面對云安全，如何構(gòu)建和管理“安全云”環(huán)境是當(dāng)前服務(wù)商和用戶面臨的主要挑戰(zhàn)。如何管理云計(jì)算中復(fù)雜的虛擬化環(huán)境?如何實(shí)現(xiàn)多類型安全設(shè)備的統(tǒng)一日志管理和事件關(guān)聯(lián)分析?如何對虛擬化環(huán)境下的安全策略進(jìn)行管理和部署?如何根據(jù)業(yè)務(wù)變化，快速及時(shí)的實(shí)現(xiàn)安全策略自動化分發(fā)和動態(tài)調(diào)整?諸如此類等等復(fù)雜的虛擬化環(huán)境對安全管理提出了新的要求：

高性能。云計(jì)算環(huán)境中設(shè)備資源、數(shù)據(jù)大集中，需要對海量事件進(jìn)行集中采集和分析，安全管理系統(tǒng)應(yīng)具有更先進(jìn)的技術(shù)以大大提高事件處理能力。

統(tǒng)一管理。云計(jì)算環(huán)境中存在多種類型、多個(gè)廠家的設(shè)備資源，各種設(shè)備日志格式、內(nèi)容千差萬別，要求安全管理平臺能夠屏蔽其差異性，實(shí)現(xiàn)統(tǒng)一的智能分析和審計(jì)，并提供豐富的綜合分析報(bào)告。

可遷移。云計(jì)算環(huán)境中虛擬化的應(yīng)用，使管理單元從傳統(tǒng)上的以“設(shè)備中心”向以“虛擬實(shí)例”為中心轉(zhuǎn)變，各種資源的池化管理也使業(yè)務(wù)變化更為頻繁，要求安全策略必須實(shí)現(xiàn)自動化部署，以便能夠及時(shí)跟蹤業(yè)務(wù)變化并完成動態(tài)調(diào)整，減少人工處理帶來的業(yè)務(wù)延遲。

多業(yè)務(wù)系統(tǒng)的融合。云計(jì)算環(huán)境中IT管理系統(tǒng)也趨于融合，安全管理系統(tǒng)與其他管理系統(tǒng)聯(lián)系越加緊密，與網(wǎng)絡(luò)管理不斷融合，同時(shí)與身份管理系統(tǒng)、運(yùn)營管理系統(tǒng)也要密切協(xié)同配合。這就要求安全管理平臺更加具有開放性。

針對以上這些新的應(yīng)用特點(diǎn)，集中化、虛擬化，自動化、開放成為新一代云安全管理平臺的必備特征。

一、 云安全管理平臺的整體架構(gòu)

云安全管理平臺應(yīng)構(gòu)建起智能開放統(tǒng)一的系統(tǒng)架構(gòu)，以適應(yīng)當(dāng)前的云安全管理需求。如圖1所示，第一，采用開放的SOA架構(gòu)，提供SOAP/REST開放接口，方便與其他業(yè)務(wù)系統(tǒng)進(jìn)行融合和協(xié)作;第二，采用分層設(shè)計(jì)，通過資源訪問層將各種設(shè)備資源的訪問接口進(jìn)行適配和封裝，利于對不同資源集中管控;第三，平臺支撐層提供模塊化的基礎(chǔ)管理功能，包括高性能采集和分析引擎，大容量數(shù)據(jù)存儲，虛擬化資源管理，完善的知識庫系統(tǒng)等;第四，業(yè)務(wù)管理層對基礎(chǔ)管理功能進(jìn)行組合，實(shí)現(xiàn)基于業(yè)務(wù)的全方位、多視角的安全管理。

圖1 云安全管理平臺系統(tǒng)框架

二、 集中的虛擬化資源管理

和傳統(tǒng)的網(wǎng)絡(luò)環(huán)境不同，在云計(jì)算環(huán)境中大量使用了虛擬化技術(shù)。比如“一虛多”，即一臺設(shè)備虛擬成多臺，如“多虛一”，即多臺設(shè)備處理同一個(gè)業(yè)務(wù)，又如“多虛多”，即多個(gè)業(yè)務(wù)在多臺虛擬服務(wù)器上運(yùn)行。此外由于虛擬化實(shí)例的廣泛使用，整個(gè)云中的安全設(shè)備已經(jīng)虛化成了一個(gè)包含多個(gè)虛擬單元的資源池，資源分配更加的隨心所欲，不再局限于死板的物理資源分配。此時(shí)的安全管理軟件平臺，無論是在設(shè)備配置管理還是安全日志分析等方面，都需要基于虛擬化的設(shè)備資源，而不是基于單個(gè)物理設(shè)備來進(jìn)行。而且，對于這些虛擬化單元，用戶權(quán)限管理也要進(jìn)一步細(xì)化，在完成初始化的用戶虛擬化資源分配和綁定后，后續(xù)的任何操作，都應(yīng)該可以基于不同租戶的不同管理員進(jìn)行;每個(gè)管理員都可以隨時(shí)對本企業(yè)的安全資源進(jìn)行策略配置調(diào)整，管理維護(hù)企業(yè)本身的安全事件分析報(bào)告。

新一代安全管理平臺能夠管理各種安全設(shè)備，多種安全業(yè)務(wù)在一套平臺中集中展現(xiàn)和部署，物理/虛擬資源統(tǒng)一管理，實(shí)現(xiàn)網(wǎng)絡(luò)安全的集中化管理。用戶可以根據(jù)實(shí)際情況劃分區(qū)域，面向虛擬資源，支持將虛擬設(shè)備劃分為不同的虛擬設(shè)備組，同時(shí)靈活的權(quán)限管理允許不同用戶管理不同的虛擬化安全設(shè)備，滿足對虛擬化資源的分級分權(quán)管理需求，確保以最經(jīng)濟(jì)、高效的方式讓新增業(yè)務(wù)快速上線并運(yùn)行，對虛擬資源分配、跟蹤、執(zhí)行，為業(yè)務(wù)運(yùn)營提供有力支撐。

#p#

三、 快速的事件智能分析

在云計(jì)算環(huán)境中，要求安全管理平臺對云及虛擬化環(huán)境下的IT資源統(tǒng)一進(jìn)行監(jiān)控、審計(jì)和分析，要求具有更先進(jìn)的海量數(shù)據(jù)處理與分析能力，以海量事件采集為例，需要滿足每秒幾萬條事件的處理能力，同時(shí)完成海量事件的快速查詢和綜合分析，提供豐富的事件報(bào)表。

新一代安全管理平臺將基于虛擬化資源，進(jìn)行海量事件采集和統(tǒng)計(jì)分析，對全網(wǎng)范圍內(nèi)的安全事件進(jìn)行綜合的智能分析，并提供各種直觀、詳細(xì)的報(bào)告，滿足用戶的定制報(bào)告需求。在全景式的分析報(bào)告中，管理員可以輕松地看到整網(wǎng)過去的安全狀況和未來的安全趨勢，有效的幫助其了解需要重點(diǎn)關(guān)注的網(wǎng)絡(luò)攻擊，發(fā)現(xiàn)各種安全風(fēng)險(xiǎn)，以便提早防范。安全管理平臺還將具有強(qiáng)有力的審計(jì)能力，能夠從歷史數(shù)據(jù)中快速查找到相關(guān)的安全事件信息，通過深入的數(shù)據(jù)查詢，對具體的安全事件深入分析，能夠一步一步追蹤，剝繭抽絲，最終發(fā)現(xiàn)安全事件攻擊來源及根本原因。同時(shí)利用高效的關(guān)聯(lián)分析技術(shù)以及完善的知識庫系統(tǒng)，能夠在成千上萬條安全事件中快速準(zhǔn)確發(fā)現(xiàn)當(dāng)前正在發(fā)生的重要事件，及時(shí)對網(wǎng)絡(luò)安全提前預(yù)警進(jìn)而實(shí)現(xiàn)對攻擊行為的準(zhǔn)確隔離。

四、 自動化的策略動態(tài)調(diào)整

在傳統(tǒng)的管理模式中，管理員關(guān)注資源的管理，側(cè)重如何從底層資源出發(fā)保障業(yè)務(wù)和性能。而云模式下的管理則更側(cè)重資源的自動化調(diào)配和調(diào)度，以及基于網(wǎng)絡(luò)業(yè)務(wù)的服務(wù)深度保障，即如何根據(jù)業(yè)務(wù)性能需求變化來調(diào)整和優(yōu)化資源供給方案。虛擬化的使用首先是帶來需要管理目標(biāo)的增加，再就是系統(tǒng)架構(gòu)會隨著業(yè)務(wù)的變化而不斷的發(fā)生動態(tài)的變更，這就要求安全管理系統(tǒng)必須能夠根據(jù)動態(tài)變化的虛擬化環(huán)境，做出相應(yīng)的安全策略調(diào)整;對于管理員來說，需要為各種應(yīng)用、各種處理程序，以及各種數(shù)據(jù)基礎(chǔ)設(shè)置正確的安全策略，當(dāng)面對數(shù)量眾多安全策略，管理員迫切希望這些安全策略具有可移植性并易于配置，而常規(guī)模式下的手工網(wǎng)絡(luò)操作將引起業(yè)務(wù)服務(wù)的長時(shí)間中斷，已經(jīng)不能滿足當(dāng)前業(yè)務(wù)的要求。當(dāng)資源或服務(wù)發(fā)生變化時(shí)(例如服務(wù)擴(kuò)容，服務(wù)虛擬化引入的VM調(diào)整、遷移等)，要求安全策略能夠隨之自動的進(jìn)行動態(tài)調(diào)整，而不必重新實(shí)施和部署對應(yīng)的安全策略，減少網(wǎng)絡(luò)維護(hù)工作量，提高企業(yè)運(yùn)營效率。安全管理平臺的自動化體現(xiàn)在兩個(gè)方面：

一是能夠根據(jù)資源和業(yè)務(wù)的變化，自動實(shí)現(xiàn)安全策略配置的動態(tài)調(diào)整。例如，當(dāng)云計(jì)算環(huán)境內(nèi)的虛擬機(jī)遷移時(shí)，安全管理平臺能夠感應(yīng)到虛擬機(jī)遷移狀況，從虛擬機(jī)管理系統(tǒng)中獲取虛擬機(jī)遷移前后的各種信息，包括虛擬機(jī)遷移前所在物理主機(jī)以及遷移后物理主機(jī)位置及IP地址信息，然后通過網(wǎng)絡(luò)管理系統(tǒng)中的網(wǎng)絡(luò)拓?fù)鋱D(拓?fù)鋱D中包括了所有網(wǎng)絡(luò)資源的連接關(guān)系)，定位出遷移后物理主機(jī)所在交換機(jī)端口進(jìn)而找到所屬防火墻設(shè)備，然后系統(tǒng)自動匹配并找出虛擬機(jī)原有安全策略，并將原有策略重新部署到新的防火墻中，實(shí)現(xiàn)安全策略的自動遷移，實(shí)現(xiàn)云計(jì)算環(huán)境中多種安全設(shè)備的安全策略的一致性與快速部署，保障網(wǎng)絡(luò)安全。遷移過程如圖2所示。

圖2 安全策略自動遷移示意

二是智能的監(jiān)控和告警。當(dāng)安全管理系統(tǒng)接收到安全設(shè)備發(fā)送的安全攻擊事件時(shí)，會提取攻擊事件中的攻擊源和攻擊目的信息，在網(wǎng)絡(luò)拓?fù)渲?，直觀顯示出攻擊源到攻擊目的的攻擊路徑——從攻擊發(fā)起者途徑了解哪些網(wǎng)絡(luò)設(shè)備和安全設(shè)備到最終攻擊服務(wù)器，方便管理員定位查看。同時(shí)能夠預(yù)先設(shè)置策略，對關(guān)鍵的攻擊事件，直接定位攻擊源接入網(wǎng)絡(luò)的源頭設(shè)備，自動對該設(shè)備下發(fā)阻斷策略，比如關(guān)閉端口，設(shè)置ACL、QoS等，快速對攻擊者進(jìn)行封堵，避免攻擊泛濫到整個(gè)網(wǎng)絡(luò)。

#p#

五、 業(yè)務(wù)自動編排

在云計(jì)算環(huán)境中，基礎(chǔ)設(shè)施可能隨著業(yè)務(wù)需求的變換而不斷增長、調(diào)整。如果管理員不能對資源及業(yè)務(wù)進(jìn)行快速部署，勢必會陷入低效率價(jià)值而非聚焦服務(wù)。這就要求實(shí)現(xiàn)高度智能的業(yè)務(wù)管理：將各種資源提供的能力抽象出來，根據(jù)業(yè)務(wù)對網(wǎng)絡(luò)安全的要求，建立統(tǒng)一的機(jī)制，基于業(yè)務(wù)流程合理編排成用戶所需的安全策略模板。比如針對防火墻設(shè)備可以抽象出“定義Zone”、“定義Rule”、“定義Profile”等模型，將其定義為防火墻策略模板。針對LB設(shè)備可以抽象出“服務(wù)器”、“服務(wù)器組”、“虛服務(wù)”、“LB policy”等，將其定義為LB策略模板，然后進(jìn)一步將防火墻策略模板、IPS策略模板、LB策略模板等定義為某種業(yè)務(wù)安全策略模板。

圖3顯示了安全策略模板化的過程。在這一過程中，管理人員可以把用戶情況，設(shè)備情況以及用戶與網(wǎng)絡(luò)安全資源之間的分配關(guān)系輸入到管理平臺中，管理系統(tǒng)將自動的建立人員與網(wǎng)絡(luò)安全配置關(guān)系，通過鑒別用戶身份，分配用戶所需資源及對應(yīng)的安全策略，包括防火墻設(shè)備、IPS設(shè)備、LB設(shè)備等，最后針對用戶或業(yè)務(wù)編排出安全策略模板。當(dāng)出現(xiàn)業(yè)務(wù)資源變化時(shí)，管理員就可以直接利用已有安全模型及安全策略模板快速實(shí)現(xiàn)業(yè)務(wù)的建立與部署，使其擺脫業(yè)務(wù)規(guī)劃、實(shí)施、變更和監(jiān)控整個(gè)流程的管理復(fù)雜性，提高響應(yīng)云服務(wù)需求的業(yè)務(wù)快速部署能力。同時(shí)通過編排實(shí)現(xiàn)的各種策略模板，也可供第三方IaaS(基礎(chǔ)架構(gòu)即服務(wù))、PaaS(平臺即服務(wù))、SaaS(軟件即服務(wù))等云計(jì)算管理系統(tǒng)調(diào)用，最大限度地提高企業(yè)在基礎(chǔ)設(shè)施建設(shè)中的投資價(jià)值。

圖3安全策略的模板化

當(dāng)通過自動編排能力交付網(wǎng)絡(luò)安全服務(wù)后，就可以把實(shí)現(xiàn)一個(gè)業(yè)務(wù)安全策略部署的預(yù)期時(shí)間縮短到幾分鐘時(shí)間，從而實(shí)現(xiàn)快速的業(yè)務(wù)部署能力。由此，管理員將徹底從云服務(wù)建立、調(diào)整、擴(kuò)容等繁雜的配置工作任務(wù)中解脫出來，而將主要精力聚焦于為客戶提供高效率、高質(zhì)量、高保障的服務(wù)上來。

六、 多業(yè)務(wù)融合與協(xié)同管理

作為安全業(yè)務(wù)的集成管理平臺，不僅需要提供單獨(dú)業(yè)務(wù)模塊的管理，還需要將多種業(yè)務(wù)模塊融合，進(jìn)而支持多系統(tǒng)協(xié)同聯(lián)動，實(shí)現(xiàn)網(wǎng)絡(luò)安全業(yè)務(wù)的全流程管理。安全管理包括多種業(yè)務(wù)模塊，如防火墻管理，IPS管理，LB管理等，不同設(shè)備使用了不同的日志類型和業(yè)務(wù)配置模式，平臺能夠?qū)⒍喾N業(yè)務(wù)模塊有機(jī)結(jié)合在一起，屏蔽業(yè)務(wù)模塊差異，提供統(tǒng)一的安全事件分析和策略部署能力。

新一代云安全管理平臺能夠從云接入環(huán)節(jié)開始，與第三方認(rèn)證系統(tǒng)聯(lián)動，提供基于用戶身份的安全業(yè)務(wù)管控。首先能夠針對用戶的進(jìn)行流量統(tǒng)計(jì)分析，并能夠基于用戶下發(fā)安全策略，對用戶帶寬，訪問資源權(quán)限進(jìn)行控制，還能夠基于用戶對訪問資源情況進(jìn)行審計(jì)，從用戶角色的角度，實(shí)現(xiàn)對安全業(yè)務(wù)的“監(jiān)”、“管”、“查”。另外，支持同第三方云計(jì)算管理系統(tǒng)以及虛擬機(jī)管理系統(tǒng)協(xié)同工作，根據(jù)不同租戶的安全業(yè)務(wù)需求，結(jié)合資源負(fù)荷狀況，實(shí)現(xiàn)動態(tài)調(diào)配虛擬機(jī)資源，并能夠針對虛擬資源的變化實(shí)現(xiàn)安全策略的動態(tài)調(diào)配。

圖4 多業(yè)務(wù)系統(tǒng)協(xié)同

圖4以LB業(yè)務(wù)為例，展示安全管理平臺和云管理平臺、虛擬機(jī)管理系統(tǒng)間的協(xié)同。云管理平臺針對不同租戶分配不同的資源和策略，并調(diào)用安全管理平臺提供的接口進(jìn)行部署;安全管理平臺完成部署后，會實(shí)時(shí)監(jiān)測提供業(yè)務(wù)的資源可用性狀況，包括虛擬機(jī)CPU、內(nèi)存、當(dāng)前連接數(shù)等信息，從而判斷出業(yè)務(wù)資源是否已超負(fù)荷運(yùn)行;當(dāng)發(fā)現(xiàn)業(yè)務(wù)資源告警，則會自動觸發(fā)通知虛擬機(jī)管理系統(tǒng)(如VMware vCenter)，創(chuàng)建新的虛擬機(jī);當(dāng)新建虛擬機(jī)完成后，安全管理平臺會獲取其IP信息;最后，安全管理平臺動態(tài)調(diào)整LB策略，將新資源加入到現(xiàn)有業(yè)務(wù)中，提高業(yè)務(wù)處理能力，確保業(yè)務(wù)服務(wù)正常。

#p#

七、 開放的架構(gòu)

云計(jì)算最終的目標(biāo)是達(dá)到系統(tǒng)的按需運(yùn)營，能夠根據(jù)用戶請求執(zhí)行服務(wù)的開通。任何一套管理系統(tǒng)，都不可能滿足所有用戶的需求，這就要求用戶在建設(shè)數(shù)據(jù)中心時(shí)具備開放的管理戰(zhàn)略，管理系統(tǒng)具備開放的能力。

新一代安全管理平臺采用基于面向服務(wù)(SOA)的開放管理架構(gòu)，提供了封裝網(wǎng)絡(luò)安全業(yè)務(wù)的管理調(diào)用接口，包括SOAP、RESTful等開放接口，第三方業(yè)務(wù)系統(tǒng)可以使用這些接口實(shí)現(xiàn)對網(wǎng)絡(luò)資源的調(diào)度和編排，也為安全管理平臺與第三方云計(jì)算管理系統(tǒng)協(xié)同聯(lián)動提供技術(shù)支持，幫助第三方業(yè)務(wù)系統(tǒng)具備構(gòu)建靈活業(yè)務(wù)網(wǎng)絡(luò)的能力。

通過開放的接口，可以將不同產(chǎn)品不同格式的日志轉(zhuǎn)換為固定格式并實(shí)時(shí)上報(bào)，以利于上層管理平臺的解析處理，實(shí)現(xiàn)整網(wǎng)安全事件的統(tǒng)一分析;可以支持上層的安全策略管理平臺調(diào)用安全策略部署的接口，實(shí)現(xiàn)對全網(wǎng)安全設(shè)備的統(tǒng)一策略部署。例如廠商提供的安全管理平臺已經(jīng)定制出各種安全策略模板，第三方云計(jì)算管理系統(tǒng)就可以通過這些開放的接口直接調(diào)用已有安全策略模板，實(shí)現(xiàn)對不同租戶的安全策略進(jìn)行部署，避免其針對不同廠商設(shè)備進(jìn)行適配以及重復(fù)開發(fā)，滿足快速實(shí)現(xiàn)業(yè)務(wù)部署需求。

八、 結(jié)束語

未來的網(wǎng)絡(luò)不僅需要從網(wǎng)絡(luò)安全的角度出發(fā)來保障用戶和業(yè)務(wù)，也要從用戶和業(yè)務(wù)的角度出發(fā)來優(yōu)化網(wǎng)絡(luò)安全。這意味著安全管理平臺需要采用全新的管理模型和靈活的功能架構(gòu)，并且充分考慮基礎(chǔ)設(shè)施、技術(shù)趨勢、業(yè)務(wù)運(yùn)行、運(yùn)維服務(wù)等各種管理要素，建立一個(gè)開放式、標(biāo)準(zhǔn)化、易擴(kuò)展、可聯(lián)動的統(tǒng)一智能安全管理平臺，以適應(yīng)云計(jì)算環(huán)境對安全管理的新要求。

博文出處：http://blog.sina.com.cn/s/blog_61bd83dc0101hby6.html