云计算是一个很美好的事物,云计算使得人们能够更为方便的获取各类IT能力与资源,如计算、存储、网络等等。随着用户越来越多享受到云计算所带来的便利,从公有云、私有云到混合云,云计算开始加速落地。
但在云计算加速落地的今天,安全问题依然严峻,云端内的数据流量不可视造成无法得以有效管控,内部虚拟机容易被恶意感染控制,进一步造成横向的污染和攻击。而山石网科新发布的可实现虚机微隔离技术,保护云内东西向的虚拟机间流量及应用可视的“山石云·格”及面向公有云VPC业务,提供云端南北向流量的安全防护的“山石云·界”产品能够有效阻断来自虚拟世界的恶意攻击袭扰。
陷入重重迷雾的虚拟世界安全
得益于IT物理架构成熟的安全防御体系,数据中心里进出的流量(与外网交互的南北向数据流)现在已经能够进行有效的管控与防护,但数据中心内部虚机之间的数据访问(东西向的数据流)对于用户而言却还是一团迷雾,看不到更无法管控。
想一想,N多用户所租用的虚拟机都放在同一台服务器里,没有采取任何防护措施,用户无法及时获悉其租用虚拟机的安全状况,也不清楚相邻其他虚拟机是否存在异常,更不知道虚拟机之间交互的数据是否暗藏杀机。堡垒往往最容易从内部被攻破,数据中心内部虚机之间的数据访问几乎毫无限制,一旦某个虚机被恶意控制,威胁将很轻松的在数据中心内部扩展。
另外,云计算最大的特点就是能够应需而动,那么云端的安全也需要能够随机应变,随着数据中心的扩展同步进行动态扩展。所以,云端需要安全可视化,需要云端安全可控、可扩展、可迁移,要做到可管、可靠、可信。
其实虚拟机的安全问题早已引起人们的注意,安全企业纷纷推出各类产品,力图解决虚拟环境里的安全危机,例如为每个租户提供单防火墙虚机,或者将防火墙功能插入虚拟机管理程序层中等等。但更多的问题也随之出现:无法满足云计算的动态扩展需求、会给数据中心带来额外负担、增加虚拟机管理压力……可扩展性、与云平台的对接是做虚拟化安全最困难的地方,每个云平台都有不同的管理系统,而且不同的虚拟平台架构也需要进行适应。
用微隔离给虚拟机穿上贴身安全防护服
在充分考虑了上述问题后,山石网科决定给每个虚机穿上一套紧身高弹性安全防护服——将其安全防护能力深度插入到虚拟化环境中,做到每个虚拟机跟外部网络或内部其它虚拟机之间通信的精细监控,但有敢伸出罪恶黑手者,立马斩断之!这就是山石网科所独创的微隔离虚拟机安全防护技术,而其具体的产品形态就是“山石云.格”。
山石云.格包括1个vSOM、2个vSCM,以及最多可扩展至200个的vSSM,预计可实现对6000个VM的保护。山石云.格可以透明的部署在虚拟化环境中,部署在VMWare、KVM里。其流量可视化功能,可以帮助用户看清虚拟机之间的通信流量。而深入到虚拟机的微隔离,可以对任何网段虚拟机之间的流量进行细粒度访问控制。在此基础上,山石云.格还提供深度包检测、防火墙、入侵防御以及分布式拒绝服务攻击(DDoS)防护功能。
不仅健康的虚拟机能够为山石云.格所保护,那些已经被恶意控制的虚拟机也能够被山石云.格及时发现,并进行安全隔离,阻断其继续感染、攻击其他虚拟机。对于用户而言,还有两个好消息是,山石云.格不仅不会给虚拟环境带来任何负担,而且不受VMWare演进升级的影响。
“我想在公有云里做个VPC,能给保护住么?”如果有用户存在同样的问题,答案是肯定的。山石网科早期所推出的山石云.界,是其下一代防火墙虚拟化版,能够以纯软件形态部署在VPC边界,实现网关安全功能。
看,从单个虚拟机到VPC,东西南北各个方向的数据流都逃不脱山石云.格与山石云.界的实时监控,想冒充云租户从内部发起恶意攻击变得极其困难,一切来自云内的黑手都将被彻底斩断。
迈出虚拟化安全坚实的一步
随着用户对云计算应用需求的增加,用户对于云计算的要求也在越来越高,其中就包括需要明晰其云端的虚机是否也在面临安全威胁、存在哪些安全隐患、能否有效保护虚机不被恶意入侵等等。
山石网科则以微隔离技术迈出云端虚拟化安全坚实的一步,有效隔离开每个虚机,清晰虚拟环境下的安全状况,将云端安全基础架构搭建起来。以此为契机,后继还可融入更多安全功能,如智能安全防护、DLP等等,最终在虚拟化的世界里构建起整体安全防护体系,实现联动的虚拟化安全防护。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。