随着互联网技术的发展,云计算、大数据、物联网、微服务、容器等新技术的尝试和应用,基础设施架构呈现出更加“混合化”的趋势,虚拟化、微服务、容器等工作负载成为了新的业务载体。
一
保护(云)工作负载安全迫在眉睫
在基础设施不断变化的背景下,传统的边界安全防护很难起到预期效果。攻击者能轻易地通过网络攻击获取用户工作负载权限,继而针对工作负载的网络环境进行横向渗透。而在这种环境下不论在内网或者在云上,都很难找到一个类似“网关的位置”部署传统的安全设备进行全面的安全监测与防护,进而导致了系列的云安全攻击与威胁,以及随着而来的敏感数据挟持、数据泄露等阻碍企业发展的安全事件。
因此,如何加强(云)主机的防护能力,提高主机的安全性也引起行业用户的关注。
二
(云)工作负载安全保护解决方案
CWPP
安全狗(云)工作负载安全保护解决方案是国内首家全面符合CWPP落地的产品方案。基于融合架构下的云工作负载解决思路所构建的集主机安全、资产管理、漏洞补丁、东西向流量隔离、云原生安全的“N合一”解决方案,已完成国产化操作系统适配,完美赋能云原生安全,能够为云工作负载提供全面保护。
图1
在安全狗云工作负载(云垒)安全方案中,云眼、云甲、云御及云固解决经典的安全防护和监测需求,云网和云隙解决云工作负载管理和运营面临的难题并从合规要求出发,构建了云工作负载侧主动、智能、可信的立体式安全计算环境产品矩阵。
三
某省通信运营商(云)工作负载案例
下文将具体分析某通信运营商单位在多网混合复杂环境里服务器运维所面临的安全问题以及所采用的解决方法,希望能为读者提供新思路。
01
客户情况
该客户为特大型国有通信企业省级分公司,下辖多个地市级、县级分公司,担负着通信及综合信息服务、应急通信保障任务。属该省主要通信运营企业、最大的综合信息服务提供商。
该省级通信运营商积极践行集团“云改数转”战略,全面实行“云网融合”,为千行百业提供云计算等信息服务。该单位作为国内领先的通信服务运营商,政企客户覆盖政务、金融、教育、能源、交通物流、商业等十余个行业,历来非常重视服务器安全。
02
客户痛点
①
混合云安全统一管理不易
基于通信运营商独特的云网一体,需要构建公有云、私有云、专属云和混合云的全栈云安全防护能力统一管理平台,以提升网络安全保障。
②
IT资产清点难于统计
因云计算业务发展迅速,服务器资产数量庞大、分散多网、资产变更速度快,难于统计导致底数不清。且资产变更速度快,而资产本身的漏洞、配置缺陷以及弱口令等带来的安全问题更是难以排查。
③
新型高级攻击防御能力不足
在当前新的安全形势下,传统安全产品的防护作用日益有限。该单位需要强有力的漏洞检测、监测、防御、追踪溯源能力的安全产品,以有效应对新型攻击威胁,对主机进行全方位的安全防护。
④
平台机构分级管理难度大
因为架构越来越大,IT管理和监控越来越复杂, 该省级运营商分支机构已达数百个近千个。分支机构IT服务器的维护管理和监控越来越复杂,不同服务器管理员需要管理各自的设备。
03
安全狗方案
为了解决该企业服务器的运维安全问题,该省级通信运营商使用了安全狗提供的(云)工作负载安全保护解决方案后,服务器安全得到有效保护,安全整体防控能力得到提升,客户数据安全得到保障。
四
安全狗方案满足用户多维安全需求
01
多云环境安全管理
云垒平台部署在操作系统层,可以横跨物理服务器、公有云、私有云、混合云、容器等多种数据中心环境中为物理机器、虚拟机、容器和微服务等云/云原生技术工作负载提供一致的可见性和控制,提供统一的资产可视化和和攻击面管理能力,对复杂的多云异构环境实现统一管理。
云垒也提供了统一Web安全管理面板,运维人员可对上万台服务器进行维护管理,实现高效维护云端工作负载安全的目标。
图2
02
复杂环境下资产梳理能力
云眼资产采集可全面收集主机资产,端口、对内对外IP、web站点、web中间件、web应用、数据库、进程、第三方组件、软件应用、环境变量、计划任务、jar包等;同时可对资产实时监测,基于变更规则(变更频率)进行告警。
通过云眼资产管理模块里的资产采集功能,能够细颗粒地对资产进行自动采集及梳理,同时还能够定期获取并记录主机上的各类资产变更情况,实时掌握IT系统内部的资产情况。另外云眼有资产清点方式和资产搜索功能,用户可以快速定位问题资产,评估漏洞影响规模,并生成漏洞风险报告,大幅度降低漏洞平均响应时间。
图3
03
全面安全监控防护能力
安全狗云眼提供资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块,运用采集、检测、监测、防御、捕获等各种手段对主机进行全方位的安全防护,各个模块进行联动,模块间数据联通,形成闭环系统。
技术人员结合安全狗云眼提供的安全监控能力,可以快速发现和响应服务器安全事件。云眼异常行为检测和响应机制可有效应对新型攻击威胁。同时,云眼防暴力破解、入侵扫描、病毒防护等功能可保护主机免受黑客攻击。云眼同时具备WebShell、Rootkit、病毒木马、反弹Shell等恶意文件的实时监测能力以及暴力破解、登录异常监测、操作审计、进程行为监控、提权监控等异常行为监测能力。
图4
04
多层级平台机构管理
企业IT对分支机构IT基础设备的维护管理进行分级授权,传统的解决方案需要专门部署一套软硬件结合系统,其成本高、部署难、运维模式缺灵活等原因导致用户的实际需求很难实现。安全狗(云)工作负载安全保护平台可对分支机构的IT基础架构进行分级、分权管理,实现管理员三级分级管理,各级管理员之间的管理权限层次分明,解决了用户对分支机构 IT 基础架构的分级管理和监控难题。
管理员创建的租户为一级租户,指定所属机构;一级租户可创建二级租户(子账号),二级租户可创建三级租户,以此类推。上级账号可为其下级账号指定管理的主机范围、角色权限范围等。在前台进行主机安装部署、主机分配、子账号管理、主机安全管理等。
图5
05
实践效果
采用安全狗(云)工作负载安全保护平台后,该省级运营商构建了多重防护、纵深防御的服务器安全技术体系。
通过云垒,技术人员能多维度地做好主机入侵安全防护,迅速检测及调查安全事件。随着(云)工作负载安全保护平台的深入应用,服务器安全得到有效保护,用户监测发现能力得到提升、安全防护和应急处置能力也进一步增强,同时用户也能结合此平台发现并整改网络系统存在的安全问题。
该单位通过安全狗的方案,保障了多个省级数据中心集群服务器安全运维,实现对网络安全的360度监控和保护,在重要时期顺利完成了网络安全防护任务。
五
结语
安全狗(云)工作负载安全保护解决方案不仅只为通信行业保驾护航,实际上它在国家部委、地方政府、央企、国企、世界500强、独角兽企业等在内的上百家大型客户以及数千家中小企业客户,涵盖了能源、金融、教育、医疗、互联网、电信运营商等多个行业里的应用也十分广泛,产品能力和服务水平得到业界广泛认可。