重庆市信息通信咨询设计院有限公司 重庆 400000
摘要
疫情和新基建在推动公有云市场的成长的同时,给云服务提供商迎来了巨大的市场和前所未来的挑战。动态边界带来安全防护缺失、公有云环境中网络攻击增长迅速、安全责任界定困难等新的问题需进一步解决。针对这些问题,云服务商亟需进一步强化云、网、应用深度融合场景下网络安全能力建设,为公有云用户提供集网络安全、主机安全、数据安全、应用安全于一体的安全解决方案。
关键词:公有云,零信任、安全、区块链
一、引言
基于安全能力的云网一体化安全解决方案聚焦公有云安全能力的集中管控,面向云上用户提供安全服务的灵活输出,解决公有云安全能力建设分散、多云安全管理欠缺、安全能力调用低效等问题,为公有云用户提供多场景、个性化安全能力服务。
二、方案整体架构
云网一体化网络安全解决方案在总体架构上分为安全工具层、能力底座层、能力中心层、运营中心层。安全能力底座是联系安全工具和安全运营的核心纽带,底座通过能力引擎实现安全工具标准化纳管,北向通过底座网关面向外部应用输出安全原子能力,通过接口技术标准化、能力输出标准化、流程标准化实现安全能力的解耦与集成,满足用户安全能力统一管控需求。
1.安全工具层
安全工具层纳管资源池内底层工具,包含风险识别类、安全防护类、安全检测类、安全响应类、安全恢复类工具,集成工具能力,面向能力底座提供南向API接口。
2.能力底座层
能力底座层建设能力引擎、底座网关以及底座配套功能,包含许可管理、工具管理、配置管理、能力监控、能力评估、智能对账多个模块。南向通过能力引擎纳管工具能力,北向通过底座网关进行服务发布与原子能力编排,对能力中心提供可靠、稳定的安全能力。
3.能力中心层
能力中心层包含网络安全能力中心及数据安全能力中心,涵盖安全防护、安全合规、态势感知、应急响应、数据治理、数据健康、数据管控、访问控制八大中心。通过调用能力底座的原子能力,实现服务链的调用与编排。
4.运营中心层
运营中心层包含对内运营门户及对外运营门户,通过调用能力中心实现各个服务的快速调用,运营中心的门户前台面向用户及企业提供用户管理、租户管理、服务管理、场景管理、流程管理、订单管理、运营管理等多个管理功能。
三、功能介绍
云网一体化安全解决方案重点建设安全能力底座、安全服务门户等系统模块,主要功能如下。
1.能力引擎。具备南向工具能力调用策略配置与编排,实现安全能力增强。支持南向工具接口适配,实现对多类型安全工具统一纳管与调用,支持适配和对接工具的标准化接口和非标准化接口,实现对同类安全工具的分布式调度。
2.底座网关。向安全能力中心提供标准化原子能力接口,以服务的形式对外发布,并实现原子能力编排。并提供北向各种服务接口的调用、配置和管理,确保能力底座对外提供服务的有效性和高可用性。
3.工具管理。具备云化安全工具自动部署、容器化部署能力,可提供云化容器镜像、agent软件介质的在线管理,通过云管平台联动实现工具软件的审核与部署,支持对漏洞扫描器、合规基线等扫描类常见策略的管理。
4.配置管理。具备能力配置、接口配置、服务配置、接口测试等功能,提供对南向能力及北向服务的调用链管理,通过创建服务、能力、接口的关联关系,实现安全能力自动发布。
5.能力监控。可对安全工具能力进行可用性统一监控,实现能力告警信息、能力告警规则、能力调用日志进行集中管理,可快速精准定位安全能力调用问题。
6.智能对账。支持汇聚安全工具原厂商、安全能力底座以及服务门户三方数据,包含对账概览、每日对账单、差错账单、对账规则管理,支持基于能力维度统计三方的调用次数,基于区块链技术手段进行智能对账管理。
7.服务门户。主要面向内部安全管理人员以及云用户提供安全能力的使用及管理界面,建设对内运营门户及对外运营门户,通过能力中心实现安全能力的编排和服务提供,门户前台面向用户及企业提供用户管理、租户管理、服务管理、场景管理、流程管理、订单管理、运营管理等安全管理功能。
四、实现技术
1. SASE模型零信任网络访问
通过引入SASE模型的零信任网络访问技术,依托微服务网关,对底层工具的身份验证、接口授权等能力,从而实现对安全工具访问权限的细粒度控制,解决安全能力底座与各工具调度过程的安全问题。
2、实时数仓的海量数据的融合
利用可灵活扩展的实时数仓技术,对海量数据进行可配置的汇聚、转换和处理,实时处理、统一存储,构建网络安全融合数据湖,解决信息孤岛。
3、NFVO编排器软件定义安全
基于软件定义安全的理念,通过NFVO技术对安全NFV功能进行初始化、实例化、调度编排,构建纵深防御体系。
4、聚合式知觉能力的智能封装
采用UEBA大数据算法,实现安全原子能力智能封装成安全服务,为用户提供选购指南。
5、区块链数据链接隐私计算
通过区块链的数据链接中的隐私计算和数据保护,并在记录匹配的情况下保证数据链接成功,为后期数据追溯提供依据,为企业管理提供决策依据。
结语
通过建设安全能力底座,可实现公有云安全工具接口统一适配,满足企业网络安全能力统一管控需求,实现降本增效。同时在标准化安全原子能力输出基础上引入安全编排能力,实现安全能力增强及异构能力互鉴,依托安全服务门户,为公有云用户提供所见即所得的安全服务。
参考文献
[1]杨永强,蔡宗辉,刘雅卓. 区块链+大数据:突破瓶颈,开启智能新时代[M]. 机械工业出版社,2019:32-35.
[2]陈本峰,李雨航,高巍,CSA(大中华区)SDP工作组. 零信任网络安全——软件定义边界SDP技术架构指南[M].电子工业出版社,2021.