云安全—华丽大幕背后的危机云安全

翻开人类历史发展的档案,社会进步是伴随着人类对新科技的不断探索和应用而成长的。一次又一次技术革命,使人类对客观世界的认识发生了巨大飞跃,改造世界的能力发生了革命性变革。科学技术的每一次进步,都使人类更加解放自己,使经济、社会和人类文明上升到新的层次。科学技术的每一项成果,都使人类进一步解放双手。从石器、铁器、蒸汽到电气时代,人类文明在一次次技术革新中发展,并且发展的速度日益迅速。进入信息时代,一项项IT产业的进步,不仅极大地提高了人类的生产力,也在深刻改变着人们的思维和生活方式。今天,人们获得信息的方式已经发生了翻天覆地的变化,我们可通过互联网更快、更便捷的获取最新信息。但在我们要想随时获取到信息仍然存在障碍。而云计算技术的发展和成熟为这方面带来一场划时代的革命。

任何一项新技术从发展历程上看,都必须历经考验才能成熟,当前影响云计算发展首要关键无疑是安全问题,云时代的IT架构改变了IT资源的存在形式和组织形式,由于数据的聚积,安全问题的影响也必然经历量变到质变的过程,信息云计算的美好前景让大家趋之若鹜,然而信息安全问题的严重性又让很多人望而却步,我们经历了PC时代和互联网初期重应用轻安全,出问题亡羊补牢的历史;云技术变革就在眼前,我们不能犯同样的错误,应用与安全齐飞,才能让这繁花如锦的云计算建设更加安全平稳。

天融信云计算安全框架
结合NIST关于云计算定义中5个特点,可以如下理解云计算:
a)    按需自服务;
b)    资源池化;
c)    快速弹性可扩展;
d)    广泛的网络接入;
e)    可测量性;
f)    多租户架构;
针对云计算在IaaS云, PaaS云,SaaS云,我们设计了三层云安全架构:
    

并且有丰富的实战案例表明天融信拥有领先在云安全防护能力。

广东电信云计算平台运维管理解决方案

随着广东电信云计算平台建设的逐渐深入,当前已经建立起新大岗、马场等计算资源平台。但是在建设云计算的过程中云安全问题,已经成为云计算的一个重点关注的问题。其中由于云计算资源平台快速部署的业务和经营支撑系统的不断增加,并且网络规模迅速扩大,如果还采用原有的由各个系统分散管理用户和访问授权的管理方式,使的账户和口令的安全性受到了极大影响,造成业务管理和安全之间的失衡。因此原有的账户口令管理措施已不能满足广东电信目前及未来业务发展的要求,因此设计云计算平台运维管理解决方案。  方案部署详图
 
考虑到云计算平台的复杂性,在安全域内配置多台网络运维审计系统,完成各区域的运维审计工作。运维审计平台可以很好的适应云计算的多租户要求。


扬州政务云成功案例

扬州作为南京都市圈和上海经济圈的节点城市,信息化建设一直走在江苏省的前列。根据扬州市政府数据资源云计算中心未来发展规划,扬州市电子政务外网划分为公共服务和综合办公两套子网。其中公共服务子网主要承载政府网站群等对外公共服务,综合办公子网主要承载各部门内部办公及政府部门重要应用系统。该中心可容纳196个机柜,托管1600余台服务器。中心启用后,扬州市170个委办局和市(县、区)政府可动态申请云计算中心的计算资源、存储资源、软件资源,并能够实时调节计算、网络和存储资源配置,对系统资源进行实时监控、管理、统计、分析、展示,硬件资源采用虚拟化后数量减少了65%,极大地节约了数据资源中心的能源。

天融信根据云计算中心对安全的实际需求,借助自身在云安全领域的经验和云安全产品,提出了扬州云安全系统的解决方案,构建了一个高性能、高可靠、高安全、易管理、易扩展的云安全平台,并通过云安全管理平台,对电子政务云提供动态、弹性云计算安全服务。
 

虚拟化平台安全分析
虚拟化是个宽泛的技术术语,是指将各类资源,如计算资源等加以抽象,并对具体的技术特性加以封装隐藏,对外提供统一的逻辑接口。而虚拟化是云计算的重要支撑技术,可以说是虚拟化为我们带来了“云”,同时也是云计算区别于传统计算模式的重要特点。常见的虚拟化技术主要包括:网络虚拟化、服务器虚拟化、存储虚拟化、应用虚拟化、桌面虚拟化等。然而,在虚拟化技术大规模应用的结果,由于同一物理机内部的虚拟机之间进行数据交换时并不经过传统的网络接入层交换机,直接导致许多传统的安全防护手段失效,无法对虚拟机之间的进行隔离控制,他们之间的流量数据无法做到监控和审计等问题。并且当前的传统基于主机层面的安全防护手段,无法适应虚拟机环境。同时虚拟化的网络结构,使得传统的分域防护变得难以实现,虚拟化的服务提供模式,使得对使用者身份、权限和行为的鉴别、控制与审计变得更加困难。为了解决虚拟化的安全问题,天融信提出了TopVSP三层防御体系,从网络层面,系统层面,管理层面三个层面对虚拟化环境进行安全保护。
 TopVSP三层防御体系架构图     

虚拟化安全平台由集中管理平台TopVSP Policy(TP),虚拟化安全网关TopVSP vGate,客户系统内安全代理TopVSP Desktop(TD),虚拟化平台接入引擎TopVSP Access engine(TAE),四个组件构成。   

虚拟化安全网关的设计是基于天融信成熟的安全操作系统TOS,使TOS可以作为主流的完全虚拟化或半虚拟化的虚拟机管理器的Guest OS,同时进行系列升级改造使vTOS和安全引擎适应各种虚拟化平台并进行优化。虚拟机迁移的时候,安全策略也要随之迁移,以保证虚拟机在迁移前后安全的一致性。

该方案当前已经在众多行业案例中得到实践应用,通过整合其他安全产品,为客户提供了一个全面完整的云安全解决方案。

相关文章:

扬州政务云成功案例 2013-04-11
扬州政务云计算中心承载了170多个委办局的电子政务云应用。为了保障电子政务云系统安全稳定地运行,云计算中心对网络安全系统的可靠性、安全性、管理性要求远远高于一般的电子政务网络安全系统。 详细 >>
广东电信云计算平台运维管理解决方案 2013-04-11
随着广东电信云计算平台建设的逐渐深入,当前已经建立起新大岗、马场等计算资源平台。但是在建设云计算的过程中云安全问题,已经成为云计算的一个重点关注的问题。 详细 >>
云计算虚拟化平台安全分析 2013-04-11
虚拟化是云计算的重要支撑技术,也是云计算区别于传统计算模式的重要特点。但虚拟化的网络结构也使得传统的分域防护变得难以实现...... 详细 >>
云安全——华丽大幕背后的危机 2013-04-07
云计算技术的发展和成熟为人类文明发展带来一场划时代的革命。当需要获取计算、存储等资源的时候,将不再像今天这么复杂,IT人员就可以把更多的精力放在核心业务的发展上,进而推动整体效率的提升。 详细 >>
云安全的三层框架 2013-04-07
典型的云可以包括三类:IaaS云, PaaS云,SaaS云, 不同类包含了不同的软硬件层次,但大致都可以分为四个层次:管理层、接入层、服务层、基础设施层。 详细 >>
历史眼光看待云安全 2013-04-07
云安全将是未来的希望,但云安全隐患却是业界普遍希望解决的难题,也一直是悬而未决的问题。 详细 >>
IaaS云计算安全框架设计 2013-04-07
IaaS云计算安全框架包含接入层、虚拟资源层、虚拟化平台层、硬件资源层、管理层。这些层面都面临着各自的安全风险。 详细 >>