图 2 云计算安全方案组成

☆ 安全资源池：支持物理安全设备、虚拟化安全设备、安全类SaaS服务等各种安全资源，接受各安全子平台的管理，对外提供相应的安全能力。

☆ 安全运营平台：与安全子平台配合，提供安全产品开通、调度、服务编排，以及安全运维功能，并实现与云管理平台、SDN控制器的对接。安全运营平台包含了云安全运营的一些共性功能模块和一些提供特定安全能力的子平台。

安全子平台负责管理安全资源，提供安全策略管理、配置管理、安全能力管理、安全日志管理等与特定安全应用密切相关的功能。根据应用场景的不同，可灵活配置和扩展。

☆ 安全应用：基于安全子平台提供的安全能力，提供管理、控制、分析、呈现功能的组件。用户可根据需要灵活选配。

关键能力

◆ 分层分域防护

基于对云计算系统的安全域划分结果，通过VLAN、安全组、虚拟化防火墙墙等技术手段隔离，并在区域边界和区域内部部署相应的防护手段，形成纵深防护能力。不同云平台的业务规划、设计和安全要求不同，需要根据具体需求规划相应的物理和虚拟安全区域。

图 3 安全域划分

◆ 全面防护

云平台的安全保障可以分为管理和技术两个层面。首先，在技术方面，需要按照分层、纵深防御的思想，基于安全域的划分，从物理基础设施、虚拟化、网络、系统、应用、数据等层面进行综合防护；其次，在管理方面，应覆盖云平台、云服务、云数据的全生命周期，对平台开发安全、安全维护、安全事件、安全风险、业务连续性等方面进行管理。

图 4 全面的云安全防护体系

◆ 虚拟可控

对于相同物理机上的不同虚拟机，其通信流量不经过传统的防火墙等控制手段，无论是虚拟机之间的攻击数据，还是攻击之后传输数据的隐蔽信道，传统的基于网络的检测、防护技术都会失效。为此，采用虚拟化安全设备方式解决这一问题。主要手段是利用云平台的虚拟化交换机来部署虚拟化安全产品到云内的多个VLAN之间或者VLAN内部，做到虚拟机之间的流量可见可控。

图 5 虚拟化环境中的通信流量

◆ 弹性安全能力

通过相应的接口，把各种虚拟化安全组件嵌入到云平台中，并与云平台组成一个有机的整体，在不损失云平台的特点和优势的情况下，可提供全面的、弹性的安全保障能力。

图 6 云平台和安全保障体系的融合

方案亮点

图 7 方案亮点

适应性广，安全功能多

支持VMWare、Openstack云平台，以及基于Xen的各种定制化云平台。同时，可以支持物理的、虚拟化、SaaS化的安全资源类型，提供多种安全能力。

模块化架构，可灵活扩展

系统采用模块化架构，根据应用场景和需求的不同，可以选择和部署相应的安全资源、安全子平台、安全应用，满足经济性、合规性要求。

弹性能力，收放自如

通过SDN技术、资源池化、负载均衡技术、热迁移技术，以及通过安全子平台的能力，可以对外提供安全、弹性的安全能力，自如的进行扩容、缩容。

全程自动化，可快速部署

运用SDN、NFV技术，用户通过安全运营平台可以按需、自助的进行安全能力的开通、安全APP的下载、安装和使用。同时，可以根据业务需要，实现多种安全设备的协同防护，抵御各类安全攻击事件。

安全策略的动态跟随

对于云计算系统安全域边界的动态变化，通过区域子网划分、安全隔离、SDN、分布式交换等技术，可以做到边界防护策略的持续有效，保障云平台的安全。

应用场景

适用于私有云、公有云、混合云等各类云平台的安全防护。从技术角度讲，既适用于原生服务器虚拟化、云平台的场景中， 也可以使用使用SDN和NFV技术的场景中。

基于安全域的划分，可以采用合理的手段进行全面的安全防护。对于DDoS攻击，可以采用高性能硬件设备防护南北向攻击，采用虚拟化异常流量监测设备（vNTA）对东西向DDoS攻击进行监测，并与云管理平台协同进行安全防护。可以采用物理/虚拟化防护墙进行不同粒度的边界隔离和防护，采用物理/虚拟化Web应用防火墙进行web防护，采用物理/虚拟化入侵检测设备（IDS）进行网络异常检测，采用虚拟化漏洞安全评估设备（vRSAS）进行云平台、虚机的安全评估。为了有效保障远程租户的管理安全，可以采用堡垒机进行安全控制和防护。另外，可以在web主机上部署网页防篡改系统，以及部署防病毒系统。上述所有设备都可以由云安全管理平台进行统一管理，并提供用户访问界面，以及通过安全态势监测平台为运维人员、用户提供安全态势信息。

典型案例

下图是某客户私有云的安全防护方案。首先采用了传统的ADS、NTA设备对南北向DDoS攻击进行防护，其次采用传统IDS设备进行入侵检测，采用堡垒机对远程客户访问进行控制；其次，将虚拟化区域分成了测试区、生产区A、生产区B，并部署了虚拟化的vWAF等安全设备，在重要服务器上安装了网页防篡改或防病毒客户端，同时设立了管理维护区，部署了云安全管理平台、防病毒服务器和可共用的vWVSS（Web漏洞扫锚系统）等设备。

返回搜狐，查看更多