1.1 云安全技术路线分析
云安全需求层次可以归并为4个层面,即云外部安全、云平台安全、云租户边界安全、云主机安全。
针对上述4个层面的云安全需求,业界有相应的技术路线和解决方案,可以大致分为8个方面:
云安全需求 | 1 | 安全云(SecaaS) |
云平台安全传统安全产品(软件或硬件)3 | 安全一体机4 |
|
安全资源池6 | 无代理 | |
有代理 | ||
轻代理 |
1.1.1 云外部检测防护
1.1.1.1 安全云(SecaaS)
适用场景:从外部对云平台或云租户进行安全防护检测,主要是针对互联网资产暴露面,包括开放的IP地址、端口、URL等,进行检测防护,例如云抗DDOS,云WAF、云网站监测等。主要适用于互联网侧,对内网安全不适用。
1.1.2 云平台安全
1.1.2.1 传统安全产品(软件或硬件)
适用场景:适用于云平台安全。
具体描述:实现云服务商环境的通信网络安全、区域边界安全、计算环境安全、安全管理中心
1.1.3 云租户边界安全
主要解决云租户外部边界,以及云租户内部不同安全域或子网之间的边界安全。
1.1.3.1 安全一体机
适用场景:产品定位于云基础设施,安全只作为增值能力使用,适用于在建设云数据中心时将云和安全一体化部署场景。
具体描述:用户将云与安全同步建设,在建设初期需要购买安全一体机硬件和虚拟化软件,在一体机硬件上通过虚拟化技术划分出虚拟服务器、虚拟网络、虚拟存储,一体机主要用来承载租户的业务系统(例如OA、ERP等),将安全作为增值能力提供给租户(虚拟化安全能力可以预装部署,如需安全能力,需激活授权)
1.1.3.2 VNF
适用场景:适用于安全需求较为稀少的场景(例如只需要vFW或者vWAF),且对运维职责界面划分、安全监管要求不高的场合。
具体描述:以镜像软件方式部署安全虚机,将安全虚机直接部署到云资源池内,安全能力与云计算深度耦合,存在云服务商与安全服务商之间运维界面不清、安全服务商不便独立履行监管职责的问题;通过虚拟网络配置,将流量集中引向VNF安全网关处理,在后建安全能力的情况下,需要改变云内原有网络拓扑和流量走向,配置和维护工作量较大。
1.1.3.3 安全资源池
适用场景:云租户边界防护,包括云租户外部边界防护,以及云租户内部不同安全域或子网之间的边界防护
具体描述:与云平台解耦、独立运行、可对云平台进行监管、安全资源可共享、弹性扩容、安全能力齐全等是区别于其他云租户边界防护方案的主要优势。
1.1.4 云主机安全
适用场景:云主机防护,分为无代理、有代理、轻代理几种模式
1.1.4.1 无代理
安全虚机与虚拟化层即hypervisor层深度耦合,例如在每个虚拟机VM与运行在hypervisor层的vSwitch之间安装插件或者代理,并由安全虚机统一管理,也就是说代理没有安装在VM上,而是安装在hypervisor层。
由于与hypervisor层深度耦合,存在虚拟化厂商和版本绑定问题;由于工作在OS之下的hypervisor层,因此无法实现操作系统和进程级的安全防护。
1.1.4.2 有代理
在每台虚拟机安装代理,实现流量检测及安全防御,占用虚拟机空间,代理需要尽量轻便,所以安全能力不足。
1.1.4.3 轻代理
在每台虚机安装轻代理用于信息采集,采集的信息交由控制中心进行处理,根据控制中心反馈的处理结果,由轻代理执行阻断等防护操作。存在多厂商代理之间以及代理与操作系统之间兼容性问题。
其中轻代理模式是较为先进的架构模式,部署时尽量采用单个轻代理实现多重安全检测防护的产品方案。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
