8.1 云資料中心面臨的安全挑戰
因為云化和SDN化的網路特點(網元出現的位置隨意性更大,出現和消失的時間不定):
首先會導致安全業務開通周期長;
其次SDN的自動化能力是現在安全業務所不能達到的,很多安全業務需要手動配置;
最后,為了應對突發流量,資料中心部署了大量冗余的安全設備,造成資源浪費,
安全邊界變得模糊:
基于邊界的安全防護無法有效作業
可能會出現資料中心內部虛擬機被劫持后發動的攻擊
無法防范APT(高級持續性威脅)
安全管理和安全運維復雜化
無法感知應用
安全策略數量龐大,且執行磁區域,無法宏觀防護
日志格式不統一,安全威脅調查回應速度慢
8.2 云資料中心的安全架構
8.2.1 安全架構全景
云資料中心對安全的新要求:
- 對安全隔離提出了更高的要求
- 云內外訪問資源需要更嚴格的控制訪問
- 更加宏觀的安全防護體系
- 以服務形式交付,滿足按需部署和彈性擴縮
在架構中我們著重講解一下紅框中的內容,包括:
虛擬化安全中的安全組( Security Group)
網路安全
高級威脅檢測防御
安全管理
8.2.2 安全組件架構
應用層
安全應用統一編排,按需動態發放安全服務,安全應用再將該服務發送給控制器,最終由控制器下發給網路設備,
安全應用可以利用遙測資料,結合大資料和人工智能進行高級威脅檢測,達到了全網防御和主動防御
控制層
即SDN控制器,可能采用網路控制器和安全控制器分開部署的方式,
網路控制器:除了提供網路業務編排和發放之外,還可以提供微分段和業務鏈的編排和發放,用戶可以利用業務鏈將流量引導到安全設備,協同安全業務發放
安全控制器:提供IPSec,安全策略,Anti-DDoS,安全內容檢測,地址轉換等安全業務的編排,同時還可以和網路控制器協同全面感知威脅
轉發層
網路設備提供諸如ACL,安全組,微分段等網路安全功能,結合安全設備,兩者可以實作資料中心邊界安全防護,租戶邊界和租戶內的安全防護
8.3 云資料中心的安全方案價值
1.安全資源池化,配置全面自動化
創建東西向業務的防火墻資源池
創建南北向業務的防火墻資源池
防火墻資源池可以彈性伸縮,高效可靠部署
租戶間的安全業務可以相互隔離,并實作自動化配置
2.豐富安全能力,按層次聯防
**各類防火墻安全能力:**安全策略,IPSec VPN加密,NAT策略,IPS,AV,URL過濾,DDoS攻防,ASPF(Application Specific Packet Filter,針對應用層的包過濾)
微分段:東西向流量安全管控
業務鏈:引流到多個安全業務功能節點,并安排引流的先后順序
虛擬化層面的虛擬機隔離(利用安全組)
網路層面:
- 邊界部署專業Anti-DDos,針對應用層
- 邊界部署IPS/IDS,APT攻擊檢測
- 多引擎虛擬檢測技術,Hypervisor行為捕獲,檢測位置威脅
- 利用大資料和AI實作安全威脅的自學習檢測
安全檢測倍訓:網路是安全分析的資料采集器,也是安全策略的執行器,
該倍訓實作了全網協防,回應并隔離內部威脅,防止威脅擴散
3.防御智能化,安全可視化,安全運維精簡化
智能化
利用人工智能檢測威脅,主動防御
可視化
全網安全態勢感知:對各種安全資訊進行匯總,然后分析決策
攻擊路徑可視:大資料分析關聯威脅資訊,便于攻擊回溯和調查
統一化,簡單化
多廠商統一,多類安全設備統一
傳統精細化管理和基于業務場景的安全策略分層管理,擁有統一的入口
安全控制器可進行安全策略調優,簡化安全策略運維
8.4 云資料中心的安全方案
8.4.1 虛擬化安全
8.4.2 網路安全
8.4.3 高級威脅檢測防御
8.4.4 邊界安全
8.4.5 安全管理
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/271525.html
標籤:其他