三六零云阵云安全管理平台

需求分析

随着云计算技术的广泛普及,越来越多的业务系统将运行环境迁移到云环境中来。云环境为既有IT技术带来了明显优势,在提高原有数据中心设备使用率的前提下,提供了灵活部署、弹性扩展、在线迁移、并行割接等好处,大大提高了运维人员的工作效率。但云计算环境下,除了传统的安全问题之外,也引入了新的安全问题。

通过我们对虚拟化云计算进行安全分析发现,云计算面临的主要安全问题有:

1、云内流量不可视;

2、云内更多东西向访问、边界防护失效;

3、威胁态势无感知,虚拟化层漏洞不易修复;

4、“未知威胁”发现、溯源、防护能力弱,云计算环境中资产和数据高度集中,往往会成为攻击的重灾区,对于0Day、APT等高级威胁,利用传统的手段很难发现、溯源以及防护;

5、安全策略调整不灵活,虚机迁移时安全策略需要自动跟随;

6、网络边界消失、硬件设备无法部署;

7、虚拟化隔离性不足,比如利用“毒液”漏洞进行的虚拟机逃逸攻击发现了很多年,但现在依然经常发生;

8、安全能力分散、缺乏统一管理运营,在云计算环境中,安全产品往往是独立且分散的、缺乏联动,而且不能统一管理以及运营。

云计算环境下大量分散数据集中到云计算平台内,这些数据中包含的巨大信息和潜在价值也吸引了更多攻击者,根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)报告,网络安全事件依然持续不断爆发。随着《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》标准的发布,对云环境中的应用系统以及虚拟网络设备做出了明确的要求。

云时代的安全防护不仅要求安全防护能力能够满足相关法律法规的标准要求,同时要求云服务提供商能够向云内的租户提供相对应的安全服务能力,并且具备安全可运营的能力。

产品概述

三六零云阵云安全管理平台由态势可视化、管理平台和安全资源池组成。态势可视化集中展示云内安全运行态势;管理平台负责资产管理、安全组件管理、安全市场、服务编排、策略管理、流程管理、计量计费等安全运营;安全资源池中有主机层安全组件、网络层安全组件、应用层安全组件、数据层安全组件以及安全运维和审计安全组件等组成。

云安全管理平台作为核心组成部分,以云环境中的资产(包括业务资产和安全资产)的管理为基础,提供在资产数据上构建基于业务逻辑的安全域模型,通过对业务的抽象和与安全思维的结合,让用户在安全管理过程中更专注于安全的管理和配置。还可结合SDN网络,借助SDN控制器下发流表,定制安全服务链,下发防护策略至云安全资源池中的虚拟或硬件安全设备,真正的做到了安全策略定制化。

云安全管理平台通过安全组件管理对云计算环境内的安全设备产品进行统一策略分配,解决了灵活、按需、动态分配与调整安全策略的难题,保证安全资源池化并符合云计算的特征。

功能介绍
资产管理

对接了云平台后能够同步用户在云平台内的虚拟机资产到本地,并与用户已经开通的安全服务进行关联,用户可以直观地查看到哪些安全组件防护了哪些资产,以及资产安全事件和漏洞数据的同步。

安全组件管理

安全组件生命周期管理,租户的各种安全组件以虚拟化镜像的方式部署在安全资源池内,不同的租户分别对自己的安全组件进行配置。安全组件的创建、初始化、激活等操作在云安全管理平台自动完成。

单点登录

可以实现从云安全管理平台到安全组件之间的免账号密码登录,用户无需填写安全组件的账号密码,即可直接登录到设备的管理界面。当用户有多个安全组件需要管理时,单点登录功能可以免去大量的重复工作,而且可以避免因为遗忘设备管理账号密码带来的烦恼。

监控告警

云安全管理平台可以对上层虚拟安全资源进行实时的全面监控,包括安全资源使用情况和安全服务可用性,便于运维人员第一时间发现问题和采取措施,保障系统的连续可用,降低业务风险。

安全市场

云上业务的安全防护技术包括防病毒、防火墙、WAF、漏洞扫描、堡垒机等不同层次的安全组件。云安全管理平台整合和集成这些安全组件,以虚拟化实例的方式部署在安全资源池内,以供租户使用。

订单管理

订单管理实现了订单的在线提交、审批、执行等操作。当租户在线提交安全服务的请求后,租户的管理员或系统的管理员可以对租户申请的内容进行审核。同样也支持无需审核的模式,所有申请直接通过。

计量计费

支持按需充值许可的方式,云服务运营商可以随时自由地扩容各种安全组件的授权数量,并向云租户提供计费的安全服务,协助云运营商将安全服务真正运营起来,一次建设,持续产出。

报表管理

云安全管理平台集中汇总了各类报表,可根据需要自动生成日报、周报、月报、季报等周期性报表,也可自定义选择时间范围生成一次性报表。所有生成的报表可集中展示和管理,支持在线预览和随时下载。同时可配置报表自动发送到邮箱,提高时效。

态势可视化

提供了面向集中安全态势把控、综合安全威胁呈现、云资源安全风险展示在内的云安全态势可视化功能。态势可视化分为运营方安全态势和租户安全态势的呈现,分别对应云运营方的针对整个云资源池进行态势感知的需求以及云租户对自己所租用云资源范围内的态势感知。

技术优势

云内攻击感知

360安全大脑赋能

安全资源丰富

软件定义安全

弹性可扩展

典型应用

云安全管理平台的安全资源池是云安全解决方案的重要部分,也是用来承载安全组件的核心,安全资源池采用云计算资源池的方式部署在云数据中心内部,通过在核心设备或出口设备上引流的方式,将外部(互联网)访问云上业务的流量牵引到安全资源池内进行清洗和过滤。

安全资源池采用独立硬件平台进行部署在用户数据中心内。所有安全服务都以虚拟化NFV设备的方式进行交付。不同安全设备之间通过二层虚拟网络进行隔离。虚拟安全设备通过浮动IP与外部网络(Internet或数据中心外的网络)之间通信。

云安全资源池可提供防火墙、VPN、防病毒、web应用防护、IPS、主机安全等常用的安全能力,各功能部件以模块化方式部署,架构简单明晰,易于扩展,云上的租户可以根据实际的使用场景和业务需求进行组件的选配。

usage-scene 部署示意图

云安全管理平台建立在独立硬件环境上与已有的云平台完全解耦,可以与多种云平台实现共存。租户申请的安全服务以虚拟化NFV设备的形式运行在安全资源池内,不同的租户之间的安全设备通过虚拟网络实现逻辑的隔离。安全资源池集成丰富的安全组件供租户购买和选择。