网络边界模糊,业务资源池化,多租户的出现,对传统安全架构的冲击是巨大的。对于防护类安全能力,包括防火墙、入侵防御、防病毒网关,无法对应用租户的逻辑边界。对于检测/审计类安全能力,也无法鉴别不同租户的业务流量。所以,新IT环境下的安全业务架构,不仅需要在交付方式上做出调整,还需能够满足租户个性化的需求。
新华三安全云,满足《信息安全技术 网络安全等级保护基本要求》的安全能力要求,提供灵活、稳定的安全架构。以下将从防护类安全能力架构设计、检测类安全能力架构设计、日志审计架构设计、安全虚拟化架构及安全集群四个方面阐述安全云的关键架构。
1. 防护类安全能力架构
防护类安全设备采用硬件资源池的方式进行部署,虚拟化微服务通过 Docker 方式部署,Docker之间通过开放API接口进行通信,能够使每个租户独享安全能力。每个Docker具备有独立的日志发送、独立的策略配置、独立的硬件资源,即使在单独重启后也不互相干扰。防护类安全能力通过同租户在OpenStack架构中的网关(OpenStack称之为“路由器”)关联,保证业务流量能够对应到租户专属的安全能力。
图:防护类安全能力架构
2. 检测类安全能力架构
检测类能力采用基于租户标签的流量分发方式,实现对不同租户的独立审计及检测。在云架构中,可以采用VLAN或VxLAN的方式为不同的租户划分独立的VPC。检测类能力需要根据不同的VPC,将流量对应到不同的检测设备上。通过汇聚分流平台将镜像流量进行M:N的复制分发和智能过滤,一次性接收云架构内的全部流量,随后,基于标签实现不同租户的流量分发。最后,将检测结果反馈到多租户模式下的态势感知平台上,针对每个租户进行呈现。在此架构下,不需要检测类设备支持虚拟化技术部署,就可以使安全检测能力得到弹性化扩展,同时不改变网络架构或增加流量镜像的配置,就可以使每个租户拥有专享的安全威胁展示空间。
图:检测类安全能力架构
新华三安全云,满足《信息安全技术 网络安全等级保护基本要求》的安全能力要求,提供灵活、稳定的安全架构。上篇文章介绍了防护类安全能力架构设计和检测类安全能力架构设计,以下详细阐述日志审计架构设计、安全虚拟化架构及安全集群关键架构。
3. 日志审计架构
如何实现租户内的日志审计,包括操作运维日志的审计以及业务系统的集中审计是《信息安全技术 网络安全等级保护基本要求》中所强调的技术重点。传统技术无法对租户的日志进行区分,采用物理设备的审计技术,也不能保证各个租户间的审计独立性,存在较大的合规风险。在安全云审计架构中,提供虚拟带外管理网,与业务网段完全分开,专门用于运维操作登录以及业务系统日志的收集。业务网段通过访问控制策略的配置,不允许进行运维操作,如Telnet,SSH,管理网段的HTTP/HTTPS连接。
图:日志审计架构
4. 安全虚拟化架构及安全集群架构
1) 安全虚拟化架构
安全虚拟化架构采用基于容器的虚拟化方案,是一种轻量级的虚拟化技术,在一个安全引擎内,通过唯一的OS内核对系统硬件资源进行管理,每个虚拟防火墙作为一个容器实例运行在同一个内核之上。
采用容器化技术,虚拟防火墙有独立的进程上下文运行空间,容器与容器之间的运行空间完全隔离,天然具备了虚拟化特性。攻击者无法从一个虚拟墙进入另一个虚拟墙或者获取另一个虚拟墙的数据。相比传统的VRF隔离,具有更好的数据安全性。在一个容器中,运行了完整的防火墙业务系统(包括管理平面、控制平面、数据平面),从功能角度看虚拟化后的系统和非虚拟化系统的功能是一致的(整机重启、存储格式化、集群配置等全局系统配置只能由系统管理执行)。同时进程空间的隔离实现了虚拟墙的故障隔离。
另外,由于多个虚拟墙共享统一的OS内核,可以从调度入口灵活分配每个虚拟墙的处理能力比如吞吐、并发、新建等,也可以在线动态地增加资源。最后,基于容器的虚拟化实现在容器中并不需要运行完整的操作系统,减少了由于完全虚拟化带来的内存开销,每个VFW可以直接通过内核和物理硬件交互,避免了和虚拟设备交互代理的性能损耗,所以可以支持更多的虚拟防火墙实例,而不会对系统性能造成实质影响。
2) 安全集群架构
安全集群框架高可靠性技术通过将两台设备虚拟化为一台逻辑设备,实现了管理和控制上的统一,同时组网部署更加简单,有效利用链路带宽,提高系统稳定性,大幅减少故障点带来的业务切换冲击。
为解决传统双机备份“故障出发点多”及“切换粒度粗”带来的业务冲击及性能损失问题,安全集群架构引入了引擎级备份技术。引擎级备份通技术过将主机进行安全集群框架集群,对外通过跨设备链路捆绑或者提供等价路由节点进行互联,有效利用链路带宽。对内在业务引擎之间实现备份,从而将主控、接口和业务引擎的故障解耦,可以最大程度地减少各节点故障带来的业务冲击。
单台物理设备受限于自身CPU处理能力、内存容量、硬件槽位等多方面因素,整体处理能力存在上限。传统IT部署模式下,为了满足未来三到五年的业务流量需求,通常会购买远超实际需求的高端设备,导致资源利用率低下和投资浪费。安全集群架构基于Scale-out弹性扩展方式实现多台机框的集群,实现系统性能的弹性增长。同时支持异构集群,可以将两台不同性能的设备进行集群,便于企业按需采购和部署,保护投资。多框集群的另外一个应用场景就是双活数据中心,通过跨数据中心部署多设备集群,并且在跨数据中心的两台设备之间开启会话备份,实现业务故障、业务迁移、数据中心故障等多种场景下可靠性。
可见,新华三安全云通过安全虚拟化架构及安全集群架构,将安全能力灵活分配给不同的租户或业务,满足不同业务场景需求,并且管理平台在集群基础上,还可通过Docker的方式完成业务稳定、不中断升级。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Hacking Growth
Sean Ellis、Morgan Brown / Crown Business / 2017-4-25 / USD 29.00
The definitive playbook by the pioneers of Growth Hacking, one of the hottest business methodologies in Silicon Valley and beyond. It seems hard to believe today, but there was a time when Airbnb w......一起来看看 《Hacking Growth》 这本书的介绍吧!
