企業在云計算、大數據、BYOD等新一代IT技術的驅動下,業務發展更加高效智能,但信息安全問題卻日益嚴重。承載著大型關鍵業務系統的云數據中心,缺乏可信、安全、可控的生態環境亟需改變。這一現象也反映在IDC的全球調查報告中,數據表明,70%以上的用戶對云計算安全、可靠性等抱有懷疑態度。
今年十月,浪潮針對云數據中心的安全特點和需求,推出了國內首個云主機安全產品解決方案。方案以云數據中心物理主機安全、虛擬主機安全、軟件定義的計算和存儲服務安全為重點,把可信計算體系與主動防御體系進行了有效的結合,以可信服務器為根基,構建從底層硬件到上層業務系統的完整信任鏈,保障云主機在數據處理和業務運行中的完整性、保密性和可用性。
云主機安全決定云計算“金字塔”的穩固
黑客團體已經把攻擊目標鎖定在利益豐厚的云數據中心上,以“Guest OS鏡像篡改”、“主機租戶攻擊”、“虛擬機蔓延”和“API接口濫用”等為代表的新型威脅開始廣泛出現。以封堵查殺為主的消極被動的防護措施,在新的信息安全形勢面前防不勝防, 傳統的網絡安全、終端安全、邊界安全解決方案已無法適應云數據中心的安全需求。
云主機作為云基礎設施的核心,由服務器、虛擬化、操作系統構成,承載著重要數據和應用處理,其安全與否決定著云計算“金字塔”的穩固。浪潮推出的云主機安全產品整體解決方案,其目標是幫助各類云計算用戶保護核心信息資產,并為軟件定義數據中心等遠景規劃提供安全可信的大環境。
對于云主機用戶,此方案通過感知技術自動甄別環境的變化,防止針對服務器硬件、虛擬化軟件、Guest OS及其他基礎設施的惡意代碼植入,進而提升用戶自我防御能力;對于云數據中心運營者,安全可信的計算環境將會吸引更多租戶加入,并在縱橫交錯的可信鏈條上提升云服務的質量和可靠性;對于特定行業中的高安全等級服務器,該方案能為關鍵的業務程序提供安全可信的計算環境,防止因服務器基礎軟硬件被植入高級惡意代碼,從而避免設備被控、數據被盜的情況發生。
五大安全模塊構建安全可信的計算環境,應對云主機威脅
浪潮在主機安全領域已有十余年的歷史,在可信計算方面的研究和實踐也超過了五年,技術上的長期積累,以及研發環節的大幅投入,讓浪潮的信息安全產品在云計算時代取得了攻堅突破。為了幫助用戶從容應對云數據中心的安全挑戰,浪潮云主機安全產品解決方案融合了可信計算、操作系統加固、虛擬計算安全等技術,從縱向和橫向兩個維度解決云主機面臨的安全威脅。浪潮云主機安全產品解決方案通過五大關鍵模塊構建云數據中心安全可信計算環境。
▲【以可信服務器為根基的浪潮云主機安全產品解決方案】
模塊一:浪潮可信服務器
浪潮可信服務器以可信安全模塊為可信根,構建從硬件到軟件的完整信任鏈,并對服務器硬件和軟件的完整性進行可信度量和動態完整性監控,可有效發現服務器上運行的非法硬件、固件、軟件,從而抵御針對服務器基礎軟硬件平臺的高級攻擊,以及其他惡意軟件、Rootkit攻擊和類似惡意活動。
模塊二:浪潮虛擬機安全套件
浪潮虛擬機安全套件包含了能夠與云數據中心進化同步的虛擬化安全套件,確保虛擬機可信執行、虛擬化軟件可信啟動,并對Guest OS鏡像文件提供完整性保護,可防止VMM和VM被篡改。同時,通過強制訪問控制技術,實現VMM的安全加固,防止虛擬機監控器被黑客攻擊;虛擬網絡安全模塊網絡解決同一物理設備網絡流量不可見的問題。
模塊三:浪潮SSR操作系統安全增強系統
浪潮SSR操作系統安全增強系統提供了針對服務器操作系統內核層面的安全加固,基于先進的ROST(內核加固)技術,可以從系統層對操作系統進行“主動”加固。其主要原理是通過對文件、目錄、進程、注冊表和服務的強制訪問控制。通過三權分立思想,有效的制約和分散了原有系統管理員的權限。
浪潮SSR通過對可信計算的支持,可對上層應用程序提供可信啟動、動態監控等功能。并且與傳統的信息安全產品形成了良好的互補,完善了當前國內用戶整體安全解決方案中最為重要的環節,填補了國內長期在操作系統層面安全產品的空白,符合國家等級保護、分級保護以及軍工、軍隊、電力等多個行業的信息安全建設要求。
模塊四:浪潮安全容器套件
浪潮安全容器套件是運行于浪潮SSR之上的一款安全軟件。對GestOS的防護方面,該套件與浪潮SSR形成完美的互補。其中,浪潮SSR主要為操作系統及重要的服務、程序等提供安全保護,安全容器為客戶業務系統提供快捷的、安全的保護。可防止來由黑客控制操作系統后,對業務系統帶來破壞和攻擊,同時也可防止業務系統被攻擊后,對操作系統平臺和其他業務程序的攻擊。
模塊五:浪潮云主機安全管理平臺
浪潮云主機安全管理平臺是一款基于B/S架構的安全軟件系統,主要為云數據中心可信計算、虛擬化安全、操作系統安全、應用安全等提供統一的集中的安全管理。
浪潮云主機安全產品解決方案聚焦云數據中心基礎計算設施服務,針對其安全防護的重點,利用可信服務器、虛擬化安全套件、SSR操作系統安全增強系統、SSR安全容器套件、云主機安全管理平臺這五大核心產品作為支撐,浪潮將幫助用戶消除在云計算應用環境中的各項安全隱患。
與此同時,在浪潮的主機安全戰略藍圖上,也已經確定了軟件定義云主機安全架構為未來方向,利用安全資源按需自動化調配,以及基于大數據的安全感知,引領信息安全技術的發展,用軟件定義安全共筑下一代數據中心。