當(dāng)前位置:首頁 >  IDC >  安全 >  正文

5年私有云安全實(shí)踐經(jīng)驗(yàn)干貨分享

 2017-10-17 10:28  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

瑞和云圖CTO 李博士

5年前,云安全是道門,擋在你面前。

5年后,云安全有門道,開放讓你進(jìn)。

我們5年的實(shí)踐經(jīng)驗(yàn)濃縮成一句話是:以軟件定義安全為指導(dǎo)思想、以安全域?yàn)榛締卧⒁钥梢暬亓私馊謶B(tài)勢為目標(biāo),來部署企業(yè)私有云安全。

接下來,我們就展開來講,面對(duì)復(fù)雜的私有云環(huán)境,云安全該怎么來規(guī)劃、部署。

我們知道,企業(yè)用戶搭建的私有云環(huán)境通常都非常復(fù)雜。主要表現(xiàn)在以下幾個(gè)方面:

第一,私有云環(huán)境中,網(wǎng)絡(luò)邊界變得復(fù)雜。虛擬化技術(shù)打破了各種計(jì)算資源之間物理界限,使用戶可以最大化應(yīng)用計(jì)算資源或者存儲(chǔ)能力。同時(shí)也使云計(jì)算環(huán)境中的網(wǎng)絡(luò)邊界,不再像傳統(tǒng)網(wǎng)絡(luò)中的物理邊界那樣清晰、明確。

第二,相較于公有云環(huán)境,企業(yè)私有云環(huán)境中應(yīng)用的設(shè)備和系統(tǒng)多來自眾多不同的品牌,因此,各種對(duì)接問題層出不窮。在實(shí)踐中,用戶的需求往往是:不僅要能對(duì)接各種云平臺(tái),譬如VMware、openstack、基于openstack的華為和華三云平臺(tái),也要能對(duì)接各種SDN方案,諸如思科、華為、華三、銳捷各類SDN方案,還要能對(duì)接各種存儲(chǔ)系統(tǒng),諸如EMC、華為、曙光等等。

第三,企業(yè)私有云管理變得復(fù)雜。在云計(jì)算環(huán)境中,基礎(chǔ)設(shè)施、計(jì)算資源、系統(tǒng)架構(gòu)都可能隨著業(yè)務(wù)需求的變化而不斷發(fā)生動(dòng)態(tài)的變化和調(diào)整,這無疑對(duì)管理提出了很高的要求。

以上幾個(gè)問題,若用網(wǎng)絡(luò)安全的語言來解讀,則變成了——

第一,以往基于物理安全域/安全邊界的防護(hù)機(jī)制,使得安全設(shè)備無法在虛擬化環(huán)境中找到防護(hù)的“邊界”。所以,要找回邊界。

第二,部署的云安全解決方案,要兼容各種系統(tǒng)、設(shè)備,處理好各種對(duì)接問題,否則無法滿足實(shí)踐中的真實(shí)需求。所以,要跨最多的平臺(tái);

第三,若安全管理不能相應(yīng)地做到可視化管理,就猶如好馬沒有配上好鞍一樣,企業(yè)私有云環(huán)境無法得到更佳的安全防護(hù)。所以,要讓安全可見。

第四,安全無小事。云安全管理要實(shí)現(xiàn)從安全可配、到安全可見、到安全可管、再到安全可控的閉環(huán)管理。

因此,針對(duì)企業(yè)私有云安全的部署,從實(shí)踐中,我們總結(jié)出了可行的思路和方法。

從部署思路的角度來說,要用統(tǒng)一管理的思想、全局的視角,做從上至下的整體布局和規(guī)劃;從部署方法的角度來說,應(yīng)同等地注重軟件定義安全的技術(shù)實(shí)力以及最佳實(shí)踐能力這兩方面。沒有真正落地的實(shí)踐能力,技術(shù)再好,也是空談;沒有很強(qiáng)的技術(shù)能力,實(shí)踐上也無法達(dá)到為用戶帶來“最佳“的體驗(yàn)。

瑞和云圖作為國內(nèi)技術(shù)領(lǐng)先的云安全產(chǎn)品研究和研發(fā)的公司之一,一直以云安全解決方案的最佳實(shí)踐能力為公司產(chǎn)品研發(fā)的指導(dǎo)思想,現(xiàn)已具有多例云安全產(chǎn)品落地實(shí)施經(jīng)驗(yàn)。以云翼云安全管理平臺(tái)為核心建立起的安全產(chǎn)品體系能夠?yàn)橛脩籼峁╅]環(huán)的安全管理流程。

針對(duì)當(dāng)前云安全領(lǐng)域尤其是企業(yè)在云環(huán)境應(yīng)用中的安全問題,我們是怎樣來幫助用戶實(shí)現(xiàn)他們?cè)谠瓢踩鉀Q方案中的最佳實(shí)踐的呢?我們有這樣幾個(gè)主要思路:

第一,安全管理平臺(tái)化。通過一個(gè)統(tǒng)一的云安全管理平臺(tái),找回消失的邊界,使得在虛擬邊界上重新部署安全設(shè)備成為可能。用戶通過這樣統(tǒng)一的安全管理平臺(tái),不僅可以清晰地看到包括計(jì)算資源和網(wǎng)絡(luò)資源在內(nèi)的各種云內(nèi)狀況,還可以清晰地看到通過業(yè)務(wù)邏輯定義的安全域和安全子域,以及云內(nèi)從安全域到資產(chǎn)各個(gè)層面的流量關(guān)系、鏈接關(guān)系等。總之,用戶就此獲得了一個(gè)超越于某一個(gè)安全領(lǐng)域的、更高層面的安全管控視角。

第二,安全資源池化。傳統(tǒng)的安全防護(hù)手段都是硬件物理設(shè)備部署在安全邊界上,每新建一個(gè)系統(tǒng)就要新購置一批安全設(shè)備,而且面臨著一堆實(shí)施部署的難題。通過建設(shè)動(dòng)態(tài)可彈性擴(kuò)展的安全資源池,在資源池里部署軟件安全設(shè)備,實(shí)現(xiàn)安全資源的池化。這樣,不僅可以動(dòng)態(tài)擴(kuò)展安全資源池的計(jì)算能力,使之超過單個(gè)硬件的處理能力,更重要的是,能夠通過對(duì)安全資源的統(tǒng)一管理,基于用戶業(yè)務(wù)需求細(xì)粒度地按需編排安全資源的使用,實(shí)現(xiàn)安全的敏捷可控。

第三,安全部署自動(dòng)化。通過我們的解決方案,安全域的劃分、虛擬化鏡像節(jié)點(diǎn)的部署和安全措施的部署都可以實(shí)現(xiàn)自動(dòng)化。這無疑使得網(wǎng)絡(luò)安全運(yùn)維和管理變得更簡單,也更能滿足私有云環(huán)境的實(shí)際要求。

第四,安全管理的兼容性。從虛擬化平臺(tái)的角度來說,我們可以很好地兼容VMware、KVM、Xen等主流平臺(tái);從云平臺(tái)來說,我們可以很好地兼容華為、華三、openstack等云平臺(tái);從SDN控制器來說,我們也可以很好地兼容華為、華三、銳捷等主流SDN控制器。此外,安全資源池架構(gòu)也具有很好的開放性,不僅可以部署第三方的各種軟件安全產(chǎn)品,包括但不限于防火墻、入侵檢測、審計(jì)、WAF等,而且無需對(duì)第三方軟件做大的改動(dòng)。更重要的是,還可以兼容第三方安全產(chǎn)品的管理平臺(tái)。

總結(jié)來說,主導(dǎo)思想就是要“用軟件定義安全管理、軟件定義安全邊界、軟件定義安全服務(wù)”,通過安全管理平臺(tái),統(tǒng)一并可視化管理私有云環(huán)境里的安全策略、安全資源、安全域等等,并通過自動(dòng)化的靈活配置,滿足虛擬化環(huán)境的“隨需所取”的需求,從而為私有云的運(yùn)營提供有力的、安全的防護(hù)和支撐。

如果說,總體思路是大的指導(dǎo)方針,那對(duì)于每一個(gè)具體環(huán)境、具體項(xiàng)目,有針對(duì)性的解決方案和策略則是必須的實(shí)踐措施。尤其是在面對(duì)幾大虛擬化云平臺(tái)主流,譬如VMware、華為、華三等,我們的思考和具體實(shí)踐是什么?敬請(qǐng)關(guān)注我們接下來的系列探討文章。

關(guān)于北京瑞和云圖科技有限公司

北京瑞和云圖科技有限公司成立于2014年,是一家專注于為企業(yè)提供完整的云計(jì)算網(wǎng)絡(luò)安全解決方案的軟件及服務(wù)提供商。公司由國內(nèi)一批在國內(nèi)網(wǎng)絡(luò)安全市場發(fā)展早期就投身的資深從業(yè)者共同創(chuàng)建,一直秉承“軟件定義安全、服務(wù)創(chuàng)造價(jià)值”的經(jīng)營理念,立志做中國云計(jì)算網(wǎng)絡(luò)與信息安全的領(lǐng)導(dǎo)者。

更多詳情,請(qǐng)前往。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦