安全上云?看東軟 “云啟”(NCSS)如何做
如今,云計算的發展已經到了“落云為雨”的階段,隨著虛擬化和云計算技術的不斷完善,對于當下的企業而言,面臨的問題不再是“上不上云”,而是“上哪朵云”?而在此過程中,上云之后所面臨的新的安全問題,也成為制約云計算發展與企業用戶向云中遷移的首要問題。
在網絡安全領域,有這樣一家“老兵”級的安全廠商,自1996年成立以來,已在安全領域深耕二十余年。在云安全領域,東軟安全亦屬于起步較早的廠商之一。在企業上云成為不可阻擋的趨勢的當下,東軟NetEye也推出了面向云平臺的安全防護產品——東軟“云啟”NCSS(NetEye Cloud Sceurity System)。
綜觀當下的云安全現狀與防御態勢,并不樂觀。與根據來自思科的最新全球云智數報告顯示:數據中心的內部流量,即東西向流量比重正在持續增加,到2020年將占比超過85%。同時,在云環境中,DDoS、基于漏洞的網絡攻擊等惡意攻擊行為依然頻繁發生。而傳統的云平臺邊界式安全解決方案防護模式,并沒有為云內部東西向流量提供威脅檢測和隔離機制,讓云平臺內部成為了安全盲點。今年在我國,隨著《網絡安全法》的頒布實施以及等保2.0中對云計算安全明確提出了“能監控、識別虛擬機之間的流量”的安全要求,也讓企業對于云中的安全防護面臨著一系列新的挑戰。
在這樣的背景之下,東軟“云啟”又是如何應對云安全下的一系列挑戰的?
東軟集團網絡安全事業部云安全產品經理崔進
在東軟NetEye“云啟”(NCSS)產品發布會上,東軟集團網絡安全事業部云安全產品經理崔進向我們詳細介紹了東軟“云啟”的特色之處。
據了解,東軟“云啟”采用的是管理平面與業務平面相分離的模式,由vSMC和vSPM兩部分組成。vSMC虛擬安全管理模塊為管理平面,負責內部可視化、安全配置管理,以及對業務平面的調度。vSPM虛擬安全防護模塊為業務平面,負責具體執行安全功能,實現安全防護。東軟“云啟”通過引流、虛擬機圍隔離以及可視化等技術,為用戶提供全方位的云計算環境內部安全解決方案。
基于微隔離的技術,東軟“云啟”為每個虛擬機提供了貼身防護,通過引流技術,東軟“云啟”也可以將每個虛擬機的流量牽引至虛擬安全防護模塊(vSPM)中進行威脅檢測,從而發現并阻斷東西向流量的安全威脅。對此崔進認為:“在未來的一段時間內,微分段技術一定會成為云計算數據中心的標配。基于目前云安全的特性,微分段是云安全的一個剛需,微分段實現微隔離,這是符合云計算安全要求的,微分段是一個云安全技術發展的必然成果和安全手段。”
“對于不可見的東西,人本會本能地恐懼。”崔進說道。由此,實現云平臺內部的流量及應用可視化,從而對虛擬機之間的檢測與隔離、網絡攻擊的審計與溯源等便顯得尤為重要。在東軟“云啟”中,虛擬安全管理模塊(vSMC)便是用來收集并分析虛擬機之間的數據通信,其中包括不同端口之間的流量。同時,東軟“云啟”還可以為用戶呈現云平臺中指定時間段內的新增流量,幫助用戶掌握云內部的細微變化。借助深度可視化技術,東軟“云啟”可識別出虛擬機流量中的具體應用類型,并在此基礎上提供流量與應用控制功能,可以虛擬機間的業務訪問進行細粒度的權限控制,以過濾非法訪問,保護業務安全。
通過虛擬安全管理模塊(vSMC),東軟“云啟”實現了集中管理,使得用戶通過單一管理界面即可實現整個云平臺的統一安全部署和管理,實現了一點觸發、多點生效。
除了可視化之外,對DoS/DDoS攻擊的防御、以及先進的入侵防御技術也是東軟“云啟”的主要功能特色。據了解,東軟“云啟”能夠精確識別和準確防范眾多的DoS/DDoS攻擊,并進行有效檢測和防御,實現攻擊的智能防范,最大限度地保障用戶的網絡層及應用層網絡安全。入侵防御模塊(IPS)則是基于具有自主知識產權及國際專利技術的東軟事件描述語言(NEL)引擎,以及超過3000種攻擊防御簽名,支持對已知和未知網絡及應用層攻擊的檢測及防御。
在部署方面,東軟“云啟”為純軟件產品,無任何硬件支持要求,部署過程中也無需虛擬機系統上部署任何代理插件或客戶端;并支持虛擬機遷移、支持基于虛擬機的訪問策略、支持動態策略自動遷移、支持彈性擴縮等,具備自動化適應的特色。并支持VMware?vSphere5.1/5.5/6.0等虛擬化平臺。
基于東軟NetEye 20多年的安全能力和歷史,安全技術和行業經驗的積累對于云安全產品的性能和功能研發都起到了巨大的支持作用。在談及東軟“云啟”的特色時,崔進向記者說道:“我們對產品的要求就是符合客戶使用場景,靈活安全。東軟“云啟”是基于微分段的云安全系統,是基于用戶使用場景的一款安全系統,但我們融合了很多其他的技術特色,并且接受客戶云環境的獨特定制。依托東軟安全較雄厚的技術積累和行業經驗,我們在云安全的解決方案的研發中,也會少走很多彎路,會有更多的技術質量保障。”
在此,更加值得一提的是,東軟安全的每次產品發布,與其他廠商也略有不同。正如在發布會的當天,東軟網絡安全事業部副總經理路娜所說的那樣:“東軟安全的產品是有實踐才會有發布,這是東軟安全歷來的風格。”
作為一家低調務實的安全廠商,此次東軟“云啟”亦是在大量技術積淀及優秀的實踐案例后正式發布的。據悉,東軟“云啟”在2016年下半年便開始投放市場,至今已在多個行業應用并獲得肯定。“東軟‘云啟’在投放期間也經過了很多的功能新增、性能加強等。到了今年上半年,各個用戶運行的“云啟”系統已經相對平穩,反饋也不錯。相信隨著我們產品的不斷進步,將能幫助更多行業的云計算系統保駕護航。”崔進說道。
可以預見的是,未來的云安全將是一片很大的市場,而在這個市場中的博弈需要的是真正符合用戶需求、滿足云安全防護的產品和技術實力。隨著國家對云安全的愈發重視,企業對云安全的需求也將進入一個新的階段。但對于安全廠商而言,腳步還將不僅止步于此。
因此,在當天發布會采訪的最后,在談及對未來云安全市場的看法時,崔進也進一步說道:“對企業而言,法規層面所規定的如果都做到了,會做到相對的安全,但市場上實際需求層面需求會比法規要求更多,安全廠商不能僅僅幫助用戶做到合規,更要幫助用戶做到符合實際的使用需求。未來,我們的安全產品和安全服務會以實際需求為目標,以國家標準為基礎去進行產品的更新升級策略。”
