新基建浪潮下的云上安全,深信服談云數據中心安全建設實踐經驗
7月28日,由中國網絡安全產業聯盟主辦,深信服科技、數字認證等IT領域知名廠商協辦的“新基建浪潮下的云上安全”專題研討會成功舉辦。本次會議邀請了眾多安全領域專家、學者共同探討在新基建背景下的云安全運營之道。會上,深信服云安全CTO陳立峰發表《打造易管理、可運營的云上安全架構》主題演講,為觀眾分享云數據中心安全建設實踐經驗。
▲圖片來源:中國網絡安全產業聯盟
云數據中心安全建設面臨的三大新挑戰
業務上云大勢所趨,越來越多的企事業單位將自己的業務遷移到云上,在業務上云過程中的安全問題至關重要。用戶云安全建設普遍存在云用戶個性化安全需求難滿足、云內安全不可視不可控、IT架構不斷變化難以持續提供有效保護等諸多挑戰。
1、云服務用戶的個性安全需求難滿足
不同的云服務用戶存在差異化的安全防護需求,且組織的多個數據中心或多套云平臺同樣存在不同的安全防護需求,多種不同的安全需求很難同時滿足;兼容開放問題也在影響安全資源的敏捷交付。
2、云內安全不可視不可控、缺乏適宜的技術手段
傳統云安全建設多為病毒檢測和補丁修復類,很少關注行為檢測和可視化;傳統云主機安全類Agent占用資源多,易引發藍屏、死機、重啟等問題;傳統云安全建設抱著一切從簡思維,僅劃分有限區域,域內主機數量多風險大,且業務復雜、管理復雜、云內網絡改造難度大。
3、IT架構不斷變化,難以持續提供業務保護
越來越多的企事業單位計劃進行云原生改造或遷移到混合多云環境,但無法構建面向未來的安全防護體系,難以適應業務形態的變化和云計算技術的演進。
如何持續開展有效的云數據中心安全建設?
在上述背景下,用戶如何開展有效的云數據中心安全建設?陳立峰在會上表示,“越來越多的數據和業務應用集中在云平臺上,建設一套‘以保護業務為中心’的安全體系至關重要。現代化的云數據中心安全建設應‘面向業務,向上提供服務,向下集中管理’,達成‘能力易集成、自適應閉環、自動化運營’三大能力目標。”
1、能力易集成
深信服通過打造開放兼容的云安全平臺,按需集成安全組件,為云上業務或租戶敏捷交付安全能力,滿足合規及業務的個性化需求。
2、自適應閉環
降低對業務的影響,建設云內自適應防護體系,解決云內風險不可視不可控的問題;適應未來IT架構變化,為業務提供持續的保護。
3、自動化運營
深信服將通過建立面向云數據的中心的安全運營平臺,以SOAR提升運營效率,人機共智保障運營效果,降低安全運維壓力。
易管理可運營的云數據中心安全解決方案
陳立峰在會上說到,“深信服基于軟件定義安全技術,幫助用戶構建‘能力易集成、自動化運營的云上自適應安全架構’,保護云數據中心平臺、租戶及業務的安全,深化云內安全建設,并不斷提升整體安全運營的效率和效果。”
此前,深信服云數據中心安全解決方案已進行全新升級,可以根據用戶的上云階段,分三個步驟逐步滿足云數據中心安全建設要求:
第一步:滿足云基礎設施安全保護
在業務上云初期,同步做好網絡安全建設,從云平臺自身安全合規和業務、租戶安全合規兩個維度來加強基礎設施安全保護:
- 云平臺自身安全合規:在安全的底層環境基礎上,將云平臺劃分為不同的安全區域,通過不同的云租戶VPC進行各單位業務系統的網絡隔離等措施,同時建設安全管理中心,滿足云平臺自身安全合規的要求。
- 業務/租戶安全合規:基于軟件定義安全技術構建安全資源池,為云租戶提供按需交付的安全資源,安全資源覆蓋訪問控制、入侵防御、數據加密等各個方面,滿足云租戶個性化的安全需求,所有安全資源自動完成資源創建和網絡部署,簡化交付流程,提高生產效率。
第二步:云工作負載閉環保護
在云上業務進入規模運行后,針對云內資產梳理難、風險不可視、Agent占用資源多,影響業務、難以適應IT架構變化等問題,深信服推出了對業務無侵害的“CWPP云工作負載保護平臺”解決方案,方案由平臺+軟探針(Agent)兩部分構成,從云上高危資產全面清點和云內風險可視可控入手,全面適配云原生環境,實現云內自適應防護。
第三步:云安全持續運營
隨著云上業務規模的逐漸擴大,依托單點的安全設備進行安全管理將顯得十分低效。云數據中心安全運營中心,通過網絡探針和主機探針采集云外與云內的流量和日志,全面分析和識別云平臺漏洞情況和安全風險,并借助SOAR實現運營自動化。此外,可引入專業安全服務團隊,實現人機共智,持續保護云上應用和數據安全。
深信服云數據中心安全解決方案在滿足前面三大能力目標的同時,基于軟件定義安全技術,連接云安全資源平臺、云安全管理中心、云安全運營中心三部分,可持續為云數據中心的IT基礎架構或業務應用輸送安全能力。
政企事業單位進行數字化轉型,向軟件定義的基礎架構轉變過程中,深信服云數據中心安全解決方案能夠幫助用戶在快速迭代、規模龐大的云計算環境中,更好地應對安全風險,擁抱變化,并能夠讓云上安全管理更簡單、更高效。
目前,深信服已為國家信息中心、廣電總局、北京電信、葛洲壩集團等超500家知名用戶進行云數據中心安全建設。未來,深信服將持續以“能力易集成、自適應閉環、自動化運營”為目標,保護云數據中心平臺、租戶及業務的安全,深化云內安全建設,并不斷為用戶提升整體安全運營的效率和效果
