| 项目背景project
随着越来越多的用户将传统的业务系统迁移至云计算环境中,云安全面临的挑战也更加严峻,传统环境下的安全问题在云环境下仍然存在,如sql注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等,而云环境下又不断涌现一堆新的安全问题,如云安全边界的划分和防护、云安全防护系统的选择和部署、云安全检测、安全防御、云安全审计等。同时,云计算环境下的资源按需分配、弹性扩容、资源集中化等新型技术形态也给云安全技术带来挑战和技术革新。
..................................................................................................................................................................................................................................................................
| 项目内容 content
云安全总体业务架构设计
根据新疆联通医疗云的现有业务特点以及其相关云安全防护需求,安恒信息提出了基于软件定义安全(sds)的天池云安全龙8app登录的解决方案,该方案与新疆联通医疗云现有的云环境进行适配集成,以实现云计算环境中的安全防护。 本方案采用软件定义安全(sds)的架构,其原理是通过将安全数据与控制平面的分离,对物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦,底层抽象为云安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现一种灵活的安全防护。
云安全资源池业务架构如下图所示:
整体业务设计架构说明
·云租户登陆云管理平台按需申请云安全防护能力,如云堡垒机、云web应用防火墙等
·云平台安全管理员审核需求和服务订单
·根据云租户申请的云安全产品类型,云管理平台通过调用云安全管理平台的api接口,自动的创建对应的云安全能力
·云租户通过单点登录到云安全管理平台将安全策略下发到各云安全产品
·云安全管理平台通过调用云管理平台提供的sdn api接口,将租户业务流量的南北向流量按需的引入到云安全资源池内,经过下一代云防火墙系统和云web应用防火墙的清洗
·云平台管理员通过云安全管理平台的平台视角看到整个云平台的安全状态、云安全虚拟机的健康状态、系统和安全事件的监控情况等
·云租户安全管理员通过云安全管理平台的租户视角看到自己虚拟网络的安全状态,比如安全事件、安全日志,并且可以按照业务安全的需求自定义安全规则
云安全资源池网络模型架构设计
增加了天池云安全资源池后, vm网络通信流程如上图所示,分为网关型安全服务(如云防火墙)和非网关型安全服务(如云堡垒机)两大类安全服务:
..................................................................................................................................................................................................................................................................
| 项目价值value
云计算作为一种新兴的计算资源利用方式,正处在飞速发展的阶段。云计算的服务商通过对硬件资源的虚拟化,将基础it资源变成了可以自由调度的资源池,从而实现资源的按需分配,向客户提供按使用付费的云计算服务。用户可以根据业务的需要动态调整所需的资源,而云服务商也可以提高自己的资源使用效率,降低服务成本,通过多种不同类型的服务方式为用户提供计算、存储和数据业务的支持。
