號