运营商信息安全解决方案.docx

? ? ? ? ? ? ? 运营商信息安全解决方案 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?  随着云计算、大数据、物联网等技术架构的发展与应用将进一步完善，未来运营商的网络将呈现出规模更大、速度更快、应用更丰富、资源更集中、接入方式更多种多样的趋势。同时，云计算也为运营商带来了很大的安全挑战，过去的物理安全防护边界消失，传统IT架构下的安全方案变得不那么适合，云计算时代所面临的安全挑战变得更加复杂，这使得运营商在搭建云计算平台时及部署云业务应用时，愈加重视安全因素的考虑。 下面为运营商用户需要解决的云安全挑战： 1、网络虚拟化使传统网络边界的防护手段失效 由于传统的网络结构中，网络边界一般通过物理的服务器、网络设备、网络接口进行识别，防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量，并按照预设的策略执行防护动作。但随着虚拟化实施之后，系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个虚拟机，这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成，不会与外部网络发生交互，传统的边界防护设备捕捉不到这些流量，也就不能进行防护。因此基于传统的边界防护的手段不适用于对虚拟化环境的边界保护。 2、传统信息安全产品难以满足弹性化、个性化的安全需求 传统的信息安全产品通常以硬件形式存在，单台设备的功能与性能比较固定，采购和部署的周期比较长。企业将业务迁移到云中，由于云的弹性伸缩特点，允许企业业务的规模从小到大在一个很大的范围内变化。如果业务规模小、流量小，采用高性能的信息安全产品成本高，而且会造成资源浪费；如果业务规模大流量大，采用低性能的信息安全产品，就会出现信息安全产品性能不足的问题。弹性化的安全需求，不但体现在性能上，还体现在交付与部署时间上。因为业务在短时间内爆炸式增长，也需要安全产品交付与部署时间同步缩短。云计算里支持多租户，不同的租户对安全的需求也是不同的，传统的安全产品难以满足这些弹性化、个性化的安全需求。 3、安全处理资源的争夺增加云计算项目的投资成本 病毒扫描或防病毒更新等占用资源较多的操作会快速导致系统（CPU、内存和磁盘I/O）负荷激增，同时导致业务虚拟机密度下降。这将影响虚拟化或云计算项目的投资收益率（ROI）。 4、云安全管理对威胁的可视化提出更高挑战 对于传统运营商数据中心而言，由于业务的规模不是特别大，安全管理对威胁的分析、可视、处理，通过多种传统的安全产品基本可以满足。由于业务量变化幅度不大，对威胁的联动响应大部分通过人工就可以满足要求。但随着云时代的到来，系统变得越来越复杂，组件越来越多，用户流量不断上升，各种相关事件和变更需求也越来越多，云的运维管理变得越来越重要，其中安全管理在运维管理之中又是重中之重。安全管理首先需要对云环境的安全风险进行有效的评估，通过对威胁的可视化可以保障运维人员对云的安全状况有整体的掌控。由于云的规模的庞大与分布式特性，对威胁的分析、可视化的安全产品的数量、形态、性能等多个方面都提出了更高的要求。 启明星辰作为云安全联盟(CSA)成员单位，经过持续追踪虚拟化技术发展，并研究虚拟化环境下信息安全实现技术，同时进行了大量实践之后，开发出了一套适用于虚拟化的云安全防护方案，可实现运营商虚拟环境下流量牵引、建立弹性安全资源池等功能。目前该方案已在电信、移动、联通、广电等多个省广泛应用。 解决方案 启明星辰经过对虚拟化环境深度分析，并基于多年技术积累开发出了软件定义安全SDS和虚拟化安全资源池Vetrix相结合的云安全解决方案,满足运营商客户各种云场景的安全需求。SDS在虚拟环境下导出流量，并将流量分流或复制后交付物理或软件Vetrix进行安全处理。产品部署如下图所示： 1、虚拟化安全资源池Vetrix 虚拟化安全资源池由各种物理形态或虚拟形态的网络安全设备组成，这些安全设备不再采用单独部署、各自为政的工作模式，而是由管理中心统一部署、管理、调度，以实现相应的安全功能。安全资源可以按需取用，支持高扩展性、高弹性，就像一个资源池一样。 虚拟化威胁检测系统，是启明星辰自主研发的基于KVM虚拟化技术的可扩展信息安全检测与防护系统，是承载在Vetrix之上的安全防护产品。其和Vetrix的关系类似于苹果App和AppStore的关系。Vetrix具有可集成多种虚拟安全产品于一身的强大扩展能力。虚拟化的安全产品包括：虚拟IDS(vIDS)、虚拟数据库审计（vDBA）、虚拟FlowEye（vFA）、虚拟业务审计（vBA）等。产品安装后，用户可根据自己的需求动态调整相应的虚拟安全产品，而无需经过复杂的硬件产品上架过程。 安全产品虚拟化就是使软件和硬件相互分离，把软件从主要安装硬件中分离出来，使得安全产品的系统可以直接运行在虚拟环境