1. 混合云環(huán)境下的網(wǎng)絡(luò)安全變化 傳統(tǒng)IDC環(huán)境下,企業(yè)業(yè)務(wù)可能會(huì)面臨外部互聯(lián)網(wǎng)的DDOS攻擊以及網(wǎng)絡(luò)層的漏洞掃描和惡意流量攻擊等,因此一般會(huì)在機(jī)房出口處部署抗DDOS流量清洗設(shè)備、網(wǎng)絡(luò)層防火墻設(shè)備、網(wǎng)絡(luò)入侵檢測或入侵防御設(shè)備、防病毒網(wǎng)關(guān)或者統(tǒng)一威脅管理平臺(tái)等。
企業(yè)使用混合云后,網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)和安全控制需求仍然存在,但和傳統(tǒng)IDC環(huán)境相比,混合云業(yè)務(wù)部署可能涉及多家IDC、公有云廠商或者自建私有云等情況,導(dǎo)致信息安全需要在多個(gè)邊界進(jìn)行安全防護(hù),同時(shí)VPC網(wǎng)段和IDC/私有云網(wǎng)段,不同VPC網(wǎng)段之間的通信訪問需求,也需要在混合云網(wǎng)絡(luò)內(nèi)部不同網(wǎng)段間進(jìn)行訪問控制和流量檢測,從而給混合云環(huán)境下的網(wǎng)絡(luò)安全帶來更多挑戰(zhàn)。另外混合云環(huán)境下和邊界相關(guān)的安全問題也包括運(yùn)維通道相關(guān)的VPN和跳板機(jī)軟硬件產(chǎn)品,可通過SDP產(chǎn)品和多云管理平臺(tái)如TiOPS產(chǎn)品進(jìn)行替換,在此不做過多解釋。2. 混合云環(huán)境下的網(wǎng)絡(luò)安全技術(shù) 根據(jù)對(duì)傳統(tǒng)網(wǎng)絡(luò)安全的理解,混合云環(huán)境安全特性,以及對(duì)多家公有云廠商的安全產(chǎn)品調(diào)研,我們發(fā)現(xiàn)混合云環(huán)境下的網(wǎng)絡(luò)安全技術(shù)主要包括包括DDOS流量清洗、高防IP、云防火墻、網(wǎng)絡(luò)入侵檢測系統(tǒng)或網(wǎng)絡(luò)入侵防御系統(tǒng)、虛擬交換機(jī)ACL規(guī)則、云主機(jī)安全組等。 DDOS流量清洗,主要用于防御互聯(lián)網(wǎng)上的DDOS攻擊行為,部署在企業(yè)云業(yè)務(wù)和互聯(lián)網(wǎng)邊界處。高防IP,用戶在業(yè)務(wù)在遭受大流量DDoS攻擊時(shí),可通過配置高防IP,將攻擊流量引流到云廠商提供的高防IP地址,對(duì)攻擊流量進(jìn)行清洗過濾后再將正常流量轉(zhuǎn)發(fā)到源站IP,從而確保源站IP穩(wěn)定訪問。云防火墻,主要用于實(shí)現(xiàn)互聯(lián)網(wǎng)和VPC、VPC和VPC之間的網(wǎng)絡(luò)訪問控制和網(wǎng)絡(luò)安全。一些公有云廠商也會(huì)在云防火墻上集成NIPS、防病毒、用戶身份認(rèn)證管理等功能。網(wǎng)絡(luò)入侵檢測/入侵防御系統(tǒng),主要用于對(duì)網(wǎng)絡(luò)流量進(jìn)行檢查并基于規(guī)則進(jìn)行告警或阻斷。虛擬交換機(jī)ACL規(guī)則,主要用于VPC內(nèi)子網(wǎng)間的訪問控制。安全組,一種虛擬防火墻,具備狀態(tài)檢測和數(shù)據(jù)包過濾能力,用于實(shí)現(xiàn)云主機(jī)間網(wǎng)絡(luò)層的訪問控制。3. 公有云廠商網(wǎng)絡(luò)安全技術(shù)比較 不同公有云廠商在網(wǎng)絡(luò)安全方面一般都會(huì)提供包括安全組、虛擬交換機(jī)ACL訪問控制、DDOS流量清洗或高防IP等基礎(chǔ)的網(wǎng)絡(luò)安全服務(wù)。部分成熟的公有云廠商,也會(huì)提供云防火墻、網(wǎng)絡(luò)入侵檢測/入侵防御系統(tǒng)或防病毒等網(wǎng)絡(luò)安全服務(wù)。
| 網(wǎng)絡(luò)層安全技術(shù)/服務(wù) | | | | 國內(nèi)清洗中心超過8個(gè),單中心帶寬大于1T,10T 總防御帶寬。電信、聯(lián)通、移動(dòng)、教育等20線獨(dú)家防御 | | 實(shí)現(xiàn)IPS,實(shí)時(shí)流量監(jiān)控,虛擬補(bǔ)丁功能 | | | 免費(fèi)基礎(chǔ)防護(hù),高防IP等 | | 提供互聯(lián)網(wǎng)邊界、VPC 邊界的網(wǎng)絡(luò)訪問控制 | 網(wǎng)絡(luò)入侵防護(hù)系統(tǒng) | 通過旁路部署方式,無變更無侵入地對(duì)網(wǎng)絡(luò)4層會(huì)話進(jìn)行實(shí)時(shí)阻斷 | | 惡意樣本智能分析鑒定平臺(tái),支持常見可執(zhí)行文件(包括32位和64位)、腳本、文檔、壓縮包、ELF 文件、APK 文件等多種,幫助檢測惡意文件、后門、APT攻擊等 | | | | | Anti-DDoS服務(wù)作為安全服務(wù)的基礎(chǔ)服務(wù),目前屬于免費(fèi)服務(wù)。 | | | | 通過虛擬機(jī)方式部署,可串聯(lián)或單臂連接到虛擬網(wǎng)絡(luò)中(如:虛擬應(yīng)用服務(wù)器前端的網(wǎng)關(guān),或者是VPC網(wǎng)絡(luò)的邊界網(wǎng)關(guān))。集成用戶認(rèn)證、訪問控制、入侵防御、病毒過濾、授權(quán)管理等多種功能 | | | 免費(fèi)提供基礎(chǔ)DDoS 防護(hù),防護(hù)能力最高可達(dá)5Gbps。本服務(wù)默認(rèn)開啟 | | 10 清洗節(jié)點(diǎn),8T DDoS高防總體防御能力,單用戶T級(jí)防御能力,抵御各類網(wǎng)絡(luò)層、應(yīng)用層DDoS/CC攻擊 | | | | | DDoS防護(hù)服務(wù)為百度智能云上客戶提供5Gb的免費(fèi)DDoS防護(hù)能力。當(dāng)業(yè)務(wù)遭受超過5Gb的DDoS攻擊時(shí),可以將攻擊流量引向高防中心 | | | | | | 針對(duì)IP進(jìn)行海量DDoS清洗能力 | | | 防護(hù)能力按次購買,100G包年僅需28000 |
4. 混合云環(huán)境下的網(wǎng)絡(luò)分層防護(hù)方案 混合云環(huán)境下,企業(yè)可以使用綜合考慮各個(gè)云廠商自身提供的網(wǎng)絡(luò)層安全服務(wù)以及云安全市場中其他安全廠商提供的網(wǎng)絡(luò)產(chǎn)品或服務(wù),從邊界DDOS防護(hù)、邊界云防火墻、VPC間防火墻、虛擬子網(wǎng)間訪問控制及云主機(jī)間的訪問控制等多個(gè)層次,構(gòu)建企業(yè)混合云業(yè)務(wù)的網(wǎng)絡(luò)層縱深防御體系。
#互聯(lián)網(wǎng)邊界處,使用DDOS清洗服務(wù)或高防IP,過濾DDOS攻擊;#互聯(lián)網(wǎng)邊界處,使用云防火墻和IPS技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)層訪問控制、流量監(jiān)控告警和入侵防護(hù)功能,包括不公有同云廠商集成提供的暴力破解、虛擬補(bǔ)丁、信息竊取、防病毒等功能;#VPC和VPC邊界處,部署VPC邊界防火墻,對(duì)VPC之間的訪問和流量進(jìn)行管理;#VPC內(nèi)不同網(wǎng)段間,可使用虛擬交換機(jī)策略,管理同一VPC內(nèi)不同子網(wǎng)間的訪問;#云主機(jī)之間,使用安全組策略,管理同一VPC內(nèi)不同云主機(jī)之間的訪問;5. 混合云環(huán)境下的網(wǎng)絡(luò)安全挑戰(zhàn)和應(yīng)對(duì) 混合云環(huán)境下,因?yàn)閼?yīng)用系統(tǒng)部署、應(yīng)用架構(gòu)調(diào)用、業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)及使用人員的復(fù)雜性,導(dǎo)致安全人員難以追溯并理清楚各類訪問需求和訪問路徑,無法在用戶和應(yīng)用訪問路徑的關(guān)鍵節(jié)點(diǎn)采取合適的安全防護(hù)措施。不過安全仍然可以從以下兩方面積極應(yīng)對(duì):
1)梳理訪問關(guān)系#梳理IDC、公有云、私有云中各類應(yīng)用和應(yīng)用分配的網(wǎng)段;#梳理應(yīng)用、VPC間訪問和調(diào)用關(guān)系并進(jìn)行分類、分級(jí)匯總;#梳理使用人員,包括外部業(yè)務(wù)用戶,內(nèi)部運(yùn)維、開發(fā)、測試,內(nèi)部業(yè)務(wù)用戶,第三方人員等;#梳理使用人員訪問各應(yīng)用的訪問路徑,并進(jìn)行分類、分級(jí)匯總;#明確關(guān)鍵資產(chǎn)的訪問對(duì)象和訪問路徑;
2)訪問路徑的縱深安全控制#結(jié)合資產(chǎn)價(jià)值進(jìn)行訪問路徑風(fēng)險(xiǎn)評(píng)估,包括現(xiàn)有主要控制措施,補(bǔ)償性控制措施等;#基于縱深安全防御理念,在各個(gè)訪問通道的關(guān)鍵邊界處,進(jìn)行訪問控制、流量檢測、攻擊流量阻斷、虛擬補(bǔ)丁等,同時(shí)在訪問資產(chǎn)前,加強(qiáng)對(duì)用戶和訪問設(shè)備的身份鑒別、權(quán)限管理等安全措施。#明確混合云環(huán)境下的網(wǎng)絡(luò)安全目標(biāo):基于業(yè)務(wù)/應(yīng)用/VPC/人員訪問需求,在網(wǎng)絡(luò)層面實(shí)現(xiàn)基本的網(wǎng)絡(luò)隔離和訪問控制功能,對(duì)訪問流量進(jìn)行檢測告警,對(duì)異常訪問流量進(jìn)行阻斷等。#對(duì)于一些場景如企業(yè)內(nèi)部員工訪問云上SaaS應(yīng)用,可選擇和使用CASB產(chǎn)品對(duì)訪問資產(chǎn)和路徑進(jìn)行安全控制;#考慮使用SDP/ZTNA產(chǎn)品,減少可見攻擊面,加強(qiáng)用戶身份、設(shè)備認(rèn)證和權(quán)限管理,替代VPN訪問通道;
|