面对云安全,如何构建和管理“安全云”环境是当前服务商和用户面临的主要挑战。如何管理云计算中复杂的虚拟化环境?如何实现多类型安全设备的统一日志管理和事件关联分析?如何对虚拟化环境下的安全策略进行管理和部署?如何根据业务变化,快速及时的实现安全策略自动化分发和动态调整?诸如此类等等复杂的虚拟化环境对安全管理提出了新的要求:
高性能。云计算环境中设备资源、数据大集中,需要对海量事件进行集中采集和分析,安全管理系统应具有更先进的技术以大大提高事件处理能力。
统一管理。云计算环境中存在多种类型、多个厂家的设备资源,各种设备日志格式、内容千差万别,要求安全管理平台能够屏蔽其差异性,实现统一的智能分析和审计,并提供丰富的综合分析报告。
可迁移。云计算环境中虚拟化的应用,使管理单元从传统上的以“设备中心”向以“虚拟实例”为中心转变,各种资源的池化管理也使业务变化更为频繁,要求安全策略必须实现自动化部署,以便能够及时跟踪业务变化并完成动态调整,减少人工处理带来的业务延迟。
多业务系统的融合。云计算环境中IT管理系统也趋于融合,安全管理系统与其他管理系统联系越加紧密,与网络管理不断融合,同时与身份管理系统、运营管理系统也要密切协同配合。这就要求安全管理平台更加具有开放性。
针对以上这些新的应用特点,集中化、虚拟化,自动化、开放成为新一代云安全管理平台的必备特征。
一、 云安全管理平台的整体架构
云安全管理平台应构建起智能开放统一的系统架构,以适应当前的云安全管理需求。如图1所示,第一,采用开放的SOA架构,提供SOAP/REST开放接口,方便与其他业务系统进行融合和协作;第二,采用分层设计,通过资源访问层将各种设备资源的访问接口进行适配和封装,利于对不同资源集中管控;第三,平台支撑层提供模块化的基础管理功能,包括高性能采集和分析引擎,大容量数据存储,虚拟化资源管理,完善的知识库系统等;第四,业务管理层对基础管理功能进行组合,实现基于业务的全方位、多视角的安全管理。
图1 云安全管理平台系统框架
二、 集中的虚拟化资源管理
和传统的网络环境不同,在云计算环境中大量使用了虚拟化技术。比如“一虚多”,即一台设备虚拟成多台,如“多虚一”,即多台设备处理同一个业务,又如“多虚多”,即多个业务在多台虚拟服务器上运行。此外由于虚拟化实例的广泛使用,整个云中的安全设备已经虚化成了一个包含多个虚拟单元的资源池,资源分配更加的随心所欲,不再局限于死板的物理资源分配。此时的安全管理软件平台,无论是在设备配置管理还是安全日志分析等方面,都需要基于虚拟化的设备资源,而不是基于单个物理设备来进行。而且,对于这些虚拟化单元,用户权限管理也要进一步细化,在完成初始化的用户虚拟化资源分配和绑定后,后续的任何操作,都应该可以基于不同租户的不同管理员进行;每个管理员都可以随时对本企业的安全资源进行策略配置调整,管理维护企业本身的安全事件分析报告。
新一代安全管理平台能够管理各种安全设备,多种安全业务在一套平台中集中展现和部署,物理/虚拟资源统一管理,实现网络安全的集中化管理。用户可以根据实际情况划分区域,面向虚拟资源,支持将虚拟设备划分为不同的虚拟设备组,同时灵活的权限管理允许不同用户管理不同的虚拟化安全设备,满足对虚拟化资源的分级分权管理需求,确保以最经济、高效的方式让新增业务快速上线并运行,对虚拟资源分配、跟踪、执行,为业务运营提供有力支撑。
#p#
三、 快速的事件智能分析
在云计算环境中,要求安全管理平台对云及虚拟化环境下的IT资源统一进行监控、审计和分析,要求具有更先进的海量数据处理与分析能力,以海量事件采集为例,需要满足每秒几万条事件的处理能力,同时完成海量事件的快速查询和综合分析,提供丰富的事件报表。
新一代安全管理平台将基于虚拟化资源,进行海量事件采集和统计分析,对全网范围内的安全事件进行综合的智能分析,并提供各种直观、详细的报告,满足用户的定制报告需求。在全景式的分析报告中,管理员可以轻松地看到整网过去的安全状况和未来的安全趋势,有效的帮助其了解需要重点关注的网络攻击,发现各种安全风险,以便提早防范。安全管理平台还将具有强有力的审计能力,能够从历史数据中快速查找到相关的安全事件信息,通过深入的数据查询,对具体的安全事件深入分析,能够一步一步追踪,剥茧抽丝,最终发现安全事件攻击来源及根本原因。同时利用高效的关联分析技术以及完善的知识库系统,能够在成千上万条安全事件中快速准确发现当前正在发生的重要事件,及时对网络安全提前预警进而实现对攻击行为的准确隔离。
四、 自动化的策略动态调整
在传统的管理模式中,管理员关注资源的管理,侧重如何从底层资源出发保障业务和性能。而云模式下的管理则更侧重资源的自动化调配和调度,以及基于网络业务的服务深度保障,即如何根据业务性能需求变化来调整和优化资源供给方案。虚拟化的使用首先是带来需要管理目标的增加,再就是系统架构会随着业务的变化而不断的发生动态的变更,这就要求安全管理系统必须能够根据动态变化的虚拟化环境,做出相应的安全策略调整;对于管理员来说,需要为各种应用、各种处理程序,以及各种数据基础设置正确的安全策略,当面对数量众多安全策略,管理员迫切希望这些安全策略具有可移植性并易于配置,而常规模式下的手工网络操作将引起业务服务的长时间中断,已经不能满足当前业务的要求。当资源或服务发生变化时(例如服务扩容,服务虚拟化引入的VM调整、迁移等),要求安全策略能够随之自动的进行动态调整,而不必重新实施和部署对应的安全策略,减少网络维护工作量,提高企业运营效率。安全管理平台的自动化体现在两个方面:
一是能够根据资源和业务的变化,自动实现安全策略配置的动态调整。例如,当云计算环境内的虚拟机迁移时,安全管理平台能够感应到虚拟机迁移状况,从虚拟机管理系统中获取虚拟机迁移前后的各种信息,包括虚拟机迁移前所在物理主机以及迁移后物理主机位置及IP地址信息,然后通过网络管理系统中的网络拓扑图(拓扑图中包括了所有网络资源的连接关系),定位出迁移后物理主机所在交换机端口进而找到所属防火墙设备,然后系统自动匹配并找出虚拟机原有安全策略,并将原有策略重新部署到新的防火墙中,实现安全策略的自动迁移,实现云计算环境中多种安全设备的安全策略的一致性与快速部署,保障网络安全。迁移过程如图2所示。
图2 安全策略自动迁移示意
二是智能的监控和告警。当安全管理系统接收到安全设备发送的安全攻击事件时,会提取攻击事件中的攻击源和攻击目的信息,在网络拓扑中,直观显示出攻击源到攻击目的的攻击路径——从攻击发起者途径了解哪些网络设备和安全设备到最终攻击服务器,方便管理员定位查看。同时能够预先设置策略,对关键的攻击事件,直接定位攻击源接入网络的源头设备,自动对该设备下发阻断策略,比如关闭端口,设置ACL、QoS等,快速对攻击者进行封堵,避免攻击泛滥到整个网络。
#p#
五、 业务自动编排
在云计算环境中,基础设施可能随着业务需求的变换而不断增长、调整。如果管理员不能对资源及业务进行快速部署,势必会陷入低效率价值而非聚焦服务。这就要求实现高度智能的业务管理:将各种资源提供的能力抽象出来,根据业务对网络安全的要求,建立统一的机制,基于业务流程合理编排成用户所需的安全策略模板。比如针对防火墙设备可以抽象出“定义Zone”、“定义Rule”、“定义Profile”等模型,将其定义为防火墙策略模板。针对LB设备可以抽象出“服务器”、“服务器组”、“虚服务”、“LB policy”等,将其定义为LB策略模板,然后进一步将防火墙策略模板、IPS策略模板、LB策略模板等定义为某种业务安全策略模板。
图3显示了安全策略模板化的过程。在这一过程中,管理人员可以把用户情况,设备情况以及用户与网络安全资源之间的分配关系输入到管理平台中,管理系统将自动的建立人员与网络安全配置关系,通过鉴别用户身份,分配用户所需资源及对应的安全策略,包括防火墙设备、IPS设备、LB设备等,最后针对用户或业务编排出安全策略模板。当出现业务资源变化时,管理员就可以直接利用已有安全模型及安全策略模板快速实现业务的建立与部署,使其摆脱业务规划、实施、变更和监控整个流程的管理复杂性,提高响应云服务需求的业务快速部署能力。同时通过编排实现的各种策略模板,也可供第三方IaaS(基础架构即服务)、PaaS(平台即服务)、SaaS(软件即服务)等云计算管理系统调用,最大限度地提高企业在基础设施建设中的投资价值。
图3安全策略的模板化
当通过自动编排能力交付网络安全服务后,就可以把实现一个业务安全策略部署的预期时间缩短到几分钟时间,从而实现快速的业务部署能力。由此,管理员将彻底从云服务建立、调整、扩容等繁杂的配置工作任务中解脱出来,而将主要精力聚焦于为客户提供高效率、高质量、高保障的服务上来。
六、 多业务融合与协同管理
作为安全业务的集成管理平台,不仅需要提供单独业务模块的管理,还需要将多种业务模块融合,进而支持多系统协同联动,实现网络安全业务的全流程管理。安全管理包括多种业务模块,如防火墙管理,IPS管理,LB管理等,不同设备使用了不同的日志类型和业务配置模式,平台能够将多种业务模块有机结合在一起,屏蔽业务模块差异,提供统一的安全事件分析和策略部署能力。
新一代云安全管理平台能够从云接入环节开始,与第三方认证系统联动,提供基于用户身份的安全业务管控。首先能够针对用户的进行流量统计分析,并能够基于用户下发安全策略,对用户带宽,访问资源权限进行控制,还能够基于用户对访问资源情况进行审计,从用户角色的角度,实现对安全业务的“监”、“管”、“查”。另外,支持同第三方云计算管理系统以及虚拟机管理系统协同工作,根据不同租户的安全业务需求,结合资源负荷状况,实现动态调配虚拟机资源,并能够针对虚拟资源的变化实现安全策略的动态调配。
图4 多业务系统协同
图4以LB业务为例,展示安全管理平台和云管理平台、虚拟机管理系统间的协同。云管理平台针对不同租户分配不同的资源和策略,并调用安全管理平台提供的接口进行部署;安全管理平台完成部署后,会实时监测提供业务的资源可用性状况,包括虚拟机CPU、内存、当前连接数等信息,从而判断出业务资源是否已超负荷运行;当发现业务资源告警,则会自动触发通知虚拟机管理系统(如VMware vCenter),创建新的虚拟机;当新建虚拟机完成后,安全管理平台会获取其IP信息;最后,安全管理平台动态调整LB策略,将新资源加入到现有业务中,提高业务处理能力,确保业务服务正常。
#p#
七、 开放的架构
云计算最终的目标是达到系统的按需运营,能够根据用户请求执行服务的开通。任何一套管理系统,都不可能满足所有用户的需求,这就要求用户在建设数据中心时具备开放的管理战略,管理系统具备开放的能力。
新一代安全管理平台采用基于面向服务(SOA)的开放管理架构,提供了封装网络安全业务的管理调用接口,包括SOAP、RESTful等开放接口,第三方业务系统可以使用这些接口实现对网络资源的调度和编排,也为安全管理平台与第三方云计算管理系统协同联动提供技术支持,帮助第三方业务系统具备构建灵活业务网络的能力。
通过开放的接口,可以将不同产品不同格式的日志转换为固定格式并实时上报,以利于上层管理平台的解析处理,实现整网安全事件的统一分析;可以支持上层的安全策略管理平台调用安全策略部署的接口,实现对全网安全设备的统一策略部署。例如厂商提供的安全管理平台已经定制出各种安全策略模板,第三方云计算管理系统就可以通过这些开放的接口直接调用已有安全策略模板,实现对不同租户的安全策略进行部署,避免其针对不同厂商设备进行适配以及重复开发,满足快速实现业务部署需求。
八、 结束语
未来的网络不仅需要从网络安全的角度出发来保障用户和业务,也要从用户和业务的角度出发来优化网络安全。这意味着安全管理平台需要采用全新的管理模型和灵活的功能架构,并且充分考虑基础设施、技术趋势、业务运行、运维服务等各种管理要素,建立一个开放式、标准化、易扩展、可联动的统一智能安全管理平台,以适应云计算环境对安全管理的新要求。