作为一种新兴的计算模式,云计算能够将各种各样的资源以服务的方式通过网络交付给用户。这些服务包括种类繁多的互联网应用、运行这些应用的平台,以及虚拟化后的计算和存储资源。由于云计算应用的用户信息资源的高度集中,存在的风险以及带来的安全事件后果也较传统应用高出很多。自“棱镜门”事件以来,各国政府对云安全的重视也已上升为国家基础设施安全的高度。对政府而言,提高云服务的安全防护能力,提高事中检测能力和事后追责处置能力,是政府推动云计算落地发展的所要面对的首要问题之一;对企业用户而言,其对云平台的安全性的顾虑也是当前制约云计算发展的主要因素之一,能否确保云计算平台中用户系统的安全性、可靠性,用户数据的机密性、完整性,将很大程度影响用户是否愿意将其数据和应用向云计算平台进行迁移。
从技术的角度来看,云计算不仅仅是一种新的概念,并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展,使得一台普通的物理服务器所具有的性能远远超过普通的单一用户对硬件性能的需求。因此,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机,提供虚拟化服务成为了构建公有云和企业私有云的技术基础。
与传统信息系统和网络环境相比,在以虚拟化技术为基础构建的公有云、私有云或混合云的信息系统中,增加了虚拟化平台、虚拟化管理平台、虚拟网络、虚拟机等系统和设备,这意味着更多的攻击面和被攻击目标,复杂的云环境管理也将更多几率造成由于管理配置不当而产生的安全问题。
传统网络安全的解决方案在云环境中的部署和实施受到了很大的限制,以物理硬件为主的安全防护产品不能够提供可随被保护计算资源同步弹性扩展的按需安全服务能力。多租户问题也使得在物理边界消失的虚拟网络中,传统安全解决方案很难为不同安全要求的用户提供不同级别的安全服务。资产的物理拓扑和业务的逻辑结构不重合以及虚拟机漂移产生的物理拓扑的实时变化也使得传统安全设备在云环境中失去了对被防护目标的安全监控能力。
面对云计算环境中众多颠覆传统安全思维的问题和挑战,安全厂商也纷纷给出了应对方案和相关产品,然而大多数云计算安全解决方案仍然停留在实验室阶段,缺乏足够的可落地性,或者仅仅是把传统安全解决方案简单的搬到了云环境中,难以真正在云环境中起到完整的安全防护能力。目前现有的云安全解决方案和存在的主要问题如下:
仅在云环境出口处部署物理安全设备:缺乏对云环境内部不同安全域边界的监控和防护
与商业虚拟化平台紧耦合:不具有跨平台能力,缺乏自主可控性
采用修改开源虚拟化平台的方式实现:难以保证虚拟化平台的健壮性,缺乏可落地性
利用虚拟机实现所有安全功能:资源使用代价过高,且管理复杂
完全改造网络层,使用全SDN网络:网络层改造代价过高,且技术成熟度有待验证
物理隔离云环境内的不同安全域:失去了使用云计算的意义
为了应对云安全领域的种种技术挑战,帮助客户构建真正可落地的云安全解决方案,作为国内信息安全领导厂商的启明星辰依托十几年在信息安全管理领域积累的先进经验并结合在云安全方面多年的深入研究,在国内率先推出了具有云安全解决方案整合能力的,面向智能与敏捷的启明星辰泰合云计算安全管理平台(TSOC Cloud Security Management Platform,简称TSOC-CSM)。该平台在结合SOC智能安全管理、软件定义安全、虚拟化安全、安全服务化、大数据安全等先进的安全技术的基础上,整合各类成熟的传统软硬件安全产品,构建了一个面向市场和客户需求的,为客户解决安全管理、安全防护、安全运维、安全合规等问题的全新一代云计算和虚拟化环境的安全解决方案。
为了应对云环境中资源伸缩性带来的被保护对象在位置和范围上的实时变化对安全监控和防护的影响,泰合云安全管理平台利用先进的物理环境和虚拟化环境的信息采集技术获取云环境中包括资产、业务和云环境在内的各种基础知识信息,依托大数据安全分析平台提供的安全分析和决策的技术支撑,构建了具有多维度、多粒度安全管理全景知识的智能化安全体系,从而全方位的掌控被保护对象的信息和状态,并通过结合传统物理安全设备和虚拟化安全设备实现了包括资产监控、业务保障、网络行为分析、安全审计、安全态势监测、大数据深度分析、边界安全防护等全面覆盖云计算环境安全问题的集可见、可控、可靠和可信为一体的云安全解决方案。
在云环境特有的边界安全问题上,泰合云安全管理平台将传统物理安全产品的安全功能拆解为松耦合的安全管理、数据采集和安全防控三个部分,利用物理和虚拟化结合的数据采集方式提高数据采集效率、降低对用户云环境的资源消耗,同时扫清安全边界数据采集的盲区。大数据技术的引入有效的提高了对云环境中资产、业务和网络等被防护对象在监控、审计和保障方面的准确性和有效性。泰合云安全管理平台通过软件定义安全的安全管理模式让安全资源拥有了与云环境中被保护计算资源相同的伸缩性和可扩展性,并通过结合带外和带内两种安全检测和防护技术,提供不同等级、不同粒度的差异化安全防护方案,以适应用户在云建设各个阶段的需求,增强整个云安全解决方案的可落地性。
泰合云安全管理平台通过透明串接在网络中的安全资源池解决了物理安全产品的接入、部署问题和安全域边界流量阻断问题,并利用安全资源池将所接入的物理安全设备资源池化,通过软件定义的方式管理和配置接入到安全资源池中的物理安全产品的使用。为了使得云环境中的被保护资源在动态伸缩和漂移的过程中,能够始终得到有效的实时防护,泰合云安全管理平台赋予了被其管理的安全监控和安全防护产品以敏捷安全调度和部署的特性。泰合云安全管理平台基于大数据技术提供的智能分析能力,掌控整个云环境的安全情报(从宏观安全态势到具体安全事件),并可根据策略按时间、空间以及资源使用的需求,动态的对被安全管理平台所管理的软件安全产品、虚拟化安全产品和硬件安全产品进行按需的调度和部署配置。安全管理平台通过智能的安全管理和敏捷的安全调度既有效的解决了云环境中由于边界变化造成的安全防护缺失问题,又极大的降低了由于云安全产品常驻云环境中造成的对生产环境计算资源的抢占。
启明星辰泰合云安全管理平台具有以下的优势和特性:
直观的可视化云环境安全情报全景展现
通过对资产、业务、云环境三个层面的划分帮助用户更容易理解和使用安全管理
可构建完整的包括旁路检测、审计、分析和串行隔离防护在内的安全防护体系,覆盖等级保护网络安全方面的标准要求
对虚拟化环境资源占用低,与虚拟化平台耦合度低,可适应不同虚拟化环境的移植需求
能够通过安全资源的自运维系统提供高可靠性
可充分利用现有物理安全产品,物理安全产品的接入方式具有广泛的兼容性,能够兼容其他厂家的各类传统物理安全产品,让用户在对具体安全设备选择上具有更高的灵活性
安全资源池化,提供多粒度按需防护
软件定义安全,安全服务化,可以以服务的方式交付安全,实现安全即服务
启明星辰很早就专门成立了泰合产品本部负责SOC安全管理产品及泰合系列管控类和审计类系统的研发、咨询、项目实施与运维,并致力于将安管平台与云计算安全相结合。泰合产品本部分别在北京、上海、广州设有研发中心。
作为中国最早研发和最领先的安全管理平台之一,启明星辰泰合(TSOC)系列安管平台经过10多年的持续积累,获得了十多项发明专利,得到了国家多项专项基金的支持,并拥有目前国内最多的客户群,从2008年到2013年连续六年位居中国安全管理平台市场占有率第一,已经成为了安全管理平台领域的绝对领导者,并站在云安全管理平台技术领域的最前沿。