孙松儿:熟悉的私有云,崭新的云安全2.0

  1. 云栖社区>
  2. 博客>
  3. 正文

孙松儿:熟悉的私有云,崭新的云安全2.0

boxti 2017-07-05 16:12:00 浏览1237
展开阅读全文

当前,数字化的转型是目前一个关键的热门词汇,在数字化的转型过程当中,安全肯定是首当其冲最最重要的一个基础环节。可以看一个典型的场景,比如说在社交化的办公,我们看到的是要对用户的身份包括端点的准入有严格的要求。

对于在移动互联网的场景下,除了对性能的影响之外,更多的可能是要关心互联网用户上网的用户行为分析、包括安全审计的内容。当然在云和虚拟化的时代,虚拟化所产生的信息安全风险。从这个安全的运维外包的角度来看,在新的时代,我们现在需要考虑的是,怎么样基于云计算的技术,通过远程的云安全增值业务,来提供安全的运维外包交互。这样一方面可以降低成本,另外一方面也能够给客户、给中小客户一个更好的体验。

另外,大数据和安全情报也是在安全领域最热门的词汇。面对当前的形势,面对那么多的安全情报,怎么办?怎么样从海量的安全情报当中,收集出那么几条有价值的高危安全风险?这是要关注的问题。所以,安全的风险无外乎两个方面:一是我们希望做到对安全风险持续化的监控和可视化的分析,另外一个是从防御的角度,要转被动防御为主动防御的一个云安全的架构。

针对这种主动防御的云安全架构,首先看几个关键的信息。第一,安全的本质就是要发现安全风险,尤其是对现阶段很多潜在的通过本地化的检测感觉不到的安全风险,针对这些安全风险怎么办?要把它发现出来,要可视化地呈现。针对这个安全风险做到可视化的呈现之后,才能够有更好的针对安全风险有针对性的安全匹配策略,这是我可控,安全要可视、可控。

同时,从用户的角度来看,现在在云安全的时代,安全是作为一个服务来交互的。租户要租用安全服务,这个服务怎么能够布点,服务和别人的服务有什么差别?所以安全需要做到云的安全,需要做到可控。注册完之后,用户的ERP系统,已经购买了安全服务1.0,安全服务是不是起到了应有的效果,怎么样来评价我买安全服务是足够有价值的,是足够价廉物美的?这个时候就涉及到对云安全服务的有效性评估。

从运营的角度来看,当一个用户针对他的不同业务系统,因为用户的业务系统要上云,需要针对不同的租户、不同的业务系统,要有差异化的安全防护策略。那么当一个用户、十个用户、百个用户、千个用户同时开展这种服务的时候,运维怎么办?所以在这个过程中,对于租户的安全服务,第一要做到可灵活的可定义和可编排,同时在不同的角度一定要做到可运维。

另外我,安全本身就是在一个包罗万象的知识点非常分散的环境,在这种情况下,包括现在我们看到的云安全等级保护的条例里面也提到了很多种安全服务标准。那么安全服务标准光靠一家厂商是比较难做到的,所以在这个时候云安全的架构、云安全的系统里面的开放性和可信是我们需要考虑的一个问题。

所以,针对云安全的这些关键需求点,新华三云安全2.0在设计的时候,主要关注以下几方面。首先是云安全方案,因为不是每个客户都是从0开始建设的,一定有自身现有的业务系统、现有的网络。那么怎么样来构造你的云安全解决方案有足够的普适性、有足够的开放性?同时,等级保护里面其实定义了多种多样的安全服务,如何在云化的环境里面提供更多样化的安全业务交互是需要关心的一个问题。当然在提供安全交互的时候,产品可扩展的资源池一定是非常重要的点,它应对性能的扩张是有绝对帮助的。

当然,面对云计算和云安全,如果要运维的话,自动化的部署和可视化的运维一定是很重要的方面。最后强调的是,之所以现在新华三推出云安全2.0,和1.0相比还有一个最大的不同就在于,安全是一个动态的过程,安全设备本身的防护能力是一个相对隐偏的过程,怎么样给现有的安全解决方案叠加更多的云端的安全检测能力,把云端安全的一些情报收集包括安全运行的一些总结拿出来,形成一个全局的联动响应,这是后面需要关注的问题。这是云网端的协同联动和立体防御的问题。

首先,在普适性这一块,很简单。如果一个云的解决方案要交互、叫实践,要面临几个方面的问题。第一个是和云平台的配套,因为不是所有的用户都会用新华三一揽子的解决方案,有自己的云平台,这是一些第三方的云平台。那么解决方案是不是有控制性,安全设备是不是能跟第三方的云平台有一个很好的耦合,安全服务的交互能不能在第三方的云平台上有一个很好的呈现,这是需要考虑的,这里面涉及到很多KPI的印证。

从虚拟机的操作层面来看,当客户在布局云安全解决方案的时候,必不可免的,可能会用到一些软件安全的资源池。针对软件的网关,怎么样来布局,是只在EMI的环境,还是在KAT的环境,还是在KBM的环境?那么虚拟安全网关对虚拟操作系统的适应性,绝对是一个需要考虑的问题。

网络安全,网络和安全是不分家的。用户当然可以选择新华三的网络安全一揽子解决方案,用户已经有现有的网络,只需要叠加安全的时候,新华三的云安全解决方案可以通过自己的安全控制和安全设备,实现和第三方网络的统一联动,能够纳管。

有些用户的网络也不是从终端开始的,有很多网络,有很多安全设备,怎么样对现有的安全设备进行一个很好的利就。解决方案是很好,但是安全设备怎么办?所以华三针对这种情况,新华三的云安全解决方案在跟第三方的安全设备的纳管方面,也提出了一些有针对性的手段,包括通过一些服务的技术,保证用户现有的第三方的安全设备和新华三的整体解决方案能够统一运行。

再看一看业务交互这一块,因为大家很清楚,基于Open Step的插件,其实现在提供的标准安全服务交互是比较少的,比如防火墙、LB,这几种服务对于现有客户的需求是远远不够的。尤其是客户在做云安全等级保护合规评定的时候,上面会涉及到大量的运用上的安全需求、包括安全审计的需求、包括外部安全的需求。

所以新华三的云安全解决方案,在FBM的控制器和Open Step的云平台之间,做了很多的插件。插件的目的,希望在云平台上面能够呈现更多的安全服务的交互。截止到目前,已经有超过十种安全服务在云平台上可以交互。用户用第三方的云平台,能不能够也把安全服务的交互做得更多一点?答案是可以的,有相应的非常标准的一些API接口,按照这个标准接口直接定义就可以做到。

安全,本身一个场景的资源池是一个很重要的概念。为什么要做场景可控的资源池?其实它要解决几个方面的问题,首先大家都知道,云计算虚拟化带来的问题是网络安全边界的模糊,在选配安全策略的时候,找不到在哪个设计上来配,这个时候怎么办。所以场景资源池必须要解决这个问题,安全设备的策略配置与部署和位置有关、和拓扑有关,不需要关心要配到哪个防火墙去。这是要解决的第一个问题,在解决这个问题的时候,需要有相应的技术来进行支撑,包括服务链等等。

资源池要解决的第二个问题,在云安全时代性能是一直存在的,必须要做到性能的平滑扩展。那么要做到性能的平滑扩展有很多种方式,比如说有高性能的硬件,也可以用虚拟化的软件网关,也有机型化的IMG安全网关可以做到。

第三个问题,租户在选用云安全解决方案的时候,针对不同的业务系统,可能是需要相对资源有保障的安全业务。这就意味着,要把安全的资源池,第一安全资源要足够的大,第二安全资源要足够的可切割成一小块,每个独立的小块可以灵活地调整,把这个资源分配给某个租户的某个业务系统。在安全资源池里面,必须要有一个非常良好的虚拟化的途径,要能够虚构出很多相对独立、相对完整的虚拟化途径。在这一块可以说新华三的虚拟化解决方案。

另外我,如果想要做云安全运维和云安全部署,这个时候自动化的编排和部署一定是重要的环节。用户在进行页面的拖拽的时候,针对业务系统,ERP要有防火墙,要买ITM,要自定义。但是这三个业务系统它的先后关系是什么,把这个任务交给云运维管理员。这是一个,就意味着你针对某个租户的某个业务系统的不同安全服务,要具备灵活的可拖拽、可编排的能力,防火墙在前或者是ITM在前,拉动鼠标就行了。

在这个过程中,当一个租户可能面临10、20个安全怎么办?当100个租户、1000个租户的时候,这个时候对于安全策略配备的下发是非常大的工作量,怎么样做到安全策略的自动化下发,这是需要关心的问题。所以,在对云安全自动化的编排和部署的角度,从用户的角度需要登录云平台,进行要做的安全服务资源的自定义。剩下的安全业务如何编排,防火墙在前或者ITM在前,交给可编排的单元去做。

同时所有用户的业务流量,都需要涉及到流量的牵引。这个流量的牵引,早期很多时候都是通过手动去配合的方式。当一个路径一条流量流进多个网关的时候,意味着在沿途需要布置密密麻麻的安全策略,这个在运维当中是非常不便的。现在基于新华三的解决方案,在这一块可以通过自动化的配套建立制度,直接在三层甚至两端,在最大的能力的两端直接打通隧道就可以了,做到后面的安全策略的自动下发。

这里面也涉及到FBM控制器和Open Step平台的联动,FBM控制器和底下安全设备一个统一的纳管,纳管能力的体现也是在这里面。只有做到这两种,安全策略才能够做到灵活的批量的自动化下发。在这种过程中,针对第三方的一些安全设备,新华三的FBM控制器它仍然能够进入相应的解决方案,可以用一些API的接口和你进行一个灵活的联动。

前面讲到了几个其实应该说都不是什么新鲜的问题,因为这几个问题在云安全1.0的时候是必须要做到的,无非是从现在的角度来看,服务做得更多了,开放性做得更好了,部署效率可能更高了。在一个云安全的解决方案过程中,安全的风险是无时无刻不在变化的。安全风险在云安全解决方案里面,安全设备作为执行单元、作为安全的检测单元,它的能力是相对有限的。

那么怎么样来破解安全界的一个最大的难题,就是能够相当及时准确地对没有攻击特征的一些未知流量,能够做到一个提前的预警。那么要做到这一点,需要充分地利用云端的安全检查和查找能力。因为云端后台有大量的服务进入,大量的业务单元在进行,包括有大量的样本。这样进行一个积极的学习,进行样板训练,来判断现有的攻击是不是移植攻击,它的移植度是多少,移植度80%、90%。,所以需要充分的结合利用云端的安全检查能力。

另外,要变被动为主动的防御策略。那么什么是主动的防御策略?在新华三云安全2.0的解决方案里面,要给云安全解决方案注入更多的云端的主动的安全检测和查找能力。因为现在现有的,不管是政务、教育、还是医疗等等行业的云解决方案里面,都涉及到大量对外提供业务服务的外部业务系统。针对这些外部业务系统,可以进行主动的涉及它的病毒、木马、各级软件的挂板等等进行检测,这样可以把整个的云安全解决方案本地化的一些解决方案,把它和云端的安全能力有一个完整的结合。

当然完整的结合,把安全的风险、把一些未知的比较难查勘的比较难的风险暴露出来怎么办?需要有两个方法,要强调的是云端检测、边界保护。当一个关键的业务单元把一个攻击、一个未知漏洞、把相对流量放上来之后,通过云端的安全查勘检测中心判断为安全风险之后,要做两件事情。第一件事情,要把相应的安全风险转化成安全策略,然后把这个安全策略及时适时地推动到底下的反对上的安全单元。这样它的1、2、4之间是一个相对臂环的环节,实现对于这种安全风险。

什么是安全情报,什么是安全风险?这就是最有价值的安全情报。那么注入A,可能通过注入A的设备,把这个安全攻击收上来之后,判断回来之后,上层的业务系统不是把这个攻击策略匹配就完事了,它还要做两件事情。第一件事情,它要把这次发现的安全中心的安全情报转变成安全策略,第二件事是把它同步到我们云端的特征部署里面,跟云端安全整体同步。

同步之后做两件事,第一针对你现有网络中的一些关键节点,这个是可以用户自己定义的,比如说用户底下有10个防火墙节点,你可以定义其中5个关键业务节点的防火墙。针对这5个关键节点,当第一台设备把这个攻击爆出来之后,你需要把相应的安全策略同步到2、3、4、5这几个上面去。有的人说为什么不全部同步呢?因为当一个网络大的时候,加入的安全技能足够多的时候,同步起来,也很费劲,也浪费时间。

针对一些不太重要的安全风险,是分级处理的。针对一些不太重要的安全风险,系统会自动的,因为现有的防火墙、现有的IPF、包括现有的外部,它都会定期到我们的云端进行下一步最新的特征部署。只需要把分析好的特征部署,把一个二级的IP地址和二级的UI链接更新到云端特征部署期限就可以了。这是云端协同联动的问题,客观来说也是阐述了针对目前的安全风险的一些安全情报,在反复的安全态势的时候,能不能做一个主动的安全策略下发。

另外,对于一个安全来说,包括对云安全来说,在云安全解决方案部署完之后,网络越大,方案部署的节点越多,安全攻击、安全事件就会越丰富。在这种情况下,单靠人眼是很难看到哪个是高危安全风险,这个时候需要有相应的可视化的工具来为你服务,新华三在现有的云安全解决方案里面,也提供了一套华三先进的解决方案,它是一个完整的风险可视化的解决方案。

针对这个解决方案,它可以把你现有系统中、现有解决方案中所看到的关键安全风险,进行一个红、黄、蓝的标识。标识完之后,针对不同颜色的安全攻击,可以选择相应的安全策略。这个安全策略你可以选择自动化的下发,也选择通过人工确认的方式进行下发,我们可以提供多种选择供用户使用。只有细分了这种风险可视化的工具,对整个的云安全的风险把控才有一个更好的了解。有了了解,才能够更进一步地对针对未来下一步要做的安全策略进行一个优先级的调整,形成一个策略调整和策略优化。

基于此,在部署的时候,就很简单,现在的部署模型,第一很多用户已经有现有的数据中心,针对现有数据中心的改造怎么做?现有这套云安全解决方案,比如承载需要用一个OA网络承载。新华三可以通过解决方案、通过在里面部署一些网关,帮你重新构造一个OA网络,把现有的解决方案给纳进来。所以这个是以数据中心信息化改造给用户的,对于很多用户来说,如果新建的数据中心或者新建的云数据中心是一揽子解决方案,这样是最简单的。新华三可以提供从云平台到控制系统到网络到安全一揽子的解决方案,这个解决方案已经经过了实践的落地,是非常稳定可靠的。

另外一个,部分网络在现有网络改造的时候,可能现有的网络撮合着也能用。但是在这个情况下,我们希望叠加更多的安全能力。在这种情况下,新华三的解决方案是通过我们的FBM的安全控制器,把我们的安全设备进行一个良好的纳管。同时如果你有第三方的云平台,可以通过FBM控制器,和云平台有一个很好的联动,这样也能实现和第三方云环境的一个综合部署。

针对安全来说,包括针对云安全来说,其实是两个最重要的问题。第一,你要尽可能地发现风险,你要尽可能及时地发现一些未知的潜在的恶意的风险,这种分析是需要做的。有了发现风险之后,还有一些相应的可实施性的单元。

从整体的架构来说,新华三未来安全的整体架构基本上分为三个层次:第一会在底层这一块依托新华三的新一代安全产品和解决方案,包括我们的一些终端安全产品、包括合作伙伴一些终端产品、包括采集器、流量探侦等等,这都是我们的驻地采集的源泉。这是我们发现安全风险的原始数据流量,这个也是未来与安全云网关的时候它的一个执行单元。这一块是新华三的一个基石。

在这个基础之上,面对这么多用户的流量、面对这么多的安全攻击的事件,新华三有一套非常好的大数据分析平台。基于新华三在大数据方面的积累,通过自身在数据中心、在人工智能、包括在一些引擎优化方面的绩效,可以搭建一个非常好的大数据安全分析中心,这是整个整体架构的核心。有了这个之后,对用户才有各种相应灵活的呈现。

第一,可以从中构造一个、搭建一个全球的安全情报中心,它可以和我们的合作伙伴有一个很好的安全情报的共享平台。另外一方面,基于这一套大数据安全分析平台的整理,包括在云端的主动病毒检测、网站安全风险检测能力,可以给用户呈现一个更丰富的安全能力服务中心,对网络的检测、抗病毒等等都可以做到统一的交互。

新华三的安全,未来将以大数据的安全分析平台为核心,强调的是云网端的协同联动,最后的目标是要实现在全业务安全能力的一个整体交互。因为这一套的架构、这一套2.0的方案,已经经过了长达半年多的实际验证,也希望后续有更多的机会和我们的行业伙伴、和VIP客户一起,能够把这个解决方案实践落地,共同地来提升国内信息安全建设的新的水平。

(本文来自于新华三大安全的首席架构师孙松儿在2017年H3C Navigate 领航者峰会上的演讲)

本文转自d1net(转载)

网友评论

登录后评论
0/500
评论
boxti
+ 关注