云计算安全解决方案业务挑战解决方案.pdfVIP

云计算安全解决方案 一、业务挑战 目前，许多组织已经将业务系统迁移到云平台上，云平台已经成为组织重要 的IT 基础设施。云计算技术给传统的IT 基础设施、应用、数据以及运营管理都 带来了革命性改变，对于安全管理来说，既是挑战，也是机遇。首先，云计算引 入了新的威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、实现 方法和运维管理体系，如网络与信息系统的安全边界的划分和防护、安全控制措 施选择和部署、安全评估和审计、安全监测和安全运维等方面；其次，云计算的 资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护， 同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了 问题和挑战，也推进了安全服务内容、实现机制和交付方式的创新和发展。 根据调研数据，云计算安全风险是客户所关注的重点，云计算安全已经成为 组织规划、设计、建设和使用云计算系统所急需解决的重大问题之一。 二、解决方案 云计算安全防护方案设计遵循以业务为中心，风险为导向的，基于安全域的 纵深主动防护思想，综合考虑云平台安全威胁、需求特点和相关要求，对安全防 护体系架构、内容、实现机制及相关产品组件进行了优化设计。 方案组成 云计算安全方案主要由安全资源池、安全子平台、安全运营平台、应用APP 等组成。 图 1 云计算安全方案组成 安全资源池：支持物理安全设备、虚拟化安全设备、安全类SaaS 服务等各种 安全资源，接受各安全子平台的管理，对外提供相应的安全能力。 安全运营平台：与安全子平台配合，提供安全产品开通、调度、服务编排， 以及安全运维功能，并实现与云管理平台、SDN 控制器的对接。安全运营平台包 含了云安全运营的一些共性功能模块和一些提供特定安全能力的子平台。 安全子平台：管理安全资源，提供安全策略管理、配置管理、安全能力管理、 安全日志管理等与特定安全应用密切相关的功能。根据应用场景的不同，可灵活 配置和扩展。 安全应用：基于安全子平台提供的安全能力，提供管理、控制、分析、呈现 功能的组件。用户可根据需要灵活选配。 关键能力  分层分域防护 基于对云计算系统的安全域划分结果，通过VLAN 、安全组、虚拟化防护墙等 技术手段隔离，并在区域边界和区域内部部署相应的防护手段，形成纵深防护能 力。不同云平台的业务规划、设计和安全要求不同，需要根据具体需求规划相应 的物理和虚拟安全区域。 图 2 安全域划分  全面防护 云平台的安全保障可以分为管理和技术两个层面。首先，在技术方面，需要 按照分层、纵深防御的思想，基于安全域的划分，从物理基础设施、虚拟化、网 络、系统、应用、数据等层面进行综合防护；其次，在管理方面，应覆盖云平台、 云服务、云数据的全生命周期，对平台开发安全、安全维护、安全事件、安全风 险、业务连续性等方面进行管理。 图 3 全面的云安全防护体系  虚拟可控 对于相同物理机上的不同虚拟机，其通信流量不经过传统的防火墙等控制手 段，无论是虚拟机之间的攻击数据，还是攻击之后传输数据的隐蔽信道，传统的 基于网络的检测、防护技术都会失效。为此，采用虚拟化安全设备方式解决这一 问题。主要手段是利用云平台的虚拟化交换机来部署虚拟化安全产品到云内的多 个VLAN 之间或者VLAN 内部，做到虚拟机之间的流量可见可控。 图 4 虚拟化环境中的通信流量  弹性安全能力 通过相应的接口，把各种虚拟化安全组件嵌入到云平台中，并与云平台组成 一个有机的整体，在丝毫不损害云平台的特点和优势的情况下，可提供全面的、 弹性的安全保障能力。 图 5 云平台和安全保障体系的融合 三、方案亮点 图 6 方案亮点 适应性广，安全功能多 支持 VMWare 、Openstack 云平台，以及基于Xen 的各种定制化云平台。同 时，可以支持物理的、虚拟化、SaaS 化的安全资源类型，提供多种安全能力。 模块化架构，可灵活扩展 系统采用模块化