东软云眼助力东营档案政务云平台——基于微分段技术的安全方案

独具创新性的东软云眼——NCSS

当前,伴随着云计算IT设施的不断落地,传统网络架构正在发生着变化:

图1  虚拟化带来的网络结构改变

相应地,企业的IT系统构建模式也在同步改变:


图2  IT设施构建的演变

  • 技术上云平台成为了IT设施的大脑,这也决定了云平台供应商(或其代理商)通常会扮演总承包商的角色。
  • 为了达成云计算数据中心资源整合、自动化、智能化的目标,原来松散的服务器、网络、存储,在新的架构下,都需要对云平台开放北向接口,接受其统一管理。
  • 变化甚至影响2B模式商务关系的重新搭建。

综上,云计算的相关技术特点及其应用模式正在使网络边界变得模糊,导致云数据中心对于边界安全防护的需求和以往的应用场景相比有所不同。计算资源(虚拟机)高度集中,并且具有动态迁移的属性,很容易跨越既定的安全边界,使得传统物理环境中基于网络拓扑划分管理区域的方式不再适用。对于解决云数据中心的边界安全问题,传统网关技术水土不服,而此时更需要为“云化”的数据中心提供一套针对性的、量体裁衣的安全解决方案。

东软云眼(NCSS)支持VMware等主流云计算平台,并与这些平台深度融合。契合Gartner 2017全球十大信息安全技术——微分段,在自主专利引流技术的基础上,提供对虚机全透明的定制化安全防护,及虚机之间流量、威胁的动态展示。

全虚拟化的设计方式使东软NCSS 可随云平台的扩缩同步实现弹性扩缩。NCSS很好的支持了云环境内部虚拟机的迁移,在虚机迁移至其他物理主机时,安全策略可随虚拟机同步迁移,无需人工干预,实现动态的实时安全防护。

东营档案政务云部署NCSS实践

东营档案服务平台为委办局提供虚拟档案管理系统服务,使委办局可以通过访问东营市档案局提供的档案信息服务平台实现本单位档案的管理。同时可以通过档案服务平台实现东营市档案局对各委办局的档案业务指导。

档案服务平台的核心思想是为各委办局的档案管理工作提供管理工具,从而规范各委办局的档案管理工作。平台将在网上为各委办局构建虚拟档案室,以卷宗为单位,为每个委办局提供档案管理服务,各委办局之间不能互相访问。

VMware vSphere平台是VMware公司云计算平台产品的核心组件,在业界享有盛誉,为客户提供了卓越的虚拟化及云计算基础设施,在全球范围内具有最广泛的部署量级。vSphere面向用户提供包括弹性计算、存储、网络在内的一整套云计算服务,帮助企业降低IT投入成本和维护成本。出于系统稳定性、访问性能,以及弹性扩容的需要,在对比多家云计算平台之后,用户选择了VMware vSphere平台。

系统整体部署如下:


图3 基于VMware的微隔离部署示意图

在部署方案中,NCSS的控制节点部署某台主机中,通过为指定主机添加防护,NCSS自动为该主机部署安全防护模块,并可以进一步为各个虚拟机单独加载安全策略,真正做到微分段层级的安全防护。

来自Cisco的最新的全球云指数报告显示,数据中心的内部流量(东西向流量)比重持续增加,到2020年占比将超过85%。在云计算环境中,DDoS、基于漏洞的网络攻击等恶意攻击行为依然频繁发生。除此之外,东西向流量控制及可视化,因虚拟机动态迁移带来的安全策略失效等问题,有给云中的安全防护带来了新的挑战。

东软云眼通过专利引流技术,将分布式防火墙系统透明地对接到云环境,为租户IT资源带来基于应用的访问控制、IPS、防攻击、防病毒等NGFW级别的安全防护功能。

技术优势

契合云等保,阻断攻击横向蔓延
等保2.0中的云计算安全部分明确提出了“能监控、识别虚拟机之间的流量”的安全要求。
现有的云平台边界式安全解决方案并没有为云内部东西向流量提供威胁检测和隔离机制,这使得云平台内部成为了一个安全盲点。一旦某台虚拟机被攻陷,则整个云平台都岌岌可危。东软NCSS提供的“虚拟机微保护”技术为每个虚拟机提供了如“贴身保镖”般的安全防护。通过引流技术,东软NCSS可将每个虚拟机的流量牵引至虚拟安全防护模块(vSPM)进行威胁检测,发现并阻断东西向的安全威胁,阻止攻击在云平台内部的横向蔓延。

流量可视化
东软NCSS的虚拟安全管理模块(vSMC)能够收集并分析虚拟机之间的数据通信,包括不同端口组之间的流量。同时,东软NCSS还可为用户呈现云平台中指定时间段内的新增流量,帮助用户掌握云内部的细微变化。借助深度可视化技术,东软NCSS可识别出虚拟机流量中的具体应用类型,并在此基础上提供了流量与应用控制功能,可对虚拟机间的业务访问进行细粒度的权限控制,以过滤非法访问,保护业务安全。

高性能
单点吞吐是云计算环境中安全组件的一个关键性能指标。东软NCSS针对虚拟化环境开发了专门的高速转发引擎,完全可以支持数据中心宿主机通常10G网络及更高的性能需求。

简单高效集中管理
在管理方式上,东软NCSS通过虚拟安全管理模块(vSMC)实现集中管理, 用户通过单一管理界面即可实现整个云平台的统一安全部署和管理。大大简化了用户使用难度,真正的实现了一点触发,多点生效。

远方,那片属于云的战场,狼烟四起。一切才刚刚开始……