隨著《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等系列標(biāo)準(zhǔn)的發(fā)布,標(biāo)志著國(guó)家網(wǎng)絡(luò)安全要求進(jìn)入了2.0的時(shí)代。2.0要求和1.0相比,最大的變化莫過于涵蓋了云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新的技術(shù)領(lǐng)域。尤其是在云計(jì)算安全方面,業(yè)務(wù)、數(shù)據(jù)等上云后,安全問題不再由用戶方獨(dú)立負(fù)責(zé),更多的依賴云平臺(tái)的安全防護(hù)等級(jí)以及能夠提供的安全能力。云計(jì)算安全擴(kuò)展要求即“云等保”的出臺(tái),無(wú)疑為云安全建設(shè)思路指明了方向。
和通用安全要求一致,云計(jì)算安全也將圍繞“一個(gè)中心,三重防護(hù)”的思路進(jìn)行建設(shè)。一個(gè)中心指安全管理中心,三重防護(hù)包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全技術(shù)環(huán)境。“云等保”中也重點(diǎn)對(duì)這四個(gè)方面進(jìn)行了詳細(xì)的要求闡述。但又與傳統(tǒng)網(wǎng)絡(luò)不同,云計(jì)算環(huán)境中存在云平臺(tái)和租戶多重視角,從而使得云網(wǎng)絡(luò)更加立體,防護(hù)手段也需多維立體。
圖1 一個(gè)中心三重防護(hù)思路框架
1.云等保對(duì)云網(wǎng)絡(luò)安全建設(shè)方案提出的新挑戰(zhàn)
1、云網(wǎng)絡(luò)如何分區(qū)分域?
分區(qū)分域一直以來(lái)都是等保要求的核心保障,做好區(qū)域劃分是網(wǎng)絡(luò)安全等級(jí)保護(hù)的第一步。而云計(jì)算網(wǎng)絡(luò)的優(yōu)勢(shì)則是動(dòng)態(tài)的、彈性的、可擴(kuò)展、可遷移的,難以將邊界固定下來(lái)。業(yè)務(wù)上云后,如何進(jìn)行安全域的劃分和隔離,一直是困擾用戶的問題。
2、云租戶如何配置安全策略?
傳統(tǒng)網(wǎng)絡(luò)中,安全的建設(shè)和運(yùn)維僅由用戶獨(dú)立負(fù)責(zé),用戶方管理員可直接維護(hù)安全策略;而云網(wǎng)絡(luò)中,安全產(chǎn)品主要部署在云中,用戶接觸不到實(shí)際環(huán)境,對(duì)用戶來(lái)說可能形成一個(gè)管理盲區(qū),用戶方作為其中一個(gè)租戶,無(wú)法完全自主掌控策略。而云等保則要求“應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力”,對(duì)租戶維度的策略管理能力提出了明確的要求。
3、如何通過云平臺(tái)實(shí)現(xiàn)安全資源的統(tǒng)一管理?
等保2.0和1.0相比,著重強(qiáng)調(diào)了集中管控,要求“應(yīng)能對(duì)物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配”。云計(jì)算環(huán)境中,存在資源分配、調(diào)度等操作,管理、維護(hù)成本更高。另外,云網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)相比又增加了運(yùn)營(yíng)屬性,如果能在云平臺(tái)上實(shí)現(xiàn)安全資源的統(tǒng)一管理,更有利于完善計(jì)費(fèi)體系,形成一體化的運(yùn)營(yíng)。
2.新華三云等保解決方案
紫光旗下新華三集團(tuán)(以下簡(jiǎn)稱新華三)通過多年網(wǎng)絡(luò)安全領(lǐng)域技術(shù)的積累并結(jié)合豐富的云計(jì)算項(xiàng)目建設(shè)經(jīng)驗(yàn),提出了“云網(wǎng)安一體化”建設(shè)方案。通過將安全資源池與云平臺(tái)的深度融合,形成“一個(gè)云平臺(tái)三種資源池”的云安全等級(jí)保護(hù)解決方案。
圖2 云安全等級(jí)保護(hù)方案
三種資源池包括了防護(hù)資源池、檢測(cè)資源池、運(yùn)維審計(jì)資源池,一個(gè)云平臺(tái)指的是僅需通過一套云管理平臺(tái)即可實(shí)現(xiàn)安全資源、網(wǎng)絡(luò)資源、計(jì)算資源的統(tǒng)一管理。安全能力覆蓋區(qū)域隔離、通信加密、邊界防護(hù)、訪問控制、身份鑒別、安全審計(jì)、病毒防范、入侵防范、運(yùn)維審計(jì)、集中管控、漏洞管理、系統(tǒng)加固等。
新華三云安全等級(jí)保護(hù)方案,將安全和網(wǎng)絡(luò)打通形成有效的邊界防護(hù),利用VPC技術(shù)以及安全服務(wù)鏈技術(shù)實(shí)現(xiàn)云網(wǎng)絡(luò)的分區(qū)分域,通過東西防護(hù)資源池與SDN控制器的配合完成VPC內(nèi)部的區(qū)域劃分,進(jìn)而形成虛擬數(shù)據(jù)中心的三級(jí)網(wǎng)絡(luò)劃分。
新華三多年來(lái)一直致力于打造安全即服務(wù)的云計(jì)算平臺(tái),將安全能力資源化,并作為一種云端服務(wù)提供給租戶。租戶登錄云平臺(tái)后即可同時(shí)申請(qǐng)網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、安全等多種資源,并可以在云平臺(tái)上直接配置和管理,即可滿足等保要求的安全策略管理和集中管控要求,又能按需購(gòu)買、靈活部署,進(jìn)而實(shí)現(xiàn)成本投入的合理規(guī)劃。
圖3 安全即服務(wù)
3.新華三云等保解決方案的價(jià)值
新華三云等保解決方案的設(shè)計(jì)充分考慮了網(wǎng)絡(luò)安全等級(jí)保護(hù)的基本要求和安全設(shè)計(jì)要求,為用戶打造即合規(guī),又實(shí)用的安全云環(huán)境。新華三能為用戶帶來(lái)的價(jià)值包括:
1、整體交付
新華三是為數(shù)不多的具備云、網(wǎng)絡(luò)、安全整體交付能力的綜合廠商。云、網(wǎng)絡(luò)、安全深度融合,形成安全與網(wǎng)絡(luò)協(xié)調(diào)聯(lián)動(dòng)、安全和云的高度集成。可提供完整的交付方案。
2、安全合規(guī)
新華三云等保解決方案充分適配等保要求,除安全技術(shù)能力外,還具備強(qiáng)大的安全服務(wù)能力,能更好的應(yīng)對(duì)等保要求中安全技術(shù)和安全管理兩大部分。同時(shí),安全服務(wù)能力也與云平臺(tái)形成聯(lián)動(dòng),用戶可在云端申請(qǐng)安全專家服務(wù),即可體驗(yàn)風(fēng)險(xiǎn)評(píng)估、安全協(xié)維、滲透測(cè)試、應(yīng)急響應(yīng)等服務(wù)。
3、成本節(jié)約
新華三云等保解決方案以軟件定義安全為核心,將安全服務(wù)化。用戶可以根據(jù)自身業(yè)務(wù)安全等級(jí)的需求,按需使用,而不需要按傳統(tǒng)方式前期購(gòu)置大量的軟硬件設(shè)備,大大地節(jié)約了成本。