基于云计算技术的云安全管理平台设计 2024-08-03 03:13:46 摘要:研制基于云计算技术和模块化设计的云安全管理平台,融合多种主流的安全能力,实现对云平台及云上业务系统的立体化安全防护;引入大数据智能分析模块,收集云内安全设备和网络设备等各类资产的日志或流量信息,呈现云内可视化的整体安全风险态势;通过关键技术实现安全能力资源化、服务化和目录化,用户可基于自身业务属性和特点按需获取,快速实现安全合规。引言互联网数字化浪潮下,随着云计算、大数据等新兴技术的快速发展,数字化转型时代下, 各行各业上云已是大势所趋。云平台往往涉及国计民生、企业运营等方面的数据和用户敏感的个人信息,这让云平台成为黑客攻击者攫取经济利益的首要目标。云安全管理平台通过不断地汇聚云安全能力,构建一个统一管理、弹性扩容、按需分配、安全能力完善的云安全资源池,可帮助用户实现云安全运营和云安全统一管理,快速应对云上安全问题,为用户提供一站式立体化的云安全综合解决方案,针对性解决用户业务上云后面临的难点与痛点。1 云安全管理平台架构设计1.1 平台技术架构云安全管理平台整体架构从下往上分为硬件层、云安全资源层、云安全服务层和云安全管理层等四层,各层之间相互协同又相对隔离,彼此解耦,提供良好的稳定性和扩展性(如图1 所示)。 图1 云安全管理平台技术架构硬件层:基于业内主流的通用 x86 架构服务器组建分布式集群,为上层的安全服务能力提供运行环境和所需的CPU、内存、存储等硬件计算资源。云安全资源层:基于业界主流的云计算虚拟化技术,打造超融合系统,通过系统把硬件层提供的 CPU、内存和硬盘存储等各类型资源进行虚拟化、抽象化和资源池化,为上层安全能力应用提供所需的虚拟化运行资源。把多样化的传统安全产品能力进行改造,让其适配云计算虚拟化这种特殊运行环境,合入业内主流的安全产品能力,构建一个统一管理、弹性扩容、按需分配、安全能力完善的云安全资源池。云安全服务层:对已构建好的云安全资源池进行服务化改造,实现云安全能力资源化,云安全资源服务化,云安全服务目录化,提供包含云监测、云防御、云审计等覆盖全生命周期的云安全产品能力,形成具有业务属性的 IPDR综合安全服务体系,全方位构建涵盖事前监测、事中防护、事后审计的云安全闭环防护体系, 全面满足云上用户多样化的云安全需求。云安全管理层:基于底层的各种安全资源和安全能力,为云上用户提供了一个统一的云安全管理平台,平台可提供超 10 种云安全能力服务,赋能于云,全面接管云上的安全资源和能力,对云内的整体安全态势统一分析和呈现。平台提供超级管理员和租户管理员两种视角, 超级管理员进行全局的统一管理,实时监控和了解云内整体的安全态势及运维态势等;租户管理员则自主化管理和建设自己的云安全资源, 按需申请和使用,掌握自身业务的安全动态。1.2 平台部署方式平台采用旁路部署的方式,通过在通用 x86服务器上安装部署云安全资源池相关软件的方式,部署到云平台机房,旁挂在云平台核心交换机上。再通过网络引流的技术将云平台南北向的业务系统流量牵引至云安全资源池内进行清洗,如云防火墙、云 WAF、云 DDoS 等安全服务,流量清洗完成后再将正常流量原路回注回去,最终到达云平台内的业务云主机上,从而实现云上业务安全防护的目的;还有部分安全产品则不需要网络引流来实现,只需把安全资源池与云内业务虚拟机之间网络打通即可,如云堡垒机、云日志审计、综合扫描等安全服务,从而实现子云平台上云业务安全监测和审计的目的。总之,云安全管理平台的整个部署及实现过程对用户现有网络无任何影响,如图 2 所示。 图2 云安全管理平台部署逻辑1.3 平台功能架构云安全管理平台汇聚了十余种主流的安全能力,解决了传统安全建设方式中设备零散、使用不便、维护困难和安全能力固化等问题,为云上用户提供了一种云安全的最佳落地实践模式,解决用户安全资源管理困难和维护成本过高的难题。云安全管理平台功能架构大致可归纳总结为四点,分别为一个平台、两种视角、三方接口、四大模块,具体如图 3 所示。 图3 云安全管理平台功能架构一个平台:为云上用户提供了一个统一的云安全管理平台,提供 10 多种云安全能力,赋能于云,对云内的整体安全态势统一分析和呈现。两种视角:提供超级管理员和租户管理员两种视角,进行全局的统一管理,实时监控和了解云内整体的安全态势及运维态势等,掌握自身业务的安全动态。三方能力:云安全管理平台把底层云安全资源池中各种安全产品组件进行归一化和标准化,实现云安全能力的资源化、服务化和目录化, 最终以云安全服务的方式赋能给云平台,帮助云上业务快速安全合规。四大模块:云安全管理平台可提供包含云监测、云防御、云审计等覆盖全生命周期的云安全产品能力,辅以云安全专家服务,满足用户多样化的云安全需求,全方位构建立体化的综合云安全纵深防护体系。2 平台关键技术2.1 安全能力服务化,即开即用云安全管理平台通过主流云计算虚拟化技术的加持,把传统安全产品的能力进行抽象化, 将传统安全硬件设备的能力进行软硬件解耦,打包软件核心能力并使其适配云计算虚拟化环境, 最终尽数汇聚到一个统一的弹性安全资源池中, 以便用户按需获取所需的安全资源及能力。云安全管理平台把安全能力解耦并进行服务化改造,其具备包含云监测、云防御、云审计等覆盖全生命周期的云安全能力服务,云安全管理平台提供了非常友好的可视化拓扑交互图,用户可根据自己业务的安全需求,按需点击开通安全产品即可快速配置和使用对应安全服务。云安全管理平台中所有的安全子产品均可通过通用许可的软授权方式进行激活,通用许可本身并不限制安全子产品的能力,开通不同的安全子产品时,会按需消耗不同数量的通用许可授权,并且,已开通的安全子产品回收后, 其占用的通用许可会自动释放回收,可进行再利用,真正实现安全服务的即开即用。2.2 云安全能力统管,可视可控云安全管理平台为云上用户提供了便捷统一的安全管理入口,通过平台,可实现对所有安全产品能力的自助开通、统一管理、智能编排、策略管理、运维监控和安全分析等。平台提供可视化的大屏呈现,为用户实时展示云平台及云上业务系统的安全态势和运维态势,方便用户进行统一把控。对于平台管理员来说,其拥有属于自己的业务界面和功能目录,可以整体掌控和了解云内的安全攻击风险态势和租户安全建设情况等;租户管理员则可以通过自身的业务界面自行管理和建设属于自己业务需求的云安全能力资源,掌握自身业务的整体安全动态。2.3 大数据智能安全分析云安全管理平台借助大数据安全分析手段, 深入挖掘云内各资产的流量、日志等数据信息, 结合 AI 算法、深度学习模型和实时分析模块进行多维关联分析,对多维度的信息和多源数据进行整合、关联、分析和研判,及时发现潜在的未知安全威胁和高隐蔽性攻击,把最关键的信息和最重要的威胁展现给用户,同时,预测即将发生的安全事件并与安全防护能力形成联动,一键封堵处置,为用户呈现全网可视化的安全风险态势 。3 平台核心优势( 1 ) 方案灵活解决私有云、公有云和混合云等不同云计算服务模式下云上用户的安全建设需求,满足政务云、金融云、教育云、企业云等不同行业领域的云上不同业务的复杂性需求,能够针对不同行业的不同云场景形成针对性的特色云安全解决方案,帮助用户以最科学合理的方式完成云安全建设。( 2 ) 快速合规平台特为云上用户提供专属的等级保护二级、三级合规推荐套餐,套餐包含等级保护合规建设所需的安全能力及安全服务,能够全方位满足用户不同业务需求场景下的等保合规安全要求,帮助用户快速完成安全合规建设,助力云上业务稳定高效发展。( 3 ) 立体防护平台内融合了各种基于云虚拟化设备的安全防护手段,由业务安全监测体系、业务安全防御体系与业务安全审计体系共同组成,为用户提供包含虚拟网络安全、虚拟主机安全、业务应用安全、数据安全等各维度和各层面的安全防护手段,彼此之间相互协同工作,也彼此解耦, 安全能力可基于云上业务的属性和特点灵活调整。如针对云上的 Web 业务应用,只需采用虚拟防火墙、虚拟 Web 应用防火墙和网页防篡改等安全模块,可针对性解决业务安全需求。( 4 ) 产品成熟经过多年的云计算技术深入研究和风险分析,结合众多的项目实践和安全领域的经验积淀,云安全管理平台已经为超过数十个行业的客户提供完善的一站式云安全综合解决方案, 具备无缝快速对接国内外主流的 10 多种云平台的能力,并且,为许多重大会议活动提供全面的云安全监测、防护和审计能力。4 结语云安全管理平台聚焦云平台应用场景,具备全方位多维一体化的安全能力,包括网络安全、主机安全、应用安全和数据安全等,涵盖云安全的事前监测、事中防御与事后审计全生命周期的管理闭环;平台通过统一构建的云安全资源池,实现了安全服务化,具备安全可视、一键开通、自动化部署、弹性扩展、开放兼容等特点;平台旨在帮助用户实现云安全的统一管控与运营,针对性解决云内复杂的安全问题,为用户提供一站式的立体化云安全综合解决方案。选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献) 原文来源:信息安全与通信保密杂志社 赞 (0) 相关推荐 分布式云元年,为何云边协同如此重要? <十四五规划和2035年远景目标纲要>中提出要"协同发展云服务与边缘计算服务",一种满足更广连接.更低时延.更全局化需求的云计算新模式--分布式云应运而生. 近年来 ... 公有云VS私有云:谁是你的菜 最近,由中国信通院发布的<云计算白皮书(2016版)>显示,2015年我国云计算整体市场规模达378亿元,整体增速31.7%.其中专有云市场规模275.6亿元,年增长率27.1%,预计20 ... 华云大咖说 | 安超ArSDN云安全场景方案 现阶段,虚拟化和云计算为大量的互联网应用提供了非常好的平台和土壤.与此同时,越来越多的企业在数字化转型过程中,都在积极的尝试新模式的变革.而作为关键信息基础设施中不可或缺的网络与安全,也随着技术发展面 ... 湖北工业大学:云服务以用户体验为判断准则 高校云计算应用前景与需求 目前,高校虽已建立了很多信息系统,如教学管理.人事管理.财务管理等,但这些系统都是分散的,数据也没有共享,更没有统一规划建设,这就导致各种资源的浪费,缺乏共享的资源平台,缺少 ... 【方案推荐】基于STM32的三维旋转显示平台设计(立体成像) 电路设计技能 本公众号主要用户为从事电路设计的硬件工程师,发布与设计技能.最新技术.最新产品等相关的技术文章,涉及PCB.FPGA.模拟电源.嵌入式.测试测量.开源平台.人工智能等相关领域. 552篇 ... 一种基于PCB技术的毫米波Marchand巴伦设计 巴伦作为差分到单端信号转换的关键组件,在高速电路实现中得到了广泛研究与应用.但目前对于毫米波频段的巴伦研究甚少,特别是基于 PCB 加工工艺的高频巴伦.针对该应用,提出了一款适用于毫米波频段的平面 M ... 【案例】恒丰银行——基于大数据的财富管理平台 数据猿导读 恒丰银行通过整合优化海量结构化与非结构化数据资源,以了解客户.细分客户.服务客户为手段,打造了融智能获客.完整客户画像.产品推荐.市场跟踪.资讯推荐等全功能为一体的财富管理系统,改变了产品 ... 基于能量云管理平台的分布式储能系统技术应用研究 ★中国电工技术学会出品★ 致力于产业界与学术界融合创新的品牌会议 ①浏览会议通知,请戳下面标题 ☟ ☞会议通知︱2018第十二届中国电工装备创新与发展论坛暨第八届电工技术前沿问题学术论坛(第一轮) ② ... 中普达亮相CHINC,结合5G技术打造数字疾病管理平台 2021年4月23日-25日,杭州,这个被誉为"人间天堂"的水乡,随着中华医院信息大会的召开,再次被全国瞩目. 随着政策.市场.技术.患者需求的不断变化,以全生命周期的健康管理为主 ... 华胜天成集团“异构混合多云管理平台”入选2020中国IT服务创新技术方案Top100 来源:华胜天成官微 2020-11-16 18:58:23 关键词: 华胜天成 IT服务 云业务 云计算 利好 用专业说话,用创新突破!在刚刚闭幕的"2020中国IT服务创新大会" ... 一种基于VPX架构的高速宽带通信平台设计 介绍了一种基于VPX架构的高速宽带数据通信平台,平台的核心是机载和地面收发信机,收发信机内各功能板卡的主要控制器是FPGA.发射端对信息序列进行打包.信道编码.交织和调制:接收端对信号进行解调.解交织 ... 论文|宋怀波团队:基于嵌入式系统的小麦条锈病远程监测平台设计与试验(2019年第1卷第3期) doi: 10.12133/j.smartag.2019.1.3.201903-SA004 引用信息 季云洲, 都盛佳, 纪同奎, 宋怀波. 基于嵌入式系统的小麦条锈病远程监测平台设计与试验[J]. ... 药康夫健康管理平台依托AI技术,推动互联网慢病管理发展 说起健康管理,想必大家都不是很陌生,通俗来说,健康管理是对自己的健康状况进行检测和管理.专业来说,健康管理是一种对个人或人群的健康危险因素进行全面管理的过程.而从医学的角度来看,健康管理实际上就是慢病 ...