1、云計算對于安全管理的要求

從傳統(tǒng)上來看，安全管理在安全的網(wǎng)絡(luò)建設(shè)中發(fā)揮著重要作用。通過安全管理平臺，可以實現(xiàn)對安全設(shè)備的集中管理與控制、直觀的實時事件監(jiān)控、安全事件綜合分析，并能夠提供清晰全面的TopN統(tǒng)計報告，方便用戶隨時掌控當前網(wǎng)絡(luò)安全狀況，在增強整網(wǎng)安全的可視性的同時，通過集中的策略管理，簡化多臺設(shè)備安全策略部署工作，節(jié)省維護成本。

但隨著網(wǎng)絡(luò)的發(fā)展步入云計算時代，復(fù)雜的虛擬化環(huán)境對安全管理提出了更新的要求。如何更好的整合安全事件和日志的差異性，適應(yīng)多廠商、多類型設(shè)備混合組網(wǎng)的需求？如何適應(yīng)虛擬化環(huán)境下的安全策略管理和部署？如何及時感知虛擬化環(huán)境下的業(yè)務(wù)遷移，實現(xiàn)安全策略的及時調(diào)整和動態(tài)遷移？……

為了有效解決這些潛在的問題，為云計算網(wǎng)絡(luò)提供完善的安全保障，云安全管理平臺需要重點關(guān)注以下幾方面。

資源的虛擬化管理

和傳統(tǒng)的網(wǎng)絡(luò)環(huán)境不同，在虛擬化環(huán)境下，由于虛擬化實例的廣泛使用，整個云中的安全設(shè)備已經(jīng)虛化成了一個包含多個虛擬單元的資源池。此時的安全管理軟件平臺，無論是在設(shè)備配置管理還是安全日志分析等方面，都需要基于單個虛擬化設(shè)備資源，而不是基于單個物理設(shè)備來進行。同時，對于這些虛擬化單元，用戶權(quán)限管理也要進一步細化，在完成初始化的用戶虛擬化資源分配和綁定后，后續(xù)的任何操作，都應(yīng)該可以基于不同租戶的不同管理員進行；每個管理員都可以隨時對本企業(yè)的安全資源進行策略配置調(diào)整，管理維護企業(yè)本身的安全事件分析報告。

集中與開放

在企業(yè)的網(wǎng)絡(luò)安全建設(shè)過程中，為了建設(shè)相對全面的防御體系，勢必涉及到多種不同類型、不同廠商的安全設(shè)備的部署。此時，如何解決不同廠商配置方法上的差異，如何實現(xiàn)多類型安全設(shè)備的統(tǒng)一日志管理和事件關(guān)聯(lián)分析，是需要考慮的關(guān)鍵需求。

這要求安全管理平臺一方面需要增強自身的組網(wǎng)及服務(wù)提供能力，集成對本廠商多類型安全設(shè)備的統(tǒng)一配置管理和事件分析功能，并且可以通過定制化的手段，實現(xiàn)對其他主流廠商的安全日志的支持；另一方面，針對多廠商設(shè)備混合組網(wǎng)的實際情況，各設(shè)備廠商的安全管理系統(tǒng)，需要從設(shè)備配置管理和事件分析兩個角度提供開放的API接口。通過這種開放的接口，廠商自身的安全管理平臺作為中間層，完成上層第三方安全管理平臺對本地設(shè)備的配置下發(fā)及安全事件的格式轉(zhuǎn)換，為企業(yè)的統(tǒng)一安全管理平臺的建設(shè)創(chuàng)造條件。

虛擬化安全策略的自動遷移調(diào)整

虛擬化環(huán)境下的虛擬機自動遷移，是云計算環(huán)境的重要特征之一。為跟隨這種虛擬機的遷移，業(yè)務(wù)系統(tǒng)本身的資源配置以及該虛擬機的接入端口屬性都在積極響應(yīng)并提供適配的手段。而要想實現(xiàn)安全策略的跟隨遷移，安全管理平臺需要提供包括下面在內(nèi)的重要技術(shù)支撐：

及時建立起網(wǎng)絡(luò)中的每個虛擬機和安全策略組的對應(yīng)關(guān)系，實現(xiàn)全局的虛擬機安全策略統(tǒng)一規(guī)劃和管理；

及時感知虛擬機的遷移動作，并獲取虛擬機遷移后的網(wǎng)絡(luò)位置信息，以此來觸發(fā)安全策略的遷移；

根據(jù)遷移后的虛擬機信息，探測計算出遷移后的虛擬機所對應(yīng)的安全設(shè)備，為下一步的安全策略調(diào)整做準備；

安全管理平臺基于上述信息有效整合各方面資源，自動調(diào)整安全策略，將該虛擬機對應(yīng)的安全策略組重新下發(fā)到新的安全設(shè)備上，完成整個安全策略的遷移。

2、云安全管理平臺主要特性

H3C SecCenter是管理功能強大的安全管理中心，其采用先進的SOA開放架構(gòu)，包括Firewall Manager、UTM Manager、IPS Manager、ACG Manager等組件，各功能模塊能夠有機融合在統(tǒng)一的Web操作門戶下實現(xiàn)對云計算網(wǎng)絡(luò)中各類安全設(shè)備的集中管理，構(gòu)建起智能開放統(tǒng)一的安全管理平臺（如圖1所示）。

圖1 SecCenter平臺系統(tǒng)結(jié)構(gòu)

SecCenter能夠利用多種協(xié)議集中采集網(wǎng)絡(luò)中安全設(shè)備的各種事件及流量信息，包括Syslog、NetStream/NetFlow、SNMP等，實時監(jiān)控、分析設(shè)備狀態(tài)和安全狀況；提供集中分析與審計平臺；同時，SecCenter能夠直接對各安全設(shè)備進行集中的控制和策略部署，集中管理的虛擬環(huán)境中的安全策略，提供集中策略部署平臺；為適應(yīng)云安全管理對開放的需求，SecCenter還支持通過適配方式，為第三方管理平臺提供開放的接口。

2.1統(tǒng)一的虛擬化資源管理：

SecCenter能夠管理H3C防火墻、UTM、IPS、ACG等在內(nèi)的各種安全設(shè)備，實現(xiàn)網(wǎng)絡(luò)資源的集中化管理，用戶可以根據(jù)實際情況劃分區(qū)域，并將虛擬設(shè)備劃分為不同的虛擬設(shè)備組，同時提供靈活的權(quán)限管理，允許不同用戶管理不同的虛擬化安全設(shè)備，滿足對虛擬化資源的分級分權(quán)管理需求。

2.2集中的事件監(jiān)控、分析

實時監(jiān)控與綜合分析

SecCenter基于虛擬化資源，不僅僅針對基于設(shè)備進行事件采集和統(tǒng)計分析，還能夠基于設(shè)備＋虛擬ID的方式，提供對整網(wǎng)安全事件的實時監(jiān)控，形成一個完整的事件快照，從而為用戶提供當前網(wǎng)絡(luò)安全事件的概覽信息，幫助管理員直觀的了解到最新安全狀況。

（如圖2所示）通過實時監(jiān)控窗口，用戶可實時監(jiān)控正在發(fā)生的緊急安全事件，輕松了解突發(fā)事件，快速糾正危險，保障網(wǎng)絡(luò)安全。

圖2 實時監(jiān)控

SecCenter 能夠?qū)θW(wǎng)范圍內(nèi)的安全事件進行集中統(tǒng)計分析，并提供各種直觀、詳細的報告，在全景式的分析報告中，客戶可以輕松地看到整網(wǎng)過去的安全狀況和未來的安全趨勢。

綜合分析和統(tǒng)計報告是評估網(wǎng)絡(luò)安全狀況的有力手段，SecCenter能夠滿足用戶的安全報告需求，提供完善的綜合分析和豐富的統(tǒng)計報告，可即時搜尋出目前環(huán)境的攻擊來源、目標等等，提供基于天、周、月及特定時間段內(nèi)的趨勢分析，從而得知TopN的攻擊狀態(tài)和趨勢等全面數(shù)據(jù)，有效的幫助用戶了解需要重點關(guān)注的網(wǎng)絡(luò)攻擊、病毒情況，發(fā)現(xiàn)各種安全風險，以便提早防范（如圖3所示）。

圖3 攻擊報告

細致的事件及內(nèi)容審計

SecCenter提供強有力的審計能力，能夠從歷史數(shù)據(jù)中快速查找到相關(guān)的安全事件信息。通過深入的數(shù)據(jù)查詢，對具體的安全事件深入分析，能夠一步一步追蹤，剝繭抽絲，最終發(fā)現(xiàn)安全事件攻擊來源及根本原因。通過這種深入查詢能力，能夠解決用戶多種問題。

同時能夠監(jiān)測網(wǎng)絡(luò)中的應(yīng)用情況，對用戶在網(wǎng)絡(luò)中各種應(yīng)用行為包括Web瀏覽、電子郵件、文件傳輸、通信、網(wǎng)絡(luò)游戲進行監(jiān)測、分析和審計，從而有效控制和審計使用網(wǎng)絡(luò)訪問非法網(wǎng)站、進行非法操作、發(fā)送非法或泄密郵件、散布非法或泄密言論等行為。能夠統(tǒng)計每個用戶的業(yè)務(wù)使用趨勢和分布，詳細記錄用戶訪問網(wǎng)站（URL）、Email、FTP、NAT使用記錄，便于事后審計和追蹤等等。

通過對各種安全事件的深入分析和總結(jié)，用戶能夠最直接的了解攻擊行為和活動，并有針對性的部署安全策略。

2.3集中的策略管理，安全策略自動遷移

管理員面對眾多的網(wǎng)絡(luò)安全設(shè)備進行策略配置，如果一次只維護一件設(shè)備，不僅耗費人力，而且容易導(dǎo)致策略不連貫，增加系統(tǒng)產(chǎn)生誤差的可能性。SecCenter可以通過單一的管理控制臺對整網(wǎng)安全設(shè)備進行集中管理和配置，為分布在各處的多個虛擬設(shè)備部署安全策略。通過自動化的設(shè)備配置，可以減少管理費用、減少誤差的發(fā)生，確保網(wǎng)絡(luò)的持續(xù)安全。

特別的，當云計算環(huán)境內(nèi)的虛擬機遷移時，SecCenter能夠即時感應(yīng)到虛擬機遷移狀況，從虛擬機管理系統(tǒng)中獲取虛擬機遷移前后的各種信息，包括虛擬機遷移前所在物理主機以及遷移后物理主機位置及IP地址信息，SecCenter通過自行維護的防火墻與物理主機對應(yīng)關(guān)系表，獲知遷移后物理主機所在的防火墻，然后自動匹配虛擬機原有安全策略，將原有策略重新部署到新的防火墻中，實現(xiàn)安全策略的自動遷移，以便確保云計算環(huán)境中多種安全設(shè)備的安全策略一致性與快速部署，保障網(wǎng)絡(luò)安全。如圖四所示：

圖4 策略遷移示意圖

2.4開放的接口

在更大規(guī)模的復(fù)雜（如包括多廠商，多類型設(shè)備）的網(wǎng)絡(luò)中，通常需要一個綜合的安全管理平臺來實現(xiàn)對多廠商設(shè)備的統(tǒng)一管理。在這種情況下，SecCenter能夠通過定制化手段，以Agent或適配層的方式，提供開放的API接口。通過這些API接口，SecCenter支持按照上層管理平臺的要求進行相應(yīng)的日志格式轉(zhuǎn)換并實時上報，以利于上層管理平臺的解析處理，實現(xiàn)整網(wǎng)安全事件的統(tǒng)一分析；也支持上層的安全策略管理平臺調(diào)用策略部署的接口，實現(xiàn)對全網(wǎng)安全設(shè)備的統(tǒng)一策略部署，如圖5所示。

圖5 開放的接口

3、結(jié)束語

隨著云計算網(wǎng)絡(luò)的發(fā)展，安全技術(shù)和產(chǎn)品也越來越豐富，企業(yè)對安全管理平臺的需求也會越來越強烈，相信云安全管理平臺也必將隨需而變，逐步完善，以適應(yīng)云計算環(huán)境對安全管理種種新的要求，從而實現(xiàn)從資源管理、配置、監(jiān)控、分析、響應(yīng)及部署全周期的云安全管理功能，最終為用戶提供資源平臺化、數(shù)據(jù)集中化的統(tǒng)一云安全管理解決方案。