业界对云计算的研究及实践由来已久,但随之来而的云安全问题,需要有一套云环境中的安全建设及运维的框架和方法,同时更需要用户、云计算厂商与安全厂商多方协作实践的经验。面对这样的挑战,多年来,绿盟科技与国际云安全联盟(CSA),与全球各大开源和商用的虚拟化平台,与SDN控制器项目和厂商进行了深入合作,积累了一定的经验。
随着网络安全已成为国家层面的对抗,国内政府、企业和各大机构对自身的信息安全日益重视。2014年中国已成立了习近平总书记领导的中央网络安全和信息化领导小组,负责制定实施国家网络安全和信息化发展战略。各大企业也纷纷组建自己的安全团队和安全应急响应中心,通过专业化的安全运维提升自身的安全防护能力。
然而网络攻击数量逐年增加,安全形势不容乐观,很多传统的安全防护手段在新型的攻击下低效甚至失效。根据绿盟科技统计,在云计算信息系统方面,VMware虚拟化系统共出现过222个漏洞,其中高危52个,过去一年内中披露了11个漏洞;全球最大的开源IaaS系统Openstack共披露了68个漏洞,过去一年就有14个漏洞,其中高危1个。这些漏洞无疑为外部或内部攻击者提供了极其便利的攻击手段。在Verizon的最新的《2015 Data Breach Investigations Report》报告中提到,一次定向攻击从开始到数据窃取平均只需数小时,而防守方从攻击开始到检测完成则需数月。可见安全界亟需改造自身的安全防护体系,以快速响应应对漏洞利用攻击,以威胁情报分析应对隐秘威胁。
不仅如此,新的技术出现也在考验原有的网络安全防护体系。云计算等技术的迅猛发展,已在深刻改变传统的IT基础设施、应用、数据以及IT运营管理。特别对于安全管理来说,一些新技术,如软件定义网络(SDN,Software Defined-Networking)、网络功能虚拟化(NFV,Network Function Virtualization),既是挑战,也是机遇。
首先,作为新技术,云计算引入了新的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系,如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等许多方面。其次,云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了信息机遇,也推进了安全服务内容、实现机制和交付方式的创新和发展。
软件定义的理念正在改变IT基础设施的方方面面,如计算、存储和网络,最终成为软件定义一切(Software Defined Everything)。这“一切”必然包含安全,软件定义的安全体系将是今后安全防护的一个重要前进方向。
绿盟科技发布的软件定义安全SDS白皮书主要包含以下内容:
软件定义安全体系的设计
§ 整体方案,概述SDS整体方案及架构;
§ APPStore,包括云安全应用及相关体系架构图;
§ 安全控制平台,包括平台整体架构图及功能模块描述;
§ 安全设备资源池化,包括设备形态、部署及功能架构图;
§ 安全设备重构,包括重构思路及整体设计架构图;
软件定义的云安全实践
§ 部署模式,讲解中等规模的云计算业务系统部署方案;
§ 安全设备的交付形态,讲解支持服务链的硬件设备交付模式;
§ DDoS检测清洗,结合绿盟科技安全产品及安全控制平台实现DDoS检测和清洗
§ APT攻击检测和防护,讲解安全控制平台和安全设备协同机制;
§ Web安全应用,讲解融于IaaS/SDN的Web安全及一体化的Web安全应用
本文转载自SDNLAB,报告下载地址:http://www.sdnlab.com/13628.html