报告发布 | 数世咨询:云安全资源池能力指南(附下载)
前言
随着云计算的迅速发展,越来越多的政企用户选择业务上云。云计算为用户提供了灵活方便的IT资源使用方式,极大地提升了工作效率,但与此同时,云上数据和应用也面临着各种安全威胁,如数据泄露、病毒感染、网络攻击等。云环境的安全防护体系与传统IT环境存在差异,如何构建适应云计算特点的安全防护方案,是业务上云时必须要考虑的问题。
面对云安全建设的挑战,云安全资源池应运而生,云安全资源池是通过集中统一管理各类云安全资源,并以”即服务”(as a Service)的形式提供给用户的一种云安全解决方案,其核心思路是将网络安全、数据安全、应用安全、身份认证等安全能力以即服务的方式进行交付,用户可以根据自己的实际需求,对不同类型的安全能力进行灵活组合,无需自行搭建庞大的安全系统。
云安全资源池作为一种集成的安全解决方案,包含的安全组件众多,管理软件极其复杂,用户常常有以下疑问:
● 云安全资源池的整体架构是什么?----能否兼容用户现有的云计算环境
● 安全资源池的安全能力有哪些?----能在多大程度上帮助用户达成监管合规
● 资源池针对多租户的安全隔离方案如何实现?----保护云端数据的私有化
● 安全能力是否可定制以适应不同业务需要?----是否有足够的灵活性
● 对于多云环境能否实现一致性的安全策略?----这可以避免很多意外的发生,减轻安全运维压力
● 能否接入现有的运营体系?----能否实现安全闭环运营的相关要求
● ……
为了客观真实地反映云安全资源池的行业应用及能力实现,数世咨询通过资料收集、问卷调研、企业访谈、市场数据分析等方法撰写《云安全资源池 能力指南》,报告从云安全资源池的需求挑战、技术发展、整体架构、能力优势、场景应用、运营管理、发展趋势、参考案例等多个方面进行总结,重点突出云安全资源池在云安全建设中的独特价值,同时以应用创新力与市场执行力两大维度展现安全厂商的综合能力,除此之外,还从细分的八个维度进行侧写,以供业内人士参考。
为了语言表述上的简洁性,以下所提到的”安全资源池”或”资源池”,均指”云安全资源池”
主笔分析师:陈发明 市场分析师
勘误与合作联系:chenfaming@dwcon.cn
关键发现
● 随着云安全成为数字安全市场中规模增长最快的细分市场,云安全资源池也从基础的网络安全防护,向融合数据安全、密码安全、身份安全、一体化安全运营等方向扩展。
● 云安全资源池概念在国外鲜少提及,为国内独有特色,其主要原因一是国内私有云、混合云占较大比重,私有云服务商更依赖安全厂商的安全能力,二是国内用户更加需要本地化安全能力建设。
● 云安全资源池是一种云计算与安全集成的解决方案,其能力和特性取决于安全厂商各自的技术方向和云安全产品策略,是安全厂商传统的安全能力在云安全领域的延伸。
● 云安全资源池解决方案的打造,不仅需要安全厂商有深厚的安全技术积累,还需要具备整合虚拟化、网络、云计算、存储、安全管理软件等多种技术的能力。
● 根据本次调研,2022年国内云安全资源池市场规模达到12.8亿元,数世咨询估算,到2026年市场规模可望达到27亿元。在部署模式上,云内部署的安全资源池占比43.4%,云外部署的比例48.1%,还有少部分以SaaS化形式部署,占比8.5%。
● 云安全资源池的市场需求排名靠前的行业为:运营商(27.3%)、政府部委(16.1%)、大型互联网企业(13%)、交通运输(8.9%),安全需求与该行业云计算的发展规模及监管政策要求息息相关。
● 目前等保合规仍然是云安全资源池的关键需求,几乎所有厂商的产品方案在满足三级及以下等保合规方面都没有问题,用户只需要选择合适的”等保套餐”,即能满足相应的等保要求。
● 随着安全监管和用户需求的升级,云安全资源池未来发展趋势,会向集成更多元化的安全能力、多云适配、云原生化以及实现与云环境的一体化管理等方向发展。
1 概述
1.1 发展阶段
云安全目前来说有两种观点,一种是云计算安全,就是对云自身的安全保护,另一种是安全云计算,即通过使用云的形式提供和交付安全,也称安全即服务(Security as a Service, SECaaS)。在两种应用场景下,云安全资源池都可提供所需要的安全能力,可以说云安全资源池是云安全的底座。
云安全资源池跟云安全的发展密不可分,根据云安全的发展脉络,云安全资源池从云安全的萌芽阶段即开始出现,随着安全需求的不断增长,在功能上不断的集成更丰富多元的安全能力。基于需求及功能实现,可大致分为三个阶段:
图1 云安全资源池发展阶段
第一阶段:满足云主机安全
2008年5月趋势科技创新性的发展了对虚拟主机的杀毒解决方案(Deep Security),云计算安全被提出并为行业所关注。面对即将汹涌而来的云计算大潮,云安全防护必然成为关键需求,期间国内少数安全厂商,开始实践将传统安全能力虚拟化成为按需启用的资源,云安全资源池解决方案开始兴起,这个阶段安全资源池主要安全能力以保护虚拟主机的杀毒,主机安全和租户的南北向边界安全为主。
第二阶段:满足等保合规安全
随着云计算技术的逐渐成熟,一方面,国内的云计算市场逐渐形成规模,不管是规模化发展的公有云服务商还是大量涌现的私有云服务商迫切需要集成云安全防护能力。另一方面,云计算技术与传统的安全技术相融合,使安全企业能够适时的推出相应的云安全资源池解决方案和产品。这一阶段的解决方案主要用来满足云上业务的政策监管合规需求,同时安全厂商与云服务商的竞合关系也开始形成。
第三阶段:满足多元化安全需求
三年疫情给企业的业务上云按了加速键,随着业务上云、远程办公和云上业务的加速创新,云安全成为数字安全市场中规模增长最快的细分市场。随着政府监管和用户安全需求的不断升级,安全防护的重心已开始从传统安全向云安全迁移,云安全资源池也从基础的网络安全防护,向融合数据安全、密码安全、身份安全、一体化安全运营等方向扩展,成为具备多元化安全能力的”资源池”。
另外,随着网络及云计算基础设施快速发展迭代,业务向云原生化方向发展,云安全资源池也需要适配云原生架构并提供云原生安全能力,也是多元化发展方向之一。
根据我们的调研了解,目前国内”云安全资源池”已经成为众多云服务商云安全的支撑底座,但云安全资源池概念在国外鲜少提及,其主要原因在于国内外云计算发展路径、监管环境及用户需求存在差异。一是,国内云计算建设中,私有云、混合云占较大比重(50.7%,信通院2023年《云计算白皮书》),而私有云服务商的安全服务能力跟不上云计算的发展步伐,大多依赖安全厂商。国外云服务以公有云为主,服务商自身具备较强的安全研发能力,对安全厂商的依赖较少。二是,国内用户更加重视本地化安全能力的建设,特别是对私有云环境的安全防护有刚性需求。
1.2 市场现状
据本次调研统计,2022年云安全资源池市场规模达到12.8亿元。根据参与调研的各安全厂商对2023年的市场预估,2023年云安全资源池市场份额约为15.2亿元,按年复合增长率21.5%计算,到2026年云安全资源池市场规模能达到27亿元,该复合增长率来自于三年疫情期间的增长统计,考虑到疫情影响我们认为该数字相对偏低,随着安全市场逐渐回暖,预估将来发展会更加乐观。
图2 云安全资源池 市场规模
当前云安全资源池的部署模式有三种形式,第一类是将安全资源池通过软硬件一体的方式部署于云环境之外,为松耦合模式部署,又称为”云外部署”,此类占比约48.1%;第二类是将云安全资源池部署在云服务商的虚拟化环境中,为紧耦合模式部署,又称为”云内部署”,此类占比约43.4%;第三类是SaaS化形式部署模式,最终用户不需要对虚拟化环境进行配置,比如公有云管理平台通过上架的安全镜像提供安全即服务能力,用户只需要按需要选择安全服务即可,此类市场份额占比较少,仅为8.5%。
图3 云安全资源池部署模式
云安全资源池的应用需求与云计算的发展水平息息相关,主要需求来自较早开始云计算建设,并具备一定的规模的行业。根据安全厂商在不同行业的收入分布情况,云安全资源池在各行业的需求分布情况如下:运营商(27.3%)、政府部门(16.1%)、大型互联网企业(13%)、交通运输(8.9%)。
图4 云安全资源池行业需求
1.3 需求分析
云安全资源池需求简要分析:
(1)云等保合规
传统的物理环境的安全解决方案由于在云环境中难以部署、缺乏足够的弹性和灵活性已经不适合云计算环境。目前,云安全资源池的需求主要来自于云安全合规市场,其主要提供针对政策要求的网络安全、数据安全和密码安全等能力。
根据我们的调研,虚拟化防火墙、WAF、IPS、日志审计等安全能力已经成为安全资源池产品的基本功能,市面上所有云安全资源池在满足三级及以下等保合规方面都没有问题,一些厂商还提供了便捷的等保套餐,用户可以根据自己的等保要求自由选择。
(2)私有云用户安全防护
国内的中大型企业偏爱建设私有云,根据资料显示,2021年私有云市场规模已超过千亿,且每年以超过20%的增长率扩张,不管是云平台的安全防护,还是云内的业务和数据,都有云安全资源池的用武之地。
随着国家”东数西算”工程、算力网络规划,智算中心的建设布局,云安全资源池作为保障云环境安全的关键组成部分,其市场需求也随之增长。据了解,运营商的云网融合规划建设,也会产生大量的安全需求。
(3)多租户业务安全
政务云、金融云、交通云、医保云、工业互联网云、能源云、警务云,以及一些大型企业集团内建设的私有云,往往都由租户的云平台为不同的租户划分云资源供其搭建自已的业务系统,对应的也要给租户提供对应的安全能力。有些资源池解决方案具备多级管理机制,可以实现租户分级管理运营。
(4)多云环境的安全一体化管理
据调研,业务上云的组织中90%以上存在多云环境,但各云厂商的安全能力存在差异,安全策略不一致。同时多云环境的安全数据难以实现一体化的收集和分析,可以说多云环境的安全防护又形成了新的安全孤岛。用户迫切需要用一套一体化安全解决方案,实现安全日志的统一收集和分析,能够基于全局的风险感知和响应,实现一致性的安全策略、进而实现一体化安全运营。
安全资源池的灵活性和多云适配能力可以很好适应云环境这种复杂性,通过灵活的云内部署或者云外部署云安全资源池,可以多云环境的安全一体化管理需求。
(5)信创云安全防护
近年来在政策推动下,信创云开始规模化发展,未来客户的云平台将是围绕信创云的混合多云架构,且存在多云多芯的过渡状态。因此云安全资源池需要支持多云多芯架构的部署和管理适配。
云安全资源池与信创云的适配主要是适配不同的CPU架构和操作系统,根据我们的了解,大部分安全厂商都会考虑信创云适配,通过中间件的方式识别不同的运行环境和操作体系,资源池的功能及管理方式与非信创架构资源池保持一致。
1.4 能力企业
国内十一家有云安全资源池解决方案的安全厂商参与了本次调研,部分厂商有意愿参与点阵图的排名。分别是(按公司简称首字母排序):电信安全、绿盟科技、奇安信、瑞和云图、深信服、云盾智慧,按照横轴-市场执行力、竖轴-应用创新力,通过能力点阵图的方式展现如下:
图5 云安全资源池厂商能力点阵图
云安全资源池是一种云计算与安全集成的解决方案,其能力和特性取决于不同的安全厂商的技术方向和云安全产品策略。国内不管是综合能力“安全大厂”还是专精特定能力的“小厂”,都打造出了各具特色的云安全资源池解决方案,简单总结如下:
● 拥有云计算业务与安全业务双战略的安全厂商
代表厂商:深信服、新华三
这些厂商不仅具备云计算业务的能力,还拥有云安全资源池的安全业务。这种双重的技术经验相互融合,对于构建成熟且稳定的云安全方案至关重要。在实现云与安全的一体化管理和运营方面,这类厂商具有显著的优势。深信服安全资源池方案在行业布局较早,有最多的企业用户覆盖度,结合其大量的云计算项目实践使其产品具备了更好的可靠性和易用性,有良好的用户口碑。新华三作为数通基础设施主要供应商,其安全资源池产品方案在云、网络与安全集成的项目中表现抢眼。
● 在多个安全领域都有深入研究的综合型安全厂商
代表厂商:奇安信、安恒信息、绿盟科技
这些厂商在多个安全领域进行了深入的研究,并将这些安全能力不断集成到安全资源池解决方案中,为用户提供精准化的、针对性强的安全服务。奇安信提供了包括云基础架构安全、云网安全、云原生安全、工作负载保护平台在内的全集成云安全资源池解决方案。安恒信息在密码资源池、SaaS化安全服务以及与第三方云服务平台的对接方面具有显著的优势。绿盟科技有一流的安全研究分析团队,其在云安全资源池的核心技术上申请了多项专利,并在多云安全管理、安全数据分析方面表现优秀。
● 在管理平台及安全服务单项能力方面有突出优势的安全厂商
代表厂商:电信安全、云盾智慧、瑞和云图、亚信安全
这些厂商在云安全资源池单项能力上具有突出优势。电信安全在安全资源池分布式部署、一体化管理、安全智能调度、高可靠备份等方面能力突出。云盾智慧被定位为云安全服务商,专注于为云租户提供易用、便捷的云安全服务。瑞和云图的安全资源池管理平台已经积累了长达十多年的专业技术,在流量编排、安全服务链编排以及与第三方安全产品的集成方面拥有丰富的实践经验。亚信安全有多年的主机安全、虚拟化、身份认证等领域的深厚积累,将来会向云原生安全资源池以及SaaS化服务等方向发展。
为了更加全面地展示赛道中各企业的能力特点,方便最终用户选择最适合自身需求的安全企业作为潜在合作伙伴,数世咨询将”市场执行力”这一指标分解为”市场营收”、”品牌影响力”、”行业广度”和”行业深度”四个维度,并将”应用创新力”进一步分为”产品工程化”、”业务场景化”、”理论与基础研究”和”技术融合度”四个维度。八个维度以雷达图的形式,展示如下(按照公司简称的首字母顺序排列):
2 定义及描述
2.1 定义
通过对国内市场需求及应用调研,数世咨询给”云安全资源池”做如下定义:
云安全资源池是一种基于云计算和虚拟化技术的集成性安全解决方案,它将安全能力实现即服务化,形成一个集中管理的安全能力池,以弹性、按需形式实现了安全资源的统一调度与管理,能够为多租户用户提供独立的安全服务。
云安全资源池提供广泛的安全能力,包括但不限于防火墙、Web应用防火墙(WAF)、应用层防护、日志审计等安全能力,除了满足等保合规需求外,还能实现多元化安全能力扩展,比如密码安全、数据安全、云原生安全等。
云安全资源池的典型特征和功能主要有:
(1)基于统一的安全管理平台,实现一体化的安全服务和管理
安全管理平台能够对租户、安全资源、网络资源、策略、日志等实现一体化管理与监控。
(2)安全能力即服务化,安全服务按需取用
通过将安全功能抽象为独立的服务单元,实现安全服务的按需取用和自由组合部署。
(3)安全服务编排
具体包括针对流量的编排和针对安全服务节点的服务编排。
(4)安全资源弹性扩展
体现在安全处理能力,安全服务实例等弹性扩展,以及硬件资源的弹性部署。
基于不同的场景需求,云安全资源池的扩展能力有:
● 与外部系统(云管平台/态势感知/SOC等)的一体化联动运营
● 基于通用授权,实现安全能力的按需回收和更改
● 密码(含国密)服务能力
● 数据安全能力
● 云原生安全能力
云安全资源池通过提供安全能力即服务化和一体化管理的方式,满足了用户在云上的安全防护需求。用户可以根据自身的业务需求自行选择所需的安全服务,从而快速完成云上安全建设。由于云安全资源池融入了云架构,使安全能力具备了云的弹性和高性能,同时云安全资源池的安全能力范围也将向更多的方向扩展。调研发现,目前一些安全厂商的解决方案已扩展到密码资源池、数据安全能力资源池、云原生安全资源池等多个方向。
说明:安全虚拟化演化过程中,有一类一体机形态的安全资源池,也可以实现虚拟化形态交付,能够满足无租户的小型云平台或者传统数据中心的安全合规需求。此类产品方案通常用于小型的云计算环境或计算中心,主要提供以合规、基本网络安全能力为目的的一体化交付,俗称为”等保一体机”。由于此类产品只具备简单的管理功能和有限的弹性扩展能力,不在本报告研究范围之内。
2.2 体系架构
云安全资源池”向下汇总安全原子能力,向上提供云安全管理服务”,通过构建云安全资源池可以打造云安全能力的基础底座,其核心组成可以抽象为:虚拟层、管理调度层和服务层,如下图:
图6 云安全资源池体系架构
虚拟层
虚拟层提供可弹性扩展的安全资源、虚拟化的交换机或者路由转发设备等。虚拟交换/路由用于不同租户的流量隔离和分发,虚拟安全资源为安全能力的快速部署提供了标准化的模板。
虚拟层管理调度层
管理调度层主要负责对资源池内各种资源进行集中管理和智能调度,包括:流量管理、负载均衡调度、安全镜像启停、安全策略编排等。同时,根据业务需求自动进行资源的调配,如果单个业务负载过大会动态添加更多的安全实例。
服务层
服务层主要面向终端用户提供管理与安全即服务,通常有两个功能门户:运营方的运营管理门户和租户自服务门户,前者面向平台管理员,后者面向租户。运营管理门户则由平台管理员审批工单,然后为租户配置相关产品和服务。运营管理门户的管理员具有上层管理能力,如决定发布哪些产品和服务目录,如何分配许可等。租户自服务门户允许租户申请所需的安全能力,如等保、数据安全等,并发起工单。
此外,云安全资源池还需要进行必需的权限控制与管理,并收集和集中展示相关组件的日志信息。为了满足一体化安全运营的需要,云安全资源池还要通过API接口与第三方的管理平台,比如SOC、态势感知或者云服务平台等进行连接和联动。
2.3 产品形态及部署方式
基于不同的需求和应用场景,云安全资源池有不同的产品形态和部署方式:
2.4 关键技术
(1)虚拟化技术
云安全资源池能够提供多租户独立安全能力的前提即是应用虚拟化技术。包括计算、存储、网络和安全资源的虚拟化,最终实现将这些池化的虚拟资源,按需分割和重新组合,既可以实现云上各租户完全独立的安全能力,又可以实现了安全能力的弹性扩展。
随着容器技术推广与云原生技术的普及,越来越多的应用使用容器化的部署方式。安全产品的容器化也随之应运而生。容器化的安全产品占用空间更少,启动速度更快、支持在秒级部署容器化安全产品,结合容器编排功能,可以提供支持更多复杂场景的安全能力。
(2)安全能力池化
“安全即服务”能力 是云安全资源池的关键能力之一。即服务化能力是通过将安全功能抽象为独立的服务单元,这些服务单元可以独立部署和运行,每个服务单元代表一种特定的安全能力,例如下一代防火墙、IPS、WAF、堡垒机、日志审计、主机安全等,这些服务单元以服务目录的方式呈现给用户,用户可以根据业务需求选择并按需订购。
安全能力即服务化,使用户可以根据自己的业务需求,灵活选择所需要的安全即服务,实现了安全防护的个性化定制。用户由于不需要购买全套的安全能力,既提高了资源利用率,又降低了用户成本。同时服务化的安全能力,支持快速部署和启用,可以让用户迅速完成云上安全防护建设,缩短了安全业务的上线时间。
(3)通用授权许可
在云计算环境中,由于业务规模和安全需求的不确定性,用户难以一次性明确的规划好所需要安全防护能力。于是一种通用的授权模式就满足了用户的此类需求,通用授权许可是一种灵活的许可模式,允许用户根据需要选择并开通特定的安全产品,根据产品种类和规格消耗相应的授权点数。通常情况下,只要有授权点数,用户可以选择自己所需要的不同的安全即服务。安全点数可以回收,以避免不必要的资源浪费,保护用户的投资。
需要说明的是对自研的产品的安全产品,通用授权许可不难实现。但对纳管了第三方安全产品的资源池解决方案,第三方安全产品服务往往需要单独授权。
(4)服务编排
根据等保规范要求,云租户的业务需要定义安全访问路径,即针对防护的业务流量,需要经过多个防护服务,比如防火墙、入侵检测、WEB应用防护等安全服务进行过滤。针对自定义安全访问路径的要求,服务编排技术应运而生,当用户选择所需要的安全服务时,安全管理平台能够自动对该服务以及租户流量实现自动化编排,具体包括针对流量的编排和针对服务节点的服务链编排。
传统的流量编排通过路由或者策略路由来控制流量的走向,这种方式配置比较复杂,是云安全资源池早期实现所采用的方法。还有一种方案是通过SDN(Software Defined Network)服务链的编排技术,通过给转发设备下发流表(openflow)来实现不同安全服务的流量分发, Openflow解决方案尽管比较灵活,但是它也有自身固有的缺点就是转发设备的流表规格有上限,有时难以满足大规模的云租户的编排需求。第三种方案是使用基于SRv6(Segment Routing IPv6)的编排技术,SRv6具有网络路径、业务、转发行为三层可编程空间,能支撑大规模租户数量的编排场景,但仅有部分安全厂商支持使用SRV6的流量编排策略。几种编排方式对比如下:
(5)一体化管理和监控
云安全资源池内组件众多,实现一体化管理是云安全资源池管理平台的核心能力,管理平台可帮助用户实现从虚拟化资源调度、流程编排、策略配置下发、日志收集处理、租户管理、工单管理、事件处置等等一系列配置和管理的工作,为用户提供一站式安全综合解决方案。
3 应用指南
在企业云安全的建设中,云安全资源池的定位是”云安全的基础底座,向下汇总安全原子能力,向上提供云安全管理服务”,云安全资源池的规划建设离不开云安全的整体规划,本报告不对云安全的整体建设作详细讨论,但是针对安全资源池的规划和选型,有一些关键点需要考虑。
3.1 安全责任边界
根据自身业务模式和需求,明确安全责任的边界
首先,其中一个重要问题是关于安全责任边界的确定。传统的安全理念是”谁建设谁负责,谁使用谁负责”,面对云计算特有的安全责任共担模型,许多用户对安全责任边界的认知是模糊的,甚至还有用户认为”云是由云服务商承建的,所以你云服务商就应该承担所有的安全责任”。
根据等保2.0云计算安全扩展要求,云计算平台和云上业务应用系统需要分开定级,且云计算平台不得承载高于其安全保护等级的业务应用系统。因此,云安全的责任主体一分为二:云服务商和云租户共同承担安全责任。简而言之,租户应当具备自主设置安全策略的能力,例如设定访问路径、选择安全服务、配置安全策略以及处理安全事件等等。当然,在不同的云服务模式(如IaaS/PaaS/SaaS/FaaS等)中,云服务商和用户之间的责任分配不同,这就决定了用户需要选择哪种模式的安全服务。
图7 云安全责任共担模型(图片源于网络)
3.2 了解方案
了解云安全资源池架构及安全服务目录,选择适用的解决方案
由于安全产品工作模式的复杂性,产品在云化、服务化的过程中有不小的技术难度,安全厂商不仅需要拥有深厚的安全技术积累,还需要具备整合虚拟化、网络、云计算、存储、安全管理软件等多种技术的能力。
所以,云安全资源池解决方案大多由安全行业综合性技术厂商所打造。实际上,当用户的安全需求越来越多,单一安全厂商也很难提供所有的安全能力,这就需要集成第三方的安全产品。还有基于具体项目或用户的需要,也可能需要集成某家厂商的产品,资源池厂商需要有很强的定制开发的能力,才能保证项目的按期交付。此外,与第三方的安全产品集成的方案在项目实施落地后,还需要考虑后期组件升级对系统稳定性的影响。
安全资源池的服务目录包含了所有可用的安全能力,为用户提供了一种按需切换的可选项。这里我们需要关注通用授权的覆盖范围,覆盖面更广的通用授权方案,可以实现当业务发生变化时,更加灵活的能力选择。
3.3 关于一体化
需要云与安全一体化的管理?现状如何?
当众多的安全服务在云中部署,一体化、自动化的安全运营是用户安全管理的主要诉求和方向。在云环境中一般存在多个管理平台,包括云平台,安全资源池管理平台,安全运营平台等。基于不同的功能设定,通过一个平台管理所有的组件是一种理想状况,更现实的情况是几个管理平台之间,通过API或相关通信协议,实现必要信息的共享与同步,实现一体化的管理运营。
图8 一体化安全运营
对私有云用户来说,不管是选用云服务商提供的安全服务,还是安全厂商的安全解决方案,都会遭遇互相兼容的问题。其实国内大部分的云服务商,特别是小型的服务商几乎没有自己的安全定制化开发的能力,其安全服务主要是与安全厂商的解决方案相融合。而选择安全厂商的安全解决方案,由于政策监管和实际运营都要求安全管理”一个中心”,一体化管理也是关键需求之一,安全平台也需要跟云平台做兼容对接。
一体管理的挑战不仅来自于项目实施中的兼容性适配开发,还包括后期的版本升级迭代,任何一方的版本升级,可能都会影响整个系统的正常运作。而有些云服务商为了系统的稳定性,干脆长时间不升级版本,但这样的话许多组件安全性的隐患就无法及时修补。
根据我们的了解,云安全资源池管理平台跟云服务商的云平台做适配时经常困难重重,实现”一个中心”一体化管理的目标困难很大,所以云服务商不得不同时使用两个平台进行运维管理。一个折中的方案就是在云平台上面设置单点登录到云安全资源池管理平台,来实现对安全资源的管理。
4 云安全资源池应用案例
4.1 案例一:某大型金融企业云安全资源池建设(奇安信)
A 案例背景
某大型金融企业为了实现财务信息化建设目标,计划以现有数据中心互联网区域网络架构为基础, 通过部署云计算资源池、云安全资源池,建设基于 IaaS 架构的互联网云平台,以满足财务系统 PaaS 平台等对计算资源、存储资源、网络及安全的需求。
用户明确要求:安全平台系统的设计和建设实施应立足于信息中心现有整体架构和规范体系,充分考虑各产品和平台间的协议、接口兼容性,切实保障新建平台对当前主流软、硬件厂商产品的兼容性。在方案设计中,须在满足本项目建设需求的基础上,充分发挥集成商在产品集成、软件对接、项目管理的能力, 提供更加完善和细化的建设方案,并且在方案中充分体现云平台及云安全资源池在功能模块、性能容量扩展性、兼容性,满足未来系统的扩容和升级等方面的需求。
B 安全需求
云安全威胁监测与溯源需求
需要满足云平台内虚拟机之间、租户之间的东西向流量威胁监测能力,对云内流量、资产及安全组件产生的日志开展安全告警分析、关联分析与攻击溯源。
云资产安全梳理需求
云上虚拟机、容器资产数量多,需要建立云资产信息库,便于开展信息梳理、暴露面分析、资产风险关联分析等。
云计算合规性需求
财务系统作为银行的关键业务系统,需要严格参照”等保2.0”的三级标准来建设,云平台自身及云上租户均需要依照该标准来建设,同时需要满足该标准中的云计算扩展要求。
C 解决方案
本项目解决方案主要包括基础网络、奇安信云安全资源池CSMP、云安全运营中心CSC、云平台、云管平台、数字证书及认证系统、异地备份建设6部分,完全参照《网络安全等级保护基本要求》中等保三级保护要求为控制要求,构建安全技术体系框架,实现行业财务集中管理平台的基础环境安全、云平台与租户安全。
通过在客户数据中心外网硬件资源基础上建设云平台,提供统一的基础设施、支撑软件、应用功能、信息资源、网络安全、应用部署迁移、运行维护保障等云计算服务。通过云管理系统实现对虚拟资源统一调度、管理和运营,实现资源按需分配、动态扩展、智能管理,实现资源的集中与整合。
云环境的安全防护是本项目的重中之重,安全建设遵循”同步规划、同步建设、同步运营”原则和基于”软件定义安全”理念构建云安全资源池。采用先进技术SDN、NFV的方式构建云安全保障体系,有效防护业务发展安全需求,提供弹性、自助、可视、可管、可控的安全保障能力,为云平台安全保驾护航。
在安全能力建设与运营方面,采用了CSMP构建云安全基础能力(管生)、采用CSC构建云安全运营体系(管养),打造”既管生,又管养”的云安全闭环管理。
图9 奇安信云安全运营中心CSC
D 功能实现
管“生”:奇安信云安全资源池CSMP通过将多种安全产品资源池化,生成云上安全能力。
● 产品支持多资源池弹性部署,满足客户快速构建安全合规能力,和多云多区域接入的需求,实现快速交付。
● 通过将安全能力整合在云安全管理平台中,进行统一运维管理和数据展现,满足了客户统一运维管理和日志收集报表展现的需求,实现统一安全管理。
● 通过云内部署虚拟化安全实现对云平台内的虚拟机之间进行微隔离,同时可防止恶意软件或脚本在虚拟化网络中横向攻击,保障云工作负载虚拟网络正常使用。
● 通过在平台整合安全组件的网络能力,支持如防火墙、WAF的路由编排和策略下发,满足客户的安全联动需求,实现安全能力联动。
图10 奇安信云安全资源池
管“养”:奇安信云安全运营中心CSC通过事前的资产梳理、资产风险识别,事中的高级威胁检测,事后的追踪溯源,”养”成安全运营的闭环。
● 通过CSC无死角发现云数据中心内部的安全风险和高级威胁入侵行为,提升安全运营效率。
● 解决云上资产信息滞后、云内威胁不可见、安全事件响应不及时的问题。
底层大数据平台将数据信息(资产、指纹、漏洞、日志等)范式化,结合奇安信业界领先的关联分析引擎威胁建模、行为基线建模能力,实时发现高级威胁及异常行为。
● 为用户提供了资产、脆弱性评估、威胁发现等相关管理能力,实现对威胁的事前预警、事中发现和事后回溯,对威胁进行整体生命周期管理。
● 显著提高了对网络安全事件的检出率和检测准确率,实现了从”被动防御”向”积极防御”的进阶,为安全管理者提供风险评估和应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。
图11 奇安信云网端一体化安全运营体系
E 应用价值
● 云安全管理平台丰富的安全组件满足了客户业务上云后等保2.0的三级合规要求。
● 云安全运营中心帮助客户梳理云上安全资产信息,建立云安全资产库,发现安全威胁并精准告警,满足云上业务及租户的流量进行统一安全监测与防护需求。
● 云安全运营中心大幅削减了误报量,从客户原来使用的SOC产品上几万条的大量误报告警,到现在仅几十条真实告警,将安全问题真实展现,降低安全运营工作量。
4.2 案例二:某地产集团云安全资源池应用(深信服)
A 案例背景
用户为某国有地产集团,正从单一水务业务向拥有环境业务、地产业务和投资业务等多元业务进行战略转型,十分重视信息化建设和数字化转型。以”一轴、两翼、三中心”为架构的建设目标,其数字化转型的主要目的是解决集团业务日益扩张、下属单位过多、业务流程运转繁重等带来的问题。
为满足数字化转型带来的业务激增且考虑后续的可扩展性,集团采用了某公司的云平台作为集团业务、下属9家大型二级集团及数百家三四级公司业务的支撑平台,由于平台的稳定直接影响着整个集团的正常运转,领导高度重视并将安全与计算、存储、网络建设放在同一优先级。
B 安全需求
过往主要通过采购安全硬件设备解决云平台的问题,缺乏云环境的安全建设,用户希望在满足云等保的同时,能够提供一个解决实际需求的安全可运维的解决方案。主要安全需求如下:
满足合规要求
由于缺乏云内的安全措施,集团云不满足等保2.0云计算安全扩展要求中的”网络架构”及”访问控制”等控制点,需要做安全整改。
明确安全责任边界
二级单位业务上到集团云后,为集团增加了大量的安全运维压力。与此同时,集团需要有效的工具来划清安全责任边界。
满足各级单位的安全需求
各二级单位的安全需求不同,基于现有安全设备无法提供针对性的解决方案。
简化安全运维工作,实现快速事件处置
云内没有安全控制措施,业务相互访问关系不可视,云内威胁既无法检测,更不能防御,一旦一个云主机被木马病毒感染,其他云主机都要受影响。而且出现安全事件后,全靠人工定位,这给集团安全运维增加了大量工作,因此需要提高安全事件处置效率及处置有效性。
C 解决方案
在用户云数据中心中部署深信服云安全资源池CSSP和安全感知管理平台SIP,CSSP通过与云平台解耦合,通过引流对接的方式进行网络打通。
图12 深信服云安全资源池
D 功能实现
① 基于云安全资源池创建虚拟安全产品,构建云内安全边界,以及东西向、南北向的安全检测和防御体系,帮助集团云补齐等保2.0:云计算安全扩展要求中的各个控制点。
② 基于云安全资源池多租户管理架构,让集团可以给每个下属单位提供一套独立安全管理入口,下属单位可以按需自主进行安全策略设置。在进一步匹配云等保要求的同时,也为集团提供了一个有效的权责分离工具。
③ 基于云安全资源池按需分配的特性,为不同用户提供个性化的安全能力。在实施初期,集团通过为下属单位分配堡垒机,解决了下属单位对云上资产运维管理的安全问题。在实施中后期,还能为下属单位分配安全资源池里的多达12种安全产品,满足下属单位独立等保测评等不同阶段的安全需求。
④ 基于安全感知管理平台构建云安全运营中心,整合云上安全事件,让集团管理员可以及时有效地发现安全问题,并能够通过安全资源池的统一管理功能,为租户分配缺失的安全产品,统一调整安全策略。除此以外,安全感知管理平台还通过API接口方式打通安全云与云管平台,让用户在云管平台上即可实现安全事件的统一管理及快速处置。
⑤ 基于云安全资源池打通华为云管平台和SDN网络设备接口,自动实现了云端租户信息同步,并且基于Netconf协议,自动调整SDN网络设备上的路由策略,实现自动引流,最大程度保持用户的使用习惯,简化运维工作量。
E 应用价值
满足等保合规要求
通过云安全资源池,将丰富的安全能力部署到云内,补齐了集团云平台安全体系的不足,帮助云平台满足等保合规要求,同时在下属单位需要进行独立的等保备案测评时,可以快捷分配相应的安全资源,满足租户安全合规要求。
有效实现权责分离
云安全资源池为租户提供了独立的管理界面和独立的安全资源,租户的操作都可以独立审计,让集团云可以将部分安全运维工作分配给下属单位,同时在必要时可以澄清自身的安全责任。
安全资源按需分配
基于软件定义安全技术,根据下属单位在不同阶段的安全需求个性化分配安全资源,符合云计算环境下的用户使用习惯。
安全风险统一管理
通过安全感知管理平台及时发现和定位风险,通过云安全资源池统一分配安全资源池,配置安全策略,有效提升了集团的云安全运维效率。除此以外,本方案还实现了安全和云的数据同步,集团在云管平台上统一实现了云资源和安全事件的统一监控。
4.3 案例三:某省政务云多租户安全解决方案(绿盟科技)
A 案例背景
某省为落实《数字中国建设整体布局规划》,全面提升云、网、终端、数据、应用防护能力,并推动发展”高效协同的数字政务”,政务系统不断的迁至云平台,云计算带来新的IT使用模式,但安全仍采用传统人工交付方式,手工配置易出错、交付时间长等问题,已经无法跟上云计算的节奏。
B 安全需求
政务信息系统和政务数据,以及公民个人数据集中在政务云上时,云计算的特点和和网络攻击形势的变化,使得政务云除了面对传统的安全风险,也受到新型安全威胁,从网络、主机、应用到数据多个层面,都面临新型的安全风险。
该省级单位主要的安全需求为:需要设计统一的安全建设方案,推进政务外网、政务云、数据及业务应用大安全融合联动,建设政务云安全运营平台,进一步提升电子政务外网的主动防御、全链快速响应能力,从而提升数字政府安全防护体系建设水准。
C 解决方案
基于省政务云(包含政务公有云区、专有云区、同城容灾区、异地备份区、信创云区)现有基础设施,绿盟科技遵循以业务为中心,风险为导向的安全域纵深主动防护思想,综合考虑云平台安全威胁、需求特点和相关要求,对安全防护体系架构、内容、实现机制及相关产品组件进行了优化设计。为解决省政务云安全难题,绿盟科技将安全领域的多年技术积累,倾力打造云安全一体化解决方案。
图13 绿盟云安全资源池解决方案
绿盟科技云安全资池池解决方案为政务云上租户提供专享和SaaS两种服务方式,将安全事件提供给统一运营平台,还继承省政务云已有的网络安全保障成果、技术,以运行安全和数据安全为核心,提供云安全产品集成服务。还组建专门的安全运营团队加强技术值班和运营值守,支撑政务云的日常安全运维、安全监控及事件处理、安全事件通报及加固指导等服务,健全网络数据监测预警和应急处置工作体系,完成省级一体化安全运营中心能力集成和服务提供。
绿盟科技还将安全能力发布到应用市场,省政务云上的租户按需订阅安全能力,云安全服务和一体化安全运营平台有机协同,实现资源高效、应用敏捷、业务智能、安全可信;实现政府行业安全服务剥离、监管合规。
D 功能实现
基于云计算和虚拟化技术,为省政务云环境提供强大的安全保护和可扩展的资源管理能力,采用旁挂安全资源池和VPC内部署安全组件两种方式为租户提供多种安全服务,包括堡垒机、WAF、敏感数据保护、网页防篡改等9款能力。绿盟云安全资源池功能实现:
纵深防御
通过在不同层次上设置多层防护措施,形成纵深防御体系,提高攻击识别和阻断能力。
主动防护
引入主动防御技术,及时发现并主动应对潜在威胁,减少攻击对云平台的影响。
事件监测和响应
建立完善的事件监测和响应机制,对异常行为和安全事件进行实时监控和及时响应,以最大程度降低风险。
安全审计和日志管理
加强对三方安全设备、云平台的安全审计和日志管理 ,记录和分析安全事件,为后续安全优化提供数据支持。
E 应用价值
绿盟科技提供的整体方案建设完成后,将持续为省政务上100+租户提供安全服务,还将协助省政务云建设一个安全、稳定的数字政府平台,为政务云的租户提供可信赖的安全保障,进一步巩固和完善数字政府的安全防护体系,应用价值具体体现在以下几个方面:
满足安全合规
满足合规性需求,对政务云上租户和云管理方的安全责权进行了重点划分,以多样化的安全能力类型满足不同合规需求。
形成全方位的政务云安全防护体系
实现了以安全风险为核心,提供预警、评估、检测、防护、响应、处置、追溯、恢复的一些列运营服务,预防潜在威胁胁,保障租户的实际安全需求。
实现安全增值
以订阅的方式给省政务云租户提供服务,随着政务云不断完善安全建设,租户需要的是按照自己业务情况定制对应的安全能力,并可以查看自己业务运行的安全态势、漏洞信息、攻击事件、报表信息等信息,这种订阅式服务也进一步拓展了商业运营的模式。
5 未来展望
● 云安全资源池会向集成多元化安全能力方向继续发展
云计算的特点决定了云安全建设服务化和池化的管理范式,云安全资源池成为云安全的核心能力底座,随着安全监管和用户需求的不断升级,安全资源池会继续向多个方面扩展安全能力,包括密码安全、数据安全、身份安全等,同时结合机器学习、人工智能等技术,实现对各类威胁的安全防护,支持安全攻防实战、一体化安全运营等新形势下的安全需求。
● 多云环境的一体化安全管理,既是用户的核心诉求,也是云安全资源池的演进方向
多云和混合云架构的广泛采用,使得企业和政府用户面临跨云安全管理的挑战。多云环境的一体化安全管理,成为用户的核心诉求,这需要云安全资源池与多种云平台进行适配,能够提供多云部署时,安全资源的弹性调配,和统一监管。
● 与云原生技术融合,实现更灵活便捷的部署和扩展
当云原生成为云计算的主流技术路线,云安全资源池也需要利用云原生的技术特点进行自身的优化升级。
通过容器化改造,云安全资源池可以实现更灵活便捷的部署和扩展。比如,将防火墙、入侵检测、风险控制等安全组件打包成容器镜像,然后通过容器编排平台进行快速部署,可以大幅提升资源池的部署和运维效率。
● 实现国产化和自主可控,增强与多云多芯架构的部署和管理适配能力
以国资委79号文为代表的信创政策文件密集出台,CentOS替换、国产化替换计划等可能会在未来几年内使信创产业高速发展,因此未来客户的云平台将是围绕信创云的混合多云架构,且存在多云多芯的过渡状态。因此云安全资源池需要支持多云多芯架构的部署和管理适配。
● 开放式安全生态
云安全资源池将向开放共赢的方向演进,打造一个与不同安全能力供应商深度对接的开放式云安全生态系统。通过提供统一对外的开放接口,云安全资源池可以快速接入第三方安全工具,构建起一个协同、互补的云安全能力集合,以更全面地保障云环境的安全。
报告发布:数世咨询
分 析 师:陈发明
分析团队:数世咨询-数字安全研究院
报告审核:李少鹏(首席分析师&创始人)
勘误与合作联系:chenfaming@dwcon.cn
点击链接获取《云安全资源池能力指南》PDF文档:
— 【 THE END 】—