網(wǎng)絡(luò)運營商信息化安全:
隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)架構(gòu)的發(fā)展與應(yīng)用將進一步完善���,未來運營商的網(wǎng)絡(luò)將呈現(xiàn)出規(guī)模更大、速度更快、應(yīng)用更豐富����、資源更集中���、接入方式更多種多樣的趨勢���。同時,云計算也為運營商帶來了很大的安全挑戰(zhàn)��,過去的物理安全防護邊界消失,傳統(tǒng)IT架構(gòu)下的安全方案變得不那么適合�,云計算時代所面臨的安全挑戰(zhàn)變得更加復(fù)雜,這使得運營商在搭建云計算平臺時及部署云業(yè)務(wù)應(yīng)用時����,愈加重視安全因素的考慮。
下面為運營商用戶需要解決的云安全挑戰(zhàn):
1�、網(wǎng)絡(luò)虛擬化使傳統(tǒng)網(wǎng)絡(luò)邊界的防護手段失效
由于傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中,網(wǎng)絡(luò)邊界一般通過物理的服務(wù)器��、網(wǎng)絡(luò)設(shè)備�、網(wǎng)絡(luò)接口進行識別,防火墻和入侵檢測設(shè)備可以采用串接和旁路的方式捕獲進出邊界的流量�,并按照預(yù)設(shè)的策略執(zhí)行防護動作。但隨著虛擬化實施之后����,系統(tǒng)之間的邊界不單單是以物理設(shè)備的形式存在。比如在物理服務(wù)器中虛擬出多個虛擬機��,這些虛擬機之間以及虛擬機與宿主機之間的通信都只會在服務(wù)器內(nèi)完成���,不會與外部網(wǎng)絡(luò)發(fā)生交互����,傳統(tǒng)的邊界防護設(shè)備捕捉不到這些流量,也就不能進行防護�����。因此基于傳統(tǒng)的邊界防護的手段不適用于對虛擬化環(huán)境的邊界保護�����。
2���、傳統(tǒng)信息安全產(chǎn)品難以滿足彈性化、個性化的安全需求
傳統(tǒng)的信息安全產(chǎn)品通常以硬件形式存在��,單臺設(shè)備的功能與性能比較固定�����,采購和部署的周期比較長�。企業(yè)將業(yè)務(wù)遷移到云中,由于云的彈性伸縮特點�����,允許企業(yè)業(yè)務(wù)的規(guī)模從小到大在一個很大的范圍內(nèi)變化。如果業(yè)務(wù)規(guī)模小�、流量小,采用高性能的信息安全產(chǎn)品成本高�����,而且會造成資源浪費�;如果業(yè)務(wù)規(guī)模大流量大,采用低性能的信息安全產(chǎn)品�,就會出現(xiàn)信息安全產(chǎn)品性能不足的問題。彈性化的安全需求��,不但體現(xiàn)在性能上��,還體現(xiàn)在交付與部署時間上�。因為業(yè)務(wù)在短時間內(nèi)爆炸式增長,也需要安全產(chǎn)品交付與部署時間同步縮短�����。云計算里支持多租戶�,不同的租戶對安全的需求也是不同的,傳統(tǒng)的安全產(chǎn)品難以滿足這些彈性化��、個性化的安全需求��。
3、安全處理資源的爭奪增加云計算項目的投資成本
病毒掃描或防病毒更新等占用資源較多的操作會快速導(dǎo)致系統(tǒng)(CPU���、內(nèi)存和磁盤I/O)負荷激增��,同時導(dǎo)致業(yè)務(wù)虛擬機密度下降�����。這將影響虛擬化或云計算項目的投資收益率(ROI)。
4�、云安全管理對威脅的可視化提出更高挑戰(zhàn)
對于傳統(tǒng)運營商數(shù)據(jù)中心而言,由于業(yè)務(wù)的規(guī)模不是特別大���,安全管理對威脅的分析����、可視��、處理�,通過多種傳統(tǒng)的安全產(chǎn)品基本可以滿足。由于業(yè)務(wù)量變化幅度不大��,對威脅的聯(lián)動響應(yīng)大部分通過人工就可以滿足要求��。但隨著云時代的到來,系統(tǒng)變得越來越復(fù)雜�����,組件越來越多���,用戶流量不斷上升����,各種相關(guān)事件和變更需求也越來越多�����,云的運維管理變得越來越重要���,其中安全管理在運維管理之中又是重中之重�。安全管理首先需要對云環(huán)境的安全風(fēng)險進行有效的評估��,通過對威脅的可視化可以保障運維人員對云的安全狀況有整體的掌控�。由于云的規(guī)模的龐大與分布式特性,對威脅的分析�、可視化的安全產(chǎn)品的數(shù)量、形態(tài)�、性能等多個方面都提出了更高的要求��。
經(jīng)過持續(xù)追蹤虛擬化技術(shù)發(fā)展����,并研究虛擬化環(huán)境下信息安全實現(xiàn)技術(shù)����,同時進行了大量實踐之后,開發(fā)出了一套適用于虛擬化的云安全防護方案��,可實現(xiàn)運營商虛擬環(huán)境下流量牽引���、建立彈性安全資源池等功能。目前該方案已在電信���、移動���、聯(lián)通、廣電等多個省廣泛應(yīng)用�。
解決方案
經(jīng)過對虛擬化環(huán)境深度分析,并基于多年技術(shù)積累開發(fā)出了軟件定義安全SDS和虛擬化安全資源池Vetrix相結(jié)合的云安全解決方案,滿足運營商客戶各種云場景的安全需求����。SDS在虛擬環(huán)境下導(dǎo)出流量��,并將流量分流或復(fù)制后交付物理或軟件Vetrix進行安全處理�����。產(chǎn)品部署如下圖所示:
1����、虛擬化安全資源池Vetrix
虛擬化安全資源池由各種物理形態(tài)或虛擬形態(tài)的網(wǎng)絡(luò)安全設(shè)備組成���,這些安全設(shè)備不再采用單獨部署���、各自為政的工作模式,而是由管理中心統(tǒng)一部署�、管理、調(diào)度���,以實現(xiàn)相應(yīng)的安全功能�����。安全資源可以按需取用�,支持高擴展性��、高彈性,就像一個資源池一樣����。
虛擬化威脅檢測系統(tǒng),是自主研發(fā)的基于KVM虛擬化技術(shù)的可擴展信息安全檢測與防護系統(tǒng)�,是承載在Vetrix之上的安全防護產(chǎn)品。其和Vetrix的關(guān)系類似于蘋果App和AppStore的關(guān)系�。Vetrix具有可集成多種虛擬安全產(chǎn)品于一身的強大擴展能力。虛擬化的安全產(chǎn)品包括:虛擬IDS(vIDS)��、虛擬數(shù)據(jù)庫審計(vDBA)���、虛擬FlowEye(vFA)���、虛擬業(yè)務(wù)審計(vBA)等。產(chǎn)品安裝后�����,用戶可根據(jù)自己的需求動態(tài)調(diào)整相應(yīng)的虛擬安全產(chǎn)品����,而無需經(jīng)過復(fù)雜的硬件產(chǎn)品上架過程�。
安全產(chǎn)品虛擬化就是使軟件和硬件相互分離�����,把軟件從主要安裝硬件中分離出來��,使得安全產(chǎn)品的系統(tǒng)可以直接運行在虛擬環(huán)境上�����,可允許多個安全產(chǎn)品同時運行在一個物理硬件之上���。
其中,Vetrix虛擬化系統(tǒng)是Vetrix的基礎(chǔ)平臺����,負責(zé)安全產(chǎn)品的虛機管理、授權(quán)管理以及系統(tǒng)的自身管理�。Vetrix系統(tǒng)提供虛擬安全市場功能,安全市場源服務(wù)器負責(zé)提供各種虛擬安全產(chǎn)品包映像文件���。用戶可從安全市場源服務(wù)器下載虛擬安全產(chǎn)品包�,并安裝在Vetrix系統(tǒng)的虛擬機里�,由安全虛擬機負責(zé)實現(xiàn)具體的安全功能。Vetrix和安全市場兩部分相互獨立,可以靈活部署���。
2�����、軟件定義安全(SDS)
SDS理念是從SDN引申而來��,原理是將物理的����、虛擬化的網(wǎng)絡(luò)安全設(shè)備與它們的接入模式��、部署位置解耦�,抽象為安全資源池里的資源,通過軟件編程的方式進行智能化�����、自動化地編排和管理���,以實現(xiàn)相應(yīng)的安全功能,從而完成網(wǎng)絡(luò)安全防護�����。就工作機制而言,SDS分解為軟件定義安全資源�����、軟件定義流量�、軟件定義高級威脅模型,三個舉措環(huán)環(huán)相扣���,形成一個動態(tài)���、閉環(huán)的工作模型。
●軟件定義安全資源:配備安全資源是實現(xiàn)網(wǎng)絡(luò)安全防護的基礎(chǔ)�����。在SDS模式下�,安全資源由管理中心通過軟件編程的方式進行統(tǒng)一注冊、管理���,以便實現(xiàn)后續(xù)的靈活編排和調(diào)度���。
●軟件定義流量:由軟件編程的方式來實現(xiàn)網(wǎng)絡(luò)流量的轉(zhuǎn)發(fā)控制,通過將目標網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)到安全設(shè)備上,來實現(xiàn)安全設(shè)備的邏輯部署和使用�。
●軟件定義高級威脅模型:對原始報文、流���、安全事件等信息進行深度整理和挖掘���,實現(xiàn)對高級安全威脅等未知威脅的實時分析和建模,之后將建模結(jié)果應(yīng)用于安全資源并進行流量調(diào)整����,實現(xiàn)安全聯(lián)動自動化。
軟件定義安全系統(tǒng)基于SDS理念��,通過軟件編程的方式調(diào)用安全設(shè)備資源�����,實現(xiàn)了一種靈活���、智能�����、自動化�����、服務(wù)化的網(wǎng)絡(luò)安全防護���,能夠幫助用戶應(yīng)對復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全挑戰(zhàn),具備如下特色:
●安全可自定義:通過軟件編排的方式����,使得各種安全資源能夠靈活組合,方便實現(xiàn)多種安全設(shè)備的協(xié)同防護�����。
●虛實融合:平臺可以根據(jù)安全功能需求調(diào)用各種安全資源����,無論是物理的還是虛擬化的安全設(shè)備。
●多租戶靈活部署:支持對網(wǎng)絡(luò)流量做細粒度區(qū)分����,針對不同流量采用不同的安全策略,適用于多租戶環(huán)境����。各個租戶可以按照各自的需求進行個性化的安全功能定制��,具備高彈性�����、可計量性�。
●多層次的威脅發(fā)現(xiàn):通過多種安全設(shè)備協(xié)同防護以及安全大數(shù)據(jù)分析中心的全局性安全情報���,實現(xiàn)安全威脅的層層過濾�,使得各種已知威脅甚至未知威脅均無處遁形�,深度解決用戶的網(wǎng)絡(luò)安全隱患,保護核心資產(chǎn)��。
●安全高可靠增強:提供智慧流安全平臺級��、安全設(shè)備級的雙機熱備�����,當(dāng)檢測到故障發(fā)生時�,可以實時的、自動地對平臺自身�、安全設(shè)備的進行主備切換。當(dāng)主備安全設(shè)備均發(fā)生故障時��,還能夠采取bypass方式,確保網(wǎng)絡(luò)不中斷���,避免單點故障��。當(dāng)設(shè)備故障解除后,能夠?qū)崟r的����、自動地還原安全路徑,快速恢復(fù)網(wǎng)絡(luò)流量監(jiān)控��。
●安全資源彈性可擴展:軟件編排的方式���、支持虛擬化的安全設(shè)備等特性簡化了安全設(shè)備集群化部署�����。平臺支持多元化負載均衡算法�����,可以實現(xiàn)安全設(shè)備性能的線性擴展�����。
●兼容第三方安全設(shè)備:第三方安全設(shè)備可以直接接入智慧流安全平臺����,作為安全資源池里的資源接受平臺控制管理中心的調(diào)度、管理��,保護企業(yè)現(xiàn)有投資�,節(jié)約網(wǎng)絡(luò)安全成本。
3���、部署方式
網(wǎng)絡(luò)運營商信息化安全業(yè)務(wù)資源池與安全資源池直連
在VMware環(huán)境下�,業(yè)務(wù)資源池虛機可與Vetrix服務(wù)器直連�,此場景下VTAP下設(shè)置為不對復(fù)制的流量進行封裝,流量直接由業(yè)務(wù)資源池交付至Vetrix資源池�。適用于小規(guī)模部署,且可將Vetrix服務(wù)器部署在與業(yè)務(wù)資源池的相近的位置����。
如業(yè)務(wù)資源池需要通過網(wǎng)絡(luò)與Vetrix服務(wù)器直連,此場景下�,需將VTAP設(shè)置為對流量進行封裝,采用SDS流轉(zhuǎn)發(fā)平臺解封裝后將流量交付給各類安全產(chǎn)品��。
優(yōu)勢總結(jié)
軟件定義安全SDS和虛擬化安全資源池Vetrix相結(jié)合的云安全解決方案��,是基于多年的安全經(jīng)驗積累、采用新一代多核X86高性能硬件平臺和云計算技術(shù)���、SDN技術(shù)研發(fā)而成的先進的云安全解決方案����。為私有解決了運營商客戶云環(huán)境下的威脅發(fā)現(xiàn)��、威脅展示�����、威脅分析�����、威脅處理的專業(yè)化威脅發(fā)現(xiàn)與管理問題��,優(yōu)勢如下��。
1�����、節(jié)約成本����,快速部署
該方案可以將多個安全產(chǎn)品以虛擬機的方式運行在1-N臺硬件設(shè)備中,在節(jié)約了硬件成本的同時���,還節(jié)約了多臺硬件消耗的機架租金�、電力�����、制冷��、人力維護等運維成本����。
系統(tǒng)內(nèi)置的市場客戶端可以從安全市場獲得各種安全產(chǎn)品虛機映像,通過虛機映像可以快速創(chuàng)建各種虛擬化的安全產(chǎn)品����,這個過程通常引擎類只需要1~2分鐘,最多十幾分鐘(數(shù)據(jù)中心產(chǎn)品受限創(chuàng)建硬盤時間���,越大尺寸硬盤時間越長)����,從而實現(xiàn)了快速部署安全產(chǎn)品。
2���、可軟可硬��,靈活的商業(yè)模式
Vetrix安全資源池支持部署在定制的工控機硬件上����,也支持部署在支持虛擬化的商業(yè)服務(wù)器硬件上;支持軟硬件一體銷售,也支持用戶自己購買服務(wù)器硬件(硬件需要符合系統(tǒng)對硬件的要求)�,廠商只銷售軟件授權(quán)的商業(yè)模式�。
3���、獨立部署,松耦合且降低業(yè)務(wù)質(zhì)量風(fēng)險
安全產(chǎn)品以虛擬機的方式部署在云中�����,需要云平臺提供CPU�����、內(nèi)存、硬盤���、網(wǎng)絡(luò)等資源�,安全產(chǎn)品虛擬機容易與云中的其他業(yè)務(wù)虛機搶奪CPU等硬件資源���,影響業(yè)務(wù)虛機的性能���。獨立的虛擬化安全資源池,與業(yè)務(wù)虛機不發(fā)生CPU���、內(nèi)存����、硬盤等資源的爭搶����,這樣的獨立部署架構(gòu)即減少對云平臺的緊耦合,又有效降低云內(nèi)部署安全虛擬機方案帶來的業(yè)務(wù)質(zhì)量風(fēng)險���。
4��、統(tǒng)一管理�����,提高運維效率
網(wǎng)絡(luò)運營商信息化安全方案具有豐富的管理功能�����,友好的用戶界面����,統(tǒng)一的安全產(chǎn)品管理接口。安全產(chǎn)品出現(xiàn)故障時���,可以通過界面登陸虛機串口���、重啟虛機、切換網(wǎng)絡(luò)等手段�����,遠程處理故障�����,不用運維人員跑機房操作安全產(chǎn)品調(diào)試��,極大的提高了運維效率�����。
5���、靈活擴展��,持續(xù)提升安全能力
Vetrix安全資源池支持安全產(chǎn)品虛擬化的部署方式�����,在單機硬件資源允許的條件下���,用戶通過創(chuàng)建安全產(chǎn)品虛擬機,快速擴展自己的安全能力���;
Vetrix安全資源池支持分布式系統(tǒng)架構(gòu)�,在單機硬件資源不夠時�����,可將多臺主機組成硬件資源池�����,通過在資源池中獲得硬件資源并創(chuàng)建安全產(chǎn)品線虛擬機的方式,近乎無限擴展安全能力�。
6、安全合規(guī)�,云環(huán)境下的迫切選擇
傳統(tǒng)IT架構(gòu)滿足等保三級要求時,需要部署防火墻���、入侵檢測����、數(shù)據(jù)審計等產(chǎn)品���,在云環(huán)境下的虛擬機之間東西向流量���,無法采用傳統(tǒng)硬件安全設(shè)備進行入侵檢測與審計,難以滿足云等保等合規(guī)要求�,采用系統(tǒng)整體方案后,可以將云中虛擬機的流量牽引到安全資源池中進行檢測與審計����,配合云中的虛擬防火墻�����,邊界的防火墻設(shè)備,可以滿足云等保等合規(guī)相關(guān)要求��。
案例介紹
1��、背景與需求
某省電信用戶應(yīng)用虛擬化技術(shù)�����,對現(xiàn)有IT資源進行了整合����,建成了內(nèi)部私有云,供上層各電信業(yè)務(wù)系統(tǒng)使用�。私有云的建成,將硬件資源共享成資源池�����,可按需分配資源�����,動態(tài)調(diào)度資源��,冗余的硬件資源得以合理利用,降低了服務(wù)器采購數(shù)量��,明顯的減少了投資成本�,同時保障了業(yè)務(wù)用運行的穩(wěn)定性。云平臺采用VMwarevSphere解決方案����,電信大部分業(yè)務(wù)已遷移至云上。
私有云的安全防護較為薄弱�����,僅在資源池網(wǎng)絡(luò)出口位置部署了防火墻設(shè)備���。用戶關(guān)注如何在不影響業(yè)務(wù)的前提下����,實現(xiàn)對云內(nèi)東西向流量的安全����。并要求方案有一定擴展性,能適應(yīng)未來私有云的擴展�����。
2、解決方案
網(wǎng)絡(luò)運營商信息化安全方案采用的軟件定義安全SDS+虛擬威脅檢測Vetrix的云安全解決方案�,應(yīng)用了軟件定義安全SDS�����、虛擬化安全資源池Vetrix等產(chǎn)品�����。構(gòu)建了一個針對東西向流量進行防護的���,可擴展的動態(tài)安全防護體系��。
東西向流量由虛擬威脅監(jiān)控AGT通過ERSPAN的方式�����,將數(shù)據(jù)包采用GRE封裝后導(dǎo)出到SDS流轉(zhuǎn)發(fā)平臺���,然后由流轉(zhuǎn)發(fā)平臺進行解封裝。解封裝之后的流量可通過SDS流控制平臺進行編排���。經(jīng)過編排����,流量被分別交付給Vetrix虛擬化安全資源池內(nèi)的各類虛擬化安全產(chǎn)品。在系統(tǒng)運行過程中��,編排的流量和安全資源池內(nèi)的虛擬安全產(chǎn)品可隨時被調(diào)整�����,以動態(tài)的適應(yīng)安全態(tài)勢的變化����。
3、實施效果
在網(wǎng)絡(luò)運營商信息化安全案例中�,通過應(yīng)用軟件定義安全系統(tǒng)SDS、虛擬化權(quán)資源池Vetrix等系統(tǒng)���,形成了對東西向流量進行全面檢測分析的動態(tài)防護體系�。方案具備高可擴展性��,用戶可根據(jù)流量的變化����,增加Vetrix資源池的數(shù)量,同時可通過增加安全產(chǎn)品鏡像的方式,擴展安全產(chǎn)品品類�����。另外��,由于本次應(yīng)用的虛擬安全產(chǎn)品均為旁路部署���,只需通過鏡像導(dǎo)出流量,對系統(tǒng)的運行無影響�����。
4��、客戶價值
●安全資源獨立部署帶來的益處
在此應(yīng)用中��,安全資源獨立部署����,安全與云平臺表現(xiàn)為弱耦合關(guān)系。這種部署方式使得職責(zé)劃分更為清晰���,同時實現(xiàn)安全產(chǎn)品的集中維護�。當(dāng)云平臺升級或切換時,可保留安全資源部分���,保護用戶的投資�。
●可實現(xiàn)安全設(shè)備利舊使用
Vetrix平臺可與傳統(tǒng)安全設(shè)備對接����。當(dāng)用戶將業(yè)務(wù)從傳統(tǒng)網(wǎng)絡(luò)遷移到云端時,原網(wǎng)絡(luò)中的部分安全產(chǎn)品將被閑置下來���,閑置設(shè)備可仍可對接到Vetrix平臺繼續(xù)發(fā)揮作用����。
400-001-9776
