随着越来越多的云计算应用不断的被开发出来,企业、政府、个人用户也正逐渐从了解云计算转变为进驻云计算和使用云计算。2015年云计算迎来了“化云为雨”真正落地的最佳契机,由政府主导的政务云成为了推动云计算从概念走向应用的核心动力。
政务云的安全挑战
在企业云计算的建设中,考虑到企业商业信息的敏感性,大多数企业都以私有云为其首选的云计算建设方案。虚拟化技术是当前企业构建私有云的核心技术之一,虚拟化技术能够为其使用者提供快速灵活的资源管配能力,通过对原有物理资源的使用方法的重新定义,利用资源池技术消除了原有的物理资源的使用限制,把资源集中起来统一管理再以更细粒度的方式对资源进行重新分配,让多个虚拟机可以在同一个物理硬件上运行,也让虚拟机可以被按需的分配在任意的物理硬件上,甚至可以在不同的硬件中进行漂移。这种复杂而灵活的管理方式得益于云计算环境中所存在的云管理平台,由于硬件的虚拟化和服务的软件化,使得云管理平台可以以软件定义的方式按需的申请资源、部署资源、调度资源。云计算的这种技术实现方式既是其优势所在,同时也是安全的问题所在。
在云计算引入虚拟化技术后,物理资产变成了虚拟机,传统网络环境中用来进行安全隔离的物理资源边界、网络边界都不再存在,基于物理安全设备的传统安全解决方案变得难以部署和实施。在这种情况下,大多数企业都只能在整个云环境的物理边界部署一些传统的如防火墙、入侵检测等的安全设备,而这就使得安全运维管理人员面对整个云环境时犹如面对一个黑盒,完全无法查看和管控云环境内的安全情况。黑盒状态的云环境使得其中的安全问题往往难以发现、难以定位、难以防护、难以运维和管理。发生安全问题的实体通常是虚拟化形态的资产,如虚拟机,当虚拟机被云管理平台动态调度配置时,若安全设备不能够被集中管理和按需分配,那么这种虚拟化资产的弹性调整会使得原本部署在固定位置上的安全设备失去防护的目标。因此,为了使得云环境的黑盒变得透明,为了让安全防护能够跟随被防护目标按需弹性调整,在云计算环境中,我们不仅需要用云管理来管理和调度业务资源,也需要有云安全管理来基于业务资源的弹性变化按需的配置和部署相应的安全防护功能。
在政务云的建设过程中,不仅要面对企业私有云中由于虚拟化技术带来的安全问题,还需要考虑政务云的形态和运营方式所带来的安全挑战。#p#
如何确保政务云安全?
保证电子政务系统的安全不仅仅在于可以提供稳定可靠的政务服务,更同时是国家信息安全的一种直接体现。政务云从体系架构和安全需求上都对安全管理有着更高的要求。与企业私有云不同,政务云不仅需要利用云服务提供商所提供的基础设施来运行各种业务系统和服务平台为政府部门日常办公和公众政务提供服务,更需要借助云服务提供商的专业运维管理能力来提高电子政务的IT服务运维管理水平,并降低成本。因此政务云通常都采取租用第三方云服务的方式来提供服务,这种模式使得云服务提供商对政务云中的资产和数据具有很高的访问和控制权限。在此运营服务模式下,安全管理的独立性就显得尤为重要,若不能将政务安全管理从云运营服务方的云基建设施管理中独立出来,那将不能客观的评价政务云环境中的安全状况,容易在安全建设的过程中产生缺陷和盲点。在安全管理和运维过程中,云管理平台作为整个云计算环境的管理中心,它更不应该亦成为安全管理中心,云管理平台自身的安全运行需要被保证,云管理过程的操作更需要被审计,因此独立的云安全管理平台将作为整个云管理的监护人,时刻保障政务云环境的安全、保证云环境中业务运行的安全。
虽然一些云管理平台也可以提供部分安全功能,如部署虚拟防火墙和配置ACL策略等,然而,系统化的安全防护体系需要由分析、审计、监测、防护、运维等多种专业安全功能协同完成,这些往往是云管理平台所无法提供的。云安全管理平台的设计初衷即为了解决云计算环境中的安全防护体系的构建问题,并通过其专业的安全管理和部署能力,实现按需的对安全资源的管理调度,以适应业务资源弹性动态变化的特性。将安全管理独立于云管理也更利于整个云环境中安全系统的不断自我完善和扩展,而不易受到云管理系统的制约和影响。而从管理权限和安全级别上来看,安全管理也应该高于云管理,这样在安全管理过程中才能够对云管理过程实施全面的监控和运维保障。
云安全管理平台能够提供更加专业和完整的安全解决方案,而并不是仅仅提供部分安全功能,特别在云计算环境下,安全需要协同和配合,相对于集成部分安全功能的云管理平台,专业的云安全管理平台将能够更加有效的协同各类安全产品形成一个完整的安全防护体系。在企业云和政务云的安全解决方案中,云安全管理平台应该成为云监测、云审计、云防护和云运维的中心。这是因为在所有安全产品中,云安全管理平台具备其他类安全设备所不具有的全景安全感知和分析能力,包括从云基建设施到虚拟机的深度视角,以及遍及整个网络环境中所有资产和业务应用的广度视角。云计算环境中,资产和网络都会随着云管理的业务需求而发生改变和调整,而无论是传统安全设备还是虚拟化形态的安全设备自身都无法发现这种变化,无法感知虚拟机的创建和迁移,亦无法感知网络逻辑边界的变化。云安全管理平台可以通过对云管理平台、虚拟机和虚拟网络的全方位探测和感知,来发现任何的资产和网络的变化,从而按需的调整安全设备的部署,来保证安全防护的完整性和有效性。从另一个角度说,云安全管理平台将负责整个云计算环境中安全资源的运维和生命周期的管理。这种安全运维和管理不应该由云管理方发起,而应该由云安全管理平台通过对云环境资产、网络等各种信息的独立的采集、汇总、分析、审计后,以从安全的专业视角来进行管控。#p#
CloudSOC云安全管理平台建立全面防护体系
作为国内信息安全领导厂商的启明星辰集团依托十几年在信息安全管理领域积累的先进经验并结合在云安全方面多年的深入研究,在传统SOC所提供的安全管理和日志审计的基础上,推出了CloudSOC云安全管理平台。该平台可整合各类传统和虚拟化安全产品,独立构建完整的云安全解决方案。CloudSOC云安全管理平台拥有先进的云安全监测、云安全审计、云安全防护、云安全运维等功能,能够很好的契合政务云的安全需求,构建立体化、多维度、敏捷快速的安全防护体系。
CloudSOC云安全管理平台利用分布式高性能的虚拟化数据采集技术,主动感知并跟踪云计算环境中各种资产、资源的变化,通过各种可视化的展现方式来提供全方位的实时云监测能力。CloudSOC云安全管理平台通过自身提供的包括网络行为审计、大数据多维深度分析、业务应用监控等方面的安全分析、审计能力让安全“由虚转实”,不再不可见,用户可以真正看见云环境中的安全情报、态势,并能够基于各种分析、审计结果进行相应的安全响应和处理。在安全防护体系的构建和整合方面,CloudSOC云安全管理平台以软件定义的方式提供对网络安全边界的管理,通过流量重编排技术,让传统网络安全设备不需要关注云环境中的资产和网络的变化情况也能够获取其需要分析和监测的网络流量。基于此技术,CloudSOC云安全管理平台能够有效整合和兼容市场上大多数品牌和型号的传统物理安全产品。在云安全运维管理方面,启明星辰将通过其各行业的安全管理专家和专业的安全运维团队,借助CloudSOC云安全管理平台所提供的云安全运维管理功能和工具为用户提供最及时、最专业的云安全管理运维服务。总之,结合CloudSOC提供的安全管理能力,启明星辰能够为政企云在安全方面构建可靠、可见、可信、可控的完善的云安全管理体系。
