Fortinet云計(jì)算安全解決方案
一、云計(jì)算安全需求特點(diǎn)
云計(jì)算結(jié)構(gòu)與傳統(tǒng)計(jì)算方式有著很大的區(qū)別,對(duì)云計(jì)算平臺(tái)的安全建設(shè)也不能停留在傳統(tǒng)思路上,必須與時(shí)俱進(jìn),符合新形勢下的安全要求。
云計(jì)算環(huán)境下的安全特點(diǎn)和需求主要包括以下幾方面:
1.集中化
云計(jì)算環(huán)境下,安全防御將呈現(xiàn)出明顯的集中化趨勢。這是因?yàn)椋?/p>
1)終端幾乎不保存數(shù)據(jù),攻擊終端的收益越來越小。惡意攻擊者更多地將注意力集中到儲(chǔ)存了海量數(shù)據(jù)的云端。
2)由于終端輕量化、終端安全性提高、終端多樣化等原因,對(duì)終端的攻擊越來越難。
2.專業(yè)化
正因?yàn)樵朴?jì)算時(shí)代明顯的安全集中化趨勢,對(duì)安全專業(yè)化的要求也達(dá)到了前所未有的程度。
近兩年出現(xiàn)的APT(Advanced Persistent Threat)--高級(jí)持續(xù)性威脅,是一種極專業(yè)、極有針對(duì)性的攻擊方法。APT攻擊具有極強(qiáng)的隱蔽能力,當(dāng)攻擊者發(fā)現(xiàn)網(wǎng)絡(luò)中受信的應(yīng)用程序漏洞時(shí),并不急于求成,而是非常耐心地利用它來進(jìn)一步滲透,從而形成攻擊所需的環(huán)境。在發(fā)起最終攻擊前,攻擊者經(jīng)常會(huì)針對(duì)性地進(jìn)行幾個(gè)月甚至更長時(shí)間的潛心準(zhǔn)備,運(yùn)用多種滲透手段(包括釣魚、木馬、僵尸、注入等技術(shù),甚至自行挖掘0day漏洞,以及利用社會(huì)工程學(xué)方法),收集大量關(guān)于目標(biāo)系統(tǒng)的精確信息,熟悉被攻擊者的網(wǎng)絡(luò)壞境,探測各種安全隱患,定位關(guān)鍵信息的存儲(chǔ)位置與通信方式。當(dāng)一切準(zhǔn)備就緒后,攻擊者便可竊取大量被鎖定的重要信息,或者造成大面積的嚴(yán)重破壞。
3.復(fù)雜化
云計(jì)算平臺(tái)是一個(gè)通用的平臺(tái),其上可以運(yùn)行多種多樣的網(wǎng)絡(luò)應(yīng)用,因此也可能帶來各種不同的安全威脅。安全管理員需要從鏈路層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層(Web、數(shù)據(jù)庫等)等各個(gè)層面進(jìn)行全方位的考慮。
4.健壯性
云計(jì)算為大量外部或內(nèi)部用戶提供服務(wù),為了保證高質(zhì)量的服務(wù)不間斷運(yùn)行,必須構(gòu)建一個(gè)健壯的平臺(tái)。云計(jì)算平臺(tái)的安全防御也同樣需要具有極強(qiáng)的健壯性,不應(yīng)成為整個(gè)基礎(chǔ)架構(gòu)的短板。對(duì)安全部署的健壯性要求主要體現(xiàn)在高性能、可擴(kuò)展、高可靠性等幾方面。
5.虛擬化
云計(jì)算數(shù)據(jù)中心為多租戶運(yùn)營環(huán)境,大量外部(公有云)及內(nèi)部(私有云)用戶共享云計(jì)算資源。服務(wù)器、鏈路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備均被大量用戶共用。
為了最大化利用設(shè)備資源、便于管理,安全部署同樣有著強(qiáng)烈的分散虛擬化需求。
6.可視化
云計(jì)算平臺(tái)是一個(gè)復(fù)雜的網(wǎng)絡(luò),管理難度大。為了降低管理難度,并把握全局,云計(jì)算平臺(tái)的安全建設(shè)應(yīng)遵循可視化原則。
二、Fortinet全面防御云計(jì)算安全
Fortinet云安全解決方案不僅建立了從網(wǎng)絡(luò)基礎(chǔ)架構(gòu)到關(guān)鍵應(yīng)用的安全融合防御體系,滿足云計(jì)算多層次的安全需求;并運(yùn)用了多種硬件加速技術(shù),為云計(jì)算提供數(shù)據(jù)中心極高的安全性能;還結(jié)合了大量虛擬化技術(shù),無縫貼合云計(jì)算網(wǎng)絡(luò)架構(gòu),是一套為云計(jì)算環(huán)境量身定制的安全解決方案。下圖是Fortinet云計(jì)算安全解決方案示意圖,下文將對(duì)Fortinet解決方案的特點(diǎn)進(jìn)行詳述。
Fortinet云計(jì)算安全方案概要圖
1.多層融合安全保護(hù)
1.1網(wǎng)絡(luò)基礎(chǔ)架構(gòu)安全
如前文所述,云計(jì)算數(shù)據(jù)中心面臨著多樣化的安全威脅,包括黑客入侵、拒絕服務(wù)攻擊、竊聽、病毒、木馬、蠕蟲等,以及結(jié)合上述威脅的混合型攻擊和APT攻擊。因此,首先需要在網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上進(jìn)行安全加固。使用傳統(tǒng)的單點(diǎn)安全防御方法(即使用防火墻、IPS、VPN、防毒墻等一系列安全設(shè)備)來應(yīng)對(duì)混合型攻擊,存在成本高、部署難、管理難等缺點(diǎn),且由于安全防御的各組成部分缺乏統(tǒng)一有效的有機(jī)結(jié)合,很容易被混合型攻擊及APT攻擊逐一繞過,防御效果不好。
Fortinet公司的FortiGate新一代安全網(wǎng)關(guān)通過動(dòng)態(tài)威脅防御技術(shù)、高級(jí)啟發(fā)式異常掃描引擎提供了無與倫比的功能和檢測能力。它集防火墻、IPS、應(yīng)用控制、病毒過濾、內(nèi)容過濾、流量控制等多種安全功能于一身,覆蓋網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,多項(xiàng)安全技術(shù)在FortiGate設(shè)備中有機(jī)結(jié)合,形成多層次安全防御體系,有效抵御當(dāng)前流行的混合型安全威脅及APT攻擊。
1.2多層次DDoS防御
FortiDDoS是專業(yè)的DDoS防御設(shè)備,通過多種檢測及過濾技術(shù),實(shí)現(xiàn)多層次安全防護(hù),精確檢測并阻斷各種網(wǎng)絡(luò)層和應(yīng)用層的DoS/DDoS攻擊和未知惡意流量,包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻擊等各種攻擊。
FortiDDoS以在線方式串聯(lián)在云計(jì)算數(shù)據(jù)中心邊界,工作模式為透明模式,無需破壞現(xiàn)有網(wǎng)絡(luò)拓?fù)洌膊粫?huì)修改網(wǎng)絡(luò)流量。FortiDDoS具有自學(xué)習(xí)功能,能自動(dòng)建立正常流量基線及相關(guān)閾值,極大地降低了管理難度。
FortiDDoS使用多個(gè) FortiASIC-TP(流量處理器)芯片對(duì)DDoS防御功能進(jìn)行加速,單臺(tái)設(shè)備即可防御高達(dá)數(shù)Gbps的攻擊,還能通過負(fù)載均衡進(jìn)行擴(kuò)展,滿足更高的性能要求。
1.3Web應(yīng)用安全
在云計(jì)算數(shù)據(jù)中心建立專門的安全Web服務(wù)區(qū),將FortiWeb Web應(yīng)用防火墻以透明模式串聯(lián)至安全Web服務(wù)區(qū)與核心交換機(jī)之間。透明模式部署無需修改網(wǎng)絡(luò)拓?fù)洌也粫?huì)對(duì)數(shù)據(jù)流量進(jìn)行任何修改,且可以實(shí)現(xiàn)對(duì)Web攻擊的實(shí)時(shí)防護(hù),是一種較好的部署方式。
根據(jù)性能需求,將一臺(tái)或多臺(tái)(負(fù)載均衡)FortiWeb部署至安全Web服務(wù)區(qū)的前端,所以需要FortiWeb防護(hù)的Web服務(wù)器(虛擬機(jī))都部署至安全Web服務(wù)區(qū)。可以利用vMotion等VM遷移技術(shù)將虛擬機(jī)實(shí)時(shí)遷入或遷出安全Web服務(wù)區(qū),無論公有云還是私有云都可以很靈活地開啟或關(guān)閉Web安全防御。
FortiWeb是完整Web應(yīng)用和XML防火墻,對(duì)應(yīng)用程序、數(shù)據(jù)庫及兩者間交互的信息進(jìn)行保護(hù)、均衡和加速,能極大的降低基于Web應(yīng)用程序的部署時(shí)間和復(fù)雜性。FortiWeb基于簽名庫與模板檢測、基于閾值的限制、會(huì)話管理、流強(qiáng)制、基于規(guī)則的參數(shù)驗(yàn)證、表單及表單域篡改驗(yàn)證、XML IPS等技術(shù),能完整地防御OWASP Top 10的Web攻擊,包括跨站腳本、SQL注入、緩存溢出、OS命令注入、跨站請(qǐng)求偽造、出站數(shù)據(jù)泄漏、編碼攻擊、Cookie篡改/中毒、會(huì)話劫持、 失效訪問控制、強(qiáng)制瀏覽/目錄穿越、站點(diǎn)偵察、拒絕服務(wù)等攻擊,提高Web應(yīng)用的安全性,并未云計(jì)算中心在法律和合規(guī)方面提供幫助。
1.4數(shù)據(jù)安全
與Web應(yīng)用類似,在云計(jì)算數(shù)據(jù)中心建立專門的安全數(shù)據(jù)服務(wù)區(qū),將重要數(shù)據(jù)庫服務(wù)器虛擬機(jī)通過vMotion遷移到該區(qū)域,然后在該區(qū)域的接入層交換機(jī)上旁路部署FortiDB數(shù)據(jù)庫安全設(shè)備,從脆弱性評(píng)估和法規(guī)遵從、數(shù)據(jù)庫活動(dòng)監(jiān)測兩方面對(duì)數(shù)據(jù)庫安全進(jìn)行保護(hù)。
2.虛擬化安全架構(gòu)
2.1安全設(shè)備虛擬化
與服務(wù)器分散虛擬化相似,F(xiàn)ortiGate統(tǒng)一威脅管理設(shè)備也可實(shí)現(xiàn)強(qiáng)大的虛擬化部署。
FortiGate HA集群以旁掛方式連接在云計(jì)算中心的核心交換機(jī)上,在FortiGate上配置不同的VLAN子接口,對(duì)應(yīng)不同的業(yè)務(wù)系統(tǒng)(私有云)或租戶(公有云)。這樣便實(shí)現(xiàn)了多租戶共享少數(shù)FortiGate安全設(shè)備的目標(biāo)。
通常云計(jì)算平臺(tái)的業(yè)務(wù)系統(tǒng)或租戶數(shù)量都非常多,如果所有業(yè)務(wù)系統(tǒng)或租戶的安全管理都混合在一起,會(huì)使得安全策略的條目數(shù)量極其龐大(可能多達(dá)數(shù)萬條),導(dǎo)致管理極其困難。而且各租戶的配置還可能存在沖突(例如接口地址、路由、策略等)。
FortiGate的虛擬化功能(VDOM)可以完美地解決這一難題。單臺(tái)FortiGate可以最多劃分為500個(gè)VDOM(虛擬域),每個(gè)VDOM具有各自獨(dú)立的接口地址、工作模式(NAT或透明)、路由表、安全策略、管理員賬號(hào)等。FortiGate的防火墻、IPS、防病毒、VPN、DLP等安全功能均可在VDOM中實(shí)現(xiàn)。
2.2安全軟件虛擬化
除安全設(shè)備硬件虛擬化外,F(xiàn)ortinet還提供完善的安全軟件虛擬化解決方案。Fortinet系列安全產(chǎn)品如FortiGate、FortiWeb、FortiManager、FortiAnalyzer等可以VMware或Xen虛擬機(jī)形式交付,直接運(yùn)行在云計(jì)算數(shù)據(jù)中心的虛擬化平臺(tái)上。
如上圖所示,在一臺(tái)或多臺(tái)物理服務(wù)器組成的虛擬化平臺(tái)上,運(yùn)行著多個(gè)不同租戶的業(yè)務(wù)虛擬機(jī)。還可以在虛擬化平臺(tái)上再運(yùn)行FortiGate-VM虛擬機(jī),并對(duì)虛擬化網(wǎng)絡(luò)進(jìn)行配置,使進(jìn)出服務(wù)器物理網(wǎng)卡的流量都經(jīng)過FortiGate-VM的過濾,將其中的入侵、攻擊、病毒等安全威脅過濾,從而起到保護(hù)業(yè)務(wù)服務(wù)器的作用。
這種安全軟件虛擬化部署可為云計(jì)算數(shù)據(jù)中心提供以下益處:
1)實(shí)現(xiàn)云計(jì)算數(shù)據(jù)中心內(nèi)部各區(qū)域的安全隔離與防御。
2)實(shí)現(xiàn)安全處理性能線性擴(kuò)展。
綜上所述,F(xiàn)ortiGate的設(shè)備虛擬化(VDOM)和軟件虛擬化(FortiGate-VM)契合云計(jì)算虛擬化環(huán)境,為云計(jì)算虛擬化提供了安全、可靠、易管理的解決方案。
3.高性能、低消耗的綠色安全
3.1基于ASIC專用芯片的高性能安全
FortiGate安全設(shè)備除了使用高性能多核CPU作為操作系統(tǒng)執(zhí)行者和任務(wù)調(diào)度者,還采用多種Fortinet公司自行設(shè)計(jì)開發(fā)的專用ASIC芯片,來進(jìn)行特定安全功能。例如負(fù)責(zé)包轉(zhuǎn)發(fā)、NAT、流控、VPN加解密的FortiASIC-NP(網(wǎng)絡(luò)處理器)、負(fù)責(zé)IPS解碼和特征匹配的FortiASIC-SP(安全處理器)、負(fù)責(zé)內(nèi)容層特征匹配(病毒過濾、內(nèi)容過濾等)的FortiASIC-CP(內(nèi)容處理器)等。這些專用ASIC芯片與通用處理器(CPU)配合使用來處理復(fù)雜的業(yè)務(wù),就像人的大腦和脊柱(CPU)以及周圍神經(jīng)系統(tǒng)(ASIC)協(xié)同工作來執(zhí)行一樣,如此,將CPU從繁重的工作中解放出來,使整個(gè)系統(tǒng)實(shí)現(xiàn)數(shù)倍于同類產(chǎn)品的性能。
根據(jù)權(quán)威安全性能評(píng)測廠商Breaking Point的測試,F(xiàn)ortinet公司的高端旗艦產(chǎn)品FortiGate-5140B的防火墻吞吐量高達(dá)559Gbps,包轉(zhuǎn)發(fā)率高達(dá)813Mpps,遙遙領(lǐng)先于同類產(chǎn)品,被譽(yù)為"世界上最快的防火墻"。
3.2低資源消耗的綠色安全
云計(jì)算數(shù)據(jù)中心的設(shè)備數(shù)量龐大,往往需要占用龐大空間,消耗大量能源。如何減少空間、能源等資源消耗,也是云計(jì)算數(shù)據(jù)中心建設(shè)的難題。
由于大量使用專用ASIC芯片作為性能引擎,F(xiàn)ortiGate設(shè)備無需配置過多高能耗的CPU,整機(jī)能耗和發(fā)熱量遠(yuǎn)低于同類產(chǎn)品。又因?yàn)槟芎暮桶l(fā)熱量小,就無需大量空間來安置散熱裝置,使得設(shè)備體積也實(shí)現(xiàn)了小型化。作為"世界上最快的防火墻",F(xiàn)ortiGate-5140B實(shí)現(xiàn)了500Gbps以上的超高防火墻性能,而設(shè)備高度只有13U,功率僅為3000多W;120Gbps的FortiGate-3950B只有3U高度,最大功率僅400多W。使用FortiGate高性能安全設(shè)備同時(shí)還能大量節(jié)約機(jī)房空間,降低能耗,非常符合云計(jì)算中心實(shí)現(xiàn)節(jié)能減排、綠色安全的目標(biāo)。
4.可視化安全管理
云計(jì)算數(shù)據(jù)中心為大量租戶運(yùn)行海量應(yīng)用,而且設(shè)備種類、數(shù)量眾多,在多站點(diǎn)環(huán)境中甚至需要跨地域管理,管理難度很高。
結(jié)合FortiManger集中管控平臺(tái)、FortiAnalyzer日志審計(jì)中心,F(xiàn)ortinet云安全管理方案實(shí)現(xiàn)統(tǒng)一可視化安全管理,使云計(jì)算中心管理員既能隨時(shí)掌握全局安全態(tài)勢,又能深入每一個(gè)安全細(xì)節(jié),為安全建設(shè)、監(jiān)控、響應(yīng)、優(yōu)化提供科學(xué)依據(jù)。
5.FortiGuard安全云
信息安全是一個(gè)動(dòng)態(tài)的過程,世界各地每天都會(huì)產(chǎn)生新的病毒、攻擊等安全威脅,靜態(tài)的安全防護(hù)很難適應(yīng)瞬息萬變的安全需求。
Fortinet公司的FortiGuard安全云為Fortinet用戶提供安全特征更新與查詢服務(wù),配合Fortinet系列安全產(chǎn)品,為云計(jì)算中心構(gòu)建實(shí)時(shí)更新、快速響應(yīng)的安全體系。
6.Fortinet云計(jì)算安全方案優(yōu)勢總結(jié)
Fortinet云計(jì)算安全解決方案覆蓋了從鏈路、網(wǎng)絡(luò)、系統(tǒng)、內(nèi)容到Web、DB等關(guān)鍵應(yīng)用的安全需求,避免了安全短板,為云計(jì)算數(shù)據(jù)中心構(gòu)建了立體安全防御體系,全面防御各類混合型攻擊和APT攻擊。
安全設(shè)備虛擬化和安全軟件虛擬化技術(shù),與VM虛擬機(jī)技術(shù)、HA冗余技術(shù)、vMotion遷移技術(shù)完美配合,使Fortinet的安全技術(shù)無縫溶入多租戶、虛擬化的云計(jì)算環(huán)境。
獨(dú)特的多ASIC芯片硬件處理構(gòu)架,提供無與倫比的安全處理能力,滿足云計(jì)算中心苛刻的性能要求。極低的空間占用和能源消耗,順應(yīng)云計(jì)算中心節(jié)能減排、綠色安全的趨勢。
統(tǒng)一可視化安全管理及智能響應(yīng),為云計(jì)算數(shù)據(jù)中心降低管理難度,整合安全資源,加快響應(yīng)速度,提升防御能力。
Fortinet安全設(shè)備與FortiGuard安全云配合工作,幫助云計(jì)算中心持續(xù)更新安全體系,第一時(shí)間防御各種0day攻擊。
Fortinet是全球領(lǐng)先的網(wǎng)絡(luò)安全設(shè)備供應(yīng)商,產(chǎn)品銷量名列前茅,F(xiàn)ortiGate UTM(又稱為下一代防火墻)長期占據(jù)全球銷量冠軍寶座,產(chǎn)品廣受全球知名用戶好評(píng)。Fortinet公司具有業(yè)界最全面的專業(yè)安全認(rèn)證,包括6項(xiàng)ICSA認(rèn)證、NSS認(rèn)證、EAL 4+認(rèn)證等,是值得云計(jì)算平臺(tái)信賴的專業(yè)安全合作伙伴。
