雲安全之路 | 當我們談雲網絡安全的時候我們在談什麼
“由於網絡安全產品的碎片化和客戶需求多樣化,
網絡安全廠商向雲租戶提供
虛擬化的網絡安全產品和方案與
雲平臺廠商內置提供的安全產品和方案
將長期共存。”
【雲安全之路】往期文章:
從網絡安全說起
“雲網絡安全”顧名思義,就是雲上的網絡安全,所以理解“雲網絡安全”,我們需要先回顧 一下在物理網絡中我們都做了哪些網絡安全的工作,然後再看怎麼把物理網絡中的網絡安全產品和方案搬到雲上。
對於通用的網絡安全的定義,《GBT22239-2019 信息安全技術網絡安全等級保護基本要求》 中是這樣描述的:“通過採取必要措施,防範對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處於穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力”。
總結來說,網絡安全的重點工作有兩類:訪問控制和威脅控制。物理網絡中常見的網絡安全產品包括防火牆、接入訪問控制、入侵防禦系統、防病毒和反惡意軟件、虛擬專用網絡等。
理解雲網絡安全
回顧完物理網絡中的網絡安全,理解“雲網絡安全”就容易了,我們也給“雲網絡安全”下個定義:“專指面向雲租戶或用戶的雲工作負載(虛機和容器)和業務的網絡安全建設活動,是傳統物理網絡中網絡安全建設活動在雲業務環境中的變體,通常是把傳統物理硬件安全設備變形爲適配雲環境的虛擬化安全網元,並按照雲網絡的業務邏輯進行組網部署”。雲業務環境中的網絡安全建設按網絡安全產品的特點可以分爲引流型、代理型、訪問型、主機型等幾類,防火牆、入侵防禦屬於引流型,Web 應用防火牆屬於代理型,漏洞掃描、堡壘機屬於訪問型,防病毒屬於主機型。對於引流型雲網絡安全產品,由於其受限於雲網絡技術,不同類型的不同雲環境有不同的技術方案,而其它類型除了使用虛擬機或軟件的產品,部署使用上跟在物理網絡中並沒有不同。
雲計算安全責任共擔模型—雲網絡安全的範圍
我們談雲網絡安全時,常常需要討論雲計算安全責任共擔模型,因爲它明確指出了雲網絡安全覆蓋的範圍。下圖摘自《雲計算開源產業聯盟 - 雲計算安全責任共擔白皮書(2020 年)》,從中我們可以看到雲網絡安全的範圍作用於雲主機的操作系統、網絡、以及應用,而根據雲業務類型的不同,雲網絡安全的責任主體又有所不同,對於 IaaS 業務,雲網絡安全的責任主體完全是雲租戶自己;對於 PaaS 業務,雲網絡安全需要由雲服務商和雲租戶共同完成(雲租戶看不到雲主機),而對於 SaaS 業務,雲網絡安全則完全需要雲服務商來保證。
典型的公有云網絡安全方案—東西南北、雲上雲下
公有云上的網絡安全方案是隨着公有云的技術演進而演進的,如下圖所示,目前主流的方案是將所有虛擬化網絡安全網元都部署在獨立的安全 VPC 中,互聯網流量通過防火牆做 NAT,VPC 間流量通過防火牆不做 NAT,雲上雲下流量通過防火牆走 VPN。代理型和訪問型的網絡 安全產品對雲網絡的條件要求不高,只需網絡連通即可。
雲網絡安全能力滿足度評估:等保 2.0(雲計算場景)
如何評價雲網絡安全建設的水平和成熟度,目前業內通常參考的是等保 2.0(雲計算場景)的滿足度,下圖總結於《GBT22239-2019 信息安全技術網絡安全等級保護基本要求》,雲計算業務場景的等級保護既要滿足安全通用要求又要滿足雲計算安全擴展要求。在雲環境中,無論是安全通用要求還是雲計算安全擴展要求都需要部署虛擬化的網絡安全網元來滿足,需要的虛擬化網絡安全網元包括:防火牆、VPN、入侵檢測防禦、病毒過濾防護、堡壘機、漏洞掃描、Web 應用防火牆、日誌審計等,根據等級保護級別的不同,網元的種類需求不同。
總結
雲安全是一個很大的概念,在信通院新發布的雲安全全景圖 2.0 版本中,雲安全覆蓋了雲工作負載保護、網絡安全、數據安全、應用安全、身份和訪問安全、安全管理和運營、DevSecOps、業務安全、安全服務等 9 大領域,本文中探討的雲網絡安全是其中的一個領域。相比於其它領域, 雲網絡安全更多是傳統物理網絡中網絡安全建設活動在雲業務環境中的變體,即將傳統物理硬件安全設備變形爲適配雲環境的虛擬化安全網元,並按照雲網絡的業務邏輯進行組網部署,因此雲網絡安全這個領域通常還是傳統物理網絡安全的廠商在參與。
隨着 SaaS 化網絡安全服務需求越來越迫切,一些雲平臺廠商逐步開始向雲租戶提供內置的網絡安全能力(如防火牆、入侵防禦等),並在向更多自研或者集成第三方安全能力的方向邁進。由於網絡安全產品的碎片化和客戶需求多樣化,網絡安全廠商向雲租戶提供虛擬化的網絡安全產品和方案與雲平臺廠商內置提供的安全產品和方案將長期共存。
我不允許你到現在
還沒看過絕美電子雜誌《巖談》!
山石網科是中國網絡安全行業的技術創新領導廠商,自成立以來一直專注於網絡安全領域前沿技術的創新,提供包括邊界安全、雲安全、數據安全、內網安全在內的網絡安全產品及服務,致力於爲用戶提供全方位、更智能、零打擾的網絡安全解決方案,是您優質可靠的夥伴!
山石網科爲金融、政府、運營商、互聯網、教育、醫療衛生等行業累計超過23,000家用戶提供高效、穩定的安全防護。山石網科在蘇州、北京和美國硅谷均設有研發中心,業務已經覆蓋了中國、美洲、歐洲、東南亞、中東等50多個國家和地區。
(文章配圖源自網絡)