【IT168 评论】云计算在社会的发展大潮中发展迅猛,随着企业用户对于云计算认知大大提升和国家云计算政策引导,政府和企业用户纷纷加速云落地,大家都称之为政企云,但部署政企云面临的最后一道门槛是安全问题,该问题也引起各个行业以及企业部门的广泛关注。
谈及政企云安全问题,不仅包括了IT基础设施,还包括了政企云平台上用户数据的安全这两大类,对于IT基础设施安全层面,我们有幸邀请到了华为交换机与企业网关产品线安全网关领域总经理刘立柱先生,来和大家共同探讨一下当下的政企云安全以及未来政企云安全的发展趋势。
挑战和选择
目前政企云还没有全面开发,刘立柱认为云安全的标准还不够成熟、数据安全顾虑、云引入的新的安全漏洞和风险、人员技能准备度不足等都是当前的政企云在全面开发上所面临的挑战。政企云的挑战重重,同样也有多种选择,有软件也有硬件,那政企云用户又该如何选择?
刘立柱谈到,政企云安全非常好的选择是软硬件结合,在数据中心边界和数据中心内网建立两层防御机制,边界防御充当小区大门的保卫角色,针对大流量流量集中访问采用高性能硬件安全设备进行集中防御,把一些公共风险抵御在外(不安全端口、协议、恶意IP域名、不合法或带风险的应用等);内网防御充当小区内部住户的家庭大门角色,采用软件安全设备,靠近业务部署,提供就近针对不同业务的精细化防御。这种软硬件结合的选择方式很是新颖,能够为政企云用户带来更加全面的安全防护。
华为政企云安全深度解读
目前华为在政企云安全方面也有着自己的解决方案,借此次机会我们也对华为政企云安全有了相应的了解,刘立柱认为政企云当前的安全挑战主要集中在如何针对云环境提供虚拟化安全,如何抵御向复杂、组合市、定向的高级威胁,以及如何解脱静态安全,适配云环境动态业务变化。华为针对云虚拟化环境可以提供针对性的虚拟化安全产品,包括虚拟化网络安全产品vFW,云OS加固,VM防逃逸等。同时针对云运营商华为提供面向基础设施的E2E 5重安全防御,包括基于SDN的网络安全、云OS安全、主机安全、应用安全,数据安全和大数据管理安全,从全局视角,建立了一个严密的云防御体系,避免部分安全方案缺失导致的木桶效益。
华为政企云安全解决方案从客户的实际痛点出发,切实解决了用户的实际需求,那相对比诸多的网络安全厂商,华为的政企云安全又有哪些优势呢?刘立柱讲道:华为政企云安全解决方案差异化体现在一个是E2E 全局防御,一体化的防御链条;一个是基于SDN提供一个弹性的安全架构,满足安全主动感知业务,分钟级业务发放、按需编排,以及安全数据面的彻底池化,支撑云环境的安全适配业务按需扩缩。最后华为引入了基于大数据技术的安全分析方案,针对政务云提供安全态势感知,并通过机器学习针对高级威胁建模,抵御各种已知和未知APT威胁。相对同行业的解决方案,华为政企云安全的解决方案确有其独到之处。
面对攻击 华为如何发力出击
随着“大物移云”的发展趋势,诸多的网络攻击已经逐步转移到了对云的攻击上,那针对云的各种攻击,华为又是如何来应对的呢?首先在DDoS攻击防御上,华为在DC边界提供了专业的DDoS防御系统,逐包检测inbound流量,秒级攻击响应,精细化过滤3/4、7层攻击,保护政企云业务和带宽。那在政企云的APT攻击的防御的工作中,华为又做出了哪些努力?
刘立柱提到,在针对政企云的APT攻击的防御上,华为构筑了以大数据技术手段为核心的高级威胁检测方案CIS,部署在政企云中,共分为以下5个阶段进行防护:
●渗透阶段,华为CIS方案提供基于流量的检测方案,对WEB、邮件、文件传输进行文件沙箱检测,同时结合Metadata信息准确识别渗透行为
●CC通讯阶段,华为CIS方案通过大数据+人工智能+情报,检测已感染、突破现有渗透检测措施、或外出离开企业的感染终端和CC通讯行为
●内部威胁扩散,华为CIS通过网络流量、端点日志的自学习,发现异常
●数据外泄,华为CIS检测数据隐蔽外发通道和内容
●华为CIS识别涵盖网络和端点的异常行为,利用人工智能判定算法准确识别APT-KillChain,同时联动USG/NIP/第三方合作产品,及时隔离和阻断高级威胁。
华为政企云安全几点建议
随着诸多政企业纷纷上云,加强政企云的安全工作成为重中之重,对此刘立柱也对大家提出了几点可行性的建议:
●云的安全建设是一个系统工程,必须有体系化的安全架构和全局安全方案设计,从外部到内部,形成一体化的防护链条,严密防御各个层面的安全漏洞、攻击、入侵等。
●对于高价值资产的私有云,如金融私有云,是黑客觊觎的第一目标,针对复杂的攻击,需要考虑在云端建立能检测未知威胁的智能方案,云端御敌。
●政企云的安全策略管理是当前的一大痛点,依靠传统安全管理手段不能从根本上解脱手工管理的困境,云环境业务变得更加动态,需要高度自动化的安全与之适配。考虑引入SDN,建立安全和业务之间的对接和感知层,以业务语言直接定义安全策略,以SDN自动化方式按需下发配置业务安全策略,自动化管理安全策略,从根本上改善策略多、管理难的问题。
写在最后
随着企业的需求和时代的发展,云的应用早已不再是一个概念问题,政企云的全面落地也只是时间问题,面对复杂的网络环境,云安全势必要引起足够的重视,刘立柱认为随着攻防的较量演进,黑产将演变的更加专业,上下游紧密合作,专业程度超乎我们的想象。安全会更多强调生态合作,政企云也会逐步出现一些行业安全生态联盟,相互共享安全情报,共同抵御严峻的黑产形式。