7月28日,由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟主辦,深信服科技、數(shù)字認(rèn)證等IT領(lǐng)域知名廠商協(xié)辦的“新基建浪潮下的云上安全”專題研討會成功舉辦。本次會議邀請了眾多安全領(lǐng)域?qū)<摇W(xué)者共同探討在新基建背景下的云安全運營之道。會上,深信服云安全CTO陳立峰發(fā)表《打造易管理、可運營的云上安全架構(gòu)》主題演講,為觀眾分享云數(shù)據(jù)中心安全建設(shè)實踐經(jīng)驗。
▲圖片來源:中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟
云數(shù)據(jù)中心安全建設(shè)面臨的三大新挑戰(zhàn)
業(yè)務(wù)上云大勢所趨,越來越多的企事業(yè)單位將自己的業(yè)務(wù)遷移到云上,在業(yè)務(wù)上云過程中的安全問題至關(guān)重要。用戶云安全建設(shè)普遍存在云用戶個性化安全需求難滿足、云內(nèi)安全不可視不可控、IT架構(gòu)不斷變化難以持續(xù)提供有效保護(hù)等諸多挑戰(zhàn)。
1. 云服務(wù)用戶的個性安全需求難滿足
不同的云服務(wù)用戶存在差異化的安全防護(hù)需求,且組織的多個數(shù)據(jù)中心或多套云平臺同樣存在不同的安全防護(hù)需求,多種不同的安全需求很難同時滿足;兼容開放問題也在影響安全資源的敏捷交付。
2. 云內(nèi)安全不可視不可控、缺乏適宜的技術(shù)手段
傳統(tǒng)云安全建設(shè)多為病毒檢測和補丁修復(fù)類,很少關(guān)注行為檢測和可視化;傳統(tǒng)云主機安全類Agent占用資源多,易引發(fā)藍(lán)屏、死機、重啟等問題;傳統(tǒng)云安全建設(shè)抱著一切從簡思維,僅劃分有限區(qū)域,域內(nèi)主機數(shù)量多風(fēng)險大,且業(yè)務(wù)復(fù)雜、管理復(fù)雜、云內(nèi)網(wǎng)絡(luò)改造難度大。
3. IT架構(gòu)不斷變化,難以持續(xù)提供業(yè)務(wù)保護(hù)
越來越多的企事業(yè)單位計劃進(jìn)行云原生改造或遷移到混合多云環(huán)境,但無法構(gòu)建面向未來的安全防護(hù)體系,難以適應(yīng)業(yè)務(wù)形態(tài)的變化和云計算技術(shù)的演進(jìn)。
如何持續(xù)開展有效的云數(shù)據(jù)中心安全建設(shè)?
在上述背景下,用戶如何開展有效的云數(shù)據(jù)中心安全建設(shè)?陳立峰在會上表示,“越來越多的數(shù)據(jù)和業(yè)務(wù)應(yīng)用集中在云平臺上,建設(shè)一套‘以保護(hù)業(yè)務(wù)為中心’的安全體系至關(guān)重要。現(xiàn)代化的云數(shù)據(jù)中心安全建設(shè)應(yīng)‘面向業(yè)務(wù),向上提供服務(wù),向下集中管理’,達(dá)成‘能力易集成、自適應(yīng)閉環(huán)、自動化運營’三大能力目標(biāo)。”
1、能力易集成
深信服通過打造開放兼容的云安全平臺,按需集成安全組件,為云上業(yè)務(wù)或租戶敏捷交付安全能力,滿足合規(guī)及業(yè)務(wù)的個性化需求。
2、自適應(yīng)閉環(huán)
降低對業(yè)務(wù)的影響,建設(shè)云內(nèi)自適應(yīng)防護(hù)體系,解決云內(nèi)風(fēng)險不可視不可控的問題;適應(yīng)未來IT架構(gòu)變化,為業(yè)務(wù)提供持續(xù)的保護(hù)。
3、自動化運營
深信服將通過建立面向云數(shù)據(jù)的中心的安全運營平臺,以SOAR提升運營效率,人機共智保障運營效果,降低安全運維壓力。
易管理可運營的云數(shù)據(jù)中心安全解決方案
陳立峰在會上說到,“深信服基于軟件定義安全技術(shù),幫助用戶構(gòu)建‘能力易集成、自動化運營的云上自適應(yīng)安全架構(gòu)’,保護(hù)云數(shù)據(jù)中心平臺、租戶及業(yè)務(wù)的安全,深化云內(nèi)安全建設(shè),并不斷提升整體安全運營的效率和效果。”
此前,深信服云數(shù)據(jù)中心安全解決方案已進(jìn)行全新升級,可以根據(jù)用戶的上云階段,分三個步驟逐步滿足云數(shù)據(jù)中心安全建設(shè)要求:
第一步:滿足云基礎(chǔ)設(shè)施安全保護(hù)
在業(yè)務(wù)上云初期,同步做好網(wǎng)絡(luò)安全建設(shè),從云平臺自身安全合規(guī)和業(yè)務(wù)、租戶安全合規(guī)兩個維度來加強基礎(chǔ)設(shè)施安全保護(hù):
o 云平臺自身安全合規(guī):在安全的底層環(huán)境基礎(chǔ)上,將云平臺劃分為不同的安全區(qū)域,通過不同的云租戶VPC進(jìn)行各單位業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)隔離等措施,同時建設(shè)安全管理中心,滿足云平臺自身安全合規(guī)的要求。
o 業(yè)務(wù)/租戶安全合規(guī):基于軟件定義安全技術(shù)構(gòu)建安全資源池,為云租戶提供按需交付的安全資源,安全資源覆蓋訪問控制、入侵防御、數(shù)據(jù)加密等各個方面,滿足云租戶個性化的安全需求,所有安全資源自動完成資源創(chuàng)建和網(wǎng)絡(luò)部署,簡化交付流程,提高生產(chǎn)效率。
第二步:云工作負(fù)載閉環(huán)保護(hù)
在云上業(yè)務(wù)進(jìn)入規(guī)模運行后,針對云內(nèi)資產(chǎn)梳理難、風(fēng)險不可視、Agent占用資源多,影響業(yè)務(wù)、難以適應(yīng)IT架構(gòu)變化等問題,深信服推出了對業(yè)務(wù)無侵害的“CWPP云工作負(fù)載保護(hù)平臺”解決方案,方案由平臺+軟探針(Agent)兩部分構(gòu)成,從云上高危資產(chǎn)全面清點和云內(nèi)風(fēng)險可視可控入手,全面適配云原生環(huán)境,實現(xiàn)云內(nèi)自適應(yīng)防護(hù)。
第三步:云安全持續(xù)運營
隨著云上業(yè)務(wù)規(guī)模的逐漸擴大,依托單點的安全設(shè)備進(jìn)行安全管理將顯得十分低效。云數(shù)據(jù)中心安全運營中心,通過網(wǎng)絡(luò)探針和主機探針采集云外與云內(nèi)的流量和日志,全面分析和識別云平臺漏洞情況和安全風(fēng)險,并借助SOAR實現(xiàn)運營自動化。此外,可引入專業(yè)安全服務(wù)團(tuán)隊,實現(xiàn)人機共智,持續(xù)保護(hù)云上應(yīng)用和數(shù)據(jù)安全。
深信服云數(shù)據(jù)中心安全解決方案在滿足前面三大能力目標(biāo)的同時,基于軟件定義安全技術(shù),連接云安全資源平臺、云安全管理中心、云安全運營中心三部分,可持續(xù)為云數(shù)據(jù)中心的IT基礎(chǔ)架構(gòu)或業(yè)務(wù)應(yīng)用輸送安全能力。
政企事業(yè)單位進(jìn)行數(shù)字化轉(zhuǎn)型,向軟件定義的基礎(chǔ)架構(gòu)轉(zhuǎn)變過程中,深信服云數(shù)據(jù)中心安全解決方案能夠幫助用戶在快速迭代、規(guī)模龐大的云計算環(huán)境中,更好地應(yīng)對安全風(fēng)險,擁抱變化,并能夠讓云上安全管理更簡單、更高效。
目前,深信服已為國家信息中心、廣電總局、北京電信、葛洲壩集團(tuán)等超500家知名用戶進(jìn)行云數(shù)據(jù)中心安全建設(shè)。未來,深信服將持續(xù)以“能力易集成、自適應(yīng)閉環(huán)、自動化運營”為目標(biāo),保護(hù)云數(shù)據(jù)中心平臺、租戶及業(yè)務(wù)的安全,深化云內(nèi)安全建設(shè),并不斷為用戶提升整體安全運營的效率和效果
