English日本語

云计算安全+

云安全技术路线分析


发布时间 2019-01-17  


1.1 云安全技术路线分析


云安全需求层次可以归并为4个层面,即云外部安全、云平台安全、云租户边界安全、云主机安全。
针对上述4个层面的云安全需求,业界有相应的技术路线和解决方案,可以大致分为8个方面:


云安全需求

1

安全云(SecaaS)

云平台安全传统安全产品(App或硬件)3

安全一体机4

安全资源池6

无代理

有代理

轻代理



1.1.1 云外部检测防护


1.1.1.1 安全云(SecaaS)


适用场景:从外部对云平台或云租户进行安全防护检测,主要是针对互联网资产暴露面,包括开放的IP地址、端口、URL等,进行检测防护,例如云抗DDOS,云WAF、云网站监测等。主要适用于互联网侧,对内网安全不适用。


1.1.2 云平台安全


1.1.2.1 传统安全产品(App或硬件)


适用场景:适用于云平台安全。

具体描述:实现云服务商环境的通信网络安全、区域边界安全、计算环境安全、安全管理中心


1.1.3 云租户边界安全


主要解决云租户外部边界,以及云租户内部不同安全域或子网之间的边界安全。


1.1.3.1 安全一体机


适用场景:产品定位于云基础设施,安全只作为增值能力使用,适用于在建设云数据中心时将云和安全一体化部署场景。

具体描述:用户将云与安全同步建设,在建设初期需要购买安全一体机硬件和虚拟化App,在一体机硬件上通过虚拟化技术划分出虚拟服务器、虚拟网络、虚拟存储,一体机主要用来承载租户的业务系统(例如OA、ERP等),将安全作为增值能力提供给租户(虚拟化安全能力可以预装部署,如需安全能力,需激活授权)


1.1.3.2 VNF


适用场景:适用于安全需求较为稀少的场景(例如只需要vFW或者vWAF),且对运维职责界面划分、安全监管要求不高的场合。

具体描述:以镜像App方式部署安全虚机,将安全虚机直接部署到云资源池内,安全能力与云计算深度耦合,存在云服务商与安全服务商之间运维界面不清、安全服务商不便独立履行监管职责的问题;通过虚拟网络配置,将流量集中引向VNF安全网关处理,在后建安全能力的情况下,需要改变云内原有网络拓扑和流量走向,配置和维护工作量较大。


1.1.3.3 安全资源池


适用场景:云租户边界防护,包括云租户外部边界防护,以及云租户内部不同安全域或子网之间的边界防护

具体描述:与云平台解耦、独立运行、可对云平台进行监管、安全资源可共享、弹性扩容、安全能力齐全等是区别于其他云租户边界防护方案的主要优势。


1.1.4 云主机安全


适用场景:云主机防护,分为无代理、有代理、轻代理几种模式


1.1.4.1 无代理


安全虚机与虚拟化层即hypervisor层深度耦合,例如在每个虚拟机VM与运行在hypervisor层的vSwitch之间安装插件或者代理,并由安全虚机统一管理,也就是说代理没有安装在VM上,而是安装在hypervisor层。

由于与hypervisor层深度耦合,存在虚拟化厂商和版本绑定问题;由于工作在OS之下的hypervisor层,因此无法实现操作系统和进程级的安全防护。


1.1.4.2 有代理


在每台虚拟机安装代理,实现流量检测及安全防御,占用虚拟机空间,代理需要尽量轻便,所以安全能力不足。


1.1.4.3 轻代理


在每台虚机安装轻代理用于信息采集,采集的信息交由控制中心进行处理,根据控制中心反馈的处理结果,由轻代理实行阻断等防护操作。存在多厂商代理之间以及代理与操作系统之间兼容性问题。
其中轻代理模式是较为先进的架构模式,部署时尽量采用单个轻代理实现多重安全检测防护的产品方案。


相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、App组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。

XML 地图 | Sitemap 地图