传统IDC环境下,企业业务可能会面临外部互联网的DDOS攻击以及网络层的漏洞扫描和恶意流量攻击等,因此一般会在机房出口处部署抗DDOS流量清洗设备、网络层防火墙设备、网络入侵检测或入侵防御设备、防病毒网关或者统一威胁管理平台等。企业使用混合云后,网络层的安全风险和安全控制需求仍然存在,但和传统IDC环境相比,混合云业务部署可能涉及多家IDC、公有云厂商或者自建私有云等情况,导致信息安全需要在多个边界进行安全防护,同时VPC网段和IDC/私有云网段,不同VPC网段之间的通信访问需求,也需要在混合云网络内部不同网段间进行访问控制和流量检测,从而给混合云环境下的网络安全带来更多挑战。另外混合云环境下和边界相关的安全问题也包括运维通道相关的VPN和跳板机软硬件产品,可通过SDP产品和多云管理平台如TiOPS产品进行替换,在此不做过多解释。
2. 混合云环境下的网络安全技术
根据对传统网络安全的理解,混合云环境安全特性,以及对多家公有云厂商的安全产品调研,我们发现混合云环境下的网络安全技术主要包括包括DDOS流量清洗、高防IP、云防火墙、网络入侵检测系统或网络入侵防御系统、虚拟交换机ACL规则、云主机安全组等。DDOS流量清洗,主要用于防御互联网上的DDOS攻击行为,部署在企业云业务和互联网边界处。高防IP,用户在业务在遭受大流量DDoS攻击时,可通过配置高防IP,将攻击流量引流到云厂商提供的高防IP地址,对攻击流量进行清洗过滤后再将正常流量转发到源站IP,从而确保源站IP稳定访问。云防火墙,主要用于实现互联网和VPC、VPC和VPC之间的网络访问控制和网络安全。一些公有云厂商也会在云防火墙上集成NIPS、防病毒、用户身份认证管理等功能。网络入侵检测/入侵防御系统,主要用于对网络流量进行检查并基于规则进行告警或阻断。虚拟交换机ACL规则,主要用于VPC内子网间的访问控制。安全组,一种虚拟防火墙,具备状态检测和数据包过滤能力,用于实现云主机间网络层的访问控制。
3. 公有云厂商网络安全技术比较
不同公有云厂商在网络安全方面一般都会提供包括安全组、虚拟交换机ACL访问控制、DDOS流量清洗或高防IP等基础的网络安全服务。部分成熟的公有云厂商,也会提供云防火墙、网络入侵检测/入侵防御系统或防病毒等网络安全服务。 | | |
| | 国内清洗中心超过8个,单中心带宽大于1T,10T+总防御带宽。电信、联通、移动、教育等20线独家防御 |
| |
| | |
| |
| 通过旁路部署方式,无变更无侵入地对网络4层会话进行实时阻断 |
| 恶意样本智能分析鉴定平台,支持常见可执行文件(包括32位和64位)、脚本、文档、压缩包、ELF 文件、APK 文件等多种,帮助检测恶意文件、后门、APT攻击等 |
| |
| | Anti-DDoS服务作为安全服务的基础服务,目前属于免费服务。 |
| |
| 通过虚拟机方式部署,可串联或单臂连接到虚拟网络中(如:虚拟应用服务器前端的网关,或者是VPC网络的边界网关)。集成用户认证、访问控制、入侵防御、病毒过滤、授权管理等多种功能 |
| | 免费提供基础DDoS 防护,防护能力最高可达5Gbps。本服务默认开启 |
| 10+清洗节点,8T+ DDoS高防总体防御能力,单用户T级防御能力,抵御各类网络层、应用层DDoS/CC攻击 |
| | |
| DDoS防护服务为百度智能云上客户提供5Gb的免费DDoS防护能力。当业务遭受超过5Gb的DDoS攻击时,可以将攻击流量引向高防中心 |
| | |
| | |
| | |
4. 混合云环境下的网络分层防护方案
混合云环境下,企业可以使用综合考虑各个云厂商自身提供的网络层安全服务以及云安全市场中其他安全厂商提供的网络产品或服务,从边界DDOS防护、边界云防火墙、VPC间防火墙、虚拟子网间访问控制及云主机间的访问控制等多个层次,构建企业混合云业务的网络层纵深防御体系。
l互联网边界处,使用DDOS清洗服务或高防IP,过滤DDOS攻击;
l互联网边界处,使用云防火墙和IPS技术,实现网络层访问控制、流量监控告警和入侵防护功能,包括不公有同云厂商集成提供的暴力破解、虚拟补丁、信息窃取、防病毒等功能;
lVPC和VPC边界处,部署VPC边界防火墙,对VPC之间的访问和流量进行管理;
lVPC内不同网段间,可使用虚拟交换机策略,管理同一VPC内不同子网间的访问;
l云主机之间,使用安全组策略,管理同一VPC内不同云主机之间的访问;
5. 混合云环境下的网络安全挑战和应对
混合云环境下,因为应用系统部署、应用架构调用、业务数据流转及使用人员的复杂性,导致安全人员难以追溯并理清楚各类访问需求和访问路径,无法在用户和应用访问路径的关键节点采取合适的安全防护措施。不过安全仍然可以从以下两方面积极应对:
1)梳理访问关系
l梳理IDC、公有云、私有云中各类应用和应用分配的网段;
l梳理应用、VPC间访问和调用关系并进行分类、分级汇总;
l梳理使用人员,包括外部业务用户,内部运维、开发、测试,内部业务用户,第三方人员等;
l梳理使用人员访问各应用的访问路径,并进行分类、分级汇总;
l明确关键资产的访问对象和访问路径;
2)访问路径的纵深安全控制
l结合资产价值进行访问路径风险评估,包括现有主要控制措施,补偿性控制措施等;
l基于纵深安全防御理念,在各个访问通道的关键边界处,进行访问控制、流量检测、攻击流量阻断、虚拟补丁等,同时在访问资产前,加强对用户和访问设备的身份鉴别、权限管理等安全措施。
l明确混合云环境下的网络安全目标:基于业务/应用/VPC/人员访问需求,在网络层面实现基本的网络隔离和访问控制功能,对访问流量进行检测告警,对异常访问流量进行阻断等。
l对于一些场景如企业内部员工访问云上SaaS应用,可选择和使用CASB产品对访问资产和路径进行安全控制;
l考虑使用SDP/ZTNA产品,减少可见攻击面,加强用户身份、设备认证和权限管理,替代VPN访问通道;
3.19日 20:00分 参与直播,有机会获得小米炫彩背包或干货书籍一份!
了解新钛云服
招聘|挑战百万年薪
TiOps,支持多云环境安全远程运维,疫情期间免费对外开放,助力远程安全办公!
新钛云服正式获批工信部ISP/IDC(含互联网资源协作)牌照
深耕专业,矗立鳌头,新钛云服获千万Pre-A轮融资
新钛云服,打造最专业的Cloud MSP+,做企业业务和云之间的桥梁
新钛云服一周年,完成两轮融资,服务五十多家客户
上海某仓储物流电子商务公司混合云解决方案
新钛云服出品的部分精品技术干货
国内主流公有云VPC使用对比及总结
万字长文:云架构设计原则|附PDF下载
刚刚,OpenStack 第 19 个版本来了,附28项特性详细解读!
Ceph OSD故障排除|万字经验总结
七个用于Docker和Kubernetes防护的安全工具
运维人的终身成长,从清单管理开始|万字长文!
OpenStack与ZStack深度对比:架构、部署、计算存储与网络、运维监控等
什么是云原生?
IT混合云战略:是什么、为什么,如何构建?