近日,由马鞍山市公安局举办、安徽马钢自动化公司承办的马鞍山市重点单位网络安全培训会在马钢宾馆举办。来自近百家的马鞍山市市区政府、企业、高效等重点单位负责信息化的相关领导参与会议,东软NetEye受邀为来宾进行《云数据中心的网络安全》主题培训。
云时代和网络安全的变革
市场调研机构给出的数据显示,2016年中国企业云服务市场规模超500亿元,预计未来几年仍保持约30%的年复合增长率。
2015-2020年中国企业云服务整体市场规模(来源:RightScale)
而RightScale 2017年报告表明,对于不同层次的云使用者(云入门者Cloud Begginners,云探索者Cloud Explorers,云专注者Cloud Focused),云安全都排在受关注问题的前五位。
不同层次的云使用者所关注的问题排名
伴随着云时代的到来,云安全问题已成为摆在云使用者面前的一个主要障碍。在云时代,网络安全也被赋予了全新的要求:在云计算环境中,计算资源(虚拟机)高度集中,并且具有动态迁移的属性,很容易跨越既定的安全边界,这些使得传统物理环境中基于网络拓扑划分管理区域的方式不再适用。
基于边界的安全防护
云安全威胁
从信息安全的角度看,云计算并未改变安全的本质,安全问题依然可以归结到信息安全三要素(保密性、完整性、可用性)。传统的DDoS、基于漏洞的网络攻击、访问控制及合规性等在云环境中依然存在。但不容忽略的是,云计算确实带来了一些新的安全挑战,例如:
◎ 资源集中,如何做二层内的访问控制?
◎ 网络虚拟化,如何监控进出虚机的流量?
◎ 虚机迁移后,安全策略如何随动迁移?
诸如此类,我们可以继续列出一系列因云计算虚拟化自身特征而带来的新的安全挑战。
具体以虚机迁移为例,在云计算环境中,计算资源(虚拟机)高度集中,并且具有动态迁移的属性,很容易跨越既定的安全边界,这些使得传统物理环境中基于网络拓扑划分管理区域的方式不再适用。一旦边界防护被突破,则诸如蠕虫病毒之类的恶意代码可以很容易由被感染的机器扩散到区域内部其他机器。或者被当作肉机,使得攻击者可以肆无忌惮地入侵其他机器,进而演变为APT攻击,造成更大的破坏。
而将传统的物理防火墙直接部署到云计算环境中,可以解决进出数据中心(南北向)流量的过滤,但对于数据中心内部主机及虚机之间(东西向)流量的防护则有些勉为其难。即便是对于不同网段的流量,也需要转到主机外侧的防火墙,过滤之后再返回给主机内部的目的虚机,这显然存在着性能缺陷。而在同网段内部,流量在虚拟交换机内部完成转发,外置防火墙根本获取不到,安全防护无从谈起。
传统物理防火墙力所不及
云安全解决方案
云计算的相关技术特点及其应用模式将网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景有所不同。对于解决云数据中心的边界安全问题,传统网关技术水土不服,而此时更需要为“云化”的数据中心提供一套体系化的安全解决方案。
东软云安全根据云计算的特点,为云数据中心量身打造了东软NetEye云安全系统、东软NetEye虚拟安全网关、东软NetEye应用交付安全网关三款网络安全产品。
东软NetEye云安全系统(NCSS)
是东软网络安全基于对云计算安全的深入理解,最新推出的具备创新性的产品。针对数据中心中二层隔离,流量盲区的痛点,通过引流、微分段以及可视化等技术,为用户提供私有云环境网络安全解决方案。 产品单一管理入口,分布式透明部署。现有数据中心网络无需调整,即可拥有下一代防火墙层级的安全保障。
东软NetEye虚拟安全网关(NISG-VA)
基于虚拟化技术研发,支持主流虚拟化平台,是拥有强大的安全功能与可靠稳定性的下一代防火墙产品。在NISG-VA的基础上,东软云数据中心FWaaS解决方案将NISG-VA部署于OpenStack私有云环境,并与OpenStack进行深度集成,具有租户隔离、方便管理、弹性扩展的技术特点。
东软NetEye应用交付安全网关(ADSG)
支持多种环境下使用、具备卓越安全功能的下一代应用交付产品,集多种应用交付与安全功能于一身。为用户提供传统环境、虚拟化环境与云计算环境下安全可靠的应用交付解决方案。东软云数据中心LBaaS解决方案用ADSG替代OpenStack自带负载均衡组件,集应用交付与安全防护于一体。
东软NetEye云安全高级工程师刘鑫在此次培训会上为参会者详细得分析了云业务目前最需要解决的安全问题以及解决方案,云应用、云计算在政府、企业、高校等重点单位中的应用越来越多,云安全责越来越重要,这也是马鞍山这次邀请东软NetEye进行云安全技术培训的原因。东软NetEye东软NetEye希望在未来帮助更多的政府、企业等单位提升云安全管理水平,培训云计算安全技术,提供全面的云安全解决方案。