5年私有云安全實踐經驗干貨分享

瑞和云圖CTO 李博士

5年前，云安全是道門，擋在你面前。

5年后，云安全有門道，開放讓你進。

我們5年的實踐經驗濃縮成一句話是：以軟件定義安全為指導思想、以安全域為基本單元、以可視化地了解全局態(tài)勢為目標，來部署企業(yè)私有云安全。

接下來，我們就展開來講，面對復雜的私有云環(huán)境，云安全該怎么來規(guī)劃、部署。

我們知道，企業(yè)用戶搭建的私有云環(huán)境通常都非常復雜。主要表現在以下幾個方面：

第一，私有云環(huán)境中，網絡邊界變得復雜。虛擬化技術打破了各種計算資源之間物理界限，使用戶可以最大化應用計算資源或者存儲能力。同時也使云計算環(huán)境中的網絡邊界，不再像傳統(tǒng)網絡中的物理邊界那樣清晰、明確。

第二，相較于公有云環(huán)境，企業(yè)私有云環(huán)境中應用的設備和系統(tǒng)多來自眾多不同的品牌，因此，各種對接問題層出不窮。在實踐中，用戶的需求往往是：不僅要能對接各種云平臺，譬如VMware、openstack、基于openstack的華為和華三云平臺，也要能對接各種SDN方案，諸如思科、華為、華三、銳捷各類SDN方案，還要能對接各種存儲系統(tǒng)，諸如EMC、華為、曙光等等。

第三，企業(yè)私有云管理變得復雜。在云計算環(huán)境中，基礎設施、計算資源、系統(tǒng)架構都可能隨著業(yè)務需求的變化而不斷發(fā)生動態(tài)的變化和調整，這無疑對管理提出了很高的要求。

以上幾個問題，若用網絡安全的語言來解讀，則變成了——

第一，以往基于物理安全域/安全邊界的防護機制，使得安全設備無法在虛擬化環(huán)境中找到防護的“邊界”。所以，要找回邊界。

第二，部署的云安全解決方案，要兼容各種系統(tǒng)、設備，處理好各種對接問題，否則無法滿足實踐中的真實需求。所以，要跨最多的平臺；

第三，若安全管理不能相應地做到可視化管理，就猶如好馬沒有配上好鞍一樣，企業(yè)私有云環(huán)境無法得到更佳的安全防護。所以，要讓安全可見。

第四，安全無小事。云安全管理要實現從安全可配、到安全可見、到安全可管、再到安全可控的閉環(huán)管理。

因此，針對企業(yè)私有云安全的部署，從實踐中，我們總結出了可行的思路和方法。

從部署思路的角度來說，要用統(tǒng)一管理的思想、全局的視角，做從上至下的整體布局和規(guī)劃；從部署方法的角度來說，應同等地注重軟件定義安全的技術實力以及最佳實踐能力這兩方面。沒有真正落地的實踐能力，技術再好，也是空談；沒有很強的技術能力，實踐上也無法達到為用戶帶來“最佳“的體驗。

瑞和云圖作為國內技術領先的云安全產品研究和研發(fā)的公司之一，一直以云安全解決方案的最佳實踐能力為公司產品研發(fā)的指導思想，現已具有多例云安全產品落地實施經驗。以云翼云安全管理平臺為核心建立起的安全產品體系能夠為用戶提供閉環(huán)的安全管理流程。

針對當前云安全領域尤其是企業(yè)在云環(huán)境應用中的安全問題，我們是怎樣來幫助用戶實現他們在云安全解決方案中的最佳實踐的呢？我們有這樣幾個主要思路：

第一，安全管理平臺化。通過一個統(tǒng)一的云安全管理平臺，找回消失的邊界，使得在虛擬邊界上重新部署安全設備成為可能。用戶通過這樣統(tǒng)一的安全管理平臺，不僅可以清晰地看到包括計算資源和網絡資源在內的各種云內狀況，還可以清晰地看到通過業(yè)務邏輯定義的安全域和安全子域，以及云內從安全域到資產各個層面的流量關系、鏈接關系等。總之，用戶就此獲得了一個超越于某一個安全領域的、更高層面的安全管控視角。

第二，安全資源池化。傳統(tǒng)的安全防護手段都是硬件物理設備部署在安全邊界上，每新建一個系統(tǒng)就要新購置一批安全設備，而且面臨著一堆實施部署的難題。通過建設動態(tài)可彈性擴展的安全資源池，在資源池里部署軟件安全設備，實現安全資源的池化。這樣，不僅可以動態(tài)擴展安全資源池的計算能力，使之超過單個硬件的處理能力，更重要的是，能夠通過對安全資源的統(tǒng)一管理，基于用戶業(yè)務需求細粒度地按需編排安全資源的使用，實現安全的敏捷可控。

第三，安全部署自動化。通過我們的解決方案，安全域的劃分、虛擬化鏡像節(jié)點的部署和安全措施的部署都可以實現自動化。這無疑使得網絡安全運維和管理變得更簡單，也更能滿足私有云環(huán)境的實際要求。

第四，安全管理的兼容性。從虛擬化平臺的角度來說，我們可以很好地兼容VMware、KVM、Xen等主流平臺；從云平臺來說，我們可以很好地兼容華為、華三、openstack等云平臺；從SDN控制器來說，我們也可以很好地兼容華為、華三、銳捷等主流SDN控制器。此外，安全資源池架構也具有很好的開放性，不僅可以部署第三方的各種軟件安全產品，包括但不限于防火墻、入侵檢測、審計、WAF等，而且無需對第三方軟件做大的改動。更重要的是，還可以兼容第三方安全產品的管理平臺。

總結來說，主導思想就是要“用軟件定義安全管理、軟件定義安全邊界、軟件定義安全服務”，通過安全管理平臺，統(tǒng)一并可視化管理私有云環(huán)境里的安全策略、安全資源、安全域等等，并通過自動化的靈活配置，滿足虛擬化環(huán)境的“隨需所取”的需求，從而為私有云的運營提供有力的、安全的防護和支撐。

如果說，總體思路是大的指導方針，那對于每一個具體環(huán)境、具體項目，有針對性的解決方案和策略則是必須的實踐措施。尤其是在面對幾大虛擬化云平臺主流，譬如VMware、華為、華三等，我們的思考和具體實踐是什么？敬請關注我們接下來的系列探討文章。

關于北京瑞和云圖科技有限公司

北京瑞和云圖科技有限公司成立于2014年，是一家專注于為企業(yè)提供完整的云計算網絡安全解決方案的軟件及服務提供商。公司由國內一批在國內網絡安全市場發(fā)展早期就投身的資深從業(yè)者共同創(chuàng)建，一直秉承“軟件定義安全、服務創(chuàng)造價值”的經營理念，立志做中國云計算網絡與信息安全的領導者。 

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。