1.1 安全架构的组成
1.1.1 云安全服务平台
云安全服务平台借助云安全资源池的基础安全能力,以及云安全管理平台的管理控制能力,向最终用户提供自适应安全服务。
在自适应安全服务能力方面,威胁预测(Predict)能力成为核心安全组件,根据威胁情报等预测结果做出相应安全防护(Prevent)动作,同时对潜在威胁风险进行持续检测(Detect),并动态调整安全防护策略,对检测结果快速响应(Respond),并进一步反馈和加强预测能力,形成安全问题闭环处理,平台具体构成如下:
1.1.1.1 威胁预测服务
通过调用底层安全资源池的预测组件能力,为用户提供基于威胁情报和态势感知的安全威胁预测预警服务。
预测服务主要依赖于威胁情报和系统自身资产暴露面、脆弱性分析等,通过情报主动发现各系统面临的各种攻击,并将情报反馈到防护阶段和检测功能,从而构成整个威胁处理流程的闭环。通过动态威胁感知系统,实现对恶意威胁的可见、可感知,帮助用户构建更具针对性、更为有效的安全防线。
1.1.1.2 安全防护服务
通过调用底层安全资源池的防护组件能力,为用户提供安全防护服务。
防护服务主要是通过部署安全防护产品减少被攻击面来提升攻击门槛,提升安全防护能力,并在受影响前拦截攻击动作,具体包括在安全资源池中部署开通防火墙(vFW)、入侵防御(vIPS)、Web应用防护系统(vWAF)等安全防护能力,形成纵深防御体系等安全防护能力,并可以基于威胁情报内容进行主动安全防护。
1.1.1.3 安全检测服务
通过调用底层安全资源池的检测组件能力,为用户提供安全检测服务。
检测服务主要是通过部署安全检测产品,及时发现各类外部直接或潜伏的攻击,可以对病毒、木马、恶意代码等安全特征进行检测,以及对自身风险、漏洞进行定制化检测,具体包括在安全资源池中部署入侵检测系统(vIDS)、流量检测(vFloweye)、数据库审计(vDBA)、日志审计等安全检测能力。
1.1.1.4 安全响应服务
通过调用底层安全资源池的响应组件能力,为用户提供安全响应服务。
安全响应服务是指设备侧根据安全策略和规则,采取的告警、阻断、丢弃、通知、记录等一些列响应措施,以及平台侧对告警的集中展现、告警过滤、统计分析、通知等一系列功能。重点是形成融合联动的安全响应体系,实现各种安全能力之间的融合联动,以及形成预测、防护、检测、响应的闭环处理体系。
最重要的目标是能够跟基于大数据的威胁情报系统、安全检测系统进行有效对接,自动根据检测结果进行触发或者提示人工判断后自动触发。因此,在建立ASA安全防护体系过程中,必须把响应阶段与安全检测阶段一体化考虑。同时,在做好自身响应准备时还要充分考虑外部服务商、合作方的共同应急响应或风险传导控制。为了真正实现快速响应,需形成安全命运共同体,建立安全信息共享、先进经验共享、安全技术培训等长效机制。
1.1.2 云安全管理平台
1.1.2.1 网络控制
网络控制部分包括业务资源池内业务流量的牵引和镜像流量的导出,以及安全资源池内对各种安全能力进行网络编排形成最终的安全服务链。
1.1.2.1.1 引流
引流包括策略路由引流和SDN网络流表引流两种方式,前者主要用于传统网络环境,可以适配目前大多数用户场景,后者用于SDN网络环境。当使用策略路由方案时,需要在安全资源池一侧创建虚拟路由器,并在上面配置引流IP和回注IP地址信息。当使用流表方式进行引流时,需要在两个资源池之间建立SDN网络控制器的接口,用于流表的跨网下发。
1.1.2.1.2 导流
导流管理包括导流虚机管理以及导流策略管理,前者包括导流虚机的创建、导流虚机的网络配置(管理口、抓包口、发包口的配置)等、导流虚机状态监控、导流流量监控,后者包括由导流中心向各个导流虚机下发黑白名单以及基于五元组的流量过滤规则,用于抓取特定的网络流量。
1.1.2.1.3 服务链编排
主要用于控制流量的分发复制以及流转路径,将引流流量串行交付各个防护类安全虚机,实现串行防护和必要的阻断处理,或者将镜像流量复制多份并行交付各个检测类安全虚机,实现旁路检测。
1.1.2.2 安全控制
安全控制依赖于安全策略的制定、下发、执行、闭环反馈调整等,并通过安全策略驱动预防、检测、防护、响应等安全防御体系的各个环节之间形成协同联动机制,最终构造自适应安全架构。
1.1.2.2.1 安全策略
实现安全策略的统一制定与下发,并根据策略执行效果,以及安全事件分析结果,对安全策略进行调整更新,保证安全策略能够实时动态的适应新的安全环境,应对不断变化的安全风险和层出不穷的新型攻击手段。
1.1.2.2.2 协同联动
自适应安全架构的特点包括可以实现纵深防御各个环节(预防、检测、防护、响应)之间的协同联动,例如根据超融合探针的检测结果判断出攻击的类型和路径,进而联动相应类型的防护设备在其攻击路径上执行阻断操作。启明星辰作为国内实力最强、安全产品门类最为齐全、并在12大类安全产品市场中处于份额第一的领先企业,将充分发挥自有安全产品齐全、兼容性强、可最大程度的实现各类安全产品之间协同联动的优势,为用户打造先进的自适应安全防御体系。
1.1.2.3 资源管理
实现对安全资源池中各类虚拟化资源的管理,包括安全虚机、虚拟化网络的管理和资源监控。
1.1.2.3.1 安全虚机管理
对安全虚机进行创建、删除、迁移、扩容等管理
1.1.2.3.2 虚拟化网络管理
对虚拟化网络环境进行创建和配置管理
1.1.2.3.3 资源监控
对虚拟化资源的运行状态进行管理,包括物理机、虚拟机、CPU、内存、硬盘、网络流量等总量信息、分配信息、负荷信息等的监控和预警。
1.1.2.4 租户管理
租户管理实现面向租户的自助管理和自助服务功能,具体包括安全服务产品的上架管理、服务订购、服务开通、授权计费等功能。
1.1.2.4.1 服务上架
实现安全镜像软件的上传解压、基础服务、安全服务包、等保套餐等的创建和市场发布。
1.1.2.4.2 服务订购
实现在市场中自由选择并组合安全产品,并提交后台进行开通部署。
1.1.2.4.3 服务开通
包括安全域的定义、引流/导流配置、安全服务链的编排、安全策略的部署等一系列开通部署操作。
1.1.2.4.4 授权计费
根据用户每次实际订购使用的安全服务数量和规格,从租户向安全服务商购买的总授权数量中扣除每次的授权数量,作为租户内部结算与外部结算的依据。
1.1.2.5 平台接口
1.1.2.5.1 南向接口
流量调度:由网络控制器下发网络配置和流表信息,实现安全资源池一侧的网络部署与网络编排。
安全策略管理:将安全策略中心统一制定的安全策略下发至各类安全虚机,部署执行。
安全资源管理:通过配置管理接口,实现虚拟化安全资源池的基础管理,包括安全虚机的创建、删除、迁移,虚拟网络的创建和配置管理等。
数据采集:采集安全资源池中各类安全虚机以及安全管理平台自身的运行日志、SNMP等信息,为事件分析、安全管理、网络管理、资源管理等提供基础数据支撑。
1.1.2.5.2 东西向接口
与各类云管理平台进行对接,包括基于OpenStack、Vmware、XenProject等架构的各类云厂商平台,以及与云管平台侧SDN网络控制器的对接,用于同步以下信息:
租户信息:包括租户基础信息,以及租户对应的安全域信息(例如安全域对应的IP地址段或列表)、虚机基础信息(虚机数量、虚机规格、部署业务、虚机IP等)、虚机状态信息(新建、删除、迁移等)等
流表信息:用于在SDN网络中创建引流和导流路径的流表信息。
1.1.3 云安全资源池
安全资源池内可以集成各类安全能力,包括检测、防护、扫描、安管等能力,在此基础上实现预测、检测、防护、响应等环节的协同联动,安全策略的动态调整,向用户提供自适应安全防护服务。安全资源池最为基础的功能是对业务资源池内租户流量进行检测和防护,解决虚拟化环境中南北向流量和东西流量检测防护问题,同时对云主机进行微隔离防护和流量可视化监控。
1.1.4 硬件资源
硬件资源包括服务器、存储、网络等基础硬件。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
