大咖介紹
王鹿苑
王鹿苑,品高云教育行業產品經理,亞信安全認證云安全專家,服務于高校信息化建設超過 7 年,具備大型高校數據中心網絡與云平臺建設規劃經驗,目前負責品高云教育行業解決方案開發工作。
在我這么多年服務于高校網絡中心的工作經驗中,經歷過幾次學校的安全事件,也了解一些學校的安全運維工作的情況。其中有一些學校的信息安全工作做的非常好,也有一些學校對信息安全不是特別重視。
我認為在當前的信息化發展趨勢下,做好信息安全工作應該比出門時照看好你的手機錢包更重要,甚至更應該說是一種責任的體現。
在金融、政府行業通常對信息安全的要求很高,難道在教育行業就可以掉以輕心么?隨著云計算技術越來越多的被應用到各大高校用戶,品高云希望能夠通過高校上云這個轉折點,幫助學校加強信息安全建設。
下面我來向大家介紹一下,品高云在安全方面的設計及其在高校中的應用場景。
云網絡安全
IT 架構的安全從來都離不開網絡安全,我們先來看看品高云上跟網絡安全相關的功能。
01
云網絡VPC
首先,品高云網絡是采用自主研發的 SDN 技術,今天我們不談底層的 SDN 技術實現,主要是介紹 SDN 上的云網絡應用。
VPC(虛擬私有云),是一個與傳統網絡極其相似的虛擬網絡,提供了一種在品高云中將某個用戶的虛擬機實例的路由、IP 分配等信息可以自主化配置的方法,VPC 允許網管人員在云中創建一個與其現有網絡更加一致的虛擬網絡環境,并且支持通過 VPN 的方式撥號到 VPC 網絡中,像使用本地網絡一樣使用云中的資源。
以上是在《品高云技術白皮書》中針對 VPC 的介紹,VPC 可以幫助用戶完成云平臺上的網絡配置,可以創建與物理網絡互通的外部 VPC,亦可以創建與物理網絡隔離的私有 VPC,這樣用戶可以將一些安全級別較高的虛擬機放置在私有 VPC 中,云平臺可提供“彈性 IP 地址”(屬于外部 VPC 的 IP 地址)與私有 VPC 中的虛擬實例進行綁定,以實現私有 VPC 中的虛擬實例的外部訪問,這樣就可以實現同一個 VPC 中,只開通部分虛擬實例的外部訪問,以保障其他高安全級別虛擬實例的隱蔽性。
舉個例子:學校的 OA 系統需要對外開放訪問,這是管理員可將 OA 系統的 Web 服務器、數據庫服務器放置在私有 VPC 中,為 Web 服務器綁定一個彈性 IP 地址,這樣僅有 Web 服務器可以對外訪問,保證了數據庫服務器的安全性。
品高云中的 VPC 配置界面
02
安全組
上面說到通過云網絡的規劃來實現虛擬網絡的隔離,從而提升虛擬實例的安全性,下面這個安全組功能,幫助用戶保護每一臺虛擬實例的安全。
在傳統模式下,用戶需要為每一臺服務器配置相應的防火墻策略,有可能是操作系統內部的防火墻,也有可能是外部的防火墻設備,在云平臺中,虛擬實例是運行在云網絡中的,外部防火墻難以保護到云網絡中的東西向流量,一臺一臺配置虛擬實例操作系統的防火墻比較繁瑣、且難以維護。云平臺提供的安全組功能就可以很好的實現東西向流量的防護,安全組可實現“源/目的 IP、源/目的端口/協議”的安全策略配置,策略以虛擬機為單位進行配置,實現精細化的防護。
安全組的特點:
1. 通過云平臺統一界面配置和管理;
2. 策略可隨虛擬機遷移;
3. 由每個租戶管理自己的安全組策略;
品高云中的安全組配置界面
這里講一個我經歷過的故事,曾經我的一個學校客戶,數據中心內部的一臺 Windows 服務器被學生破解了遠程登錄,通過這臺服務器做跳板,又進一步操作了一臺關鍵的數據庫服務器,造成的影響不小。網絡中心管理人員為了避免后續再出現這種情況,就在數據中心的交換機每個端口上都配置了訪問控制策略,這樣雖然做到了安全防護,但是維護這些交換機的安全策略工作量很大,萬一服務器的接入端口發生變化、新增服務器,都要產生很繁瑣的配置工作。
那么上述這種情況,就可以很簡單的通過云平臺中的安全組功能來實現了。
03
虛擬WAF(云甲服務)
在品高云 7.0 版本中,提供了虛擬 WAF 高級服務,用戶可以將它部署在 Web 服務器之前的虛擬負載均衡(ELB)上,讓用戶可以部署并維護 Web 安全規則,以保護 Web 應用程序免受常見 Web 漏洞的攻擊。
虛擬 WAF 讓您可以自行定義 Web 安全規則,在允許部分流量訪問 Web 應用程序的同時阻止其他流量。還可以使用虛擬 WAF 中內置的安全規則來阻擋諸如 SQL 注入或跨站腳本等常見攻擊模式。
品高云中的虛擬 WAF 功能
云平臺安全
上面介紹了云平臺中于網絡安全相關的功能,下面介紹一下云平臺自身的一些安全屬性。
01
虛擬實例安全登錄
虛擬機實例作為云平臺中最最常用的服務,實例中可能運行著用戶的關鍵業務系統、存儲著用戶的關鍵數據。當用戶關心網絡安全及其他外部安全時,往往會忽略了虛擬機操作系統的登錄口令安全,有些登錄口令可能是弱密碼,或者重復的使用同一個密碼等等。這樣,如果網絡安全防線被攻破后,黑客即可輕松的入侵操作系統,所以登錄口令安全同樣不容忽視。
品高云平臺的虛擬實例提供兩種口令驗證模式,包含密碼驗證和密鑰驗證,并且由云平臺來管理虛擬實例的登錄密碼和密鑰,所有的密碼和密鑰由云平臺自動生成,保證了密碼的復雜度和安全性。
由品高云自動生成的操作系統登錄密碼
這樣,用戶無需使用專門的工具或文檔來管理服務器的登錄口令,需要時通過云平臺來查看即可,既實現了安全登錄,又方便管理。
用戶的登錄密鑰管理界面
使用密鑰登錄虛擬機比密碼更加安全,在品高云中密鑰僅在生成時提供用戶下載,為了提升密鑰的安全性,云平臺不提供密鑰的存儲。
02
云平臺操作記錄審計
品高云對于每個管理員在云平臺中的操作記錄,都有進行審計并且會保存日志,除了詳細的操作內容記錄之外,還可記錄操作時用戶所使用的 IP 地址,配合校園網的用戶實名認證,可以輕松追蹤到對云平臺進行非法操作的人員。
品高云中的管理員操作日志審計
03
S3對象存儲加密
品高云中還提供了面向開發者的對象存儲系統(S3),在 S3 中的數據可實現加密存儲,這樣無論是云平臺管理員,還是入侵系統的黑客,都無法查看到 S3 中存儲的用戶數據,可保護應用程序中的敏感數據不被泄露。
對于高校來說,可將學籍系統、學生檔案系統等應用的數據與 S3 的 API 進行對接,實現教工學生個人信息的安全存儲。
品高云對象存儲服務管理界面
第三方安全廠商聯動
當今網絡上的攻擊行為,多種多樣,單純通過網絡防火墻很難實現全方位的安全防護,品高云是一個開放中立的云平臺,我們通過與專業的云安全產品對接聯動,為云平臺上的業務系統提供多方位的安全防護。
目前通過與眾多安全產品合作,可以在品高云中實現高級網絡防火墻、虛擬機病毒防護與查殺、入侵防御與檢測、虛擬漏洞補丁、數據庫安全審計等安全功能。
01
提供的無代理安全防護功能介紹
云平臺中的高級安全功能為了適應虛擬化、多租戶的環境,均通過無代理的方式實現安全防護,即用戶無需在虛擬機操作系統中額外安裝客戶端,云安全平臺通過虛擬化底層 API 實現對虛擬機的防火墻、防病毒等安全功能。
通過無代理的方式,可簡化管理成本、降低資源損耗、并且安全規則可以隨著用戶、虛擬機的遷移而自動遷移。讓云安全也變成一種云資源,用戶可以隨時按需申請使用,更加符合云計算的服務理念。
云平臺無代理安全防護原理示意圖
02
合作安全廠家名錄
目前與品高云成功對接,并完成測試報告與認證報告的安全廠家如下(排名不分先后)
● 山石網科(云 格)
● 亞信安全(DeepSecurity)
● 360 安全(虛擬化安全管理系統)
● 啟明星辰(天闐入侵檢測系統)
● 昂楷科技(云數據庫審計系統)
有意愿部署品高云或了解更多產品信息,可以聯系溫柔可人的品高云官方客服小表妹,我們將為您提供貼心到位的顧問式服務。
京公網安備 11010502049343號