云計算環(huán)境中的安全管理平臺
1、云計算對于安全管理的要求
從傳統(tǒng)上來看,安全管理在安全的網絡建設中發(fā)揮著重要作用。通過安全管理平臺,可以實現對安全設備的集中管理與控制、直觀的實時事件監(jiān)控、安全事件綜合分析,并能夠提供清晰全面的TopN統(tǒng)計報告,方便用戶隨時掌控當前網絡安全狀況,在增強整網安全的可視性的同時,通過集中的策略管理,簡化多臺設備安全策略部署工作,節(jié)省維護成本。
但隨著網絡的發(fā)展步入云計算時代,復雜的虛擬化環(huán)境對安全管理提出了更新的要求。如何更好的整合安全事件和日志的差異性,適應多廠商、多類型設備混合組網的需求?如何適應虛擬化環(huán)境下的安全策略管理和部署?如何及時感知虛擬化環(huán)境下的業(yè)務遷移,實現安全策略的及時調整和動態(tài)遷移?……
為了有效解決這些潛在的問題,為云計算網絡提供完善的安全保障,云安全管理平臺需要重點關注以下幾方面。
資源的虛擬化管理
和傳統(tǒng)的網絡環(huán)境不同,在虛擬化環(huán)境下,由于虛擬化實例的廣泛使用,整個云中的安全設備已經虛化成了一個包含多個虛擬單元的資源池。此時的安全管理軟件平臺,無論是在設備配置管理還是安全日志分析等方面,都需要基于單個虛擬化設備資源,而不是基于單個物理設備來進行。同時,對于這些虛擬化單元,用戶權限管理也要進一步細化,在完成初始化的用戶虛擬化資源分配和綁定后,后續(xù)的任何操作,都應該可以基于不同租戶的不同管理員進行;每個管理員都可以隨時對本企業(yè)的安全資源進行策略配置調整,管理維護企業(yè)本身的安全事件分析報告。
集中與開放
在企業(yè)的網絡安全建設過程中,為了建設相對全面的防御體系,勢必涉及到多種不同類型、不同廠商的安全設備的部署。此時,如何解決不同廠商配置方法上的差異,如何實現多類型安全設備的統(tǒng)一日志管理和事件關聯分析,是需要考慮的關鍵需求。
這要求安全管理平臺一方面需要增強自身的組網及服務提供能力,集成對本廠商多類型安全設備的統(tǒng)一配置管理和事件分析功能,并且可以通過定制化的手段,實現對其他主流廠商的安全日志的支持;另一方面,針對多廠商設備混合組網的實際情況,各設備廠商的安全管理系統(tǒng),需要從設備配置管理和事件分析兩個角度提供開放的API接口。通過這種開放的接口,廠商自身的安全管理平臺作為中間層,完成上層第三方安全管理平臺對本地設備的配置下發(fā)及安全事件的格式轉換,為企業(yè)的統(tǒng)一安全管理平臺的建設創(chuàng)造條件。
虛擬化安全策略的自動遷移調整
虛擬化環(huán)境下的虛擬機自動遷移,是云計算環(huán)境的重要特征之一。為跟隨這種虛擬機的遷移,業(yè)務系統(tǒng)本身的資源配置以及該虛擬機的接入端口屬性都在積極響應并提供適配的手段。而要想實現安全策略的跟隨遷移,安全管理平臺需要提供包括下面在內的重要技術支撐:
及時建立起網絡中的每個虛擬機和安全策略組的對應關系,實現全局的虛擬機安全策略統(tǒng)一規(guī)劃和管理;
及時感知虛擬機的遷移動作,并獲取虛擬機遷移后的網絡位置信息,以此來觸發(fā)安全策略的遷移;
根據遷移后的虛擬機信息,探測計算出遷移后的虛擬機所對應的安全設備,為下一步的安全策略調整做準備;
安全管理平臺基于上述信息有效整合各方面資源,自動調整安全策略,將該虛擬機對應的安全策略組重新下發(fā)到新的安全設備上,完成整個安全策略的遷移。
2、云安全管理平臺主要特性
H3C SecCenter是管理功能強大的安全管理中心,其采用先進的SOA開放架構,包括Firewall Manager、UTM Manager、IPS Manager、ACG Manager等組件,各功能模塊能夠有機融合在統(tǒng)一的Web操作門戶下實現對云計算網絡中各類安全設備的集中管理,構建起智能開放統(tǒng)一的安全管理平臺(如圖1所示)。
圖1 SecCenter平臺系統(tǒng)結構
SecCenter能夠利用多種協議集中采集網絡中安全設備的各種事件及流量信息,包括Syslog、NetStream/NetFlow、SNMP等,實時監(jiān)控、分析設備狀態(tài)和安全狀況;提供集中分析與審計平臺;同時,SecCenter能夠直接對各安全設備進行集中的控制和策略部署,集中管理的虛擬環(huán)境中的安全策略,提供集中策略部署平臺;為適應云安全管理對開放的需求,SecCenter還支持通過適配方式,為第三方管理平臺提供開放的接口。
2.1統(tǒng)一的虛擬化資源管理:
SecCenter能夠管理H3C防火墻、UTM、IPS、ACG等在內的各種安全設備,實現網絡資源的集中化管理,用戶可以根據實際情況劃分區(qū)域,并將虛擬設備劃分為不同的虛擬設備組,同時提供靈活的權限管理,允許不同用戶管理不同的虛擬化安全設備,滿足對虛擬化資源的分級分權管理需求。
2.2集中的事件監(jiān)控、分析
實時監(jiān)控與綜合分析
SecCenter基于虛擬化資源,不僅僅針對基于設備進行事件采集和統(tǒng)計分析,還能夠基于設備+虛擬ID的方式,提供對整網安全事件的實時監(jiān)控,形成一個完整的事件快照,從而為用戶提供當前網絡安全事件的概覽信息,幫助管理員直觀的了解到最新安全狀況。
(如圖2所示)通過實時監(jiān)控窗口,用戶可實時監(jiān)控正在發(fā)生的緊急安全事件,輕松了解突發(fā)事件,快速糾正危險,保障網絡安全。
圖2 實時監(jiān)控
SecCenter 能夠對全網范圍內的安全事件進行集中統(tǒng)計分析,并提供各種直觀、詳細的報告,在全景式的分析報告中,客戶可以輕松地看到整網過去的安全狀況和未來的安全趨勢。
綜合分析和統(tǒng)計報告是評估網絡安全狀況的有力手段,SecCenter能夠滿足用戶的安全報告需求,提供完善的綜合分析和豐富的統(tǒng)計報告,可即時搜尋出目前環(huán)境的攻擊來源、目標等等,提供基于天、周、月及特定時間段內的趨勢分析,從而得知TopN的攻擊狀態(tài)和趨勢等全面數據,有效的幫助用戶了解需要重點關注的網絡攻擊、病毒情況,發(fā)現各種安全風險,以便提早防范(如圖3所示)。
圖3 攻擊報告
細致的事件及內容審計
SecCenter提供強有力的審計能力,能夠從歷史數據中快速查找到相關的安全事件信息。通過深入的數據查詢,對具體的安全事件深入分析,能夠一步一步追蹤,剝繭抽絲,最終發(fā)現安全事件攻擊來源及根本原因。通過這種深入查詢能力,能夠解決用戶多種問題。
同時能夠監(jiān)測網絡中的應用情況,對用戶在網絡中各種應用行為包括Web瀏覽、電子郵件、文件傳輸、通信、網絡游戲進行監(jiān)測、分析和審計,從而有效控制和審計使用網絡訪問非法網站、進行非法操作、發(fā)送非法或泄密郵件、散布非法或泄密言論等行為。能夠統(tǒng)計每個用戶的業(yè)務使用趨勢和分布,詳細記錄用戶訪問網站(URL)、Email、FTP、NAT使用記錄,便于事后審計和追蹤等等。
通過對各種安全事件的深入分析和總結,用戶能夠最直接的了解攻擊行為和活動,并有針對性的部署安全策略。
2.3集中的策略管理,安全策略自動遷移
管理員面對眾多的網絡安全設備進行策略配置,如果一次只維護一件設備,不僅耗費人力,而且容易導致策略不連貫,增加系統(tǒng)產生誤差的可能性。SecCenter可以通過單一的管理控制臺對整網安全設備進行集中管理和配置,為分布在各處的多個虛擬設備部署安全策略。通過自動化的設備配置,可以減少管理費用、減少誤差的發(fā)生,確保網絡的持續(xù)安全。
特別的,當云計算環(huán)境內的虛擬機遷移時,SecCenter能夠即時感應到虛擬機遷移狀況,從虛擬機管理系統(tǒng)中獲取虛擬機遷移前后的各種信息,包括虛擬機遷移前所在物理主機以及遷移后物理主機位置及IP地址信息,SecCenter通過自行維護的防火墻與物理主機對應關系表,獲知遷移后物理主機所在的防火墻,然后自動匹配虛擬機原有安全策略,將原有策略重新部署到新的防火墻中,實現安全策略的自動遷移,以便確保云計算環(huán)境中多種安全設備的安全策略一致性與快速部署,保障網絡安全。如圖四所示:
圖4 策略遷移示意圖
2.4開放的接口
在更大規(guī)模的復雜(如包括多廠商,多類型設備)的網絡中,通常需要一個綜合的安全管理平臺來實現對多廠商設備的統(tǒng)一管理。在這種情況下,SecCenter能夠通過定制化手段,以Agent或適配層的方式,提供開放的API接口。通過這些API接口,SecCenter支持按照上層管理平臺的要求進行相應的日志格式轉換并實時上報,以利于上層管理平臺的解析處理,實現整網安全事件的統(tǒng)一分析;也支持上層的安全策略管理平臺調用策略部署的接口,實現對全網安全設備的統(tǒng)一策略部署,如圖5所示。
圖5 開放的接口
3、結束語
隨著云計算網絡的發(fā)展,安全技術和產品也越來越豐富,企業(yè)對安全管理平臺的需求也會越來越強烈,相信云安全管理平臺也必將隨需而變,逐步完善,以適應云計算環(huán)境對安全管理種種新的要求,從而實現從資源管理、配置、監(jiān)控、分析、響應及部署全周期的云安全管理功能,最終為用戶提供資源平臺化、數據集中化的統(tǒng)一云安全管理解決方案。
