1、云计算对于安全管理的要求
从传统上来看,安全管理在安全的网络建设中发挥着重要作用。通过安全管理平台,可以实现对安全设备的集中管理与控制、直观的实时事件监控、安全事件综合分析,并能够提供清晰全面的TopN统计报告,方便用户随时掌控当前网络安全状况,在增强整网安全的可视性的同时,通过集中的策略管理,简化多台设备安全策略部署工作,节省维护成本。
但随着网络的发展步入云计算时代,复杂的虚拟化环境对安全管理提出了更新的要求。如何更好的整合安全事件和日志的差异性,适应多厂商、多类型设备混合组网的需求?如何适应虚拟化环境下的安全策略管理和部署?如何及时感知虚拟化环境下的业务迁移,实现安全策略的及时调整和动态迁移?……
为了有效解决这些潜在的问题,为云计算网络提供完善的安全保障,云安全管理平台需要重点关注以下几方面。
资源的虚拟化管理
和传统的网络环境不同,在虚拟化环境下,由于虚拟化实例的广泛使用,整个云中的安全设备已经虚化成了一个包含多个虚拟单元的资源池。此时的安全管理软件平台,无论是在设备配置管理还是安全日志分析等方面,都需要基于单个虚拟化设备资源,而不是基于单个物理设备来进行。同时,对于这些虚拟化单元,用户权限管理也要进一步细化,在完成初始化的用户虚拟化资源分配和绑定后,后续的任何操作,都应该可以基于不同租户的不同管理员进行;每个管理员都可以随时对本企业的安全资源进行策略配置调整,管理维护企业本身的安全事件分析报告。
集中与开放
在企业的网络安全建设过程中,为了建设相对全面的防御体系,势必涉及到多种不同类型、不同厂商的安全设备的部署。此时,如何解决不同厂商配置方法上的差异,如何实现多类型安全设备的统一日志管理和事件关联分析,是需要考虑的关键需求。
这要求安全管理平台一方面需要增强自身的组网及服务提供能力,集成对本厂商多类型安全设备的统一配置管理和事件分析功能,并且可以通过定制化的手段,实现对其他主流厂商的安全日志的支持;另一方面,针对多厂商设备混合组网的实际情况,各设备厂商的安全管理系统,需要从设备配置管理和事件分析两个角度提供开放的API接口。通过这种开放的接口,厂商自身的安全管理平台作为中间层,完成上层第三方安全管理平台对本地设备的配置下发及安全事件的格式转换,为企业的统一安全管理平台的建设创造条件。
虚拟化安全策略的自动迁移调整
虚拟化环境下的虚拟机自动迁移,是云计算环境的重要特征之一。为跟随这种虚拟机的迁移,业务系统本身的资源配置以及该虚拟机的接入端口属性都在积极响应并提供适配的手段。而要想实现安全策略的跟随迁移,安全管理平台需要提供包括下面在内的重要技术支撑:
及时建立起网络中的每个虚拟机和安全策略组的对应关系,实现全局的虚拟机安全策略统一规划和管理;
及时感知虚拟机的迁移动作,并获取虚拟机迁移后的网络位置信息,以此来触发安全策略的迁移;
根据迁移后的虚拟机信息,探测计算出迁移后的虚拟机所对应的安全设备,为下一步的安全策略调整做准备;
安全管理平台基于上述信息有效整合各方面资源,自动调整安全策略,将该虚拟机对应的安全策略组重新下发到新的安全设备上,完成整个安全策略的迁移。
2、云安全管理平台主要特性
H3C SecCenter是管理功能强大的安全管理中心,其采用先进的SOA开放架构,包括Firewall
Manager、UTM Manager、IPS Manager、ACG Manager等组件,各功能模块能够有机融合在统一的Web操作门户下实现对云计算网络中各类安全设备的集中管理,构建起智能开放统一的安全管理平台(如图1所示)。
图1 SecCenter平台系统结构
SecCenter能够利用多种协议集中采集网络中安全设备的各种事件及流量信息,包括Syslog、NetStream/NetFlow、SNMP等,实时监控、分析设备状态和安全状况;提供集中分析与审计平台;同时,SecCenter能够直接对各安全设备进行集中的控制和策略部署,集中管理的虚拟环境中的安全策略,提供集中策略部署平台;为适应云安全管理对开放的需求,SecCenter还支持通过适配方式,为第三方管理平台提供开放的接口。
2.1统一的虚拟化资源管理:
SecCenter能够管理H3C防火墙、UTM、IPS、ACG等在内的各种安全设备,实现网络资源的集中化管理,用户可以根据实际情况划分区域,并将虚拟设备划分为不同的虚拟设备组,同时提供灵活的权限管理,允许不同用户管理不同的虚拟化安全设备,满足对虚拟化资源的分级分权管理需求。
2.2集中的事件监控、分析
实时监控与综合分析
SecCenter基于虚拟化资源,不仅仅针对基于设备进行事件采集和统计分析,还能够基于设备+虚拟ID的方式,提供对整网安全事件的实时监控,形成一个完整的事件快照,从而为用户提供当前网络安全事件的概览信息,帮助管理员直观的了解到最新安全状况。
(如图2所示)通过实时监控窗口,用户可实时监控正在发生的紧急安全事件,轻松了解突发事件,快速纠正危险,保障网络安全
图2 实时监控
SecCenter 能够对全网范围内的安全事件进行集中统计分析,并提供各种直观、详细的报告,在全景式的分析报告中,客户可以轻松地看到整网过去的安全状况和未来的安全趋势。
综合分析和统计报告是评估网络安全状况的有力手段,SecCenter能够满足用户的安全报告需求,提供完善的综合分析和丰富的统计报告,可即时搜寻出目前环境的攻击来源、目标等等,提供基于天、周、月及特定时间段内的趋势分析,从而得知TopN的攻击状态和趋势等全面数据,有效的帮助用户了解需要重点关注的网络攻击、病毒情况,发现各种安全风险,以便提早防范(如图3所示)。
图3 攻击报告
细致的事件及内容审计
SecCenter提供强有力的审计能力,能够从历史数据中快速查找到相关的安全事件信息。通过深入的数据查询,对具体的安全事件深入分析,能够一步一步追踪,剥茧抽丝,最终发现安全事件攻击来源及根本原因。通过这种深入查询能力,能够解决用户多种问题。
同时能够监测网络中的应用情况,对用户在网络中各种应用行为包括Web浏览、电子邮件、文件传输、通信、网络游戏进行监测、分析和审计,从而有效控制和审计使用网络访问非法网站、进行非法操作、发送非法或泄密邮件、散布非法或泄密言论等行为。能够统计每个用户的业务使用趋势和分布,详细记录用户访问网站(URL)、Email、FTP、NAT使用记录,便于事后审计和追踪等等。
通过对各种安全事件的深入分析和总结,用户能够最直接的了解攻击行为和活动,并有针对性的部署安全策略。
2.3集中的策略管理,安全策略自动迁移
管理员面对众多的网络安全设备进行策略配置,如果一次只维护一件设备,不仅耗费人力,而且容易导致策略不连贯,增加系统产生误差的可能性。SecCenter可以通过单一的管理控制台对整网安全设备进行集中管理和配置,为分布在各处的多个虚拟设备部署安全策略。通过自动化的设备配置,可以减少管理费用、减少误差的发生,确保网络的持续安全。
特别的,当云计算环境内的虚拟机迁移时,SecCenter能够即时感应到虚拟机迁移状况,从虚拟机管理系统中获取虚拟机迁移前后的各种信息,包括虚拟机迁移前所在物理主机以及迁移后物理主机位置及IP地址信息,SecCenter通过自行维护的防火墙与物理主机对应关系表,获知迁移后物理主机所在的防火墙,然后自动匹配虚拟机原有安全策略,将原有策略重新部署到新的防火墙中,实现安全策略的自动迁移,以便确保云计算环境中多种安全设备的安全策略一致性与快速部署,保障网络安全。如图四所示:
图4 策略迁移示意图
2.4开放的接口
在更大规模的复杂(如包括多厂商,多类型设备)的网络中,通常需要一个综合的安全管理平台来实现对多厂商设备的统一管理。在这种情况下,SecCenter能够通过定制化手段,以Agent或适配层的方式,提供开放的API接口。通过这些API接口,SecCenter支持按照上层管理平台的要求进行相应的日志格式转换并实时上报,以利于上层管理平台的解析处理,实现整网安全事件的统一分析;也支持上层的安全策略管理平台调用策略部署的接口,实现对全网安全设备的统一策略部署,如图5所示。
图5 开放的接口
3、结束语
随着云计算网络的发展,安全技术和产品也越来越丰富,企业对安全管理平台的需求也会越来越强烈,相信云安全管理平台也必将随需而变,逐步完善,以适应云计算环境对安全管理种种新的要求,从而实现从资源管理、配置、监控、分析、响应及部署全周期的云安全管理功能,最终为用户提供资源平台化、数据集中化的统一云安全管理解决方案。 |
