業(yè)務(wù)挑戰(zhàn)

目前，許多組織已經(jīng)將業(yè)務(wù)系統(tǒng)遷移到云平臺上，云平臺已經(jīng)成為組織重要的IT基礎(chǔ)設(shè)施。云計算技術(shù)給傳統(tǒng)的IT基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)以及運營管理都帶來了革命性改變，對于安全管理來說，既是挑戰(zhàn)，也是機遇。首先，云計算引入了新的威脅和風(fēng)險，進而也影響和打破了傳統(tǒng)的信息安全保障體系設(shè)計、實現(xiàn)方法和運維管理體系；其次，云計算的資源彈性、按需調(diào)配、高可靠性及資源集中化等都間接增強或有利于安全防護，同時也給安全措施改進和升級、安全應(yīng)用設(shè)計和實現(xiàn)、安全運維和管理等帶來了問題和挑戰(zhàn)。

根據(jù)調(diào)研數(shù)據(jù)，云計算安全風(fēng)險是客戶所關(guān)注的重點，云計算安全已經(jīng)成為組織規(guī)劃、設(shè)計、建設(shè)和使用云計算系統(tǒng)所急需解決的重大問題之一。

解決方案

針對云計算帶來的安全問題，提出綠盟云安全解決方案，方案遵循以業(yè)務(wù)為中心，風(fēng)險為導(dǎo)向，基于安全域的縱深主動防護思想，綜合考慮云平臺安全威脅、需求特點和相關(guān)要求，對安全防護體系架構(gòu)、內(nèi)容、實現(xiàn)機制及相關(guān)產(chǎn)品組件進行了優(yōu)化設(shè)計。

基于此方案，我們推出一整套方案型產(chǎn)品——綠盟云安全集中管理系統(tǒng)（NSFOCUS Cloud Security System，簡稱NCSS），通過提供安全服務(wù)和安全運維等功能，為私有云、專有云、行業(yè)云等各類用戶提供智能、敏捷、可運營的縱深安全防御體系，全面保障云平臺用戶的安全。

????

用戶可以選擇在綠盟云安全集中管理系統(tǒng)內(nèi)運行各類虛擬化安全設(shè)備，實現(xiàn)對云租戶的個性化防護需求。

系統(tǒng)安全資源池中各類安全產(chǎn)品可提供相應(yīng)的安全能力。系統(tǒng)可提供安全產(chǎn)品開通、調(diào)度、服務(wù)編排，以及安全運維功能；提供安全策略管理、配置管理、安全能力管理、安全日志管理等與特定安全應(yīng)用密切相關(guān)的功能。在全方位保障云環(huán)境安全的基礎(chǔ)上，使安全管理可視化、有效化。

方案優(yōu)勢

1、適應(yīng)性廣，安全功能多        

支持VMWare、OpenStack云平臺，以及基于KVM、Xen的各種定制化云平臺。同時，可以支持物理的、虛擬化、SaaS化的安全資源類型，提供多種安全能力。

2、模塊化架構(gòu)，可靈活擴展        

系統(tǒng)采用模塊化架構(gòu)，根據(jù)應(yīng)用場景和需求的不同，可以選擇和部署相應(yīng)的安全資源、安全應(yīng)用，滿足經(jīng)濟性、合規(guī)性要求。

3、彈性資源，收放自如            

通過資源池化技術(shù)、負載均衡技術(shù)、熱遷移技術(shù)的能力，可以對外提供安全、彈性的安全功能，自如的進行擴容、縮容。  

4、全程自動化，可快速部署        

運用SDN、NFV技術(shù)，用戶通過系統(tǒng)可以按需、自助的進行安全能力的開通。同時，可以根據(jù)業(yè)務(wù)需要，實現(xiàn)多種安全設(shè)備的協(xié)同防護，抵御各類安全攻擊事件。

5、基于安全域的縱深防護體系        

對于云計算系統(tǒng)安全域邊界的動態(tài)變化，通過相應(yīng)的技術(shù)手段，可以做到動態(tài)邊界的安全策略跟隨。基于安全域設(shè)計相應(yīng)的邊界防護策略、內(nèi)部防護策略，部署相應(yīng)的防護措施，從而實現(xiàn)多層、縱深防御，才能有效的保證云平臺資源及服務(wù)的安全，從而構(gòu)造縱深防護體系。

客戶價值

1、為云環(huán)境構(gòu)建全方位的防護體系        

對客戶云平臺做深入分析，根據(jù)其資源和安全需求，從物理基礎(chǔ)設(shè)施、虛擬化、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等層面設(shè)計、建設(shè)和運維一套從點到面的全方位防護體系，為客戶的云環(huán)境提供持續(xù)全面地安全保障。

2、提供可控靈活的安全防護能力        

通過安全能力抽象和資源池化，系統(tǒng)可將安全設(shè)備抽象為具有不同能力的安全資源池，并根據(jù)具體業(yè)務(wù)規(guī)模橫向擴展該資源池規(guī)模，滿足客戶安全性能要求。后期還可以隨著客戶云環(huán)境的擴容進行安全資源池的靈活擴展，滿足客戶對安全服務(wù)能力的需求。

3、內(nèi)部人員可集中運維        

簡單、易用的運維平臺可對云內(nèi)虛擬化安全設(shè)備進行統(tǒng)一運維管理，可大幅度降低客戶運維成本的投入，提高運維管理效率。

4、向云遷移滿足等保合規(guī)要求        

通過構(gòu)建安全監(jiān)測、識別、防護、審計和響應(yīng)的綜合能力，有效抵御相關(guān)威脅，保障云計算資源和服務(wù)的安全，使客戶在向云遷移的過程中滿足監(jiān)管與合規(guī)性要求。

應(yīng)用場景

本方案適用于私有云、混合云、專有云、行業(yè)云等各類云平臺的安全防護。既適用于原生服務(wù)器虛擬化、云平臺的場景，也可以使用在SDN和NFV的場景中。

這里我們重點了解一下基于SDN的安全方案，也就是軟件定義安全的應(yīng)用場景。SDN技術(shù)的出現(xiàn)，特別是與網(wǎng)絡(luò)虛擬化結(jié)合，給安全設(shè)備的部署模式提供了一鐘新的思路。軟件定義的理念正在改變IT基礎(chǔ)設(shè)施的方方面面，如計算、存儲和網(wǎng)絡(luò)，最終成為軟件定義一切（Software Defined Everything）。這“一切”必然包括安全，軟件定義的安全體系將是今后安全防護的一個重要前進方向。

典型案例

1、運營商行業(yè)典型案例        

該公司作為國內(nèi)領(lǐng)先的運營商，是推動西部信息化建設(shè)的主要力量之一。在混合云平臺建設(shè)中，面臨云平臺的安全防御既無成型解決方案，也沒有相關(guān)產(chǎn)品和技術(shù)的問題。為此，引入綠盟云安全解決方案，可及時發(fā)現(xiàn)混合云已存在的安全隱患，預(yù)警未知的安全隱患；有效降低混合云面臨的安全風(fēng)險，并滿足等保合規(guī)要求。保障該運營商混合云相關(guān)業(yè)務(wù)順利上線和順暢運行。

2、政府行業(yè)典型案例        

隨著某市政務(wù)部門信息化建設(shè)的大力推進，由此衍生的資源需求，對政務(wù)外網(wǎng)云平臺性能要求達到了前所未有的新高度，因此保障業(yè)務(wù)應(yīng)用系統(tǒng)安全可靠運行的需求越來越迫切。為了解決信息資源共享率低、業(yè)務(wù)安全得不到保障等問題，該信息中心引入綠盟云安全集中管理系統(tǒng)。通過部署安全資源池和安全運維管理平臺，統(tǒng)一管理云內(nèi)安全設(shè)備，提供云環(huán)境內(nèi)異常流量監(jiān)測、安全區(qū)域劃分、漏洞掃描、數(shù)據(jù)安全防護等安全能力，構(gòu)建了一個技術(shù)先進、安全可靠、服務(wù)完備的政務(wù)云平臺，保障和促進云計算業(yè)務(wù)的持續(xù)發(fā)展。