云环境令传统安全体系面临众多挑战:边界模糊化,颗粒度粗放,敏捷性缺失,安全思路的落后。云计算迫切需要打造随需而动的云上立体安全体系。 云计算的发展及成熟,极其显著的渗透到各行各业,据第三方报告显示,云计算及其相关产业超过1万亿美元。同时,云计算正在快速替代传统IT,成为近代最具变革性的技术之一,为大数据、移动互联网、区块链、人工智能的发展提供了切实的底层支撑。 图一安全威胁变化趋势 现代化企业云数据中心的构建,使得应用系统及信息资产的大集中既成事实。同时,云环境改变了传统IT边界,边界的模糊化和动态化使得传统的边界安全与隔离策略失效,在新的安全态势下,给业务带来巨大的风险。 SDN/NFV安全与软件定义安全 图二 SDN与NFV的结合 通过SDN与NFV结合,以SDN控制器的网络全局视图和可编程接口,管理员可以基于业务需求,创建业务所需的安全防护资源,并对网络流量进行牵引、安全服务链的编排,对业务流量实现清洗与防护,同时实现业务所需的最小颗粒度的隔离。 云环境网络流量组成的变化及防护机制 数据中心流量一般分为两类:数据中心内部应用经互联网出口到互联网的流量,称之为南北向流量;数据中心内部服务器之间交互的流量,称之为东西向流量。 图三 数据中心流量分类 随着数据中心向云计算架构的演进,南北向流量与东西向流量的配比出现了巨大的变化。 图四 数据中心流量组成的变化 基于数据中心流量组成的变化,东西向流量的防护与监测、租户的边界隔离防护等内容,越来越成为数据中心安全的重要组成部分,传统的互联网出口边界安全方案已经不再能完全覆盖云数据中心的安全需求。 大数据威胁情报 图五 威胁情报安全体系 通过样本、恶意URL等海量数据的分析处理,并结合多方社区、组织、第三方报告等资源,进行情报的搜集和挖掘,形成实时的有价值的威胁情报数据服务。在威胁情报数据服务的驱动下,安全防护体系可以实现更敏锐地威胁检测,更加有效的防御拦截,以及更及时地威胁响应,此外,借助威胁情报也可以实现多维可视化追踪溯源。 安全一体化管理 图六 安全一体化架构 云安全体系的构建是一个系统化的工程,不能单纯的从技术角度出发,还要从管理上考虑。360认为,云安全建设要做到技术与管理并重,IT架构变革时带来的不仅是技术上的变革,对安全管理上的挑战同样严峻。 |
|
来自: kaller_cui > 《专业》