云計(jì)算環(huán)境中的安全管理平臺(tái)

2019-02-26 來源：多智時(shí)代

從傳統(tǒng)上來看，安全管理在安全的網(wǎng)絡(luò)建設(shè)中發(fā)揮著重要作用。通過安全管理平臺(tái)，可以實(shí)現(xiàn)對安全設(shè)備的集中管理與控制、直觀的實(shí)時(shí)事件監(jiān)控、安全事件綜合分析，并能夠提供清晰全面的TopN統(tǒng)計(jì)報(bào)告，方便用戶隨時(shí)掌控當(dāng)前網(wǎng)絡(luò)安全狀況，在增強(qiáng)整網(wǎng)安全的可視性的同時(shí)，通過集中的策略管理，簡化多臺(tái)設(shè)備安全策略部署工作，節(jié)省維護(hù)成本。

但隨著網(wǎng)絡(luò)的發(fā)展步入云計(jì)算時(shí)代，復(fù)雜的虛擬化環(huán)境對安全管理提出了更新的要求。如何更好的整合安全事件和日志的差異性，適應(yīng)多廠商、多類型設(shè)備混合組網(wǎng)的需求？如何適應(yīng)虛擬化環(huán)境下的安全策略管理和部署？如何及時(shí)感知虛擬化環(huán)境下的業(yè)務(wù)遷移，實(shí)現(xiàn)安全策略的及時(shí)調(diào)整和動(dòng)態(tài)遷移？……

為了有效解決這些潛在的問題，為云計(jì)算網(wǎng)絡(luò)提供完善的安全保障，云安全管理平臺(tái)需要重點(diǎn)以下幾方面。

和傳統(tǒng)的網(wǎng)絡(luò)環(huán)境不同，在虛擬化環(huán)境下，由于虛擬化實(shí)例的廣泛使用，整個(gè)云中的安全設(shè)備已經(jīng)虛化成了一個(gè)包含多個(gè)虛擬單元的資源池。此時(shí)的安全管理軟件平臺(tái)，無論是在設(shè)備配置管理還是安全日志分析等方面，都需要基于單個(gè)虛擬化設(shè)備資源，而不是基于單個(gè)物理設(shè)備來進(jìn)行。同時(shí)，對于這些虛擬化單元，用戶權(quán)限管理也要進(jìn)一步細(xì)化，在完成初始化的用戶虛擬化資源分配和綁定后，后續(xù)的任何操作，都應(yīng)該可以基于不同租戶的不同管理員進(jìn)行；每個(gè)管理員都可以隨時(shí)對本企業(yè)的安全資源進(jìn)行策略配置調(diào)整，管理維護(hù)企業(yè)本身的安全事件分析報(bào)告。集中與開放

在企業(yè)的網(wǎng)絡(luò)安全建設(shè)過程中，為了建設(shè)相對全面的防御體系，勢必涉及到多種不同類型、不同廠商的安全設(shè)備的部署。此時(shí)，如何解決不同廠商配置方法上的差異，如何實(shí)現(xiàn)多類型安全設(shè)備的統(tǒng)一日志管理和事件關(guān)聯(lián)分析，是需要考慮的關(guān)鍵需求。

這要求安全管理平臺(tái)一方面需要增強(qiáng)自身的組網(wǎng)及服務(wù)提供能力，集成對本廠商多類型安全設(shè)備的統(tǒng)一配置管理和事件分析功能，并且可以通過定制化的手段，實(shí)現(xiàn)對其他主流廠商的安全日志的支持；另一方面，針對多廠商設(shè)備混合組網(wǎng)的實(shí)際情況，各設(shè)備廠商的安全管理系統(tǒng)，需要從設(shè)備配置管理和事件分析兩個(gè)角度提供開放的API接口。通過這種開放的接口，廠商自身的安全管理平臺(tái)作為中間層，完成上層第三方安全管理平臺(tái)對本地設(shè)備的配置下發(fā)及安全事件的格式轉(zhuǎn)換，為企業(yè)的統(tǒng)一安全管理平臺(tái)的建設(shè)創(chuàng)造條件。

虛擬化環(huán)境下的虛擬機(jī)自動(dòng)遷移，是云計(jì)算環(huán)境的重要特征之一。為跟隨這種虛擬機(jī)的遷移，業(yè)務(wù)系統(tǒng)本身的資源配置以及該虛擬機(jī)的接入端口屬性都在積極響應(yīng)并提供適配的手段。而要想實(shí)現(xiàn)安全策略的跟隨遷移，安全管理平臺(tái)需要提供包括下面在內(nèi)的重要技術(shù)支撐：

及時(shí)建立起網(wǎng)絡(luò)中的每個(gè)虛擬機(jī)和安全策略組的對應(yīng)關(guān)系，實(shí)現(xiàn)全局的虛擬機(jī)安全策略統(tǒng)一規(guī)劃和管理；

及時(shí)感知虛擬機(jī)的遷移動(dòng)作，并獲取虛擬機(jī)遷移后的網(wǎng)絡(luò)位置信息，以此來觸發(fā)安全策略的遷移；

根據(jù)遷移后的虛擬機(jī)信息，探測計(jì)算出遷移后的虛擬機(jī)所對應(yīng)的安全設(shè)備，為下一步的安全策略調(diào)整做準(zhǔn)備；

安全管理平臺(tái)基于上述信息有效整合各方面資源，自動(dòng)調(diào)整安全策略，將該虛擬機(jī)對應(yīng)的安全策略組重新下發(fā)到新的安全設(shè)備上，完成整個(gè)安全策略的遷移。

[page]

H3C SecCenter是管理功能強(qiáng)大的安全管理中心，其采用先進(jìn)的SOA開放架構(gòu)，包括Firewall Manager、UTM Manager、IPS Manager、ACG Manager等組件，各功能模塊能夠有機(jī)融合在統(tǒng)一的Web操作門戶下實(shí)現(xiàn)對云計(jì)算網(wǎng)絡(luò)中各類安全設(shè)備的集中管理，構(gòu)建起智能開放統(tǒng)一的安全管理平臺(tái)（如圖1所示）。

云計(jì)算環(huán)境中的安全管理平臺(tái)

圖1 SecCenter平臺(tái)系統(tǒng)結(jié)構(gòu)

SecCenter能夠利用多種協(xié)議集中采集網(wǎng)絡(luò)中安全設(shè)備的各種事件及流量信息，包括Syslog、NetStream/NetFlow、SNMP等，實(shí)時(shí)監(jiān)控、分析設(shè)備狀態(tài)和安全狀況；提供集中分析與審計(jì)平臺(tái)；同時(shí)，SecCenter能夠直接對各安全設(shè)備進(jìn)行集中的控制和策略部署，集中管理的虛擬環(huán)境中的安全策略，提供集中策略部署平臺(tái)；為適應(yīng)云安全管理對開放的需求，SecCenter還支持通過適配方式，為第三方管理平臺(tái)提供開放的接口。

SecCenter能夠管理H3C防火墻、UTM、IPS、ACG等在內(nèi)的各種安全設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)資源的集中化管理，用戶可以根據(jù)實(shí)際情況劃分區(qū)域，并將虛擬設(shè)備劃分為不同的虛擬設(shè)備組，同時(shí)提供靈活的權(quán)限管理，允許不同用戶管理不同的虛擬化安全設(shè)備，滿足對虛擬化資源的分級分權(quán)管理需求。

SecCenter基于虛擬化資源，不僅僅針對基于設(shè)備進(jìn)行事件采集和統(tǒng)計(jì)分析，還能夠基于設(shè)備＋虛擬ID的方式，提供對整網(wǎng)安全事件的實(shí)時(shí)監(jiān)控，形成一個(gè)完整的事件快照，從而為用戶提供當(dāng)前網(wǎng)絡(luò)安全事件的概覽信息，幫助管理員直觀的了解到最新安全狀況。

（如圖2所示）通過實(shí)時(shí)監(jiān)控窗口，用戶可實(shí)時(shí)監(jiān)控正在發(fā)生的緊急安全事件，輕松了解突發(fā)事件，快速糾正危險(xiǎn)，保障網(wǎng)絡(luò)安全。

云計(jì)算環(huán)境中的安全管理平臺(tái)

圖2 實(shí)時(shí)監(jiān)控

[page]

SecCenter 能夠?qū)θW(wǎng)范圍內(nèi)的安全事件進(jìn)行集中統(tǒng)計(jì)分析，并提供各種直觀、詳細(xì)的報(bào)告，在全景式的分析報(bào)告中，客戶可以輕松地看到整網(wǎng)過去的安全狀況和未來的安全趨勢。

綜合分析和統(tǒng)計(jì)報(bào)告是評估網(wǎng)絡(luò)安全狀況的有力手段，SecCenter能夠滿足用戶的安全報(bào)告需求，提供完善的綜合分析和豐富的統(tǒng)計(jì)報(bào)告，可即時(shí)搜尋出目前環(huán)境的攻擊來源、目標(biāo)等等，提供基于天、周、月及特定時(shí)間段內(nèi)的趨勢分析，從而得知TopN的攻擊狀態(tài)和趨勢等全面數(shù)據(jù)，有效的幫助用戶了解需要重點(diǎn)的網(wǎng)絡(luò)攻擊、病毒情況，發(fā)現(xiàn)各種安全風(fēng)險(xiǎn)，以便提早防范（如圖3所示）。

云計(jì)算環(huán)境中的安全管理平臺(tái)

圖3 攻擊報(bào)告細(xì)致的事件及內(nèi)容審計(jì)

SecCenter提供強(qiáng)有力的審計(jì)能力，能夠從歷史數(shù)據(jù)中快速查找到相關(guān)的安全事件信息。通過深入的數(shù)據(jù)查詢，對具體的安全事件深入分析，能夠一步一步追蹤，剝繭抽絲，最終發(fā)現(xiàn)安全事件攻擊來源及根本原因。通過這種深入查詢能力，能夠解決用戶多種問題。

同時(shí)能夠監(jiān)測網(wǎng)絡(luò)中的應(yīng)用情況，對用戶在網(wǎng)絡(luò)中各種應(yīng)用行為包括Web瀏覽、電子郵件、文件傳輸、通信、網(wǎng)絡(luò)游戲進(jìn)行監(jiān)測、分析和審計(jì)，從而有效控制和審計(jì)使用網(wǎng)絡(luò)訪問非法網(wǎng)站、進(jìn)行非法操作、發(fā)送非法或泄密郵件、散布非法或泄密言論等行為。能夠統(tǒng)計(jì)每個(gè)用戶的業(yè)務(wù)使用趨勢和分布，詳細(xì)記錄用戶訪問網(wǎng)站（URL）、Email、FTP、NAT使用記錄，便于事后審計(jì)和追蹤等等。

通過對各種安全事件的深入分析和總結(jié)，用戶能夠最直接的了解攻擊行為和活動(dòng)，并有針對性的部署安全策略。

管理員面對眾多的網(wǎng)絡(luò)安全設(shè)備進(jìn)行策略配置，如果一次只維護(hù)一件設(shè)備，不僅耗費(fèi)人力，而且容易導(dǎo)致策略不連貫，增加系統(tǒng)產(chǎn)生誤差的可能性。SecCenter可以通過單一的管理控制臺(tái)對整網(wǎng)安全設(shè)備進(jìn)行集中管理和配置，為分布在各處的多個(gè)虛擬設(shè)備部署安全策略。通過自動(dòng)化的設(shè)備配置，可以減少管理費(fèi)用、減少誤差的發(fā)生，確保網(wǎng)絡(luò)的持續(xù)安全。

特別的，當(dāng)云計(jì)算環(huán)境內(nèi)的虛擬機(jī)遷移時(shí)，SecCenter能夠即時(shí)感應(yīng)到虛擬機(jī)遷移狀況，從虛擬機(jī)管理系統(tǒng)中獲取虛擬機(jī)遷移前后的各種信息，包括虛擬機(jī)遷移前所在物理主機(jī)以及遷移后物理主機(jī)位置及IP地址信息，SecCenter通過自行維護(hù)的防火墻與物理主機(jī)對應(yīng)關(guān)系表，獲知遷移后物理主機(jī)所在的防火墻，然后自動(dòng)匹配虛擬機(jī)原有安全策略，將原有策略重新部署到新的防火墻中，實(shí)現(xiàn)安全策略的自動(dòng)遷移，以便確保云計(jì)算環(huán)境中多種安全設(shè)備的安全策略一致性與快速部署，保障網(wǎng)絡(luò)安全。如圖四所示：

云計(jì)算環(huán)境中的安全管理平臺(tái)

圖4 策略遷移示意圖

[page]

2.4 開放的接口

在更大規(guī)模的復(fù)雜（如包括多廠商，多類型設(shè)備）的網(wǎng)絡(luò)中，通常需要一個(gè)綜合的安全管理平臺(tái)來實(shí)現(xiàn)對多廠商設(shè)備的統(tǒng)一管理。在這種情況下，SecCenter能夠通過定制化手段，以Agent或適配層的方式，提供開放的API接口。通過這些API接口，SecCenter支持按照上層管理平臺(tái)的要求進(jìn)行相應(yīng)的日志格式轉(zhuǎn)換并實(shí)時(shí)上報(bào)，以利于上層管理平臺(tái)的解析處理，實(shí)現(xiàn)整網(wǎng)安全事件的統(tǒng)一分析；也支持上層的安全策略管理平臺(tái)調(diào)用策略部署的接口，實(shí)現(xiàn)對全網(wǎng)安全設(shè)備的統(tǒng)一策略部署，如圖5所示。

云計(jì)算環(huán)境中的安全管理平臺(tái)

圖5 開放的接口

隨著云計(jì)算網(wǎng)絡(luò)的發(fā)展，安全技術(shù)和產(chǎn)品也越來越豐富，企業(yè)對安全管理平臺(tái)的需求也會(huì)越來越強(qiáng)烈，相信云安全管理平臺(tái)也必將隨需而變，逐步完善，以適應(yīng)云計(jì)算環(huán)境對安全管理種種新的要求，從而實(shí)現(xiàn)從資源管理、配置、監(jiān)控、分析、響應(yīng)及部署全周期的云安全管理功能，最終為用戶提供資源平臺(tái)化、數(shù)據(jù)集中化的統(tǒng)一云安全管理解決方案。

1 云計(jì)算對于安全管理的要求