电信运营商实现虚拟化安全案例解析
发布时间:2017-07-12   作者:启明星辰

近年来,伴随云计算、大数据等新技术的推广应用,资源集中化、网络弹性化、边界模糊化问题凸显,对运营商业务支撑等网络的整体结构完整性、边界一致性产生了基础性影响。相比传统网络环境,虚拟化环境面临新型的安全风险。某运营商省公司采用启明星辰Vetrix方案进开展实践,在虚拟化环境下实现安全防护进行了深度探索。


★ 新形式下虚拟化环境存在风险

 

工信部下发的《关于加强电信和互联网行业网络安全工作的指导意见》(工信部保【2014】 368号文)中,提出“加强对云计算等新技术新业务网络安全问题的研究。” 运营商在对虚拟化环境的安全分析中发现:对虚拟化环境的流量监控缺乏有效手段。特别是东西向流量难以被传统安全设备检测分析,对于敏感数据的违规操作也无法审计。用户亟需一套实现对东西向流量监控的方案。


★ 基于业务的解决方案

 

针对东西向流量难以监控的难题,运营商用户采用基于Vetrix的安全解决方案。Vetrix具有三大部件:

 

1.集成多种安全能力的虚拟化安全资源池;

 

2.基于软件定义网络架构的智慧流平台(SDS);

 

3.在云或虚拟化平台上进行导流的虚拟导流管理系统(VTAP)

 

虚拟化资源池采用VMware的vSphere6.0实现。在基于VMware的VDS上,通过端口镜像功能将进处虚拟机的报文镜像一份,镜像出的流量被安全导流虚机(VTAP)接收,在经过VTAP过滤并导出后,将流量交付至SDS智慧流平台,经过SDS智慧流平台的安全业务编排后,流量被交付至虚拟化安全资源池。安全资源池可提供各类型安全能力,例如:敏感信息识别能力;安全审计能力;检测分析能力等。导出的流量最终依据敏感信息审计策略,发现并标识出相关异常流量信息,并将审计结果反馈管理中心后进行关联分析,并最终呈现敏感信息审计事件或告警信息。如下图所示:

 

 

★ 实际应用效果

 

通过部署Vetrix安全解决方案及跨域虚拟机迁移过程中各类敏感数据的创建生产、使用等各环节的全生命周期的安全管控。而实现了如下目标:

 

1)建立了虚拟化环境下主机、数据库的敏感数据识别手段;

 

2)实现了对敏感数据分级、分类管理,呈现敏感数据各生命周期的状态和分布;

 

3)通过虚拟引流设备监控云资源环境下的敏感数据流量,追溯其数据资产信息,参考生命周期管理模型进行对比分析,发现异常和违规行为实时告警。


★ 方案特色

 

1) 业务影响最小化:虚拟环境引流,通过端口镜像和旁路审计的方式,最大程度减小对主机和业务的影响;

 

2) 安全性:根据不同敏感数据类型和等级,分别定制策略和任务周期,减小网络风险;

 

3)系统扩展性:设计安全功能均以虚拟机形式存在,可线性扩展。对系统的监控支持热部署,不重启服务即可生效;


★ Vetrix方案受到国际用户关注

 

 

在2017年初举办的巴塞罗那通信展上,启明星辰携手华为亮相展会,会上就曾展示启明星辰Vetrix云安全解决方案,方案受到国际运营商用户青睐。

 


会上展示的Vetrix解决方案,通过部署安全资源池,将安全功能独立于云平台实现。并且,Vetrix方案中的智慧流平台SDS与华为SDN方案结合,共同为用户提供了可信赖的云+安全解决方案。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号