数据中心的“云化”和传统边界防护的“困局”
来自RightScale连续两年(2015~2016)的调查报告指明,云计算(特别是混合云)正在被越来越多的企业采用。而私有云的快速增长对云计算的整体部署量起到了很大的推动作用。从云平台类型的分布上看,VMware获得了绝对优势,占据了近一半的份额,而且具备进一步的上升空间。
.png)
图1 云平台类型分布
云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比有所不同。对于解决云数据中心的边界安全问题,传统网关技术水土不服,而此时更需要为“云化”的数据中心提供一套针对性的、量体裁衣的安全解决方案。
在云计算环境中,计算资源(虚拟机)高度集中,并且具有动态迁移的属性,很容易跨越既定的安全边界,这些使得传统物理环境中基于网络拓扑划分管理区域的方式不再适用。
图2 基于边界的安全防护
再者,一旦边界防护被突破,则诸如蠕虫病毒之类的恶意代码可以很容易由被感染的机器扩散到区域内部其他机器。或者被当作肉机,使得攻击者可以肆无忌惮地入侵其他机器,进而演变为APT攻击,造成更大的破坏。
而将传统的物理防火墙直接部署到云计算环境中,可以解决进出数据中心(南北向)流量的过滤,但对于数据中心内部主机及虚机之间(东西向)流量的防护则有些勉为其难。即便是对于不同网段的流量,也需要转到主机外侧的防火墙,过滤之后再返回给主机内部的目的虚机(如图3所示),这显然存在着性能缺陷。而在同网段内部,流量在虚拟交换机内部完成转发,外置防火墙根本获取不到,安全防护无从谈起。
.png)
图3 虚拟化环境中的防火墙防护
来自Cisco的最新的全球云指数报告显示,数据中心中的东西向流量比重持续增加,到2020年占比将超过85%。这种情况下,我们如何解决云环境中的安全防护呢?
微分段
为了更好解决上述问题,“微分段”技术应运而生。微分段(微隔离)摒弃了传统的安全域的概念,直接将安全的边界聚焦到单机层面,可以针对单个虚机部署安全策略,大大缩小了安全防护区域的范围。这样,即便是某个VM(虚机)感染了恶意代码,由于同网络内部的虚机皆处于被防护状态,可以有效阻止恶意代码进一步扩散。
在微分段架构中,相当于为每个虚机单独部署了一台防火墙,当虚机迁移到其他物理主机时,与其相关的安全策略将会“同步迁移”,从而保证与vMotion操作友好联动,安全随动迁移。
图4 微分段防护
东软云安全系统NCSS
图5 东软NCSS
东软NetEye适时推出面向云平台的安全防护产品——东软NCSS(NetEye Cloud Security System),帮助用户解决当前面临的云安全问题。东软NCSS采用管理平面与业务平面相分离的模式,由vSMC和vSPM两部分组成。vSMC虚拟安全管理模块为管理平面,负责内部可视化、安全配置管理,以及对业务平面的调度。vSPM虚拟安全防护模块为业务平面,负责具体执行安全功能,实现安全防护。东软NCSS通过引流、虚拟机微隔离以及可视化等技术,为用户提供全方位的云计算环境内部安全解决方案。
技术亮点
➤阻断攻击横向蔓延
现有的云平台边界式安全解决方案并没有为云内部东西向流量提供威胁检测和隔离机制,这使得云平台内部成为了一个安全盲点。一旦某台虚拟机被攻陷,则整个云平台都岌岌可危。东软NCSS提供的“虚拟机微保护”技术为每个虚拟机提供了贴身的“大内侍卫”。通过引流技术,东软NCSS可将每个虚拟机的流量牵引至虚拟安全防护模块(vSPM)进行威胁检测,发现并阻断东西向的安全威胁,阻止攻击在云平台内部的横向蔓延。
➤流量可视化
东软NCSS的虚拟安全管理模块(vSMC)能够收集并分析虚拟机之间的数据通信,包括不同端口组之间的流量。同时,东软NCSS还可为用户呈现云平台中指定时间段内的新增流量,帮助用户掌握云内部的细微变化。借助深度可视化技术,东软NCSS可识别出虚拟机流量中的具体应用类型,并在此基础上提供了流量与应用控制功能,可对虚拟机间的业务访问进行细粒度的权限控制,以过滤非法访问,保护业务安全。
➤简单高效集中管理
在管理方式上,东软NCSS通过虚拟安全管理模块(vSMC)实现集中管理, 用户通过单一管理界面即可实现整个云平台的统一安全部署和管理。大大简化了用户使用难度,真正的实现了一点触发,多点生效。
应用场景
.png)
图6 应用场景
东软NCSS将原来同一网络下不能实现彼此间管控的虚拟机通过虚拟机微隔离、专业的引流技术,在透明模式且不影响用户原有网络拓扑的前提下,彼此隔离开来。进而实现虚拟机之间的流量管控,并且很好的支持了云平台的弹性扩缩、自由迁移等特性,为时下新兴的互联网架构提供了全方位的安全保障。
东软网络安全 微信号:Neusoft_NetEye
