云 · 格来了–云安全解决方案新成员
作者:星期五, 九月 18, 20150

不管是公有云、私有云,还是混杂云,在云内的某些场景下都需要彼此之间的隔离。

640.webp

如果把云内外的流量称之为南北的话,云内之间的流量可称之为东西。东西流量除了正常流量以外,由于某台主机中病毒木马或被黑客控制,往往会有内部扫描、入侵渗透等异常行为。如浙江某银行的私有云,其中的一台虚拟机被木马感染之后,试图传染云内的其他系统,如何监测这些云内主机或虚拟机之间的实时流量及威胁,并阻止其攻击的横向蔓延呢?

许多安全圈的专业人员可能会想到主机防护,但如何把每个虚拟机甚至是虚拟机的组合分开呢?之后的扩展、动态迁移及部署工作如何实施呢?

有一种方式叫隔离

利用自身在防火墙产品方面的优势,多次入选Gartner统一威胁管理魔力象限的防火墙厂商山石网科,周三发布新品山石云·格(虚拟化分布式防火墙),力图将东西流量的威胁拒之在云“内”。

微隔离的概念

云·格可以深度插入到虚拟化环境中,能够做到每一个虚拟机跟外部网络或内部其它虚拟机之间通信的精细监控,此为微隔离。这样可以从根本上阻 断从内部向其它虚机和主机网络发起的扫描渗透和DoS 等攻击,在监控以内部被控制的虚拟机为跳板的内部入侵的同时,保持该问题虚拟机的对外服务。

微隔离的特点

基于NFV和SDN的概念,云·格可以深度接入虚拟化环境,按需部署和扩展防火墙资源。与现有的云计算管理平台如OpenStack紧密集成,并在虚拟化架构中贯穿可视化功能。

为了分发和扩展安全服务,云·格通过控制、安全和数据三个层面互联,形成安全服务平台并按需增加虚拟安全控制和业务模块(vSCM/vSSM)来轻松完成扩展,并且组件是冗余的,意味着某一个模块发生故障时,冗余模块可以接管。由于这些服务是弹性的,并且分布于整个虚拟化环境中,因而可以不需要流量重定向绕路和无性能瓶颈的使用安全策略。避免了每次虚拟机迁移的时候,还需要重建会话,并能随虚拟机的增加、较少和移动,保持正常状态,无需任何安全服务中断或延迟。

640.webp (1)

山石云·格的架构

一种新型云安全解决方案

云·格的方案很有特点,因为目前很少有针对云内东西流量的安全解决方案。之前云里面是没有边界的,但有了云·格则可以把边界划分出来,并且细粒度化。此外,如果有监管和审计的需要,云·格则正好满足这一需求,通过技术手段实现这种合规,而现在市场上似乎看不到在云内做流量监管审计的安全产品。

安全牛评

云安全已经成为一个新的安全行业趋势,无论是云身份认证、云抗D、还是情报分析,都是基于云服务的新兴安全需求。此次云·格的推出,又在云安全队伍中增加了新的成员。此外,这种安全隔离的方式很有可能只是迈出云端虚拟化安全的第一步,在这种架构之后应该还会有很大的想象空间。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!