云计算是 IT 领域内一场伟大的变革,自云计算提出后,安全问题已成为阻碍其发展的主要因素。然而,对于云安全业内主要有两种声音:一种是针对云自身的安全保护,也称为云计算安全;另一种是使用云的形式提供和交付安全,即云计算技术在安全领域的具体应用,也就是常说的安全云。安全牛于不久前采访了安全云领域优秀厂商安数云云安全产品线的负责人吴雷,探讨安全云究竟给予用户一种怎样的安全。
一、云安全的兴起
云安全是什么?
云安全是一种基于云计算技术发展演变而来的网络安全防御解决方案。目前,大多应用场景是:云本身的安全由云计算服务商提供,也称为“云原生安全”,而云上租户的安全由安全厂商提供。企业需要了解云计算安全的可实施细节,而其部署的云平台可以通过适当的策略来确保安全性。
也就是说,云安全的标准形态是:
1)云本身的基础安全属性
2)云上租户的系统安全。
云安全面临怎样的挑战?
那么,云计算本身是安全的吗?前提必然是云计算服务提供商能够很好的保护客户数据。组织必须自己决定需要哪些安全功能,例如,基本的云安全包括的基础安全功能,当然,企业需要企业级安全选择。
吴雷认为,在多租户环境中,数据被存储在共享的基础架构中,与共享的物理磁盘或数据库一样,因为有可能无意中在数据中混合其他租户的数据,这种做法具有极高风险。
也正是如此,会在无意中将重要的业务信息外泄给未经授权的实体。保存在外包位置的数据可能会被第三方运营商访问,存在机密信息泄露的情况。企业内用户需要先验证内容的完整性和内容的来源再做使用,而在外包的存储供应商处保存具有转售价值的信息和内容,这些内容是否可受到保护也会受到质疑。
等保2.0中云等保的要求
云计算在等保 2.0 中占据了非常重要的位置,并在等保 1.0 的基础上做了很大调整,扩大了保护领域的同时明确构成云等保要求的四部分:网络通信安全、区域边界安全、计算环境安全和管理中心,提出相应防护要求和 “云责任共担” 模型。
吴雷说,云计算系统网络架构是扁平化的,业务应用系统和硬件平台松耦合。安数云发现租户个性化安全服务能力的需求,安全云的安全策略可以根据自己的需求来定义,这是传统安全的耦合性难以实现的(租户个性化);云等保要求安全管理中心,进行体系性的统一调动。为划分责任单独分开云管理系统和云平台,只要保证安全服务完整、可靠即可。
二、何为安全云?
定制化安全服务的安全云
由于信息技术的快速增长,安全技术的迅猛发展和不断更新的黑客策略,依靠云计算输出的安全能力是一个合理的选择。因为,如果管理得当,安全云可以提供最小化的管理成本和服务提供商的干涉。
吴雷认为,随着安全防护边界的模糊,防护需求不断演变,为了满足多租户对安全服务定制化的需求,安全云诞生了。传统安全设备都是独立运行,安全设备的更新换代,造成严重的资源浪费、运维过于复杂,导致用户网络拓扑结构十分复杂、维护成本极高。转而将云计算应用于网络安全领域,将网络安全能力和资源云化,并以此为用户提供按需的网络安全服务。
为此,安数云提出云安全资源池的概念,并于 2017 年迅速研发产品进行落地。所谓安全资源池,就是利用云计算技术的容器特性,构建一个云资源池,部署用户网络、私有云、IDC 中,在资源池中将网络安全产品虚拟化,当用户需要某种安全功能时,动态进行调度运用。这种做法充分运用了软件定义技术,通过 “软件定义流量、软件定义资源、软件定义威胁” ,为用户建立起动态的、闭环的软件定义的云安全服务体系,让云安全问题的解决变得简单、敏捷、合规。
吴雷表示,安数云以安全资源池为基础,协同各种安全产品这些安全资源包括了满足各类用户安全防护的安全能力,比如安数云自主研发的 WAF、NGIPS、CASB 等。其次,安全云具备了各种安全防护能力的按需提供能力,用户可以灵活地根据自身业务特点和成本预算选择安全业务。用户可以省去投资和维护安全设备的成本,转而直接购买安全云提供的安全服务。传统安全工具提供不了多种安全产品的自由定制和有效管理,尤其是当企业使用多个厂商安全产品的时候。
他说,安全云的独特之处在于,对于用户来讲安全服务可按需定制,对运营商而言,无需购入多种安全产品,各租户可以共用一台虚拟安全设备,既能节省安全资源,也能实现高效运行。
三、安全云的核心技术
只有基于 SDN 的云平台才是安全云
SDN 给云平台的管理带来了一个契机,原来模糊的边界因 SDN 变成了一个有结构的网络,使得安全能够重新找到一个着力点。它有效的改善安全策略和管理的复杂度,降低企业的 IT 运维成本。
吴雷在采访中说,云平台的资源池化、虚拟化,只有在软件定义之后才能称之为安全云。因为云平台在引入 SDN 之后可以提升在管理、组网以及协同上的能力,实现有效的快速响应、资源调度和需求感知等。用户对于安全服务能力有不同的要求,仅在企业内部无法做到点对点的区域性安全,增加了安全运维难度。只有 SDN 能够使得最终系统更加简易化、商业化,否则再完备的设计也只能停留纸面。相比之下,SDN 颗粒度小、弹性高且灵活,便于进行网络划分,传统的协议无法满足安全云发展的核心诉求。SDN 天生带有简便安全策略管理的基因,因此只有基于 SDN 的云平台才是安全云。
多点联动的安全纵深防御能力
事实上,安全云最大的优势是降低成本,同时提高了敏捷度,甚至提高了并发性能(比如云资源的弹性扩容),但是与安全设备相比,安全云增加了攻击平面、降低了可信边界,安全云的整体设计显得尤为重要,这就意味着在生命周期中需谨慎管理安全云,以避免带来新的威胁。而纵深防御体系能增强安全防护能力,收紧攻击平面。吴雷谈及安数云的纵深防御能力,它主要表现为多点联动防御:
A. 支持第三方的安全服务能力
B. 具备把各种安全产品组合提供给用户的能力
C.可以把防护类型的多家安全厂家串联,保证用户纵深行防护能力
安全牛评
虚拟化技术和安全设备的结合,驱动了云上的安全虚拟化、混合化。绝对意义上的安全是不存在的,安全云虽然降低了企业部署安全产品的成本,增强企业使用多种安全产品的管理可控性,但是也增加了安全云设计的难度。信息安全和应用的关系正在发生转变,无论是纵深防御、软件定义网络,或是安全虚拟化。网络安全同新技术融合的成果,有待我们进一步探索和实践。
相关阅读
