數據中心的“雲化”和傳統邊界防護的“困局”
來自RightScale連續兩年(2015~2016)的調查報告指明,雲計算(特別是混合雲)正在被越來越多的企業採用。而私有云的快速增長對雲計算的整體部署量起到了很大的推動作用。從雲平臺類型的分佈上看,VMware獲得了絕對優勢,佔據了近一半的份額,而且具備進一步的上升空間。
圖1 雲平臺類型分佈
雲計算的相關技術特點及其應用模式正在使網絡邊界變得模糊,這使雲數據中心對於邊界安全防護的需求和以往的應用場景相比有所不同。對於解決雲數據中心的邊界安全問題,傳統網關技術水土不服,而此時更需要為“雲化”的數據中心提供一套針對性的、量體裁衣的安全解決方案。
在雲計算環境中,計算資源(虛擬機)高度集中,並且具有動態遷移的屬性,很容易跨越既定的安全邊界,這些使得傳統物理環境中基於網絡拓撲劃分管理區域的方式不再適用。
圖2 基於邊界的安全防護
再者,一旦邊界防護被突破,則諸如蠕蟲病毒之類的惡意代碼可以很容易由被感染的機器擴散到區域內部其他機器。或者被當作肉機,使得攻擊者可以肆無忌憚地入侵其他機器,進而演變為APT攻擊,造成更大的破壞。
而將傳統的物理防火牆直接部署到雲計算環境中,可以解決進出數據中心(南北向)流量的過濾,但對於數據中心內部主機及虛機之間(東西向)流量的防護則有些勉為其難。即便是對於不同網段的流量,也需要轉到主機外側的防火牆,過濾之後再返回給主機內部的目的虛機(如圖3所示),這顯然存在著性能缺陷。而在同網段內部,流量在虛擬交換機內部完成轉發,外置防火牆根本獲取不到,安全防護無從談起。
圖3 虛擬化環境中的防火牆防護
來自Cisco的最新的全球雲指數報告顯示,數據中心中的東西向流量比重持續增加,到2020年佔比將超過85%。這種情況下,我們如何解決雲環境中的安全防護呢?
微分段
為了更好解決上述問題,“微分段”技術應運而生。微分段(微隔離)摒棄了傳統的安全域的概念,直接將安全的邊界聚焦到單機層面,可以針對單個虛機部署安全策略,大大縮小了安全防護區域的範圍。這樣,即便是某個VM(虛機)感染了惡意代碼,由於同網絡內部的虛機皆處於被防護狀態,可以有效阻止惡意代碼進一步擴散。
在微分段架構中,相當於為每個虛機單獨部署了一臺防火牆,當虛機遷移到其他物理主機時,與其相關的安全策略將會“同步遷移”,從而保證與vMotion操作友好聯動,安全隨動遷移。
圖4 微分段防護
東軟雲安全系統NCSS
圖5 東軟NCSS
東軟NetEye適時推出面向雲平臺的安全防護產品——東軟NCSS(NetEye Cloud Security System),幫助用戶解決當前面臨的雲安全問題。東軟NCSS採用管理平面與業務平面相分離的模式,由vSMC和vSPM兩部分組成。vSMC虛擬安全管理模塊為管理平面,負責內部可視化、安全配置管理,以及對業務平面的調度。vSPM虛擬安全防護模塊為業務平面,負責具體執行安全功能,實現安全防護。東軟NCSS通過引流、虛擬機微隔離以及可視化等技術,為用戶提供全方位的雲計算環境內部安全解決方案。
技術亮點
➤阻斷攻擊橫向蔓延
現有的雲平臺邊界式安全解決方案並沒有為雲內部東西向流量提供威脅檢測和隔離機制,這使得雲平臺內部成為了一個安全盲點。一旦某臺虛擬機被攻陷,則整個雲平臺都岌岌可危。東軟NCSS提供的“虛擬機微保護”技術為每個虛擬機提供了貼身的“大內侍衛”。通過引流技術,東軟NCSS可將每個虛擬機的流量牽引至虛擬安全防護模塊(vSPM)進行威脅檢測,發現並阻斷東西向的安全威脅,阻止攻擊在雲平臺內部的橫向蔓延。
➤流量可視化
東軟NCSS的虛擬安全管理模塊(vSMC)能夠收集並分析虛擬機之間的數據通信,包括不同端口組之間的流量。同時,東軟NCSS還可為用戶呈現雲平臺中指定時間段內的新增流量,幫助用戶掌握雲內部的細微變化。藉助深度可視化技術,東軟NCSS可識別出虛擬機流量中的具體應用類型,並在此基礎上提供了流量與應用控制功能,可對虛擬機間的業務訪問進行細粒度的權限控制,以過濾非法訪問,保護業務安全。
➤簡單高效集中管理
在管理方式上,東軟NCSS通過虛擬安全管理模塊(vSMC)實現集中管理, 用戶通過單一管理界面即可實現整個雲平臺的統一安全部署和管理。大大簡化了用戶使用難度,真正的實現了一點觸發,多點生效。
應用場景
圖6 應用場景
東軟NCSS將原來同一網絡下不能實現彼此間管控的虛擬機通過虛擬機微隔離、專業的引流技術,在透明模式且不影響用戶原有網絡拓撲的前提下,彼此隔離開來。進而實現虛擬機之間的流量管控,並且很好的支持了雲平臺的彈性擴縮、自由遷移等特性,為時下新興的互聯網架構提供了全方位的安全保障。
相關推薦
