深信服:打造易管理、可运营的云上安全架构
7月28日,由中国网络安全产业联盟主办,深信服 科技 、数字认证等IT领域知名厂商协办的“新基建浪潮下的云上安全”专题研讨会成功举办。本次会议邀请了众多安全领域专家、学者共同探讨在新基建背景下的云安全运营之道。会上,深信服云安全CTO陈立峰发表《打造易管理、可运营的云上安全架构》主题演讲,为观众分享云数据中心安全建设实践经验。
▲图片来源:中国网络安全产业联盟
云数据中心安全建设面临的三大新挑战
业务上云大势所趋,越来越多的企事业单位将自己的业务迁移到云上,在业务上云过程中的安全问题至关重要。用户云安全建设普遍存在云用户个性化安全需求难满足、云内安全不可视不可控、IT架构不断变化难以持续提供有效保护等诸多挑战。
1. 云服务用户的个性安全需求难满足
不同的云服务用户存在差异化的安全防护需求,且组织的多个数据中心或多套云平台同样存在不同的安全防护需求,多种不同的安全需求很难同时满足;兼容开放问题也在影响安全资源的敏捷交付。
2. 云内安全不可视不可控、缺乏适宜的技术手段
传统云安全建设多为病毒检测和补丁修复类,很少关注行为检测和可视化;传统云主机安全类Agent占用资源多,易引发蓝屏、死机、重启等问题;传统云安全建设抱着一切从简思维,仅划分有限区域,域内主机数量多风险大,且业务复杂、管理复杂、云内网络改造难度大。
3. IT架构不断变化,难以持续提供业务保护
越来越多的企事业单位计划进行云原生改造或迁移到混合多云环境,但无法构建面向未来的安全防护体系,难以适应业务形态的变化和云计算技术的演进。
如何持续开展有效的云数据中心安全建设?
在上述背景下,用户如何开展有效的云数据中心安全建设?陈立峰在会上表示,“越来越多的数据和业务应用集中在云平台上,建设一套‘以保护业务为中心’的安全体系至关重要。现代化的云数据中心安全建设应‘面向业务,向上提供服务,向下集中管理’,达成‘ 能力易集成、自适应闭环、自动化运营 ’三大能力目标。”
1、 能力易集成
深信服通过打造开放兼容的云安全平台,按需集成安全组件,为云上业务或租户敏捷交付安全能力,满足合规及业务的个性化需求。
2、 自适应闭环
降低对业务的影响,建设云内自适应防护体系,解决云内风险不可视不可控的问题;适应未来IT架构变化,为业务提供持续的保护。
3、 自动化运营
深信服将通过建立面向云数据的中心的安全运营平台,以SOAR提升运营效率,人机共智保障运营效果,降低安全运维压力。
易管理可运营的云数据中心安全解决方案
陈立峰在会上说到,“深信服基于软件定义安全技术,帮助用户构建‘能力易集成、自动化运营的云上自适应安全架构’,保护云数据中心平台、租户及业务的安全,深化云内安全建设,并不断提升整体安全运营的效率和效果。”
此前,深信服云数据中心安全解决方案已进行全新升级,可以根据用户的上云阶段,分三个步骤逐步满足云数据中心安全建设要求:
第一步:满足云基础设施安全保护
在业务上云初期,同步做好网络安全建设,从云平台自身安全合规和业务、租户安全合规两个维度来加强基础设施安全保护:
o 云平台自身安全合规: 在安全的底层环境基础上,将云平台划分为不同的安全区域,通过不同的云租户VPC进行各单位业务系统的网络隔离等措施,同时建设安全管理中心,满足云平台自身安全合规的要求。
o 业务/租户安全合规: 基于软件定义安全技术构建安全资源池,为云租户提供按需交付的安全资源,安全资源覆盖访问控制、入侵防御、数据加密等各个方面,满足云租户个性化的安全需求,所有安全资源自动完成资源创建和网络部署,简化交付流程,提高生产效率。
第二步:云工作负载闭环保护
在云上业务进入规模运行后,针对云内资产梳理难、风险不可视、Agent占用资源多,影响业务、难以适应IT架构变化等问题,深信服推出了对业务无侵害的“CWPP云工作负载保护平台”解决方案,方案由平台+软探针(Agent)两部分构成,从云上高危资产全面清点和云内风险可视可控入手,全面适配云原生环境,实现云内自适应防护。
第三步:云安全持续运营
随着云上业务规模的逐渐扩大,依托单点的安全设备进行安全管理将显得十分低效。云数据中心安全运营中心,通过网络探针和主机探针采集云外与云内的流量和日志,全面分析和识别云平台漏洞情况和安全风险,并借助SOAR实现运营自动化。此外,可引入专业安全服务团队,实现人机共智,持续保护云上应用和数据安全。
深信服云数据中心安全解决方案在满足前面三大能力目标的同时,基于软件定义安全技术,连接云安全资源平台、云安全管理中心、云安全运营中心三部分,可持续为云数据中心的IT基础架构或业务应用输送安全能力。
政企事业单位进行数字化转型,向软件定义的基础架构转变过程中,深信服云数据中心安全解决方案能够帮助用户在快速迭代、规模庞大的云计算环境中,更好地应对安全风险,拥抱变化,并能够让云上安全管理更简单、更高效。
目前,深信服已为国家信息中心、广电总局、北京电信、葛洲坝集团等超500家知名用户进行云数据中心安全建设。未来,深信服将持续以“ 能力易集成、自适应闭环、自动化运营 ”为目标,保护云数据中心平台、租户及业务的安全,深化云内安全建设,并不断为用户提升整体安全运营的效率和效果