【赛迪网讯】随着我国提出《云计算发展三年行动计划》,云计算逐渐成为积极推进各行业创新发展的源动力。云计算作为承载各类应用的关键基础设施,为大数据、物联网、人工智能等新兴产业的发展提供基础支撑。
东软集团网络安全事业部云安全产品经理崔进
同时,为进一步带动新一代信息产业发展,云计算的发展与应用服务逐渐从“自己”掌握数据中心转变成为公有云、私有云等多种模式。随着云技术新到旧的转变与迁移,繁杂的云安全成为制约云计算技术发展的瓶颈。好在我们正处于一个快速发展、加速创新的时代,云技术为用户带来了高效、灵活和低成本等优势,而云安全技术也在不断完善。
作为行业解决方案的领导企业,东软在IT信息安全领域有将近二十年的技术积累。近日,东软举行了云安全系统新品发布会,适时东软安全推出了东软NetEye面向云平台的安全防护产品——东软NCSS(NetEye Cloud Security System),为用户解决面临的云安全问题。
网络虚拟化加速 微分段技术应运而生
如今,“古老”的单一服务器加物理网络已经被逐渐淘汰,网络虚拟化与云平台的组合逐渐成为标配。从安全的监督来说,网络虚拟化的应用大量减少了物理网线的使用率,安全设备直接连接服务器或是交换机,从而可以较为轻松的掌握设备间的流量分布,并依然保持云平台特有的资源汇集与共享性。相比之下,传统的数据中心流量控制难以把握,部署防火墙还会存在网络冗余和性能等问题,安全性更是显得捉襟见肘。
虚拟化技术在软件与硬件之间引入虚拟层,为租户提供相互独立、隔离的网络环境,实现整个系统的高效管理与维护。传统的防火墙等安全设备在虚拟化平台中依然适用,部署方式不变,可以做到解决跨部门、跨租户的外部安全防护,但传统安全防护手段在虚拟化环境中防护能力依然受限,虚拟机互相之间安全防护需要依靠Garnter微分段等技术来保障。
据Cisco的最新全球云指数报告显示,数据中心的东西流量(内部流量)比重持续增加,到2020年占比将超过85%,在云计算环境中,DDos、漏洞攻击与访问控制等传统的恶意攻击频繁发生。此外,网络虚拟化的应用弹性伸缩、虚拟机动态迁移与东西流量控制的问题,又给云安全防护带来了新挑战。
虚拟安全管理 实现云的安全防护
本次东软发布基于微分段技术的东软NetEye 云安全系统(NCSS),相对于传统的安全域的隔离,微分段采用了更细粒度的隔离技术,部署访问控制策略,相当于以虚拟机或应用为隔离单位,构建云数据中心东西向数据流的安全边界,并提供东西数据流向可视化及监控分析服务,进而实施安全防护。
东软NCSS为纯软件产品,采用管理平面与业务平面相分离的模式,主要由vSMC和vSPM两部分组成。虚拟安全控制管理模块vSMC负责内部可视化、安全配置管理等,推荐部署在一台独立的虚拟机上。虚拟安全防护模块vSPM由vSMC自动部署在各个物理主机上,并由vSMC统一管理配置执行安全功能,实现安全防护。集中的管理方式,使得用户通过单一的管理界面即可实现云平台的安全管理,同时系统支持透明模式部署,无需改变现有虚拟机配置和网络结构,用户还可随时加入或移出虚拟机的安全服务。
总体来看,东软NCSS 与VMware等主流云计算平台无缝连接,通过引入分布式系统,为每个物理主机部署安全过滤模块,安全策略跟随虚拟机迁移,消除了“安全逃逸”的隐患。
为更好地解决云内部东西流量威胁检测和隔离机制,东软NCSS可将每个虚拟机的流量牵引至vSPM进行威胁检测,发现并阻断平台内部安全威胁的横向蔓延。领先的东软事件描述语言(NEL)引擎以及数千余种防御签名,还可为用户带来对更精准更智能的攻击检测及防御。
借助深度可视化技术,东软NCSS可识别出虚拟机流量中的具体应用类型,并提供流量与应用控制功能,结合vSMC模块收集并分析虚拟机间的数据通信,为虚拟机提供细粒度的权限控制,监控进出虚拟机的流量状况,从根本上解决虚拟化环境的流量盲区,保护租户的应用安全。
未来两年,随着新型商业模式与政策的驱动,将会有越来越多的企业插上云的翅膀,实现业务转型,云安全问题的解决迫在眉睫。东软NCSS系统将虚拟化环境与云安全技术相结合,实现了“内外兼修”的整体云安全防护体系。据悉,今后东软安全将与VMware进行更深度的合作,为用户提供更全面、更高效的云安全系统。