5年前,云安全是道门,挡在你面前。
5年后,云安全有门道,开放让你进。
我们5年的实践经验浓缩成一句话是:以软件定义安全为指导思想、以安全域为基本单元、以可视化地了解全局态势为目标,来部署企业私有云安全。
接下来,我们就展开来讲,面对复杂的私有云环境,云安全该怎么来规划、部署。
我们知道,企业用户搭建的私有云环境通常都非常复杂。主要表现在以下几个方面:
第一,私有云环境中,网络边界变得复杂。虚拟化技术打破了各种计算资源之间物理界限,使用户可以最大化应用计算资源或者存储能力。同时也使云计算环境中的网络边界,不再像传统网络中的物理边界那样清晰、明确。
第二,相较于公有云环境,企业私有云环境中应用的设备和系统多来自众多不同的品牌,因此,各种对接问题层出不穷。在实践中,用户的需求往往是:不仅要能对接各种云平台,譬如VMware、openstack、基于openstack的华为和华三云平台,也要能对接各种SDN方案,诸如思科、华为、华三、锐捷各类SDN方案,还要能对接各种存储系统,诸如EMC、华为、曙光等等。
第三,企业私有云管理变得复杂。在云计算环境中,基础设施、计算资源、系统架构都可能随着业务需求的变化而不断发生动态的变化和调整,这无疑对管理提出了很高的要求。
以上几个问题,若用网络安全的语言来解读,则变成了——
第一,以往基于物理安全域/安全边界的防护机制,使得安全设备无法在虚拟化环境中找到防护的“边界”。所以,要找回边界。
第二,部署的云安全解决方案,要兼容各种系统、设备,处理好各种对接问题,否则无法满足实践中的真实需求。所以,要跨最多的平台;
第三,若安全管理不能相应地做到可视化管理,就犹如好马没有配上好鞍一样,企业私有云环境无法得到更佳的安全防护。所以,要让安全可见。
第四,安全无小事。云安全管理要实现从安全可配、到安全可见、到安全可管、再到安全可控的闭环管理。
因此,针对企业私有云安全的部署,从实践中,我们总结出了可行的思路和方法。
从部署思路的角度来说,要用统一管理的思想、全局的视角,做从上至下的整体布局和规划;从部署方法的角度来说,应同等地注重软件定义安全的技术实力以及最佳实践能力这两方面。没有真正落地的实践能力,技术再好,也是空谈;没有很强的技术能力,实践上也无法达到为用户带来“最佳“的体验。
瑞和云图作为国内技术领先的云安全产品研究和研发的公司之一,一直以云安全解决方案的最佳实践能力为公司产品研发的指导思想,现已具有多例云安全产品落地实施经验。以云翼云安全管理平台为核心建立起的安全产品体系能够为用户提供闭环的安全管理流程。
针对当前云安全领域尤其是企业在云环境应用中的安全问题,我们是怎样来帮助用户实现他们在云安全解决方案中的最佳实践的呢?我们有这样几个主要思路:
第一,安全管理平台化。通过一个统一的云安全管理平台,找回消失的边界,使得在虚拟边界上重新部署安全设备成为可能。用户通过这样统一的安全管理平台,不仅可以清晰地看到包括计算资源和网络资源在内的各种云内状况,还可以清晰地看到通过业务逻辑定义的安全域和安全子域,以及云内从安全域到资产各个层面的流量关系、链接关系等。总之,用户就此获得了一个超越于某一个安全领域的、更高层面的安全管控视角。
第二,安全资源池化。传统的安全防护手段都是硬件物理设备部署在安全边界上,每新建一个系统就要新购置一批安全设备,而且面临着一堆实施部署的难题。通过建设动态可弹性扩展的安全资源池,在资源池里部署软件安全设备,实现安全资源的池化。这样,不仅可以动态扩展安全资源池的计算能力,使之超过单个硬件的处理能力,更重要的是,能够通过对安全资源的统一管理,基于用户业务需求细粒度地按需编排安全资源的使用,实现安全的敏捷可控。
第三,安全部署自动化。通过我们的解决方案,安全域的划分、虚拟化镜像节点的部署和安全措施的部署都可以实现自动化。这无疑使得网络安全运维和管理变得更简单,也更能满足私有云环境的实际要求。
第四,安全管理的兼容性。从虚拟化平台的角度来说,我们可以很好地兼容VMware、KVM、Xen等主流平台;从云平台来说,我们可以很好地兼容华为、华三、openstack等云平台;从SDN控制器来说,我们也可以很好地兼容华为、华三、锐捷等主流SDN控制器。此外,安全资源池架构也具有很好的开放性,不仅可以部署第三方的各种软件安全产品,包括但不限于防火墙、入侵检测、审计、WAF等,而且无需对第三方软件做大的改动。更重要的是,还可以兼容第三方安全产品的管理平台。
总结来说,主导思想就是要“用软件定义安全管理、软件定义安全边界、软件定义安全服务”,通过安全管理平台,统一并可视化管理私有云环境里的安全策略、安全资源、安全域等等,并通过自动化的灵活配置,满足虚拟化环境的“随需所取”的需求,从而为私有云的运营提供有力的、安全的防护和支撑。