一、企业面临的问题
借助互联网技术与云计算技术的飞速发展,企业的网络信息化水平持续提升。PC、平板电脑、手机各类办公设备广泛应用于企业办公环境,作为数据接收和传输的承载工具,在提升办公效率的同时,也存在着巨大的信息安全隐患。一场潜伏已久的信息安全“核”危机,一触即发。
越来越多的企业依赖信息技术发展生存,在服务的每个环节都面临着数据安全风险,无论是软件开发、数据中心、系统集成还是在线销售(电商)都存在莫大的信息安全隐患。
除此之外,处理大量客户机密信息的企业如金融类、证券类、咨询公司、律师事务所、会计事务所等,更应对信息管理保持高度警惕;保险机构、人才招聘机构、医院诊所和呼叫中心等因业务性质涉及大量个人信息存管,也应当对信息管理有全面的认识。
此外,OEM企业如汽车零部件供应商,和一些拥有专利的高新制造企业(如通讯装备制造企业),因需接收客户保密样品、保密图纸,或掌握需要切实保密的产品信息,也需要系统地管理信息安全。
可见,信息保护不仅对个人而言意义重大,企业也需要建立一套行之有效的信息安全管理体系,最大限度降低信息安全风险所造成的不良影响。
二、企业信息安全发展的思考
企业面临的信息安全问题主要分外部和内部。外部的攻击入侵可以根据需求来安装防火墙、入侵检测、防病毒等网络安全类产品。但据网络数据统计:有超过85%的安全威胁是来自于企业内部,内部威胁事件当中超过半数会直接或间接的对企业有价值的数据安全造成影响与破坏。
海南晟启长期以来专注在云计算领域深耕,我司在各行各业客户的“私有云”、“公有云”、“混合云”等云事业建设项目以及后续交付生产过程当中直观的感受了信息安全建设的紧迫性。
为了能够更好的给新老客户继续提供高质量云计算服务的同时海南晟启针对如何有效建立云安全体系并最大程度的保障云信息安全采取了三个维度的安全考量设计:
1、 云外部安全威胁防护体系建设
2、 云内部安全威胁防护体系建设
3、 云数据安全威胁防护体系建设
三、云信息安全整体解决方案
3.1云外部安全威胁防护解决方案
3.1.1概述
针对云外部安全威胁我们使用虚拟防火墙搭配NFV(网络功能虚拟化)基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供 L2-L7 层网络的全面安全防护,在有效保护用户网络健康及服务器安全的同时提供出色的安全防护性能;通过网络流量深度检测和解析技术,能够基于应用、用户、内容、国家地理等进行多维度的精准识别,可为用户提供丰富而灵活的安全管控功能;通过强大的网络适应性,可实现复杂环境下的安全部署,满足用户多样化的网络功能需求。随着《网络安全法》的实施,海南晟启的虚拟防火墙具备日志、报表本地存储功能,有益于用户满足合规性要求,覆盖更多的应用场景,提升用户日常运维效率。海南晟启的软件防火墙可部署于政府、金融、企业、教育等各个行业,广泛适用于互联网出口、网络与服务器安全隔离、VPN 接入等多种网络应用场景。
3.1.2方案架构
虚拟防火墙组网示意图
为了将传统网络和传统数据中心的整个构架,完整的迁移到虚拟化环境,业界提出了网络功能虚拟化(NFV)的概念,即将L3-L7层的网络功能迁移到虚拟化环境。当然在从物理设备向虚拟化应用进行转变过程中,还要考虑性能的优化,与虚拟机监视器(Hypervisor)的兼容,以及动态地进行配置和调整等问题。
● 高兼容性的VNF
海南晟启的虚拟防火墙的VNF是标准通用的VNF,具非常好的兼容性,已经支持主流的四款虚拟机监视器(Hypervisor):ESXi、KVM、Hyper-V、Xen Server。
海南晟启的虚拟防火墙的VNF也已支持多个云平台:VMware,OpenStack,AWS,Azure,阿里云。并且在多个云平台集成公司进行过兼容性对接测试,比如99cloud(OpenStack黄金会员),EasyStack(OpenStack黄金会员),中兴,浪潮,华为等等。
合作伙伴与兼容系统
● 自动化部署及初始化配置
面对不同的虚拟化环境及不同的云平台,海南晟启为客户提供多种不同的镜像模版(比如,ova,vhd,qcow2等),在镜像模版中设置好必须的资源配置,让客户通过镜像模版可以实现快速的部署。
为了解决模版部署带来的配置同质化问题,以及后续接口调用连续性问题(比如,弱口令问题,IP地址冲突问题等等),海南晟启通过在VNF镜像或模版中内置一个插件,来实现自动化部署同时,进行初始化配置。目前海南晟启已内置VMware tools,Cloud-Init,Qemu Guest Agent。通过内置插件的配合,在VNF启动时,可将IP,路由,用户名,密码注入到VNF中。同时可将VNF支持的其他高级配置注入,在VNF启动时,完成自动化配置。
● 授权管理与自动分发
实现了自动化部署和配置后,由于VNF的功能和性能是受授权控制的,VNF并不能算完成业务开通。因此为了VNF能够真正随需求变化进行快速的业务开通、调整和关闭,授权也必须要实现自动化管理和分发。
授权服务器是海南晟启为配合VNF自动化部署而研发的独立产品。当海南晟启的VNF启动同时需要开通业务时,会连接授权服务器,授权服务器通过配置好的策略,为连接上来的VNF分配授权;当VNF需要响应业务需求而进行调整或关闭时,授权服务器可将此VNF的授权进行回收,并在其他VNF需要时进行重新分配。
这样通过授权服务器,在VNF进行业务开通、调整和关闭时,VNF的授权也可以进行分发和回收,实现真正的随业务调整。
● 弹性扩展及高性能好
当然除了基于业务进行横向的自动化部署和扩展外,VNF自身也需要进行弹性扩展,以应对组网需求及高性能需求。
海南晟启的VNF通过支持网卡热插拔,可应对当业务规模扩大时,所导致出现多个子网的情况。
VNF实现了虚拟资源的自适应能力,不需要重新部署,仅通过授权和虚机资源的调整,即可实现高性能的扩容调整。
增加虚机资源(比如:增加vCPU,内存)一定程度上可以增加整个VNF的吞吐性能。海南晟启的VNF也支持通过这种方式来提高性能。但到一定程度后,网络I/O的性能便成为性能瓶颈,VNF通过对SR-IOV的支持,可很好的解决网络I/O的性能问题,使VNF的性能达到线速。
SR-IOV逻辑原理
3.1.3 虚拟防火墙方案优势
产品价值
● 安全功能 All In One 设计,提供高性价比的云安全部署方案,为客户提供了下一代防火墙、虚拟专用网 (VPN)、高可用性 (HA)、入侵防御 (IPS)、病毒过滤 (AV)、服务质量保证 (QoS)、负载均衡、AAA 认证授权等丰富功能,灵活应对公有云 / 私有云等场景下不同的客户需求外,同时也有利于客户控制运营和采购成本。
● 丰富的上架部署经验,对云平台不挑剔,适应强,系统资源占用率低,处理性能高。
产品成绩
● 目前已登陆3A公有云(Aliyun,AWS,Azure)的国内外应用市场,为客户提供全方位公有云安全支持;
● 在国内公有云服务商中极具影响力,成功的完成了阿里云,移动云,联通沃云,电信云,京东云等公有云服务平台的对接工作;
● 在国内私有云服务商合作也极具规模,先后与浪潮云,华为云,有云,品高云等主流私有云服务商进行深度集成与合作;
● 凭借丰富的项目合作经验,过硬的技术实力,优质的售后服务体系,海南晟启-虚拟防火墙产品赢得了国内政企,高校,金融,运营商等行业客户广泛认可。
3.2云内部安全威胁防护解决方案
3.2.1概述
虚拟化已让数据中心发生根本性变革,当前企业正将部分或全部工作负载转移至私有云和公有云。要想充分利用混合云计算的优势,就必须确保构建可保护所有服务器的安全系统,包括物理服务器、虚拟服务器或云服务器。而且,这种安全系统不应妨碍主机性能和虚拟机 (VM) 密度,也不应影响虚拟化和云计算的投资回报率 (ROI)。海南晟启针对虚拟环境提供全新的信息安全防护方案——DS,通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护,并满足信息系统合规性审计要求。采用海南晟启的虚拟化解决方案,构建虚拟化平台的基础架构多层次的综合防护。
3.2.2产品总体架构
●防止未知应用程序在最关键的服务器上运行
●实时检测和删除虚拟服务器中的恶意软件,同时尽可能减少对性能的影响
●通过应用程序控制检测和阻止未经授权的软件
●严密防护 Web 和企业应用程序以及操作系统中的已知和未知漏洞
●通过沙盒分析提供先进的威胁检测和可疑对象修复
●一旦检测到可疑或恶意活动,便发送警报并触发主动预防
●借助海南晟启全球域名信誉数据库中的 Web 信誉威胁智能感知系统,可跟踪网站信誉并 阻止用户访问受感染的站点
●借助海南晟启全球域名信誉数据库中的统一威胁智能感知系统,可识别并阻止僵尸网络以 及目标攻击命令和控制 (C&C) 通信
3.2.3功能
●通过使用虚拟化层相关的API接口实现全面无代理(客户端免安装)的病毒防护
●采用 Web 信誉的防恶意软件
●基于云主机的入侵防御
●监控关键的操作系统和应用程序文件
●超过100种日志文件格式收集和分析操作系统和应用程序日志,识别数据中心的可疑行为、安全事件和管理事件
●应用程序控制
3.2.4优势
●与传统的防恶意软件解决方案相比,VM 密度提高,可更高效地利用和管理资源
●为一款易于管理的单一多功能安全客户端,灵活性提高并新增深度防御功能
●通过与 VMware、Citrix 以及 VMware vRealize Operations、Splunk、HP ArcSight 和 IBM QRadar 等企业目录中的管理控制台紧密集成,可降低复杂性
●提供漏洞屏蔽,允许安全编码和经济高效地实施非预设的修补
●实现经济高效的合规性
3.3云数据安全威胁防护解决方案
3.3.1概述
面对数据爆炸时代,数据已然成为企业的核心资产,甚至变成了企业生死存亡的关键;因此每个企业对这些关键数据的保护和容灾备份也就成为了企事业单位信息化部分的业务核心之一。
文件数据量大,用户数据以非结构化的形式存储、使用,在总数据量中占比超过70%,同时,大量的数据以文件方式散布在客户的服务器、PC机、笔记本等工作设备上,每年的增长率超过50%。另一方面,由于使用文件数据的用户较多,包括大量的终端用户、系统管理员等,使用信息系统的水平参差不齐,面临的安全风险相应较高,误操作、误删除、病毒、木马、勒索软件、硬件故障、灾难等都成为文件数据的风险因素,因此,文件数据的安全性问题更加重要,增加文件备份作为最后一道防护手段刻不容缓。
针对这种情况,海南晟启推出了文件备份与恢复方案;通过该方案,用户可以执行文件的完全备份、增量备份和差异备份,确保目前在大数据量环境下,缩短备份时间;可进行定时备份和滚动备份,满足用户不同的备份时间点需要;同时,在备份前,先进行快照,确保文件备份时文件的一致性;在备份时进行压缩和重删,节约备份带宽和I/O资源;在备份服务器端,每个备份点以完整备份点形式展示,方便用户查找;用户可以选择单个或多个文件、文件夹、盘符等,即可恢复到制定目录或者源目录,恢复快捷、简单,从而使重要业务系统能够及时的重建及运行起来,最大限度减少关键业务中断时间。
3.3.2产品架构
方案说明
随着应用越来越广泛、数据量在增加,文件数据存储在各种系统中,例如文件服务器、用户虚拟桌面、传统台式机、笔记本等。大量的用户文件数据,以小文件居多,文件数量千万级别较常见,在这种量级下,备份效率非常重要。另外,由于文件数量增加,备份系统也应该随时能够增加备份节点、备份存储,随着数据量的增加动态增长。同时,还需要更好的利用备份数据。如上图所示,通过晟启文件备份与恢复系统可实现如下的目的:
1) 使用晟启文件备份与恢复系统通过网络备份服务器、台式机、笔记本和虚拟桌面中的文件数据,如设计文档,如CAD、施工图等;办公文档,如Office、WPS、HTML等格式文件;多媒体文档,如照片、视频等。
2) 通过备份点多版本管理,能够将增量备份时间点合成为完全备份点。
3) 支持可设置备份点星标永久保存,例如将每年12月31日的备份点作为永久数据保存,需要审计时再恢复。
方案特点
●虚拟完全备份点:
1) 能够将增量备份时间点合成为完全备份点,每个增量备份点中包括了增量数据、备份点元数据,增量数据为本次备份相对于前一个备份点的变化数据,备份点元数据用于描述增量备份点中未变化文件的存储位置。
2) 每个增量备份点在服务器端展示备份数据时,不需要遍历实际存储数据,只需要展示备份点元数据,大大加快了备份数据展示。
3) 独特的压缩存储技术,将备份文件统一压缩存储服务器端,将备份数据存储到独特的文件中,减少文件存储到文件系统中的空洞,降低备份存储成本。
●海量文件备份:
1) 支持千万级的海量文件备份。
2) 支持快速海量文件备份,小文件备份速度达400个/s,大文件备份数据达80MB/s(千兆环境下);。
●文件一致性:
1) 提供打开文件备份功能,在文件打开时也能够进行备份,能够有效保障备份数据的可用性和一致性。
2) 提供断点续传功能,当文件备份过程中由于某些原因中断后,如网络中断、操作系统崩溃等,能够在故障修复后,在断点处继续备份。
●简单便捷的配置管理:
1) 全中文基于web的管理界面,流程化的任务配置管理方式,可以方便用户在10分钟内即可熟练使用系统。
2) 通过web可动态对灾备存储空间进行扩容,支持本地分区、本地磁盘、逻辑卷、FC、iSCSI、NFS、CIFS等。
3) 支持分布式部署,提高备份效率,并进行集中化统一管理,解决在大规模环境下,备份数据大,网络吞吐率小、磁盘读写慢的问题。
3.3.3产品优势
晟启动文件备份与恢复系统,能够与用户现有虚拟化IT环境进行无缝集成,为其中的文件数据提供可靠的保护,该模块功能优势点有:
虚拟机备份与恢复:
1. 支持Windows各版本的非结构化文件数据备份;
2. 支持完全备份、增量备份、差异备份等备份策略;
3. 能够将增量备份时间点合成为完全备份点;
4. 支持可设置备份点星标永久保存;
5. 支持对重要数据集的备注信息;
6. 提供打开文件备份功能,能够有效保障备份数据的可用性和一致性;
7. 支持本机、异机恢复,并且支持恢复到源路径和恢复到任意的路径;
8. 支持多版本管理;
9. 支持千万级的海量文件备份;
10. 小文件备份速度达400个/s,大文件备份数据达80MB/s(千兆环境下);
11. 具有断点续传功能,例如在网络中断、操作系统崩溃导致备份任务失败后,能够在故障修复后,在断点处继续备份;
12. 支持加密压缩传输和加密压缩存储。
管理功能
1、 支持多用户、权限分离管理;支持基于角色的访问控制,
2、 提供基于WEB和移动端的图形管理界面,用户可以通过管理界面集中对系统内所有代理的任务进行统一管理和监控,包括任务的启停、修改;
3、 存储资源循环利用,能够根据用户设置的回收策略,自动删除过期的备份数据,保证整个备份过程长期运行;
4、 支持备份系统多语言(包含简体中文、英文、繁体中文等)。
5、 全中文Web图形界面,适应中国人使用习惯;
6、 支持告警功能,包括邮件告警和短信告警功能。
7、 提供多备份节点扩展功能,支持控制节点对所有备份节点进行集中统一管理;
8、 提供存储扩展、管理功能,支持扩展的存储类型包括本地磁盘、分区、LVM、FC、iSCSI、NFS、CIFS等。
四、海南晟启解决方案的价值
1、一站式全面解决方案
海南晟启云计算科技有限公司提供从项目前期规划、中期实施到后期维护三个阶段的全程解决方案,让客户可以在项目的任何阶段都享受到厂商级的高效支持。让客户轻松自如地建好、防护好、管好云安全平台。
2、端到端服务支持
海南晟启云计算科技有限公司提供单一的服务界面,形成客户端、服务端两个业务端口的技术与业务的对接,让客户享受到最简捷的技术支持服务。让客户可以逐渐地由技术的被动接受者转变为主动创新者,让客户可以通过云安全平台轻松自如地把企业信息安全防护到位。
