随着《网络安全等级保护基本要求》等系列标准的发布,标志着国家网络安全要求进入了2.0的时代。2.0要求和1.0相比,最大的变化莫过于涵盖了云计算、物联网、工业控制和大数据等新的技术领域。尤其是在云计算安全方面,业务、数据等上云后,安全问题不再由用户方独立负责,更多的依赖云平台的安全防护等级以及能够提供的安全能力。云计算安全扩展要求即“云等保”的出台,无疑为云安全建设思路指明了方向。
和通用安全要求一致,云计算安全也将围绕“一个中心,三重防护”的思路进行建设。一个中心指安全管理中心,三重防护包括安全通信网络、安全区域边界、安全技术环境。“云等保”中也重点对这四个方面进行了详细的要求阐述。但又与传统网络不同,云计算环境中存在云平台和租户多重视角,从而使得云网络更加立体,防护手段也需多维立体。
图1 一个中心三重防护思路框架
1.云等保对云网络安全建设方案提出的新挑战
1、云网络如何分区分域?
分区分域一直以来都是等保要求的核心保障,做好区域划分是网络安全等级保护的第一步。而云计算网络的优势则是动态的、弹性的、可扩展、可迁移的,难以将边界固定下来。业务上云后,如何进行安全域的划分和隔离,一直是困扰用户的问题。
2、云租户如何配置安全策略?
传统网络中,安全的建设和运维仅由用户独立负责,用户方管理员可直接维护安全策略;而云网络中,安全产品主要部署在云中,用户接触不到实际环境,对用户来说可能形成一个管理盲区,用户方作为其中一个租户,无法完全自主掌控策略。而云等保则要求“应具有根据云服务客户业务需求自主设置安全策略的能力”,对租户维度的策略管理能力提出了明确的要求。
3、如何通过云平台实现安全资源的统一管理?
等保2.0和1.0相比,着重强调了集中管控,要求“应能对物理资源和虚拟资源按照策略做统一管理调度与分配”。云计算环境中,存在资源分配、调度等操作,管理、维护成本更高。另外,云网络与传统网络相比又增加了运营属性,如果能在云平台上实现安全资源的统一管理,更有利于完善计费体系,形成一体化的运营。
2.新华三云等保解决方案
紫光旗下新华三集团(以下简称新华三)通过多年网络安全领域技术的积累并结合丰富的云计算项目建设经验,提出了“云网安一体化”建设方案。通过将安全资源池与云平台的深度融合,形成“一个云平台三种资源池”的云安全等级保护解决方案。
图2 云安全等级保护方案
三种资源池包括了防护资源池、检测资源池、运维审计资源池,一个云平台指的是仅需通过一套云管理平台即可实现安全资源、网络资源、计算资源的统一管理。安全能力覆盖区域隔离、通信加密、边界防护、访问控制、身份鉴别、安全审计、病毒防范、入侵防范、运维审计、集中管控、漏洞管理、系统加固等。
新华三云安全等级保护方案,将安全和网络打通形成有效的边界防护,利用VPC技术以及安全服务链技术实现云网络的分区分域,通过东西防护资源池与SDN控制器的配合完成VPC内部的区域划分,进而形成虚拟数据中心的三级网络划分。
新华三多年来一直致力于打造安全即服务的云计算平台,将安全能力资源化,并作为一种云端服务提供给租户。租户登录云平台后即可同时申请网络、计算、存储、安全等多种资源,并可以在云平台上直接配置和管理,即可满足等保要求的安全策略管理和集中管控要求,又能按需购买、灵活部署,进而实现成本投入的合理规划。
图3 安全即服务
3.新华三云等保解决方案的价值
新华三云等保解决方案的设计充分考虑了网络安全等级保护的基本要求和安全设计要求,为用户打造即合规,又实用的安全云环境。新华三能为用户带来的价值包括:
1、整体交付
新华三是为数不多的具备云、网络、安全整体交付能力的综合厂商。云、网络、安全深度融合,形成安全与网络协调联动、安全和云的高度集成。可提供完整的交付方案。
2、安全合规
新华三云等保解决方案充分适配等保要求,除安全技术能力外,还具备强大的安全服务能力,能更好的应对等保要求中安全技术和安全管理两大部分。同时,安全服务能力也与云平台形成联动,用户可在云端申请安全专家服务,即可体验风险评估、安全协维、渗透测试、应急响应等服务。
3、成本节约
新华三云等保解决方案以软件定义安全为核心,将安全服务化。用户可以根据自身业务安全等级的需求,按需使用,而不需要按传统方式前期购置大量的软硬件设备,大大地节约了成本。