Tech Talk · 云技术有话聊 | 如何构建云安全中心?
日期:2022年07月01日 阅:89
6月24日,信服云云内建安全技术负责人Carlos在信服云《Tech Talk · 云技术有话聊》系列直播课上分享了《云安全中心背后的技术原理》,详细介绍了云安全中心现状及趋势解析、云安全中心的技术框架、如何实现上线即安全、安全事件的全生命周期管理等内容。以下是他分享的内容摘要,想要了解更多可以关注“深信服科技”公众号观看直播回放。
1.负载应用不断增加
随着云平台在企业工作负载中的应用不断增加,云工作负载配置的复杂性也随之增强。多个单独运行的安全解决方案并不能提高安全防护能力,企业仍然面临安全隐患。云上的安全方案通常是各自为“战”,缺乏统一整合,对于安全威胁缺乏一个整体的管理和控制视图。
2.新旧工具随意叠加
“新”工具堆叠在“旧”工具上的方法,只能获得有限的安全防护能力,各类安全威胁依然存在可乘之机,越来越多的企业正在倾向于优化和整合以往众多的安全解决方案。
3.外挂式解决方案存在诸多不足
外挂式解决方案无法适配云上可变的应用程序架构、服务和临时工作负载。存在性能下降、代理冲突、代理更新、版本控制、部署等问题,无法满足动态的云环境的安全需求。
4.云原生应用带来更多的攻击面暴露
云原生的出现使云计算不断与具体业务场景整合,其中,容器技术依赖大量的基础组件,而这些基础组件引入的同时也会引入大量新漏洞。微服务架构的出现、应用的拆分,导致应用数量增加。应用之间通过网络进行访问,导致系统的暴露面剧增,传统安全组件已无法很好解决以上安全风险。
5.上云后访问需求复杂多样
身份认证是跨越网络封锁的一种关键横向移动技术。越多越多企业开始采用多重身份验证,但是它并不能彻底解决企业面临的网络威胁问题。企业需要正确配置、维护和监控身份基础设施,不断提高对其重视程度,云上身份安全认证管理变得愈加重要。
云原生应用逐步普及,云内建安全逐步成为云基础安全的重点。
1.安全内建于云上、内置于云上
信服云的安全能力开启简单,只需页面一键点击操作,即可开启云安全中心功能。另外,安全防护组件不再需要管理员手动去部署、去设置相关的安全策略。当云主机创建时会随VMTools自动部署。
用户建设安全能力,不再需要关注网络部署,云上所有虚拟机都是通过G2H通信来保证云主机安全组件与云安全中心的通信。
云防火墙按云主机机粒度开启、关闭IPS和WAF功能、实现按模块开启,跟随业务的扩展而自动弹性扩展,无需担心性能瓶颈和网络配置和规划等问题。
2.可信赖、可依靠的安全事件处置能力
信服云会不断完善和补充检测能力,结合云平台的能力提供丰富的安全事件闭环方案,实现更可靠的威胁处置,有效缓解用户的处置焦虑。
3.业务上线即安全
云上安全保护云上资产从上线开始的全生命周期安全。云上安全能够自适应云上资产的业务特点,自动适配对应的安全防护策略。如开启IPS、开启waf、开启勒索数据保护、开启webshell防护等,实时获取资产变更和威胁情报信息,主动评估云上资产的安全风险。
4.云上安全能力持续进化
云上安全能够实现按需开启对应的云安全能力。未来,云上安全是全栈式的,会涉及到身份与访问安全、应用与业务安全、数据安全、网络安全和工作负载安全等方向。
云内建安全的特点包括:资产精准识别、威胁实时检测、安全事件及时预警、具备丰富的安全事件处置能力、定时数据保护策略。
通过安全组件免安装、应用和中间件精确识别、防勒索、防病毒、漏洞修复、安全事件处置演练、数据资产绝对保护等安全能力,帮助用户实现安全事件检测、预警、处置、预防、溯源的全生命周期的安全事件闭环,保护云上资产安全。针对被勒索的虚拟机,提供应急恢复向导,帮助阻断传播、保留数据和快速恢复。
自动处置
内建安全不需要配置,业务上线根据应用自动开启功能和规则推荐。内建安全会对事件进行自动处置,同时调用云平台的能力进行兜底。从隔离、克隆验证、快照兜底、处置、安全扫描加固一系列自动化操作来完整处置。
基于文件实时防护、勒索诱饵防护、暴力破解防护三大功能,主动防御勒索病毒加密虚拟机,自动处置高威胁安全事件,并通过快照保留现场。
漏洞管理
支持对主流漏洞类型进行检测,并提供windows系统漏洞一键修复功能。查看虚拟机当前存在的漏洞风险,手动执行一键扫描,更全面地了解资产中的漏洞和风险情况,实时防护资产安全。
数据保护
针对重要云主机加入安全快照策略,可循环创建最新快照。检测到异常后立即自动快照,保留最全数据。处置之前创建快照,避免误操作导致的数据损失。
内建安全主要特性之一是在虚拟机与EDR-MGR网络没有打通的情况下(甚至虚拟机都不需要网卡),仍旧可以给虚拟机安装EDR-Agent,并正常防护。
当云主机创建时,一般会自带虚拟机性能优化工具vmtools。如果没有安装性能优化工具,可以通过控制台安装vmtools。安装了vmtools的云主机,支持自动安装Agent安全插件和secplugin安全监控工具,同时也支持批量安装Agent安全插件。
信服云在安全事件闭环的设计思路是用自动替代手动、用向导固化良好实践、用平台能力进行兜底、用推荐免去配置。
处置兜底:处置病毒事件前和发现可疑勒索或防护组件异常时,平台均会自动触发快照。
联动处置:融合云平台侧、网络侧、端点侧多维度的能力进行关联分析,将多个安全告警聚合到一个安全事件,并在处置事件时实现一键联动处置。
以管理员主动进行安全事件闭环场景为例,当运维人员希望盘点云上的所有资产,了解云上所有资产的安全风险,可以在信服云安全中心发起全网漏洞扫描,根据设置的扫描策略,平台巡检完成后,会将报告发给运维人员。如果多个虚拟机发现新的漏洞,运维人员可以及时完成修复。
以上是关于信服云如何构建云内建安全中心的介绍,想要了解更多可以关注“深信服科技”公众号观看直播回放。
深信服科技股份有限公司是一家专注于企业级安全、云计算及基础架构的产品和服务供应商,拥有智安全、云计算和新IT三大业务品牌,致力于承载各行业用户数字化转型过程中的基石性工作,从而让用户的IT更简单、更安全、更有价值。自2000年成立以来,公司先后被评为国家级高新技术企业、下一代互联网信息安全技术国家地方联合工程实验室、广东省智能云计算工程技术研究中心等。目前在全球设有50余个分支机构,员工规模超过6000名。