软件定义安全概述
在传统的信息安全时代主要采用隔离作为安全的手段,具体分为物理隔离、内外网隔离、加密隔离,实践证明这种隔离手段针对传统IT架构能起到有效的防护。例如各种FireWall(防火墙)、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)、SSL网关、加密机等。在这种隔离思想下,并不需要应用提供商参与较多信息安全工作,在典型场景下是由总集成商负责应用和信息安全之间的集成,而这导致了长久以来信息安全和应用相对独立的发展,尤其在国内这两个领域的圈子交集并不大。结果,传统信息安全表现出分散割据化、对应用的封闭化、硬件盒子化的三个特征。但随着云计算的兴起,这种隔离为主体思想的传统信息安全在新的IT架构中已经日益难以应对了。
软件定义信息安全(Software Defined Infomation Security,以下简称SDIS)这个概念正是为用户的这种诉求而生。SDIS强调安全硬件设备的可编程化,这样使得用户可以灵活的把安全硬件设备和应用场景化、深入结合、联动防御。所谓Software Defined,不仅是应用软件与安全设备的API级互动,更重要的是各安全设备之间、或纵深防御大脑系统与安全设备之间的API级联动,这样才能有效的构建纵深防御。
站在云的角度思考重构安全,以“软件定义安全”,像编程一样敏捷的为不同的业务提供不同的安全能力。将物理安全设备、虚拟安全设备从部署位置、部署方式、安全策略中解耦。以安全应用、安全控制和安全资源的三层架构重建架构。将安全能力抽象为安全资源池中的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,实现安全能力的从天而降。我们现在在业务与安全间实现联动,安全随着业务上线,安全随着业务迁移。以安全资源池承载“安全组件”的形式,将安全的应用对象真正交给业务使用部门。软件定义安全将解放维护人员之前面对的庞大的安全策略配置管理与修改,同时,将降低维护人员面对晦涩的设备配置语言的门槛,提升工作效率。
另外,可以通过设定不同的引流规则实现不同业务的差异化安全检测防护。在云平台上指定安全策略应用的源和目的安全组件,并定义引流规则,流量即可按照规划的路径经过不同的安全防护设备。在对外提供租赁服务的云数据中心,针对不同安全需要的租户,可通过编排对高价值资产租户定制高防安全服务包,对普通租户提供基础安全服务包,对不同租户提供不同的安全防护能力。
软件定义安全让我们第一次站在业务与全网的视角去思考规划云内整网的安全。而下一代网络安全方案围绕云数据中心、企业园区、分支和广域网,以软件定义安全为核心,深度融入网络,提供全场景、无处不在的动态威胁防御体系,将在云时代为各行业客户提供从容应对复杂变化的威胁环境的安全能力。
建设依据
序号 |
主管部门 |
编号 |
云安全标准名称 |
1 |
国际标准组织ISO/IEC |
CA1-1 |
云计算国际标准—ISO/IEC 17788:2014《信息技术 云计算 概述和词汇》 |
CA1-2 |
云计算国际标准—ISO/IEC 17789:2014《信息技术 云计算 参考架构》 |
||
2 |
全国信息安全标准化技术委员会 |
CA2-1 |
《信息安全技术 云计算服务安全指南》(GB/T 31167-2014) |
CA2-2 |
《信息安全技术 云计算服务安全能力要求》(GBT 31168-2014) |
||
3 |
公安部(网络安全保卫局) |
CA3-A1 |
信息安全标准体系表(报批稿) |
CA3-A2 |
信息安全技术 桌面云系统安全技术要求 |
||
CA3-A3 |
信息安全技术 云操作系统安全技术要求 |
||
CA3-A4 |
信息安全技术 云存储系统安全技术要求 |
||
CA3-A5 |
信息安全技术 云计算网络入侵防御系统安全技术要求 |
||
CA3-A6 |
信息安全技术 数据泄露防护产品安全技术要求 |
||
CA3-B1 |
信息安全技术 远程接入控制产品安全技术要求 |
||
CA3-B2 |
信息安全技术 主机安全加固系统安全技术要求 |
||
CA3-B3 |
信息安全技术 文档打印安全监控与审计产品安全技术要求 |
||
CA3-B4 |
信息安全技术 网站内容安全检查产品安全技术要求 |
||
CA3-B5 |
信息安全技术 运维安全管理产品安全技术要求 |
||
CA3-B6 |
信息安全技术 主机文件监测产品安全技术要求 |
||
3 |
公安部(等级保护评估中心) |
CA3-C1 |
《信息安全技术 信息系统安全等级保护基本要求 云计算安全扩展要求》 |
CA3-C2 |
《云计算安全等级保护标准与测评要求》 |
||
4 |
数据中心联盟 |
CA5-X |
01-可信云服务认证评估方法 第01部分:云主机 |
02-可信云服务认证评估方法 第02部分:对象存储 |
|||
03-可信云服务认证评估方法 第03部分:云数据库 |
|||
04-可信云服务认证评估方法 第04部分:块存储 |
|||
05-可信云服务认证评估方法 第05部分:应用托管容器服务资源 |
|||
06-可信云服务认证评估方法 第06部分:云缓存 |
|||
07-可信云服务认证评估方法 第07部分:数据中心间VPN |
|||
08-可信云服务认证评估方法 第08部分:本地负载均衡 (1) |
|||
09-可信云服务认证评估方法 第09部分:云分发 |
|||
10-可信云服务认证评估方法 第10部分:在线应用云服务(修订版) |
|||
11-可信云服务认证评估方法 第11部分:桌面云 |
|||
13-可信云服务认证评估方法 第13部分:备份服务 |
云安全威胁维度分析
云计算作为一种新型的计算模式,其安全建设必然与传统的信息安全建设存在区别,其安全性也必有其特殊的一面。经过业界近几年的安全实践和研究,云安全的特征具体可以概括为以下三个方面:
l 安全边界不可见
云计算平台与传统的IT组织架构上的差异导致其安全防护理念上存在差异。在传统的安全防护中,很重要的一个原则就是基于边界的安全隔离和访问控制,并强调针对不同的安全区域设置差异化的安全防护策略,这依赖于各区域间清晰的边界划分;但在云计算环境中,计算和存储资源高度整合,基础网络架构统一化,传统的控制部署边界消失。
l 虚拟化中内部的流量不可控
物理计算资源共享带来的虚拟机安全问题。同一台物理机内部有多台虚拟机,如何对虚拟机之间通信和流量进行监控,虚拟机之间如何进行隔离控制,这都涉及到了传统的网络安全技术产品如何虚拟化的问题。
l 云计算安全的合规建设
在传统模式下,信息安全建设能够较清晰的按照等级保护、ISO 27001等国内外先进的安全合规要求进行合规检查。但在建设云平台后,传统业务系统都移植到云上,业务架构和形态发生变化,传统安全防护措施也发生改变,我们则可以根据云等保草案标准制定解决方案,调整防御策略。
总体设计
总体框架
我司云安全资源池具有开放性的特点,支持第三方安全组件集成,为客户提供云安全功能市场,入下图所示。爱立示安全资源池架构基于软件虚拟化(包括计算、网络、存储等虚拟化)技术,通过利用Overlay技术、服务链管理以及信息安全等相关技术实现的能够根据系统需求进行预定义和自由组合选择的一种自适应安全技术架构。
安全资源池示意图
服务链编排
安全资源池实现的安全服务链,能够使得数据报文在安全资源中传递时,根据业务类型、安全保护的等级要求,按需经过各种各样的安全服务节点,这些安全服务节点包括熟知的软件版下一代防火墙(vNGAF)、、负载均衡(vAD)等。网络流量需要按照业务逻辑所要求的既定顺序,穿过这些安全服务节点,进行“流量清洗”,达到安全防护的目的。
服务编排示意图
不同的业务系统,可以区分流量引流到不同的服务链,进行“清洗”。以企业内部网络为例:
南北向服务流
南北向安全服务流即互联网——租户侧业务(比如web业务)访问流向,租户侧业务南北向安全风险与原有线下安全风险类似,例如web业务需要实现入侵防护、web安全防护、VPN安全接入等功能。
面向租户的安全南北向防护,主要通过安全资源池平台上包含的各类安全组件来实现防护。
南北向安全服务流
安全资源池中的各类安全服务能够如同计算资源服务化的方式进行交付,所谓的服务化,安全不再是一个硬件产品所匹配的策略,也不是一个软件的镜像,真正的让安全以服务的方式进行交付。
后端数据流如下图所示:
安全服务交付形式后端数据流
软件定义的安全组件交付
针对南北向安全需求,基于爱立示已有的安全能力,利用安全服务链技术,云安全资源池已提供有默认的安全服务包,这包括:
基础防御服务包——可提供应用控制、FW、AV、IPS等防御服务;
Web安全增强服务包——可提供WAF、网页防篡改、数据防泄密等服务;
失控主机发现服务包——可提供异常行为检测发现被黑客控制虚机的服务;
应用交付服务包——可提供针对租户业务系统的应用负载均衡服务;
安全接入服务包——可提供IPSec VPN、SSL VPN等安全接入服务;
数据库审计服务包——可提供针对租户数据库审计服务;
运维审计服务包——可提供针对租户虚机的运维审计服务;
东西向流量防护
云计算的典型场景是多租户共享,这和传统IT架构相比,原来的可信边界彻底被打破了,因此重新实现租户之间的隔离是云安全的基础需求。爱立示云安全采用Agent代理方式实现租户间隔离以及租户内的虚机隔离。Agent是一个非常轻量级的软件实现,运行于虚机之内,由云安全服务平台CSSP进行统一管理。
轻量级的端点Agent可以安装在任意需要进行安全防护的终端服务器上,这包括所有的物理主机、虚拟机、云主机等。管理平台可以在本地的安全资源池,也可以使用Sangfor的SaaS服务云。端点探针记录大量主机和网络事件,并将这些数据发送到管理平台,然后由管理平台进行全面的安全分析,根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为,并对这些攻击做出快速的响应动作。解决方案将对主机进行持续的安全检测,并对发生的安全事件进行自动响应加固。
东西向流量可视
多年来,安全专家一直在争论究竟是外部人员还是内部人员带来更大的风险。如今,这种辩论已经没有实际意义:因为网络界限已经模糊化,威胁正无处不在。企业正在逐渐失去对网络的控制,而攻击者则在研究这些新技术,并利用它们来绕过传统防御。为了克服这些安全隐患,并获得更好的可视性来确定谁在使用网络,安全专家纷纷转向网络流量分析来提高网络安全的可视性。
企业不应该在攻击发生后才阻止攻击,而是在攻击发生时检测攻击,观察网络流量能够为企业提供更好的网络可视性和对恶意事件更快的检测。网络流量是分析IP、TCP、UDP以及与信息源、目标端口和IP地址相关的其他header信息。这种网络流量分析工作需要网络安全管理人员进行战略性的转变,构建对整个网络基础设施的全面视角。
Agent部署在终端服务器,能够更加精准的捕获到每一个终端的进出流量,然后通过管理平台的统一汇总,从而展现出网络当前的整体实时流量信息。
东西向流量访问控制
如果云平台中的虚机之间缺乏威胁隔离机制,那么网络威胁一旦进入云平台内部,可以肆意蔓延等。进一步通俗的讲,假设某虚机由于弱口令之类的漏洞被远程控制,然后黑客以此虚机为跳板,再对其它虚机进行漏洞扫描和利用入侵。然而从内部发起的漏洞入侵的过程在网络层面上与正常访问无异,很难被边界安全设备所发现。因此,和物理网络中通常仅做不同网段间的安全隔离不一样,虚拟化网络中需要更细粒度的虚拟机之间的隔离。
通过Agent实现的安全方案是一种基于安全域应用角色之间的流量访问控制的系统解决方法,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。优先对所有的服务器进行业务安全域的逻辑划域隔离,并对业务区域内的服务器提供的服务进行应用角色划分,对不同应用角色之间服务访问进行访问控制配置,减少了对物理、虚拟的服务器被攻击的机会,集中统一管理服务器的访问控制策略,并且基于安装轻量级主机Agent软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。
