CN118432835A - Ct云及边缘云安全平台 - Google Patents
Ct云及边缘云安全平台 Download PDFInfo
- Publication number
- CN118432835A CN118432835A CN202310437358.XA CN202310437358A CN118432835A CN 118432835 A CN118432835 A CN 118432835A CN 202310437358 A CN202310437358 A CN 202310437358A CN 118432835 A CN118432835 A CN 118432835A
- Authority
- CN
- China
- Prior art keywords
- security
- cloud
- platform
- management
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006870 function Effects 0.000 claims abstract description 86
- 238000011068 loading method Methods 0.000 claims abstract description 7
- 230000002452 interceptive effect Effects 0.000 claims abstract description 5
- 238000007726 management method Methods 0.000 claims description 341
- 230000004224 protection Effects 0.000 claims description 122
- 238000012550 audit Methods 0.000 claims description 114
- 238000012423 maintenance Methods 0.000 claims description 78
- 238000001514 detection method Methods 0.000 claims description 46
- 238000012544 monitoring process Methods 0.000 claims description 43
- 230000002155 anti-virotic effect Effects 0.000 claims description 41
- 230000007123 defense Effects 0.000 claims description 17
- 230000006978 adaptation Effects 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 13
- 230000005012 migration Effects 0.000 claims description 5
- 238000013508 migration Methods 0.000 claims description 5
- 230000003442 weekly effect Effects 0.000 claims description 5
- 230000008447 perception Effects 0.000 claims description 4
- 210000001503 joint Anatomy 0.000 claims 2
- 230000016776 visual perception Effects 0.000 claims 1
- 239000000306 component Substances 0.000 description 77
- 238000000034 method Methods 0.000 description 52
- 241000700605 Viruses Species 0.000 description 49
- 238000010586 diagram Methods 0.000 description 28
- 230000006399 behavior Effects 0.000 description 26
- 230000008569 process Effects 0.000 description 26
- 238000004458 analytical method Methods 0.000 description 25
- 239000000047 product Substances 0.000 description 23
- 238000005516 engineering process Methods 0.000 description 22
- 238000003860 storage Methods 0.000 description 22
- 238000013475 authorization Methods 0.000 description 19
- 238000002347 injection Methods 0.000 description 19
- 239000007924 injection Substances 0.000 description 19
- 235000014510 cooky Nutrition 0.000 description 17
- 238000003032 molecular docking Methods 0.000 description 14
- 230000000007 visual effect Effects 0.000 description 14
- 230000002159 abnormal effect Effects 0.000 description 12
- 230000002265 prevention Effects 0.000 description 12
- 239000000243 solution Substances 0.000 description 12
- 238000012360 testing method Methods 0.000 description 10
- 238000009434 installation Methods 0.000 description 9
- 238000002955 isolation Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 238000001914 filtration Methods 0.000 description 8
- 238000013515 script Methods 0.000 description 8
- 238000012800 visualization Methods 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 7
- 238000013461 design Methods 0.000 description 7
- 238000007689 inspection Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 239000008186 active pharmaceutical agent Substances 0.000 description 6
- 238000005553 drilling Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 238000011084 recovery Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000004913 activation Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 5
- 230000036541 health Effects 0.000 description 5
- 238000010606 normalization Methods 0.000 description 5
- 230000008439 repair process Effects 0.000 description 5
- 238000004140 cleaning Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 230000008676 import Effects 0.000 description 4
- 238000011900 installation process Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 238000011176 pooling Methods 0.000 description 4
- 238000007619 statistical method Methods 0.000 description 4
- 239000000725 suspension Substances 0.000 description 4
- 238000012384 transportation and delivery Methods 0.000 description 4
- 238000013024 troubleshooting Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 3
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 3
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 3
- 101100012902 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) FIG2 gene Proteins 0.000 description 3
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000013439 planning Methods 0.000 description 3
- 101001121408 Homo sapiens L-amino-acid oxidase Proteins 0.000 description 2
- 102100026388 L-amino-acid oxidase Human genes 0.000 description 2
- 238000007792 addition Methods 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000008358 core component Substances 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000007480 spreading Effects 0.000 description 2
- 238000003892 spreading Methods 0.000 description 2
- 230000004083 survival effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241001151122 Arachnis <moth> Species 0.000 description 1
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 101000827703 Homo sapiens Polyphosphoinositide phosphatase Proteins 0.000 description 1
- 102100023591 Polyphosphoinositide phosphatase Human genes 0.000 description 1
- 101100233916 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) KAR5 gene Proteins 0.000 description 1
- 238000012896 Statistical algorithm Methods 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 239000005441 aurora Substances 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000011049 filling Methods 0.000 description 1
- 238000001595 flow curve Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000002156 mixing Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000024241 parasitism Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000011232 storage material Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种CT云及边缘云安全平台,其特征在于,该安全平台包括:云安全管理平台、云安全资源池、以及虚拟化安全网元;所述云安全管理平台负责云环境下的安全管理和安全策略,并为电信服务商和租户提供云安全运营服务的各类交互功能;所述云安全资源池通过云安全管理平台提供的安全业务编排能力,提供适应于安全需求的安全能力;所述虚拟化安全网元是由各类安全能力形成的虚拟机镜像,所述虚拟化安全网元通过加载在安全资源池的虚拟化平台上对外提供服务。本发明具备技术先进性、灵活的扩展性和高度前瞻性。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种为对CT云及边缘云计算系统提供安全服务的CT云及边缘云安全平台。
背景技术
基于通信技术(CT)和信息技术(IT)不断演进和深度融合,电信营运商面对不同客户上云入云和云间互联的业务场景需求,正在全面推进以云和网为关键要素和核心驱动的云网融合新型基础设施规划和建设,构建以网络、新技术和算力等新型信息基础设施为代表的全新的“云、网、边、端”一体化产品服务能力和融合生态模式。
如何有效地管理多个云平台或异构资源、如何更好地实现云网之间的协同、安全等问题依然是混合云加速落地的重要“拦路虎”。尤其不同云部署模式的混合形成了多样化的边界,数据和应用在不同云之间的流动也给存储、传输和管理的安全带来了新的挑战。
因此,传统的安全防护模式已不再适用,迫切需要建立新型的安全管理架构,使得安全防护能力能够满足相关要求,同时要求云服务提供商能够向租户提供相对应的安全服务能力,并且具备安全可运营的能力。
发明内容
针对现有技术的上述缺陷,本发明提供一种CT云及边缘云安全平台,通过集中管控以实现对CT云及边缘云虚拟化安全能力的集中管理,保护多云环境,保障云计算平台中的信息安全和网络安全,提高网络安全性。
为了解决上述技术问题,本发明第一方面提出一种CT云及边缘云安全平台,其特征在于,包括:云安全管理平台、云安全资源池、以及虚拟化安全网元;所述云安全管理平台负责云环境下的安全管理和安全策略,并为电信服务商和租户提供云安全运营服务的各类交互功能;所述云安全资源池通过云安全管理平台提供的安全业务编排能力,提供适应于安全需求的安全能力;所述虚拟化安全网元是由各类安全能力形成的虚拟机镜像,所述虚拟化安全网元通过加载在云安全资源池的虚拟化平台上对外提供服务。
根据本发明的一种优选实施方式,其特征在于,所述CT云及边缘云共用一个云安全资源池,所述云安全资源池上加载有边缘云自用安全网元、边缘云租户安全网元、CT云自用安全网元、和CT云租户安全网元,所述边缘云自用安全网元给边缘云自用系统提供安全能力、所述边缘云租户安全网元给边缘云租户提供安全能力、所述CT云自用安全网元给CT云自用系统提供安全能力、所述CT云租户安全网元给CT云租户提供安全能力;所述云安全资源池内包括CT云安全管理平台和边缘云安全管理平台,CT云安全管理平台负责和CT云对接,对安全资源池内负责CT云业务的安全网元提供服务,边缘云安全管理平台负责和边缘云对接,对安全资源池内负责边缘云业务的安全网元提供服务。
根据本发明的一种优选实施方式,其特征在于,所述云安全管理平台在目标被防护云计算平台的基础上划分安全域,并为安全域配属安全服务;所述云安全资源池承载安全服务,向所述云安全资源池云计算平台内的各个安全域提供适应于安全域安全需求的安全能力。
根据本发明的一种优选实施方式,其特征在于,所述虚拟化安全网元,包括边缘云安全场景下的虚拟化安全网元、以及电信CT云安全等保场景下的虚拟化安全网元。
根据本发明的一种优选实施方式,其特征在于,所述边缘云安全场景下可对非流量型安全网元,以及流量型安全网元,进行虚拟化的部署,面向电信的用户或电信自营业务系统提供安全防护;和/或,所述电信CT云安全等保场景下可对非流量型安全网元,以及流量型安全网元,进行虚拟化的部署,面向电信的用户或电信自营业务系统提供安全防护。
根据本发明的一种优选实施方式,其特征在于,所述云安全管理平台包括云服务商侧、租户侧、安全代维管理模块、以及对外接口模块,电信服务商可在云服务商侧完成下述操作中的至少一项:平台运行状态监控、定义安全服务包、维护安全服务包、查看订单状态并进行订单流程管理、租户账号维护、代维账号管理和维护、为平台进行各类配置、查看平台日志;租户可在租户侧完成下述操作中的至少一项:对自有VPC进行安全可视化感知、定义VPC内的安全域/业务系统、对已购买的服务包进行配置维护、进入安全市场进行服务采购、查看历史订单和订单状态、获取安全周报、查看自有VPC的安全事件、查看平台日志;租户可通过安全代维管理模块采购安全代维服务;所述对外接口模块至少包括下述接口中的至少一项:云管平台接口、北向SSO接口、网络引流接口、安全能力接口,并且所述对外接口模块可提供定制接口。
根据本发明的一种优选实施方式,其特征在于,所述云安全资源池包括流量控制器、物理交换机、以及安全资源池管理系统和平台,所述流量控制器将租户的流量和与其对应的安全资源之间建立安全服务链,以实现具体的安全能力;所述物理交换机接收流量控制器指令,执行流量牵引、镜像、和/或路由工作;所述安全资源池管理系统和平台用于承载和管理安全资源池,负责执行安全虚拟机开通、镜像加载、快照保护、安全虚拟机迁移、安全虚拟机重启、和/或安全虚拟机挂起工作中的至少一项。
根据本发明的一种优选实施方式,其特征在于,所述云安全资源池通过分布式虚拟化四层交换机承载覆盖等级保护所需的安全服务。
根据本发明的一种优选实施方式,其特征在于,所述云安全资源池将安全能力微服务化,使多个租户共享一个安全虚拟机,同时保持租户间的安全策略、数据和界面的隔离。
根据本发明的一种优选实施方式,其特征在于,所述云安全资源池支持基于分片路由的精细流量编排能力。
根据本发明的一种优选实施方式,其特征在于,所述边缘云安全场景下的虚拟化安全网元包括:云网安全适配层、分布式虚拟化四层交换机、下一代防火墙、虚拟化WAF、虚拟化日志审计、虚拟化堡垒机、主机防病毒、虚拟数据库审计、脆弱性扫描与管理中的至少一项。
根据本发明的一种优选实施方式,其特征在于,所述电信CT云安全等保场景下的虚拟化安全网元包括:下一代防火墙、虚拟化WAF、虚拟化日志审计、虚拟化堡垒机、主机安全与管理、虚拟数据库审计、脆弱性扫描与管理中的至少一项。
根据本发明的一种优选实施方式,其特征在于,所述主机防病毒安全网元和/或主机安全与管理安全网元使用了B/S和C/S两种模式进行通讯和管理,B/S模式用于控制和管理,C/S模式用于通讯。
根据本发明的一种优选实施方式,其特征在于,所述CT云及边缘云安全平台还包括云安全能力模块,所述云安全能力模块包括市场订单管理功能模块、租户自服务功能模块、安全能力集中管控模块、虚拟化安全组件功能模块;所述市场订单管理功能模块通过订单管理能力实现安全产品的规格选型与订购;所述租户自服务功能模块向租户提供安全组件集中自服务管理;所述安全能力集中管控功能模块用于实现安全资源池、安全组件的集中运维、安全服务的开通、部署及引流编排、和/或租户的运营管理;所述虚拟化安全组件功能模块包括防火墙、云主机安全、入侵检测防御、堡垒机、DDOS防护、漏洞扫描、WAF、云身份认证、脆弱性扫描、日志审计、数据库审计以及安全安全感知安全能力中的至少一个。
本发明第二方面提出一种CT云及边缘云安全平台,其特征在于,包括:云安全管理平台、CT云安全资源池、边缘云安全资源池、以及安全能力池;所述云安全管理平台对所述CT云及边缘云安全平台的安全能力进行统一管理和调度,可以通过任意一个安全资源池对安全平台内的所有的安全能力进行操作;所述云安全管理平台下的安全能力一部分采用集中式部署提供给云网用户,一部分采用本地化云网POP点近源部署。
根据本发明的一种优选实施方式,其特征在于,所述云安全管理平台下的安全能力一部分采用集中式部署提供给云网用户,是指所述云安全管理平台下的安全能力中的部分采用集中式部署,将安全能力云化以SaaS化服务的方式提供给云网用户。
根据本发明的一种优选实施方式,其特征在于,所述安全能力中的大部分安全能力可采用集中式部署的方式在CT云安全资源池中进行建设,通过云平台提供的云主机方式在云内进行模块化部署,部署完成后,只需要对应打通安全能力与所防护的资产之间的网络,即可实现安全能力池中的安全能力以服务化的方式提供给各云计算及IDC节点。
根据本发明的一种优选实施方式,其特征在于,所述CT云安全资源池通过CN2连接边缘云安全资源池,打通对应安全能力与所防护的资产之间的网络,向其输出安全能力。
根据本发明的一种优选实施方式,其特征在于,所述边缘云安全资源池池中的部分安全能力通过云网POP节点在防护目标的近源侧进行本地化部署,安装部署私有化的安全能力池,旁挂在云平台或IDC的核心交换机上,构建安全能力组件区。
本发明的CT云及边缘云安全平台,能够同步获取云平台资产和网络信息,提供基于安全域思想的云安全防护,实时反映防护阵线的安全防护拓扑,具备完备的监控和告警功能,能够提供丰富的云安全报表,具备99.999%的电信级高可用,具备先进的技术性。
本发明的CT云及边缘云安全平台,使用开放架构,分层解耦,弹性易扩展,基于分片路由的安全服务链编排,具有灵活的扩展性。
现在安全市场已经从纯合规向实用实战进行转变,靠堆砌硬件盒子的时代已经过去,基于SASE理念的云安全集中管理和运营是未来的主流发展方向。未来的演进方向以简单方便的SASE盒子部署在分支机构,在边缘节点部署安全资源池,在总部部署安全运营中心,解决了安全运营中心到边缘侧这段“最后一公里”不可见不可控不可防的问题。所述CT云及边缘云安全平台具备高度的前瞻性。
附图说明
为了使本发明所解决的技术问题、采用的技术手段及取得的技术效果更加清楚,下面将参照附图详细描述本发明的具体实施例。但需声明的是,下面描述的附图仅仅是本发明的示例性实施例的附图,对于本领域的技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他实施例的附图。
图1是根据本发明的实施例1的CT云及边缘云安全平台的系统架构的示意图;
图2是根据本发明的实施例2的CT云及边缘云安全平台的系统架构的示意图;
图3是根据本发明的实施例2中的云安全管理平台的功能模块结构的示意图;
图4是通过云安全管理平台来选取安全服务的一个示例的示意图;
图5是将安全能力微服务化为多个租户提供安全服务的一个示例的示意图;
图6是使用流量编排模块进行精细化流量编排的一个示例的示意图;
图7是部署了云网安全适配层的云安全平台的一个示例的示意图;
图8是虚拟化日志审计系统的一个实施例的系统架构示意图;
图9是主机防病毒模块的一个实施例的系统架构示意图;
图10是综合漏洞扫描系统的一个实施例的系统架构示意图;
图11、12展示了所述综合漏洞扫描系统的漏洞监控报告的几个示例。
图13是根据本发明的实施例3的CT云及边缘云安全平台的系统架构的示意图;
图14是根据本发明的CT云及边缘云安全平台的安全原子能力系统的一实施例的系统架构框图;
图15是根据本发明的的实施例4的CT云及边缘云安全平台的系统架构框图;
图16是根据图15的CT云及边缘云安全平台中CT云安全资源池与边缘云MEC的安全资源池相连接的网络拓扑结构的示意图;
图17是根据本发明的CT云及边缘云安全平台的一实施例的系统架构框图。
具体实施方式
下文将结合具体实施例对本发明的技术方案做更进一步的详细说明。应当理解,下列实施例仅为示例性地说明和解释本发明,而不应被解释为对本发明保护范围的限制。凡基于本发明上述内容所实现的技术均涵盖在本发明旨在保护的范围内。
在符合本发明的技术构思的前提下,在某个特定的实施例中描述的结构、性能、效果或者其他特征可以以任何合适的方式结合到一个或更多其他的实施例中。
在对于具体实施例的介绍过程中,对结构、性能、效果或者其他特征的细节描述是为了使本领域的技术人员对实施例能够充分理解。但是,并不排除本领域技术人员可以在特定情况下,以不含有上述结构、性能、效果或者其他特征的技术方案来实施本发明。
附图中的流程图仅是一种示例性的流程演示,不代表本发明的方案中必须包括流程图中的所有的内容、操作和步骤,也不代表必须按照图中所显示的的顺序执行。例如,流程图中有的操作/步骤可以分解,有的操作/步骤可以合并或部分合并,等等,在不脱离本发明的发明主旨的情况下,流程图中显示的执行顺序可以根据实际情况改变。
附图中的框图一般表示的是功能实体,并不一定必然与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
各附图中相同的附图标记表示相同或类似的元件、组件或部分,因而下文中可能省略了对相同或类似的元件、组件或部分的重复描述。还应理解,虽然本文中可能使用第一、第二、第三等表示编号的定语来描述各种器件、元件、组件或部分,但是这些器件、元件、组件或部分不应受这些定语的限制。也就是说,这些定语仅是用来将一者与另一者区分。例如,第一器件亦可称为第二器件,但不偏离本发明实质的技术方案。此外,术语“和/或”、“及/或”是指包括所列出项目中的任一个或多个的所有组合。
在本文中,术语“云”意指被广义地理解为通过任何计算机环境提供资源作为服务。这些资源除了其他的之外可以包括,但不限于物理计算硬件设备(诸如处理器、存储设备和网络设备);形式为计算机可用程序代码的计算平台形式为计算机可用程序代码的应用软件;作为服务提供的计算机数据存储;作为服务提供的网络平台;形式为计算机可用程序代码的应用程序编程接口;作为服务提供的生产、分期和测试环境,作为服务提供的安全平台和计算机可用程序代码。云的具体形式可包括公共云、私有云、管理云(托管或本地)、行业云、政务云等,以及由两个或多个不同的云(如两个不同的公有云)结合在一起并提供所涉及的多个云类型的优点的任何组合。
实施例1
图1是根据本发明的实施例1的CT云及边缘云安全平台的系统架构的示意图。
所述CT云及边缘云安全平台用于帮助电信营运商构建面向近源侧用户的公共安全基础设施,并开展云安全运营服务。
如图1所示,所述CT云及边缘云安全平台包括:云安全管理平台1、云安全资源池2、以及各类虚拟化安全网元3。
云安全管理平台1作为管理层,负责管理云安全资源池2和虚拟化安全网元3。云安全管理平台1根据用户要求,下发创建安全防护队列、编排安全能力、规划安全访问路径等指令,云安全资源池2根据指令完成相关动作、创建虚拟化安全网元;云安全管理平台1通过API接口对接云平台和SDN控制器,针对相应的业务系统、IP等信息,下发引流指令,云安全资源池2根据该指令传送业务访问流到安全防护队列中;云安全资源池作为整套解决方案的控制层,负责根据云安全管理平台下发的指令,完成对资源池内的所有业务流量进行控制和操作;虚拟化安全网元作为执行层,在安全防护队列中承担安全节点的角色,对业务访问流进行访问控制、安全检测、访问审计等。具体的:
所述云安全管理平台1即前端系统,为云服务商和租户提供围绕云安全运营服务的各类交互功能。所述云安全管理平台通过WEB人机交互界面帮助云服务商开展安全运营服务。
一般地,云平台为第三方的平台,而作为安全厂商,在得到云安全产品后,如果第三方平台访问云安全产品时,需要与云安全产品进行对接,当云平台与云安全管理平台完成对接后,就能通过云平台访问云安全产品,简单方便。在这里,云安全管理平台就作为中间适配器,需要能够无缝衔接各个云平台。
云安全管理平台通过安全组件管理对云计算环境内的安全设备产品进行统一策略分配,解决了灵活、按需、动态分配与调整安全策略的难题,保证安全资源池化并符合云计算的特征。
所述云安全管理平台包括云服务商侧模块4、租户侧模块5、安全代维管理模块6、以及对外接口模块7。
通过所述云服务商侧模块,电信营运商可以通过全局监控功能域进行各平台运行状态监控、通过服务包管理功能域定义安全服务包、通过服务包维护功能域维护安全服务包、通过订单管理功能域查看订单状态并进行订单流程管理、通过租户管理功能域进行租户账号维护、通过代维账号管理功能域进行代维账号管理和维护、通过系统配置功能域为各平台进行各类配置、以及通过系统日志功能域查看平台日志。
通过所述租户侧模块,所述电信营运商的租户可以通过我的安全拓扑功能域对自有VPC(Virtual Private Cloud,虚拟私有云)进行安全可视化感知、通过业务系统管理功能域定义VPC内的安全域/业务系统、通过服务包维护功能域对已购买的服务包进行配置维护、通过安全市场功能域进入安全市场进行服务采购、通过订单管理功能域查看历史订单和订单状态、通过安全报表功能域获取安全周报、通过安全事件功能域查看自有VPC的安全事件、以及通过系统日志功能域查看平台日志。
如果租户需要安全代维工程师提供安全代维服务,可通过安全代维管理模块6采购安全代维服务,选定工程师执行代维服务。一旦选定,则该代维工程师可获取该租户账号的权限,执行代维工作。
所述云安全管理平台本着高内聚、低耦合的思想进行设计和开发对外接口,所述对外接口7模块主要包括下述接口:用于同步租户信息的云管平台接口、便于统一Portal单点登录的北向SSO接口、便于需要通过引流、导流实现安全能力的产品提供服务的网络引流接口、将安全能力加载入平台形成标准化服务,进行配置、管理等工作的安全能力接口、以及提供其他依据项目需要可定制的接口的定制接口。
在传统的数据中心,安全能力由专用设备所提供,如硬件防火墙、硬件Web应用防护、硬件堡垒机等。但在云场景下,租户虚拟主机是按需购买的,对应的安全设备也需要按需购买。
云安全资源池,是指是安全供应商将安全能力云化,以弹性、按需的“池”的方式提供给用户使用的产品。安全资源池化是云安全资源池的一个基础条件,针对安全资源池化的需求,可以采用虚拟网络功能(VNF)来实现安全资源池化。使用VNF的安全设备支持虚拟化部署,即在通用X86服务器上以虚拟机的形态部署。例如当租户创建防火墙服务的时候,在通用X86服务器上从虚拟防火墙镜像创建防火墙虚拟机,并对虚拟机进行IP设置、产品授权等一系列初始化操作,从而满足按需申请的需求。
所述云安全资源池即后端系统,内含负责安全资源引流、安全资源池管理系统和平台,以及各类需要提供安全服务的安全能力组件。其中所述安全资源池和平台可由标准X86服务器承载,各类安全能力以虚拟机形式承载在其上。
所述云安全资源池2包括流量控制器8、物理交换机9、以及安全资源池管理系统和平台10。
所述流量控制器主要负责平台内-云安全资源池内的网络路由控制,以分片路由进行流量牵引,将租户的流量和与其对应的安全资源之间建立安全服务链,以实现具体的安全能力。
在一个特定实施方式中,所述流量控制器是安全SDN(Software DefinedNetwork,软件定义网络)引流装置。
所述物理交换机可以采用通用交换机设备,支持IPv6协议,接受流量控制器指令,执行流量牵引、镜像、路由等工作。
所述安全资源池管理系统和平台是服务器虚拟化软件,用于承载和管理安全资源池。所述安全资源池管理系统和平台负责执行安全虚拟机开通、镜像加载、快照保护、安全虚拟机迁移、安全虚拟机重启、安全虚拟机挂起等具体工作。
所述各类虚拟化安全网元3,是由各类安全能力形成的虚拟机镜像、模板,当需要提供服务时,各类虚拟化安全网元加载在安全资源池虚拟化平台上,以虚拟机形式启动,并对外提供服务。
虚拟化安全网元允许租户维护安全网络,而无需大量增加昂贵的专有硬件支出。基于云的虚拟化安全服务的定价通常由使用情况决定,这对于高效使用资源的组织来说意味着额外的节省。虚拟化安全功能可以在任何地方跟踪工作负载,这在虚拟化环境中至关重要。它在多个数据中心以及多云和混合云环境中提供保护,使组织能够充分利用虚拟化的优势,同时保持数据安全。虚拟化安全网元不需要IT团队设置和配置多个硬件设备。由于可以通过集中式软件设置安全系统,从而实现快速扩展。使用软件来运行安全技术还可以实现安全任务的自动化,从而为IT团队腾出更多时间。
实施例2
图2是根据本发明的实施例2的CT云及边缘云安全平台的系统架构的示意图。
从平台功能设计角度出发,所述CT云及边缘云安全平台同样包括云安全管理平台1、云安全资源池2、各类虚拟化安全网元3三大部分组成。
云安全管理平台作为核心组成部分,以云环境中的资产(包括业务资产和安全资产)的管理为基础,提供在资产数据上构建基于业务逻辑的安全域模型,通过对业务的抽象和与安全思维的结合,让用户在安全管理过程中更专注于安全的管理和配置。还可结合SDN网络,借助SDN控制器下发流表,定制安全服务链,下发防护策略至云安全资源池中的虚拟或硬件安全设备,真正的做到了安全策略定制化。
所述云安全管理平台1按照分权分域思想的进行安全管理,可以基于对云计算系统的安全域划分结果,通过VLAN、安全组、虚拟化防火墙等技术手段隔离,并在区域边界和区域内部部署相应的防护手段,为安全域配属安全服务,形成纵深防护能力。不同云平台的业务规划、设计和安全要求不同,需要根据具体需求规划相应的物理和虚拟安全区域,构建针对云计算环境的安全防护阵线。通过配套的安全资源池,可提供边界安全防护服务、安全检测服务、主机安全服务以及安全管理类服务等安全服务。
安全域是一个具有相同安全边界、责任区域、安全使命、访问属性等要素所组成的安全防护逻辑区域,不同安全域之间相互协作,共同维护系统安全。根据云计算系统业务部署特点和安全隔离增强需求,依托防火墙、安全路由器、VPN网关等网络安全设备,构建租户VPN环境,实现租户网络、主机和应用环境的安全隔离。
分权分域管理是指在网络运行维护过程中,维护人员只能对网络中与本辖区相关的设备和数据进行操作和管理。分权管理本质是为不同级别的管理员提供不同管理权限的设置以达到可见/不可见、可管理/不可管理的目的,比如针对不同种类的设备,不同区域的设备,设备的不同功能等设置查询、修改或增删的权限。分域管理本质上是将集中控制节点(如软交换、应用服务器等)的数据或操作维护功能,按管理域,划分成多个虚拟管理实体,这样就能由不同域的管理员管理。分权分域管理的本质是根据管理用户的账号赋予特定的可管理资源集和相应管理权限。
如图2所示,所述云安全资源池2可以通过分布式虚拟化四层交换机承载覆盖等级保护所需的众多安全服务,通过云安全管理平台提供的安全业务编排能力(例如服务链编排、策略管理、安全资源池管理、安全虚拟机管理等),向云计算平台内的各个安全域(例如DMZ域、核心业务域、办公域、安全集中管控域等)提供适应于安全域安全需求的安全能力(例如二代防火墙、WAF、IDS/APT、微隔离、数据库审计、漏洞扫描、云堡垒机、日志审计、主机EDR、SOC/态势感知等常用安全能力),实现安全能力按需调度,安全服务链按需编排,集中化的云安全管理能力。各功能部件以模块化方式部署,架构简单明晰,易于扩展,云上的租户可以根据实际的使用场景和业务需求进行组件的选配。
所述云安全管理平台1会与目标被防护云计算平台的管理系统(通常为云计算管理平台)进行对接,通过安全的API接口获取云内资产信息和网络信息。在掌握这些信息的基础之上,云安全管理平台可以进一步划分安全域,以安全域为单位配属安全服务功能。
通过将云平台的资产划分为安全域,可以梳理云平台内被保护集群的详细信息。云安全管理平台可以以安全域为单位,提供流量连接关系和安全态势展现,做到对各个安全域的安全情况了然于胸。
同时,云安全资源池内提供的安全服务,也是以安全域为单位,向安全域配属。可以依据安全设计方案,根据安全域的实际安全需求,为安全域配属相应的安全服务实例。
图3是根据本发明的实施例2中的云安全管理平台的功能模块结构的示意图。
所述云安全管理平台1负责云环境下的统一的安全管理与安全策略,包括如下功能模块:
可视化展现层模块11:提供人机交互界面,便利可视化的对安全进行管理。
安全业务应用模块12:为已创建的安全域提供安全设备所支持的应用服务,包括安全域资产状态监控、边界流量行为分析、旁路安全功能管理入口、串行安全功能管理入口等服务。
安全域边界安全管理模块13:基于虚拟化资产、虚拟网络拓扑和安全资源的信息提供对安全域边界安全策略的统一管配。
虚拟化资产管理模块14:一键同步云安全资源池中存量虚拟资源,并自动关联不同类型虚拟资源的关系,包括虚拟资源属性和性能指标数据。存量虚拟资源还可以添加到业务系统中,提供基于业务系统的统计分析。
虚拟网络拓扑管理模块15:构造虚拟网络拓扑结构,完成网络环境中的各种网络环境配置实验。对各个安全域完成了服务配属之后,可通过安全防护视图统一查看云计算平台的防护拓扑。任何对于安全域防护或管理的配属修改,都会实时的反映到防护拓扑中,提供实时的防护阵线参考。
安全资源池管理模块16:提供对安全资源池和连接在安全资源池上的安全设备的管理功能。
虚拟化环境管控代理模块17:提供从虚拟化环境获取信息和修改虚拟化环境配置的功能。
安全域边界流量管控代理模块18:将安全域边界对应的安全策略转换为流量管控命令,通过服务链编排的控制接口统一下发。
数据支撑服务19模块:提供全面的数据库支持服务而推出的专业服务产品。例如远程技术支持服务、故障排查和紧急响应服务、系统健康巡检、数据库补丁服务、性能诊断辅助服务、数据库优化辅助评估、数据库优化实施辅助服务、故障排查和紧急响应服务等。
通过云安全管理平台,可以实现安全需求的定义管理,即软件定义安全。图4是通过云安全管理平台来选取安全服务的一个示例的示意图。
所述云安全管理平台可以提供基于软件定义的安全域对象的创建和编辑,让用户通过可视化的方式,根据真实的安全需求,交互式的创建和管理安全域。这样创建的安全域并不受到物理位置的限制,可以跨物理机和跨物理交换机存在,从而使得安全管理的目标对象不再是单一的计算节点,而是被赋予了业务属性的逻辑区域。在安全域被创建后,安全管理平台将提供安全域安全检测和防护设备(应用)的统一管理接口,可以让用户在已创建的安全域上选择需要配置的安全设备(应用),并以安全域为管理对象,提供统一的安全管理和配置入口。
所述云安全管理平台通过对云管理中心的实时事件监测,为安全管理人员提供可视化的安全域边界物理拓扑变化(如虚拟机创建、挂起、迁移或其它网络配置变化等)预警,并可根据策略提供自动化的或交互式的响应处理。
云安全管理平台提供全景式的安全域边界流量和连接分析能力,让用户能够对整个云计算环境的安全域间的全景安全态势一目了然,也提供针对每个特定安全域的深度安全分析和安全事件钻取的接口(基于配置的安全设备和应用),从为用户提供多分辨率的安全视角。
进一步的,所述云安全管理平台具体还包含下述功能模块:
1)安全数据分析模块:提供攻击检测服务,为最终用户呈现专线上存在的攻击威胁,对各类威胁进行分类,依据时间周期展示攻击发生次数、攻击和IP的分布、攻击溯源、恶意URL访问等等。最终用户还可以访问到具体的攻击日志,查看具体数据源。
2)安全策略配置模块:提供攻击防护服务,为最终用户集成并提供防护策略模板,以及各类安全防护功能的策略下发接口。用户可以方便的查看已下发的策略,并制定新的安全策略,或者使用默认定义的策略模板,实现安全策略的便捷部署。
3)安全日志采集与分析模块:采集各类资源池安全组件和用户资产安全事件,提供日志范式化能力,针对各类安全日志进行范式化和归一化,为上层平台的安全分析提供基础条件,并在后续攻击定位、攻击溯源、攻击取证提供数据支撑。
4)安全服务报表模块:为客户提供各个安全服务的报表,用于快速了解并建立跟踪一段时期之内,安全威胁情况、网站安全防护情况、系统安全防护情况、网络安全事件及安全态势情况等。
所述云安全管理平台可提供丰富的云安全报表,例如可提供日报、周报、月报和季度报等定时报表方式,也支持自定义时间段产生报表。报表内容涵盖安全服务使用情况、资源监控情况、告警事件情况、安全威胁防护情况等内容。
5)安全服务管理模块:云安全管理平台的运营管理员,可以在此创建安全服务包,并对安全服务包进行编辑、上下架、删除等操作,提供各项安全服务的具体内容、服务方式、服务规格、套餐内容等编辑、发布及封装功能。一旦管理员通过服务管理功能将安全服务包上架后,最终用户即可在用户侧的安全服务界面中看到该服务。
6)安全服务实例管理模块:运营管理员可通过此功能对已创建的安全服务实例进行操作,如启用、停用、服务实例列表导出等操作。
7)工单管理系统模块:运营管理员所需要执行的主要操作都需要有工单系统进行支撑,如开通服务、续期服务、服务启动、服务停止、服务删除等工作,都会以工单的形式发起-管理-终结,工单管理系统提供全流程、可闭环的服务管理工单流转流程,并可以根据管理员的需求对工单流程进行自定义编辑。
8)服务实例维护模块:运维管理员可以在服务实例维护中,对服务实例执行启用/停用/重启/删除等操作,用于故障排查和故障恢复。
9)系统告警模块:告警系统对系统和各类组件的告警进行全方位收集并以多条件方式查看具体的告警信息,是执行日常运行维护工作,故障处理等工作的重要支撑。
所述云安全管理平台提供对平台自身各组件,以及云安全资源池内的宿主机、安全网元等全方位监控能力。包括对组件的健康度监控、配置信息监控、性能负载监控等等。基于完备的监控能力,云安全管理平台还提供全面而灵活的告警功能。预置30+条告警策略,涵盖可用性告警、资源监控告警、授权告警、账号安全告警和安全服务告警。客户还可以自定义告警策略,可以通过复制预定义策略进行修改,也可以通过告警策略配置功能来创建告警策略。
在一个特定实施方式中,如果触发了已启用的告警策略,将会在告警事件页面中呈现出相应的告警。系统会对告警事件持续监控,当告警相关客体恢复正常,告警事件也就变更状态为“已恢复”。
10)系统日志模块:记录运维管理员的操作行为,客户端IP地址,时间,以及操作结果,用于系统安全运维,同时可为后续操作错误和故障追溯提供数据支撑,也符合安全建设和等级保护对于系统日志的安全要求。
进一步的,所述云安全管理平台还可包含下述功能模块:
11)统一管理模块:支持统一管理多个云多资源池;在界面上区分云服务商、云租户角色,针对每个账号拥有独立的管理界面。
12)安全管理模块:支持运营商资产、运营商客户资产、三方资源池资产(需对接接口)管理,并支持自定义资产类型;支持可视化安全防护拓扑;支持查看流量详情和安全态势;可在安全管理平台上对资产进行安全域划分,支持将安全服务配属到安全域,安全域下可划分业务系统(安全子域)。
13)运维管理模块:基于地图可实时查看各地市部署的安全资源池、宿主机等使用状态,可继续下钻查看虚拟机、安全服务实例的使用及存活状态;处理告警与告警工单,支持标记工单状态;监控资源池、宿主机、虚拟机状态及资源使用情况;监控安全服务实例状态;安全网元镜像管理,支持规格可配,支持将网元镜像推送到指定安全资源池。
14)系统及账号模块:创建账号时密码随机生成;支持登录和密码安全策略,可设置密码是否允许包含特殊字符,输入错误次数与罚时,密码长短限制,登录超时时间限制等;功能性及部分告警阈值设置;管理平台升级、授权;支持系统操作日志记录;支持邮件服务管理配置。
根据本发明的实施例2中的CT云及边缘云安全平台,所述CT云和边缘云共用一套云安全资源池。
所述云安全资源池2,是使用服务器虚拟化技术承载虚拟化安全网元形成的实体。以服务器虚拟化技术为基础,通过构建一个专有的资源池,用于对外输出安全能力。可以通俗的将安全资源池理解为一个小型的数据中心,其中包括:计算资源(CPU和内存)、网络资源(虚拟化网络交换机)、存储资源(虚拟化共享存储)、安全资源(虚拟化安全网元)。通过安全资源池技术,将各类资源有机的整合在一起,形成一个安全资源池。通过安全管理系统,可以调用、分配、调整各类资源,使安全资源池对外输出安全服务和能力。
所述安全资源池2提供为运营顺利进行所需的必要保障性功能,主要包括高可用性、资源超配、动态负载均衡、面向用户的数据隔离、流量编排、安全资源池管理、第三方服务对接等功能;以及执行这些功能所需完成的自动化操作功能。
在高可用性方面,所述安全资源池主要通过如下三个子模块提供能力:
1)组件高可用部署模块:交换机双机堆叠部署;管理平台主备部署;虚拟化四层交换机集群方式部署;安全资源池集群化部署。各个组件均支持高可用方式部署。
2)数据高可用与备份恢复模块:平台部署初期,利用服务器磁盘Raid形式保证高可用性;当平台接入用户规模较大时,改造为专用IP存储器,使用分布式对象存储方式,以多副本形式保证高可用性;同时,平台数据支持备份与恢复。
3)故障监测与自动Bypass模块:系统具备独立的健康度监测进程,对全组件执行健康度监测,第一时间发现故障。当监测到可能影响业务连续性的故障时(即可能会导致专线中断的故障),将通过对四层交换机下发针对受故障影响的客户执行Bypass策略,保障业务不中断。同时,系统具备一定的故障自动恢复能力,可自动对故障组件执行重启。如果遇到较为复杂的问题,可以通过人工查看系统告警和日志,通过更换备件或其他方式完成故障修复。
在资源超配与动态负载平衡方面,所述安全资源池主要通过三个子模块提供能力:
1)资源超配使用模块:为每用户配一个虚拟安全网元;将单虚拟安全网元配给多个用户使用;分享使用结合资源超配。
2)动态负载均衡使资源优化模块:从而风险均摊,每个安全虚拟机都会轮询计算资源超载的风险值,动态负载均衡的目的在于当某安全虚拟机风险值超过警戒线时,将该安全虚拟机中的某客户流量迁移至风险较低的安全虚拟机中,使风险均摊,整体风险最小化。
3)资源使用效率优化模块:在保证服务质量的同时,最大化安全资源池硬件的使用率,使单位服务成本尽可能降低,以此保证安全服务的廉价,为云安全服务的营销推广助力。
在面向用户的数据隔离方面,如果为每个用户的每个安全能力需求分配安全资源池中的一台安全虚拟机,覆盖大量客户所投入的成本是海量的。为了能够实现将安全变得实惠、普惠,需要尽可能降低运营成本,可使用单个虚拟化安全网元为多个用户提供服务。因此,安全资源池需要使用面向用户的数据隔离模块将安全能力微服务化,使多个用户能够共享一个安全虚拟机,同时还保持用户间的安全策略、数据和界面的隔离。因此就需要安全微服务化这样的关键运营支撑能力,降低运行成本。具体可参考图5的示例。
在流量编排方面,安全资源池需要面向众多的用户,精细化的流量编排也是服务能够顺利交付的关键。在服务的自动化交付过程中,除了为服务提供必要的资源外,如何编排流量也是其中的关键所在。安全资源池及其内部的分布式虚拟化四层交换机支持基于分片路由的精细流量编排能力,通过流量编排模块使各个用户能够顺利的获得服务,使众多用户能够相安无事的共享安全服务。
云安全管理平台能够为云计算平台提供诸如vNGFW、vWAF等串行的安全防护能力,为了使此类虚拟化安全网元能够按需的为指定的安全域边界提供保护,就需要灵活的、自动化的完成安全服务链的编排。通过平台软件内置的安全流量控制器和分布式虚拟化四层交换机,无需外部交换机/路由器即可实现跨物理服务器的流量编排;同一个物理机上的vm间的流量调度在物理机内部完成,不占用外部网络设备资源;分布式能力支持集群服务,实现横向扩展与高可用。
图6是使用流量编排模块进行精细化流量编排的一个示例的示意图。如图6所示,由分布式四层虚拟交换机组组成分布式集群,所述分布式四层虚拟交换机组包含多个分布式四层虚拟交换机603。首先,入流量从云网POP点601网关GW被牵引至专用交换机602。第二,所述专用交换机602将入流量牵引至所述集群,完成流量负载均衡。其次,所述分布式四层虚拟交换机603将入流量按细粒度策略完成高性能分发,在各安全组件间编排路径形成安全服务链。之后,出流量由分布式四层虚拟交换机回注到所述专用交换机。最后所述出流量最终回注至所述云网POP点GW。
在安全资源池管理方面,所述安全资源池使用安全资源池管理模块管理和使用虚拟化资源池的原生功能。诸如对虚拟机的创建、编辑、挂起、删除、迁移等等功能,添加、删除安全资源池主机,创建安全虚拟机镜像、快照,并通过快照恢复虚拟机等等。资源池管理模块为众多的前端和后端功能的实现提供了最基础的操作功能。
在第三方服务对接功能方面,一个完整的云平台,必然会接入一些第三方服务。随着平台及人员规模的扩大,将接入、管理、维护第三方服务的功能作为一个独立的第三方服务对接模块,这样符合软件开发的解耦原则。当云平台要升级改造时,不会直接影响到第三方服务。云平台的一些部署、变更,也能尽量少地影响到第三方服务。由于第三方服务对接功能更专注于第三方功能,可以把第三方服务接入、维护做得更加极致。其次,所述第三方服务对接功能能够提高效率。所述第三方服务对接功能可以提供一个统一的接入方案,任何第三方服务都按照这套规范设计,平台的逻辑通用,在接入新的第三方服务时,第三方服务按照规范开发对应接口,再通过页面配置信息即可实现接入。
在资源池扩展方面,所述平台还支撑纵向扩展和横向扩展。所谓纵向扩展是指某个NFV的安全网元出现容量不足的时候,可以通过授权的方式进行弹性扩充,例如原来部署了一个500M性能的防火墙,但是由于业务的需求性能要达到1G,直接在原有的软件防火墙上进行授权升级即可扩展。所谓纵向扩展是指当整个安全资源池计算能力不足的时候,可以采用横向扩展物理服务器的方法来扩展安全能力池的性能,安全能力池支持64台物理服务器组建的集群。根据场景规模,资源池可平滑扩展,支持无切割横向扩展,适应大规模场景。
所述安全资源池使用单台服务器48线程,256G内存,转发性能512字节80G线速;数据包通过资源池网络延迟低于1毫秒;支持容器化管理;支持根据系统自动判断虚机负载,自动拉起新虚机,实现负载均衡;支持共享存储方式及RAID存储。
根据本发明的实施例2中的CT云及边缘云安全平台,所述虚拟化安全网元,可分为边缘云安全场景下的虚拟化安全网元、以及电信CT云安全等保场景下的虚拟化安全网元。
所述各类虚拟化安全网元3,是由各类安全能力形成的虚拟机镜像、模板,当需要提供服务时,各类虚拟化安全网元加载在安全资源池虚拟化平台上,以虚拟机形式启动,并对外提供服务。
所述边缘云安全场景可对非流量型安全网元,如:主机漏洞扫描、WEB漏洞扫描、堡垒机、日志审计、网页防篡改、防病毒,以及流量型安全网元,如:下一代防火墙、入侵防护、WEB应用防火墙,进行虚拟化的部署,面向电信的用户或电信自营业务系统提供安全防护。
具体的,所述边缘云安全场景下的虚拟化安全网元可以包括:
1)云网安全适配层
所述云网安全适配层为加载在安全资源池虚拟化平台上的虚拟机形态,在每套安全资源池中都部署一套云网安全适配层,其上面为云安全管理平台,下面为安全资源池。
图7是部署了云网安全适配层的云安全平台的一个示例的示意图。如图7所示,所述云安全平台包括云安全管理平台1、云网安全适配层701、702、以及多个安全资源池2。所述云网安全适配层701、702上面与云安全管理平台经北向接口进行信息交互,下面分别与对应的安全资源池经南向接口进行信息交互。
所述云网安全适配层用于实现管理系统的分层解耦,各司其职;实现多厂家安全设备的适配管理;实现资源的超配和动态负载均衡。通过将上层的管理系统和下层的安全资源池以及安全资源池内的各种安全网元解耦,避免上层系统过于庞大与复杂。
所述云网安全适配层包含的功能主要如下:
向上提供统一的Rest API,向下对接不同的安全组件;
安全策略配置的中间层,用户只能看见自己的数据和配置,所做的配置只能对自身生效;
统一的北向接口,丰富的适配器对接,多种安全组件。
进一步的,所述云网安全适配层:外部交换机只需做一次引流,资源池就能完多个成安全组件的流量编排;云网安全适配层支持多个厂家的不同类型安全组件的管理,在管理中心可以对安全组件进行策略配置;支持对不同厂家的流量型安全网元,如防火墙、ips、waf进行服务链编排,同一服务链可编排不同厂家的安全网元;支持策略集中管理,将标准的安全策略转换为不同厂商的实际策略下发命令;安全资源池内网元支持多租户共享模式;支持根据安全组件或资源池的负载情况,调整服务链,把过载流量迁移至资源空闲组件上。
2)分布式虚拟化四层交换机
系统使用标准x86服务器和通用交换机,也可以基于国产信创服务器来构建。建立统一的云安全管理平台门户,统一管理各个云安全资源池,建立统一的客户门户,含云、网、安全等各类产品。将能力分层,构建标准化API进行通信和服务调度。支持各类虚拟化安全网元,只要将安全网元软件化并封装成标准的ISO或者QCOW2格式即可。
所述分布式虚拟化四层交换机代替vRouter或者vSwitch的作用,进行流量分配和服务链编排,负责虚拟化网络自动化编排与扩展,支持对接管理平台的北向接口。除了物理交换机的基础功能,如vlan、ACL、Qos、流量转发与交换外,虚拟化交换机支持vxlan和分片路由,具备完善的网络编程能力,可以灵活的编排服务链以及流量负载分担,同时支持分布式的弹性扩展,拥有电信级高可用性。
所述分布式虚拟化四层交换机能够实现下述功能:
同一个物理机上的虚拟机间的流量调度在物理机内部完成,不占用外部网络设备资源;
具备分片路由能力,实现跨物理服务器的流量编排;
无需外部交换机/路由器具有SDN功能;
具备四层/七层流量识别能力,可进行流量的精细化调配与管理;
分布式能力支持集群服务,实现横向扩展与高可用;
可扩展,可定制性不依赖于网络设备及服务器等硬件设备。
进一步的,所述分布式虚拟化四层交换机满足:
支持不占用外部网络设备资源的情况下,完成同一个物理机内不同安全组件的流量调度;支持具备分片路由能力,能够完成跨物理服务器的流量编排,无需外部交换机支持SDN或者额外路由配置;支持可视化服务链编排;支持内置服务链模板,安全网元配属后自动完成服务链编排;支持IPv6;支持分布式集群部署,单集群支持不少于64台主机。
3)下一代防火墙
随着攻击的复杂性、多元化不断提升,传统安全设备不断受到挑战;新一代的攻击者常常向企业和组织发起针对性的网络攻击,即高级持续攻击(APT)。攻击者不断改变现有的攻击方式,开发新的方法。单独依赖防火墙、入侵防御系统和反病毒软件,无法阻止这些黑客的攻击。这类攻击无法通过恶意程序签名或者过去的攻击技术报告进行检测,攻防不对等,防火墙结合威胁情报平台,尽可能通过预知风险的方式,来消除这种不对等,让企业安全得到更有力的保障。
威胁情报数据指标很多种,包括IP信誉、DOMAIN信誉、URL信誉、文件信誉(MD5/SHA)、最新的攻击事件、攻击趋势与防范措施几种情报。这些情报主要用于提升下一代防火墙、入侵防御系统、安全网关等以及其它技术的有效性和主动防御能力。将威胁检测及情报处理能力落地,降低平均威胁检测时间(MTTD)和平均威胁响应时间(MTTR)。CW-FW5600搭载自主可控的防火墙系统,融合了丰富的网络特性,在满足IPv4/IPv6双协议栈的同时,配合智能路由和DDNS等,可在802.1Q、RIP、OSPF等各种复杂的网络环境中灵活组网;具备与第三方系统对接,数据共享,提升业务价值,适用各种复杂场景,更符合业务需要。
所述下一代防火墙集防火墙、负载均衡、入侵防御、病毒过滤、应用识别、行为控制、VPN接入、业务可视、安全认证等功能于一体,为用户提供了一个灵活、高效、全面的网络解决方案。网络设备由于自身的专业性,非网络人员较难理解策略和日志的作用,日常管理和维护往往需要专业的网管人员,所述下一代防火墙的管理员只需要通过一条策略便可针对应用、网址、入侵防御、病毒查杀等内容进行统一管控,使用方便,维护简单,统一策略管理、业务变更自学习、攻击事件监控、攻击事件分析、报表分析等。极大的降低了网络的更换难度,简化了运维的任务。
进一步的,所述下一代防火墙包括下述功能模块:
(1)攻击链可视模块
攻击链实现所有安全日志按照攻防逻辑进行编排,一目了然的进行安全事件回顾和溯源分析,把攻击者入侵分为前期阶段、入侵阶段、控制阶段、外传阶段形成针对资产维度和针对攻击者维度两条链。资产维度的攻击链可以对内网某资产进行针对性分析,准确把握其安全威胁情况,让普通网络管理员也能进行安全分析,明确感知到安全事件的严重性。攻击者维度的攻击链可针对某攻击者进行分析,帮助管理员修复内部安全漏洞。
例如,管理员可以直观看到表示黑客扫描探测服务器的端口、服务等的扫描探测中显示已发现扫描探测事件6个、表示已被黑客链接webshell或注入病毒的入侵事件中显示已发现攻击事件333个、表示已被黑客盗取服务器数据的暴露内网中显示已发现319个入侵事件、表示已被黑客盗取服务器数据的数据泄露中显示已发现数据泄露54882个。
(2)一体化安全策略模块
管理员只需要通过一条策略便可完成对源接口、源地址、用户、目的接口、目的地址、应用、服务、时间等维度的匹配,并针对应用、URL、入侵防御、病毒查杀等内容进行统一管控,使用方便,维护简单。
(3)入侵防御模块
提供4000+种预定义攻击特征;
提供WAF级别的安全防护,有效的防御和预警Web服务器的攻击,包括网页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护自学习等;
处理网络类威胁,包括安全漏洞、木马后门、可以行为、CGI访问、CGI攻击、缓存溢出、拒绝服务、蠕虫病毒、网络数据库攻击、间谍软件、安全扫描、网络设备攻击、欺骗劫持;
保证基础网络安全;
分级事件及操作配置;
虚拟补丁管理;
部分攻击者具有网络中特有的攻击方式或者尚未出现过的漏洞,此时特征库尚未覆盖到。入侵防御安全引擎提供自定义规则功能,通过对进入设备报文的协议类型,协议字段,字段内容形成匹配条件,并通过逻辑与、逻辑或形成多条件匹配的方式实现入侵防御。安全管理员可以使用自定义规则功能,自己写签名进行防护。自定义规则检测是基于流检测的,支持多种协议字段,其中包括IP、UDP、TCP、FTP、HTTP、ICMP、POP3、SMTP协议。对于字符串字段,可支持正则和非正则匹配的方式。灵活多样,防御力强。
(4)Web基础防护模块
WEB防护引擎能有效抵御各种注入式攻击,包括SQL注入、系统命令注入、LDAP注入、SSI注入、邮件注入、请求体PHP注入等攻击;对于常见的XSS攻击的防护结合基于语义分析和攻击指纹两种方式,相比传统只基于攻击指纹的检测方法,检测准确率更高,误报率更低,防逃避能力更强;为了检测出恶意攻击者对WEB站点的扫描行为,WEB防护引擎支持多种检测方式,多种扫描方式,同时也具备检测恶意爬虫的能力,其中包括Acunetix、Appscan、Nessus、Sqlmap、Arachni、Netsparke、Webinspect、极光等。其它的防护还包括会话劫持检测、木马检测等。
WEB防护引擎里面还集成了一些高级防护功能,精确访问控制的自定义规则功能、防盗链、CSRF攻击检测、CC攻击防护、应用隐藏、防篡改。这些高级防护能够对WEB站点资源进行保护、防止HTTP FLOOD攻击、内容防泄漏等。
(5)病毒防护模块
在保持高病毒检测率的同时,系统性能下降不超过20%;
可以在HTTP、SMTP、FTP、POP3、IMAP等多种协议下病毒防御,支持非标准端口的HTTP、SMTP、FTP、POP3、IMAP协议中的病毒检测;
支持路由、透明、混合等各种工作模式下的网络病毒检测,支持无IP地址的透明桥下的网络病毒检测模式,支持VPN模式下的病毒扫描;
采用高效的病毒防御引擎,可检测不少于300万以上种病毒;
可以根据不同的源IP地址、目的IP地址、服务、时间、接口、用户等,采用不同的病毒防御策略;
可以过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒;
特征库定时更新,支持病毒库本地和在线升级;
支持基于病毒防护策略设置阻断、清除、记录日志。
(6)攻击防护模块
当受到攻击时,伴随而来的会出现网络异常情形发生,网络异常大概可分为以下三种:
通信协议异常,例如由外界网络流入大量过长的IP数据包、大量的IP碎片数据包、异常的TCP通信协议连机状态、被截断的IP数据包、无法重组的IP数据包等。
IP/Port的扫描异常,通过IP扫瞄,黑客得以窥知目的端内网络结构和情形;通过Port扫描,黑客可以得知目标主机已开启的服务端口。
网络流量异常,例如突然产生大量的TCP SYN、TCP、UDP、ICMP、IGMP等数据包,占据正常网络使用带宽。
当上述攻击数据包发起时,经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务;IP/Port扫瞄的行为将让企业内部的网络架构轻易被黑客得知;大量的异常流量数据包也可能造成企业核心网络设备因承载过重而死机。
防火墙内置异常包攻击防御模块,可以检测各项偏离预期的网络行为。依据RFC标准规范制作通信协议异常检测模块,可以阻止不符合标准通信协议规范的数据包。支持网络流量异常检测,不单只使用计数的方式,还使用专门的统计算法,可以准确地检测网络流量的异常情形。所述异常包攻击防御模块:
支持ARP防欺骗、支持IP、MAC地址绑定;
支持ARP Flood攻击防护、支持基于接口的ARP学习控制;
支持Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP选项、IP Spoof、Jolt2等异常包攻击的防御;
支持基于IPv6的Winnuke、Land-Base、TCP flag、Fraggle、IP Spoof等异常包攻击的防御;
支持基于接口的端口扫描防护和IP扫描防护;
支持SYN flood、UDP flood、ICMP flood、DNS flood攻击防护,支持自定义阈值;
应用识别与管控。
防火墙对已知协议和RFC规范的深入理解,可准确、高效的对各种协议进行解析,具有识别效率高、识别错误率低的特点。
在深入、全面和准确地识别应用后,系统可根据应用进行行为检测和应用控制,如基于应用的流量智能选路,限制P2P、视频等占用带宽比较高的业务,保障重要业务的运行等。
4)虚拟化WAF(Web Application Firewall,Web应用程序防火墙)
随着互联网技术的迅猛发展,许多用户的关键业务越来越多地基于WEB应用,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来。因此,如何有效保护WEB服务安全已经成为了重大挑战。
所述虚拟化WAF包括下述子功能模块:
(1)防SQL注入模块
SQL注入是利用现有应用程序参数接口,将恶意的SQL命令注入到后台数据库引擎执行,以到达特定攻击目的的攻击方式。随着WEB应用的广泛应用,由于开发人员的水平和安全经验参差不齐,相当一部分的开发人员在编写代码的时候,没有对用户的输入数据或者是WEB请求数据中所携带的信息(如Cookie)进行必要的合法性判断,导致了攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得一些他想得到的数据。SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的WEB访问没有区别,隐蔽性极强,不易被发现。
Web应用防火墙提供了完善的SQL注入特征规则库,能够准确识别网络数据包中的SQL注入攻击威胁。
(2)防XSS注入模块
XSS(Cross Site Script)跨站脚本攻击,这类攻击通常是服务器端程序对客户端所提交的数据内容不做安全检查和转换,直接将客户端提交的数据显示到页面上,从而导致攻击的产生。
以客户端向论坛服务器发布消息为例,当客户端向论坛服务器发布一个消息,此消息中包含一段页面可执行的脚本,而服务器端对于这段提交的内容没有进行严格检查,这条消息就会保存到数据库,当有客户再次访问含有此消息的页面时,包含的脚本会被客户端浏览器执行,弹出提示发现XSS攻击的提示对话框。
XSS攻击的危害包括:
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号;控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;盗窃企业重要的具有商业价值的资料;非法转账;强制发送电子邮件;网站挂马;控制受害者机器向其它网站发起攻击。
Web应用防火墙提供了完善的XSS特征规则库,能够识别网络数据包中的XSS注入攻击。
(3)防扫描模块
恶意扫描是指针对网站进行的高频扫描,这种扫描方式通常会将自己伪装成浏览器,发出的扫描报文没有明显特征;而高频扫描会对网站负载和网络带宽带来较大危害。这种攻击方式因为没有明显特征,所以在检测防护上比较困难。
Web应用防火墙通过概率统计方式来识别这种扫描行为。当出现扫描行为时,可以精确定位到发起扫描的客户端进行阻断。
(4)防CC攻击模块
CC攻击是一种以网站为主要攻击目标的应用层拒绝服务攻击,这种攻击会选择WEB服务中比较消耗资源的页面作为攻击目标,例如需要占用服务器大量的CPU资源进行运算的页面或者需要大量访问数据库的页面。这样,通过一定频率的WEB请求访问就可以导致WEB服务器内存或者CPU大量占用,从而实现拒绝服务攻击。
Web应用防火墙的CC攻击防护模块通过特定算法和模型可保护指定页面免于遭受CC攻击,并且通过特定方法来区分是人工的正常访问还是机器自动攻击。
(5)COOKIED防护模块
COOKIE是WEB服务器下发给浏览器的一段文本,当再次进行HTTP请求时,客户端浏览器会将COOKIE带给WEB服务器,其目的是为服务器提供记忆功能,如记录用户登录状态与访问状态,记录用户信息和记录用户的行为。存放在客户端的COOKIE可能会被攻击者使用各种手段盗取,网络中传输的COOKIE也可被攻击者恶意修改。
COOKIE防护模块可对服务器返回给客户端的COOKIE进行签名或加密操作,从而隐藏COOKIE中携带的敏感信息,以及能够检测到COOKIE是否被恶意修改,避免COOKIE篡改导致的各种安全问题。COOKIE防护也可对COOKIE设定HTTPONLY属性,防止攻击者使用JS脚本盗取存储在客户端的COOKIE。另外WAF可对COOKIE设定SECURE属性,仅允许COOKIE以HTTPS的形式进行传输,防止COOKIE被第三方攻击者窃听。
(6)防CSRF模块
跨站脚本请求伪造(CSRF)可以在受害者毫不知情的情况下,以受害者的身份向服务器发送伪造请求,伪造合法的身份能够做的事情包括:发送邮件,发送社交消息,盗取账号,甚至于购买商品,虚拟货币转账等等,具有很大的危害性。
防CSRF模块能够通过配置访问URL的来源来确定所访问的URL是否合法,从而避免遭受CSRF攻击。
(7)防盗链模块
盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。
Web应用防火墙能够检查访问资源的请求的来源是否属于合法范围,从而判定是否发生盗链行为。
(8)文件上传、下载防护模块
WEB应用大多具有文件上传和下载的业务,但是有些文件类型是不希望或者不允许被上传的,如可执行脚本文件,有些文件也不希望或者不允许被下载的,例如直接获取ACCESS数据库而导致的数据库信息泄露。
Web应用防火墙文件上传防护和文件下载防护功能可控制客户端对于指定扩展名的文件和指定文件大小的文件进行上传和下载控制,另外该功能还具备真实文件识别能力,不仅仅通过扩展名对文件类型进行判断,从而避免企图通过修改文件扩展名而绕过检测的攻击方式。
(9)防撞库模块
撞库攻击是对注册类网站的账号具有巨大威胁的攻击方式。用户在各种网站注册账号时,通常会使用固定的一个或者几个用户名和密码;当某个安全防护水平比较差的网站被攻击者拖库,导致账号信息泄露以后,攻击者会使用这些账号信息在其他网站上逐个进行尝试,如果用户在后续网站上使用的用户名和密码和被拖库的网站一致,那么这些网站上的账号信息也都泄露了。因此,对于安全防护要求比较高的网站,存在这种方式,不是因为自身被拖库导致用户账号信息泄露,但一旦账号信息泄露,会给用户资产安全带来重大威胁。这种情况下就要求WAF能抵御撞库行为,在攻击者批量验证账号的时候能及时发现并阻止。
Web应用防火墙根据撞库行为的行为特点,总结了撞库的行为模型,在这基础上进行撞库攻击检测,能有效识别并阻断撞库行为发生。
(10)关键字过滤模块
Web应用防火墙通过检查用户提交表单或者URL中的参数内容,识别和阻断提交请求中包含的指定关键字的文字内容,避免造成恶劣影响。
(11)防篡改模块
网页篡改,就是部署在服务器上的网页文件被攻击者使用技术手段进行了恶意修改,当正常用户再次访问网页时,就会浏览到被篡改后的信息。网页被篡改会引起各种麻烦,对于企业来说,可能会泄露企业机密,对于政府网站来说,可能会对政府的形象带来负面影响。所以防止网页被篡改,提高网页防篡改能力是WAF产品的重要特性。
Web应用防火墙的网页防篡改模块使用主动轮询技术,以轮询方式读出要监控的网页,通过与保存的基线网页相比较来判断网页内容的是否被篡改。WAF有页面缓存机制,当判别页面已经被篡改的情况下向客户端提交被篡改前的页面,并进行系统告警,提醒管理员处理网页篡改风险。
(12)FLOOD防护模块
Web应用防火墙提供基本的网络层FLOOD防护能力,提供了包括TCP、UDP、ICMP三种FLOOD检测防御功能。
(13)SSL支持模块
目前越来越多的WEB应用都开始采用HTTPS加密,以防止数据传输过程中敏感信息泄露以及数据被篡改。Web应用防火墙支持对HTTPS流量的解密,从而检测HTTPS流量所包含的攻击。
进一步的,所述虚拟化WAF还可以包括:
(14)系统配置模块,所述系统配置模块进一步包括:网络配置模块,支持HTTPS登录、SSH登录和串口登录,支持配置多个管理口,支持配置路由、DNS、数据包捕获;证书认证模块,支持多格式证书导入、证书校验、服务器证书校验、URL证书、公钥固定;页面串口模块,Web页面上支持串口访问,无需在次手动连接后台排查问题;系统状态监控模块,支持对waf主机状态、策略信息、攻击事件记录、服务器资源使用情况实时监控。
(15)Web安全防御模块,所述Web安全防御模块进一步包括:自定义攻击特征策略模块,支持跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入、Cookie注入等)、跨站请求伪造等应用攻击行为;浏览器中间人防护模块,支持根据已有防护规则定义浏览器中间人防护策略;数据压缩模块,支持对传输的数据进行压缩,支持gzip和brotli模式,且brotli支持11个等级模式;CSRF保护规则模块,支持CSRF保护规则配置,以及动作行为、触发策略、阻塞周期设置;http协议校验模块,支持对http头、参数长度、非法字符、url格式、请求内容等等字段检测规则设置;防篡改文件过滤模块,支持监控目标路径下文件修改状态;网页防篡改模块,支持非网关式的网页防篡改功能,当用户网页或文件被篡改后,自动在服务器上恢复至原始文件;支持跨源资源共享模块,对于不属于可信源的资源请求不可访问;特征库自定义模块,支持数据库、WEB服务器、WEB应用、脚本语言自定义攻击特征策略;特征库,内置丰富的特征规则,对流量中的恶意行为进行阻断。
(16)网站漏洞扫描模块,所述网站漏洞扫描模块进一步包括:网站漏洞扫描策略模块,支持自定义漏洞扫描策略手动检查web网站当前漏洞状态;漏洞扫描定时计划模块,支持定期漏扫描策略,定时扫描网站漏洞。
(17)API防护模块,所述API防护模块进一步包括:JSON防护模块,检测上传的数据是否满足指定的json模式;XML防护策略模块,检测上传的数据是否满足指定的xml模式。
(18)IP保护模块,提供颗粒度防护,支持指定IP阻塞、国家阻塞。
(19)网络拓扑模块,自动生成拓扑,可根据用户的配置自动生成网络拓扑结构。
(20)服务器配置模块,所述服务器配置模块进一步包括:虚拟服务器模块,支持虚拟化部署,可提供vmdk格式安装包;部署模式模块,支持反向代理模式,透明代理模式,纯粹的透明传输检测模式和旁路部署模式。
(21)监听模块,监听IP黑名单。
(22)日志报表模块,所述日志报表模块进一步包括:日志策略模块,支持syslog、SNMP协议、邮件等多种告警方式;报表模块,支持对报表格式、输出时间、输出内容等设置。
5)虚拟化日志审计系统
日志审计系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统整体安全状况的全面审计。所述虚拟化日志审计系统至少包括:
(1)审计中心
审计中心,即日志审计系统的管理中心,是日志审计系统的核心部件,实现对日志的集中化存储、备份、查询、审计、告警、响应,以及出具报表报告。用户的审计员通过浏览器即可登陆审计中心,进行各种审计操作。
审计中心内置日志采集功能,可以直接收集审计数据源的日志信息。审计中心也可以汇聚来自日志采集器和日志代理的日志信息。
(2)日志采集器
日志采集器可以安装并独立运行在一台服务器上,实现对异构审计数据源的日志采集,功能同审计中心的日志采集模块,用以辅助审计中心解决特定日志采集的问题,并可以实现分布式日志采集能力。
日志采集器收集的日志可以转发给审计中心。
(3)日志代理模块
日志代理模块用于安装并运行在审计对象上,实现对审计对象的数据源采集和转发。目前,日志代理支持Windows操作系统,主要用于采集Windows操作系统及其服务与应用的日志。
日志代理模块收集的日志可以转发给日志采集器,或者直接转发给审计中心。
图8是根据本发明的实施例2中的虚拟化日志审计系统的系统架构的示意图。
如图8所示,所述虚拟化日志审计系统包括审计数据源层801、日志采集层802、业务层803、以及应用层804。
所述审计数据源层,即审计对象层,是指审计数据源对象,包括各类型的网络设备、安全设备、数据库、应用系统、操作系统、虚拟化等能产生相关日志的设备和信息系统。
所述日志采集层利用SYSLOG、SNMP、ODBC、OPSEC、文件等多种协议方式,从审计对象获取日志,并对原始日志信息进行日志范式化、日志分类、日志过滤、日志归并,统一推送到业务层进行分析、存储(日志存储转发)。
所述业务层利用关联分析引擎对采集的日志进行分析,触发规则,生成告警记录;通过高性能海量数据存储代理将日志进行快速存储;通过分布式查询引擎实现日志查询;通过日志聚合引擎实现日志抽取。
所述应用层面向系统的使用者,提供一个图形化的显示界面,展现安全审计系统的各功能模块,提供综合展示、资产管理、日志审计、规则管理、服务管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。
虚拟化日志审计系统主要包括下述功能模块:
(1)日志采集模块
支持对包括网络设备、安全设备与系统、主机、中间件、数据库、存储、应用和服务在内的多种审计数据源的日志采集。
支持以Syslog、SNMP Trap、FTP、OPSEC、NetFlow等协议进行日志采集。
(2)日志范式化模块
自动对所有采集到的日志根据定制模板进行范式化处理,对不同日志格式进行统一描述,并进行日志分类,增加日志类型。
(3)日志归并模块
可以对采集到的日志进行基于规则的归并处理,将相同的日志内容进行合并,并记录事件条数,提升日志质量。
(4)审计数据源管理模块
能够对审计数据源以资产的形式进行统一的维护,能够以列表或者拓扑的方式查看资产清单和详细信息,可以查看每个审计数据源的日志和告警信息。
(5)日志实时监视模块
提供了实时审计视图,审计员可以根据内置或者自定义的实时监视策略,从日志的任意维度实时观测安全事件的走向,并可以进行事件调查、钻取,并进行事件行为分析和来源定位。
(6)日志统计分析模块
系统提供了统计视图,审计员可以根据内置或者自定义的统计策略,从日志的多个维度实时进行安全事件统计分析,并以柱图、饼图、堆积图等形式进行可视化的展示。
(7)日志查询模块
用户可自定义查询策略,基于日志时间、名称、地址、端口、类型等各种条件进行组合查询,并可导出查询结果。
(8)告警管理模块
系统支持事件属性重定义、弹出提示框、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送Syslog等告警方式。告警信息可查询,可导入导出。
进一步的,所述告警管理模块可以包括:
事件追溯模块,对于关联告警事件,用户可以进行追溯,查看导致该关联事件的所有原始事件;告警处理模块,支持对告警事件进行标记处理;告警响应模块,通过关联分析,对于发现的严重事件可以进行自动告警,支持发送邮件和短信;告警查询模块,支持对告警事件进行多维度查询并以曲线图呈现告警趋势。
(9)报表管理模块
内置了丰富的报表报告模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。报表可以调度生成。系统内置报表编辑器,用户可以自定义报表。
可以根据时间、数据类型等生成报表。报表可以保存为word,excel等多种格式。
(10)综合展示模块
综合展示模块为不用层级的用户提供了多视角、多层次的审计总览看板。用户可以自定义看板模式。
提供态势大屏综合展示各类数据,并支持下钻查看详情。
支持攻击溯源,基于KILL CHAIN入侵检测模型,从攻击的勘察、武装化、传送、利用、安装、指挥与控制、执行目标七个阶段对攻击进行跟踪与还原。
所述虚拟化日志审计系统具有下述特点:
高性能的日志管理技术架构:为了应对海量日志管理带来的挑战,系统采用了国内领先的高性能日志采集、分析与存储架构,从产品技术架构的层面,进行了系统性的设计,真正使得产品成为一款能够支撑持续海量日志管理的系统。
海量日志存储查询:针对海量的IT设备日志数据,系统采用了分布式非关系型数据库从根本上解决了使用传统关系型数据库的日志审计系统的性能瓶颈,包括数据存储、数据索引、数据搜索和数据备份的不足,使日志分析审计系统真正迈向了大数据时代。对数据进行分片和副本,将分片和副本保存在不同的分布式节点上,同时对数据进行全文索引,通过分布式节点的增加实现对TB/PB级日志数据的保存,并可将数据以文件系统方式保存在各节点上,实现了存储和分析的水平弹性扩展,满足用户存储长期日志数据的要求。
详尽的日志模板与日志分类:系统对收集的各种日志进行模板化处理,将各种不同表达方式的日志转换成统一的描述形式。审计人员不必再去熟悉不同厂商不同的日志信息,从而大大提升审计工作效率。系统提供的模板化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等,使模板化后的日志详尽而易读,更能满足复杂的多维度统计分析和审计要求。
集中化的日志综合审计:系统首先为用户提供了全局总览看板,可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图,以及网络整体运行态势、待处理告警信息等。用户可以自定义看板,按需设计看板板显示的内容和布局,可以为不同角色的用户建立不同维度的看板板。
可视化日志审计:系统可以为用户展示一幅审计数据源的拓扑图,反映审计数据源的网络拓扑关系,并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量。用户点击拓扑节点可以查询日志和告警信息详情。
丰富灵活的报表报告:出具报表报告是安全审计系统的重要用途,系统内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统内置报表自动生成功能,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel等格式导出,支持打印。
友好的用户交互体验:系统的用户界面采用了WEB2.0风格,具备友好的用户交互体验。系统采用多窗口操作模式,各个功能界面之间可以快速切换,无需重复加载,大大提高使用效率。
进一步的,所述虚拟化日志审计系统还可以包括下述功能模块:
(11)资产管理模块,所述资产管理模块还包括:自动发现资产模块,支持自动扫描添加资产到系统中;导入资产模块,支持手动导入文件添加资产;资产授权模块,支持对资产授权开启日志收集,取消授权关闭日志收集;资产事件模块,支持对资产告警、攻击、漏洞事件的统一管理;资产组织架构模块,支持资产树形结构的组织划分;网络视图模块,通过资产IP形成网络视图;资产分组模块,支持自定义划分资产到不同分组下;态势感知模块,支持对告警、漏洞、攻击等的数据呈现,直观地展示攻击的情况,可以对地图进行下钻,展示攻击方向及次数。
(12)日志管理模块,所述日志管理模块还包括:原始日志模块,具备原始日志的采集、存储和分析能力,可保存原始日志,可通过日志多种关联技术发现网空间中的违规和安全威胁等事件;分析汇总模块,支持对日志进行归一、汇总、分析将海量安全日志转化为少量安全事件;日志过滤模块,支持对无用日志的可设置过滤条件和归并规则;统计查询模块,系统允许管理员实时查看采集上来的日志,支持对日志进行多维度组合条件的统计和查询;日志转发模块,支持原始日志转发到指定设备。
(13)弱点管理模块,所述弱点管理模块还包括:弱点分析模块,支持采集各类安全相关数据包含资产、脆弱性等数据的采集分析;漏洞信息采集模块,系统具有弱点管理功能,支持计算资产/安全域/业务系统的脆弱性值。
(14)工单管理模块:管理员可以生成周期性任务工单,也能够根据安全事件和告警触发一次性工单,支持标记处理工单或忽略。
(15)账号管理模块,所述账号管理模块还包括:多租户共用模块,支持多个租户共用一个日审,日志、告警等数据互相隔离,互不影响;权限模块,支持对不同租户分配不同系统权限;锁定激活模块,支持批量锁定或激活租户,锁定后,账户将不能登录系统;密码安全模块,支持RSA对用户密码进行加解密,支持随机生成密码,并设置随机密码过期时间。
(16)系统管理模块,所述系统管理模块还包括:系统操作日志模块,支持对系统操作日志查询和导出;平台配置模块,支持自定义工单下发配置,支持告警周期、告警阈值配置;授权管理模块,支持授权文件导入授权;自身监控模块,内存容量、硬盘容量、CPU信息等。
6)虚拟化堡垒机
运维过程带来的风险属于内部风险,大多数安全事件风险来自于内部,因此用于对运维人员的操作权限进行控制和操作行为审计变得十分必要。
所述主要风险包括:
(1)共享账号难控制
公司员工数量多、部门多、主机数量多,公司不同部门间业务交接、人员更换门、人员离职等情况也时有发生,这些都导致操作权限分散难以管理。采用共享账号操作一旦出现问题,事后很难追责到具体个人。Account(账号管理)可以提供员工账号+主机账户管理功能,轻松分部门、分组,权限分配、变更及注销轻松完成。
(2)设备密码难管理
公司员工按照自己习惯,应用SSH、VNC、Telnet等多种协议,管理员难以设置统一认证、出现问题也很难定位。使用SecureCRT、Xshell等各类运维工具出现安全漏洞后,难以保证所有人都及时完成升级防御。Authentication(认证管理)使用运维审计系统作为安全的统一认证入口,集中管理,员工依然可以保持自身操作习惯,应用各类常见协议,使用原有运维工具。
(3)操作行为难约束
公司的外包人员,为工作方便需要开放一系列权限,但开放的权限无法实现限制和监管。UHAS的Authorization(权限管理)分配给外包人员足够的运维权限,公司指派管理员和审计员,对外包开发人员权限做监管、行为做审计,轻松管理。
(4)操作过程不透明
公司重要业务系统的登陆、操作和聘请的外包团队的操作过程不透明,对企业来说高危操作无法进行监管,一旦系统被删除或者安装后门,将对企业造成致命打击;对运维人员来说,出现安全事故无法自证清白,也无法定位源头。
Audit(审计管理)管理员可以对运维人员的操作进行实时监控和及时中止,可以对所有经过运维审计系统的操作进行审计,审计记录无法篡改。
使用运维审计系统,用户登录主机之前需要先登录运维审计系统,运维审计系统将记录用户对主机所有的操作,并将这些操作返回给管理员。管理员可以查看任何用户的操作历史,然后根据这些操作进行追责或者提出整改要求。
为规避上述风险,在所述虚拟化堡垒机中设置如下功能模块:
(1)资产管理模块
资产管理模块可对Windows和Linux主机以及网络设备进行管理。除了传统意义上的主机与网络资产外,管理用户、系统用户、标签等都属于资产管理范围。
(2)授权管理模块
授权过程其实就是把各系统上建立的帐号分配给操作人员的过程,管理员要定义帐号的权限,然后做帐号分配,根据用户置位调整做相应的帐号权限修改。
(3)集中账号管理模块
通过建立集中账号管理,单位可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。
(4)集中身份认证模块
Windows AD域、双因素多种认证方式,可以方便的与第三方LDAP认证服务器对接。
(5)统一资源授权模块
运维审计系统对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。
(6)命令过滤模块
提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
(7)多种运维操作方式管理模块
终端命令行操作:Telnet、SSH;
图形终端操作:RDP、VNC;
文件传输操作:FTP、RDP磁盘通道、剪贴板等文件传输;
数据库运维操作:MS SQL。
(8)审计模块
精确记录用户操作时间。
审计结果支持多种展现方式,让操作得以完整还原。
审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。
方便的审计查询功能,能够一次查询多条指令。
(9)加密协议审计模块
系统支持对SSH等加密类协议,以及RDP等图形协议进行全面审计。可以记录操作命令、操作过程中的键盘事件,同时可以对操作过程进行实时监控、录像、回放。
进一步的,所述虚拟化堡垒机可以包括下述模块:
(10)身份认证模块,所述身份认证模块进一步包括:多因子认证模块,支持多因子认证,方式包括手机令牌、MFA、USBKey、微信小程序等多因子认证方式;SSH公钥登录模块,支持绑定SSH公钥,实现免密码登录;与第三方认证对接模块,支持RADIUS、AD域和LDAP认证类型,并支持同步AD域用户;认证方式组合模块,支持第三方认证和多因子认证组合使用,例如同时使用AD域+手机短信组合方式登录;登录锁定模块,支持登录失败次数锁死设置,可锁定主账户,可配置解锁时长,到期自动解锁,也可以手动解锁;登录限制模块,支持用户的登录时间、来源IP地址限制(黑名单或白名单),限制非法时间登录堡垒机。
(11)用户管理模块,所述用户管理模块进一步包括:多租户共用模块,支持多个租户共用,资产、告警、授权等按部门(组织)数据隔离;用户角色支持模块,按模块和功能自定义角色权限,便于管理,用于复杂的业务场景需求。
(12)资源管理模块,所述资源管理模块进一步包括:支持的协议模块,支持的运维协议包含SSH、RDP、VNC、Telnet、MySQL;支持的应用模块,可通过应用发布实现对Chrome、Mysql WorkBench、VSphereClient、自定义应用等客户端的扩展支持及支持目标地址(目标IP)、登录账号、登录密码的代填;登录模式模块,支持资源账户自动登录和手动登录方式,其中手动登录方式又区分全手动(手动输入账户和密码)和半自动模式(手动输入密码);资源标签模块,支持资源按标签管理,并可以对资源批量添加和删除标签。
(13)策略管理模块,所述策略管理模块进一步包括:访问控制模块,支持同时以用户、用户组、资产、资产节点为核心要素,来设置多对多的资源访问授权,用户组和账户组内的新增成员可自动继承授权关系;命令控制模块,预制基本命令,支持正则表达式和通配符方式设置自定义命令。
(14)资源访问模块,所述资源访问模块进一步包括:Web管理(H5)模块,不限操作系统类型,无需安装任何客户端插件,使用浏览器通过H5方式即可直接运维SSH、RDP、Telnet、VNC和应用发布资源;批量命令模块,通过批量命令,实现同时运维多台资源设备;客户端登录模块,支持直接使用Xshell、SecureCRT、Putty等客户端访问目标资源,无需通过Web页面调用。
(15)审计日志模块,所述审计日志模块进一步包括:实时中断模块,支持对实时会话进行无延时的中断;在线回放模块,支持在线回放运维人员对资源的操作过程,并可以对播放速度进行调整,支持拖动、暂停、停止、跳过空闲、重新播放等操作;离线回放模块,支持离线回放运维人员对资源的操作过程,回放文件可下载到本地,使用专用的播放器进行播放;审计日志模块,支持记录用户登录资源的操作行为;命令记录列表模块,支持对字符操作命令进行精准识别;FTP/SFTP传输记录(linux)模块,支持对文件传输协议FTP、SFTP的审计,详细记录文件传输操作;告警模块,支持因执行命令时触发拒绝(阻断)动作而产生的告警提示。
(16)系统管理模块,所述系统管理模块进一步包括:AD域/LDAP模块,支持配置个AD域/LDAP作为认证源;自定义Syslog模块,支持配置系统日志Syslog外发;自定义Ntp模块支持配置系统时间同步。
7)主机防病毒模块
图9是主机防病毒模块的一个实施例的系统架构示意图。
所述主机防病毒模块的杀毒软件采用了先进的分布式的体系结构,使用了B/S(浏览噐/服务噐)和C/S(客户端/服务器)两种模式进行通讯和管理,B/S模式用于控制和管理方面,使用该模式控制中心进行全网控制和管理更加方便、快捷;C/S模式用于通讯方面,该模式使客户端和主控中心在通讯方面更加稳定。整个系统由控制中心、客户端两个子系统组成。
如图9所示,所述主机防病毒模块的产品架构如下:
控制中心901是整个杀毒软件的管理与核心控制部分,在网络中,它必须最先被安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着杀毒软件防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。此外控制中心还可作为网络管理员进行日常管理工作而量身定做的操作平台,它可以在网络中的任何一台可以连接到控制中心的计算机上通过IE浏览器方式登录进行操作。因此管理员的工作具有极大的灵活性,管理员不再桎梏于控制中心,发现问题可以随时、随地解决,体现了"以用户为中心"的设计理念。
子控制中心902是某个区域内计算机的管理控制中心。它向上连接主控制中心901,向下连接客户端,并且可以被独立管理。
杀毒软件的客户端分为两种类型,服务器客户端904是针对安装了服务器版操作系统的计算机而设计的,普通客户端903则是针对安装了非服务器版操作系统的计算机而设计的。在安装时,杀毒软件会进行智能判断,自动安装合适的客户端,无需用户干预安装过程。客户端的功能主要是对安装客户端的计算机进行保护与实时监控,防止计算机被病毒攻击,在发现病毒后向控制中心报告。
针对操作系统不同以及安装在服务器端还是客户端,所述杀毒软件进一步细分为:
Windows服务器端:安装在服务器版操作系统的计算机上,针对服务器的特点,对处理病毒的流程,对系统的监控都做了相应的优化处理,保证服务器上的各种服务能够正常工作,减少对性能的影响。
Windows客户端:则是针对普通版的操作系统的计算机而设计的。在安装时,杀毒软件会进行智能判断,自动安装合适的客户端,无需用户干预安装过程。
Linux端:针对Linux平台及国产操作系统平台,杀毒软件提供了Linux版的客户端软件。
所述主机防病毒模块包括下述功能模块:
(1)统一中央控管系统
可通过中央主控制中心对网络内的服务器、客户机进行远程策略设置、病毒查杀、远程安装等各种管理操作;实现跨地区、跨平台的网络防毒系统实施统一管理和监控,邮件病毒的有效拦截。对进出邮件服务器的邮件实施病毒扫描,防止病毒通过邮件进行传播。
(2)多层次的整体病毒防范模块
对网络内的各种不同操作系统的服务器、邮件/群件系统,服务器机群、客户机进行全面病毒监控防范及系统漏洞扫描等,可以监视多个病毒可能的来源,如:Internet、网络驱动器、光盘、软盘、接入式移动存储设备(U盘)、系统漏洞入侵和email等,斩断病毒在服务器、客户机内的寄生及传播。
(3)自动统一升级模块
智能升级功能可以定时检查病毒库的最新版本,发现最新版本后首先升级控制中心的病毒库,然后自动将升级包分发至局域网内的各个客户端,实现统一升级实现所有防病毒软件病毒库的及时更新。
(4)远程管理及增强密码保护模块
只要再加装一个控制台软件,就可以对网络中所有安装了杀毒软件的计算机进行远程管理工作。管理员通过管理员口令登录控制台以后,可以很方便的对杀毒软件客户端的计算机进行杀毒、查毒、设置、升级和客户端的安装、卸载工作。通过管理员权限设置保护密码,对客户端的卸载、修改、退出、关闭监控、重装机备份、控制网站设置进行密码管理,增强客户端的防病毒能力。
(5)染毒客户端隔离模块
对于已经中病毒的客户端,管理员可以通过断开网络连接的功能,将带毒客户端进行隔离,防止病毒继续扩散,不影响其它大部分网络客户端正常使用。
(6)病毒报警模块
具有自动报警功能,无论网络中的哪一台计算机感染了病毒,都会马上通知控制中心。让管理员在第一时间做出反应,将病毒带来的风险和损失减小到最低的程度。在管理控制中心服务器或整个能登录控制中心的网络上方便地查看全部范围(或组范围)的病毒报警和报告,包括感染节点的主机名、IP地址、病毒名称、清除情况、被感染文件的路径等。
(7)智能安装与卸载模块
提供远程安装功能,用户首先需要在网络中的一台计算机上安装杀毒软件的控制中心,然后通过控制中心就可以在网络中的其它计算机上进行杀毒软件客户端的远程安装了。在安装过程中,杀毒软件会自动识别将要安装的计算机的操作系统类型,然后针对不同的操作系统安装不同版本的客户端,安装过程不需要用户参与,是真正的智能安装,这在很大程度上减轻了管理员的工作负担,也提高了管理员的工作效率。
同样,也可以通过控制中心对已经安装好的杀毒软件客户端进行远程卸载。
(8)日志报告模块
杀毒软件的日志报告功能十分实用,它把网内每一台计算机的升级、查毒、杀毒等事件都详尽的记入日志文件中,以备管理员随时查看。同时,还可以根据日志对一段时间内网络中病毒的流行、发作的情况进行统计分析,生成图表形式的报告,帮助管理员有针对性的制定适合本网络的安全策略。
(9)智能升级模块
杀毒软件的智能升级模块可以定时检查病毒库的最新版本,发现最新版本后首先升级控制中心的病毒库,然后自动将升级包分发至局域网内的各个客户端,实现全网络的病毒库版本同步更新。
进一步的,所述主机防病毒模块还可以包括:
(10)业务可视化模块,所述业务可视化模块支持资产可视化;支持基于不同颜色标识正常,异常流量;支持点击流量线条,自动显示详细流量信息;支持用可视化方式,以业务系统的视角,展现工作负载、业务访问关系;支持以可视化方式展现业务组内部、业务组之间的流量访问关系;支持以可视化方式展示进程级的流量访问关系。
(11)智能安全策略模块,所述智能安全策略模块支持工作负载间,工作组间策略,在首页直接可见关联信息;支持在可视界面,拖动鼠标添加策略;支持在可视界面,右击便捷式编辑策略,添加处置测;策略测试模式,可以直观感知配置策略的影响。
(12)资产管理模块,所述资产管理模块支持应用、角色、位置、环境4个维度标签;支持应用、角色、位置、环境4个维度标签标记工作负载;支持用标签的方式添加策略;支持策略自动适应虚机弹性管理(如虚机创建,虚机漂移,迁移)。
(13)防病毒模块,支持终端杀毒功能。
(14)钻取分析功能模块,支持提供进程级的流量钻取能力。
(15)一键应急响应模块,支持发现威胁或可疑流量,直接在流量拓扑图上就能处置。
8)虚拟数据库审计
安全是由多个环节层层防范、共同配合的结果,在安全领域不能够仅靠某一个环节完成所有的安全防范措施。一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。数据库领域的安全措施通常包括:身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节,才能确保系统的高度安全。
数据库审计系统针对数据库和业务系统的重要性以及面临的风险,该产品提供数据库实时攻击检测、实时监控和审计等功能,提升数据库和业务系统的整体安全水平。具体来说,产品解决如下核心问题:对访问数据库的数据流和用户进行采集、分析、识别、授权、身份验证和身份识别等操作,并对访问数据库的相关行为、发送和接收的相关内容进行存储、分析和查询等功能。
所述数据库审计系统包括下述功能模块:
(1)数据库兼容性模块
支持关系型数据库oracle、mysql、DB2、Sybase、达梦、南大通用、人大金仓、浪潮KDB以及非关系型数据库Hive、HBASE、MongoDB等超过20种数据库的安全防护。
(2)IPV6环境支持模块
数据库审计系统可以对纯IPV6、IPv4/IPv6双栈等各IPV6网络环境下的数据库进行安全审计,实现了IPV6环境下精准的数据库协议解析,同时可以基于ip、端口以及数据库安全策略进行SQL语句的审计和告警。
(3)审计粒度模块
依照5W原则——Who、Where、When、How、What,全面记录对数据库服务器的连接情况、会话相关的各种信息和原始SQL语句。包括数据库实例、数据库类型、数据库用户、操作系统用户、主机名、数据库IP、客户端IP、数据库MAC、客户端MAC、客户端程序、客户端用户名、客户端端口、捕获时间、执行时长、动作、日志级别、风险等级、告警规则、SQL内容、SQL结果内容等。
(4)数据库审计模块
本模块实时监控业务系统和管理员对业务数据库的所有访问,根据多种安全策略判定访问操作的风险等级,并根据风险等级选择性的报警,从而实现完全独立于数据库的审计功能。模块提供可视化的审计日志检索和回放功能,生成可读性高的报表,达到提高数据库及业务系统的安全性的目的。
(5)本地审计模块
系统针对数据库与应用在同一服务器、直接在数据库本地进行的操作也给出了解决方案。在数据库服务器上安装SQL脚本,从而获得对数据库服务器的访问数据,配合旁路部署的数据库审计进行审计。
(6)双向审计模块
系统开启了双向审计的功能,应用服务器对数据库服务器的访问流量、数据库服务器对应用服务器的返回结果都能进行审计,比如“select*from a;”,若表a不存在,则会审计到数据库返回错误的信息,若表a存在,则可审计到查询表a具体的条目数。
(7)三层审计模块
三层审计,就是实现完整的业务审计。可以完成从数据库访问SQL语句、到中间件之前的用户、中间件之前的访问的细节的关联。
数据库审计系统可对Web服务器访问所触发的数据库操作行为进行分阶段访问的关联审计,以审计浏览器行为对数据库的映像。将该行为的用户计算机IP地址、应用系统用户名、URL、数据库IP地址、SQL语句、访问发生的时间等信息记入审计日志,从而定位到网络中具体的人,实现全方位的立体审计。
(8)自身审计模块
对自身的操作记录日志。系统对涉及的不同的角色的人员的增删、改、启停、维护等动作进行了记录。本功能实现对这些记录的日志的条件检索和维护。
(9)超长语句审计模块
支持跨包的SQL语句拼接功能,能够完整解析与审计超长SQL语句(超过1460字节),屏蔽逃逸审计通道。
(10)业务全过程监控模块
提供实时的事前+事中+事后的连接监控功能,能够实时的监控所有到数据库的连接情况。监控信息包括连接建立时间、IP、用户名、非法操作(越权访问等)次数统计。而对于非法连接或有非法行为的连接,管理员可以立即断开指定的可疑连接。确保数据库安全性不受进一步威胁。
(11)及时告警模块
可以对不同的风险设置不同的风险告警方案。可以针对不同风险、新SQL、访问规则违规、数据库服务器状态异常、审计系统服务器状态异常、缓冲区溢出攻击、SQL注入攻击等告警,告警方式有:短信、邮件、FTP、SYSLOG、SNMP、等告警方式。
9)脆弱性扫描与管理
综合漏洞扫描系统能高效、全方位的检测网络中的各类脆弱性风险,在网络系统受到危害之前为管理员提供专业、有效的安全分析和修补建议,并贴合安全管理流程对修补效果进行审计,帮助用户解决目前所面临的各类常见及最新的安全问题,同时满足如等级保护、行业规范等政策法规的安全建设要求。
所述综合漏洞扫描系统的系统架构如图10所示,所述综合漏洞扫描系统包括Web管理界面、报表引擎、调度引擎、扫描信息处理模块、主机发现、端口扫描、服务识别、操作系统识别、漏洞检测引擎、升级系统等多个模块。
所述综合漏洞扫描系统包括下述功能模块:
(1)一键资产发现模块
所述一键资产发现模块能够扫描发现网络中存活的主机、支持对目标主机执行多种方式的端口扫描、识别端口对应的服务、识别操作系统类型,如Windows、Linux、Unix等、识别网络中安装的数据库类型,如MySQL、MSSQL、Oracle等。
(2)漏洞规则库
所述漏洞规则库包含60000多条策略,包括有:WINDOW测试、UNIX测试、数据库测试、WEB测试、网络设备测试、防火墙测试等,涵盖了所有常见的系统。目前漏洞知识库完全兼容CVE国际标准,按风险级别分为高、中、低、信息四个级别。
另外还提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决办法及扫描返回信息,同时提供有关问题的国际权威机构记录(包括CVE编号)并提供了PoC,以及与厂商补丁相关的链接。
(3)检查速率模块
所述检查速率模块采用并发规则、并发任务扫描等多项技术及独创的脚本引擎调度算法,对同样的目标系统进行检测时,扫描的速度大大高于其它同类型扫描产品。另一方面由安全研究小组精心编写的漏洞检测规则插件也很好的保证了检测的准确性,从而保证了在正确率的前提下大幅提高了检测的效率。
在进行大规模扫描时,支持分布式部署,充分利用多台硬件资源与带宽,加快扫描速度。
(4)漏洞管理模块
扫描系统遵循“漏洞生命周期”原理,并将之划分为五个阶段,即漏洞扫描、漏洞预警、漏洞分析、漏洞修复、修复验证,最终达到漏洞被修复的效果,形成漏洞管理闭环。
所述漏洞管理模块具有丰富的监控报告,能够实施多维度的监控报告展示,并能够根据漏洞类型和/或危险等级展示风险情况、能够进行详细的漏洞内容展示、支持导出多种格式的报告,如pdf、word、html等。
图11、12展示了所述综合漏洞扫描系统的漏洞监控报告的几个示例。
(5)实时预警模块
所述实时预警模块支持实时系统预警、支持实时邮件预警、以及支持实时短信预警。
(6)等保合规检查模块
以公安部制定的信息安全等级保护检查工具箱技术规范为设计理念,完全满足规范要求。将耗时的政策检查自动化,实现了信息安全等级保护工作检查的流程化管理,让耗时的政策检查更快捷高效。
所述电信CT云安全等保场景模块可对非流量型安全网元,如:主机漏洞扫描、WEB漏洞扫描、堡垒机、日志审计、网页防篡改、防病毒,以及流量型安全网元,如:下一代防火墙、入侵防护、WEB应用防火墙,进行虚拟化的部署,面向电信的用户或电信自营业务系统提供安全防护。
具体的,所述电信CT云安全等保场景下的虚拟化安全网元可以包括:下一代防火墙、虚拟化WAF、虚拟化日志审计、虚拟化堡垒机、主机安全与管理、虚拟数据库审计、脆弱性扫描与管理等虚拟化安全网元。
所述电信CT云安全等保场景下的下一代防火墙、虚拟化WAF、虚拟化日志审计、虚拟化堡垒机、主机安全与管理、虚拟数据库审计、脆弱性扫描与管理等虚拟化安全网元与所述边缘云安全场景下的下一代防火墙、虚拟化WAF、虚拟化日志审计、虚拟化堡垒机、主机防病毒、虚拟数据库审计、脆弱性扫描与管理等虚拟化安全网元的系统架构及具体模块、以及实现的功能相同,在此不再赘述。
实施例3
图13是根据本发明的实施例3的CT云及边缘云安全平台的系统架构的示意图。
如图13所示,所述CT云及边缘云安全平台共用一套统一的云安全资源池,这套安全资源池的硬件由通用服务器1301和通用交换机1302组成。在这一套安全资源池上拉起各类虚拟化安全网元。
所述安全网元分为四组,分别为边缘云自用安全网元1303、边缘云租户安全网元1304、CT云自用安全网元1305、CT云租户安全网元1306。所述边缘云自用安全网元给边缘云自用系统提供安全能力、所述边缘云租户安全网元给边缘云租户提供安全能力、所述CT云自用安全网元给CT云自用系统提供安全能力、所述CT云租户安全网元给CT云租户提供安全能力。
在安全资源池内安装两套安全管理平台,分别为CT云安全管理平台1307和边缘云安全管理平台1308,这两个管理平台均是以虚拟机的形式存在。CT云安全管理平台负责和CT云对接,包括获取CT云上租户、虚机、网络等相关信息,对安全资源池内负责CT云业务的安全网元进行统一管理、服务链编排、策略下发。边缘云安全管理平台负责和边缘云对接,包括获取边缘云上租户、虚机、网络等相关信息,对安全资源池内负责边缘云业务的安全网元进行统一管理、服务链编排、策略下发。
原子能力为依托中国电信在云网、IT、安全、应用、物联网等领域的资源禀赋和长期积累,通过内部能力封装、外部能力引入等形成的企业可独立提供,具有可被集成(标准化)、可复用、可定价、可扩展、可授权以及有广泛的共性需求等特性,以集成、被集成为主要服务形态,是支撑各类应用、业务的公共要素和关键环节。
安全资源池以服务器虚拟化技术为基础,通过构建一个专有的资源池,用于对外输出安全能力。通过安全资源池技术,将各类资源有机的整合在一起,形成一个安全资源池。通过安全管理系统,可以调用、分配、调整各类资源,使安全资源池对外输出安全服务和能力。
图14是根据本发明的CT云及边缘云安全平台的安全原子能力系统的一实施例的系统架构框图。
电信集团的安全能力池试点项目,其目的在于验证安全能力池集中部署,随云网POP建设云网安全技术方案,推进安全能力虚拟化、自动化部署,提炼经验,进行方案复制推广。
所述CT云及边缘云安全平台技术结构体系分为管理平台、安全资源池、安全原子能力三个部分,这三个部分之间为分层解耦的关系,每层之间通过标准化接口进行调用,未来可以和集团的安全能力平台进行融合和统一纳管,作为集团安全能力平台的一个有效补充部分。
如图14所示,所述安全原子能力系统包括市场订单管理功能模块1401、租户自服务功能模块1402、安全能力集中管控模块1403、虚拟化安全组件功能模块1404四个主要组成部分。
云(含5G边缘云、公有云)具备相应的云安全能力。
集中管控平台负责对虚拟化安全能力的统一管控,包括市场订单管理、租户自服务、安全能力集中管控等模块的控制,集中部署对外能力开放平台,实现租户订单的订购管理以及租户自服务管理。
所述市场订单管理功能模块面向政企客户或者政企客户经理,通过订单管理能力可以实现安全产品的规格选型与订购。
所述租户自服务功能模块向政企客户提供安全组件集中自服务管理,包括租户整体安全运维态势、组件运维管理以及组件编排管控等。
所述安全能力集中管控功能模块用于实现安全资源池、安全组件的集中运维、安全服务的开通、部署及引流编排、以及租户的运营管理。
所述虚拟化安全组件功能模块包括防火墙、云主机安全、入侵检测防御、堡垒机、DDOS防护、漏洞扫描、WAF、云身份认证、脆弱性扫描、日志审计、数据库审计以及安全安全感知等安全能力。
具体的,所述安全原子能力系统包括下述模块:
1)市场订单管理功能模块
通过市场订单管理模块,所述市场订单管理模块可以面向政企客户经理或者直接政企客户,通过订单管理能力可以实现安全产品的规格选型(含产品类型、性能以及服务时长等)及订购、退订、终止、暂停、续期等流程。
2)集中运维管控模块,所述集中运维管理模块又可以细化为:
(1)集中运维门户模块
所述集中运维门户模块可在地图上实时查看各地市部署的安全资源池、宿主机等使用状态,可在地图上点击继续下钻查看宿主机内虚拟化系统中IPS、WAF、堡垒机、日志审计、主机防病毒等安全能力服务的运行状态。
(2)虚拟化和容器管理模块
安全资源池支持虚拟化,各类安全组件可以标准的ISO格式或者QCOW2格式创建相应的安全虚拟机。安全资源池支持容器,对计算资源消耗较小的安全组件可以以容器形式部署在资源池中,节省资源的消耗。在统一的安全资源池管理系统上可以同时管理虚拟化和容器,在一个安全资源池内可以同时启动虚拟化和容器服务。
(3)安全资源池集群管理模块
支持高可伸缩性,随着需求和负荷的增长,可以向集群系统添加更多的安全资源池服务器。支持高可用性,在不需要运维人员干预的情况下,消除单点故障并具备从故障中自动恢复的能力。支持高可管理性。
(4)安全资源池运维监控模块
针对各安全资源池的运维监控,实时监控安全资源池底层使用情况,以趋势图的形式直观呈现,展示物理服务器数量、安全资源池的CPU负载率和内存负载率、虚拟化安全组件(IPS、WAF、堡垒机、日志审计、主机防病毒等)数量及存活状态等。
(5)组件镜像管理模块
支持安全组件的镜像管理,支持安全组件镜像规格的自定义,支持安全组件向纳管资源池同步、更新,也要支持定向对某个或多个安全资源池推送安全组件镜像,进行精细化统一管理。
(6)安全组件策略管理模块
支持安全组件策略管理,支持无需登录网元管理界面的情况下,在集中运维管控平台上对WAF、IPS等安全网元集中配置安全策略,包括下发安全策略和删除安全策略。
(7)安全域管理模块
在网络中支持自由划分、管理安全域。
能够支持显示安全域名称、IP/IP段、租户、备注信息等。可以新增、编辑和删除安全域,还可以按照安全域名称和租户对安全域进行查找。
同时支持对安全域进行精细化管理,可将安全域划分为一个或多个业务系统,即安全子域。
(8)虚拟化网络引流和编排管理模块
能够为安全资源池提供自动化引流和编排能力,实现将外部访问流量牵引至安全资源池进行检测及清洗,并在流量回注后将正常访问流量发送至云上的应用;支持将不同租户流量分别分发给不同的安全组件,也支持将不同租户的流量分发给同一个安全组件,实现多租户共用一个安全组件来降低成本和资源消耗。
支持对安全资源池中的所有编排服务链进行统一管理,包括可以添加、发布、编辑和删除服务链,可以按照服务链名称、服务链ID和租户对安全域进行查找,实现安全组件快速串接或并接编排能力。
支持通过对串联和旁路安全组件进行增减和顺序拖动调整,定义流量的防护模式和防护顺序;
支持可视化的进行NGFW、IPS、WAF等安全网元的服务链编排,服务链支持主主、主备、单链等三种模式,可灵活地对这三种服务链模式进行更改。
(9)安全容灾策略模块
支持通过智能的灾难恢复策略可快速处置单个组件故障场景,多个组件故障场景,整条服务链故障场景。支持一键Bypass能力,灾难处置策略自定义等模块保障资源池的高质量服务。
能够支持提供自动跳过单个故障点、自动跳过整个服务链、自动切换到备用服务链、手动进行故障处理的处置方式,并支持对策略生效周期的自定义。
平台支持通过备用服务链,为故障服务链的防护对象提供安全保障服务。
3)租户自服务平台
所述租户自服务平台面向租户客户提供安全组件集中自服务管理,包括租户客户整体安全运维态势、组件运维管理、组件编排管控以及组件的增订与退订等。
具体的,所述租户自服务平台可以包括下述模块:
(1)运维安全态势模块
所述运维安全态势模块支持分权限分租户的的安全态势呈现,能够采集、汇聚、分析各安全资源池的安全事件数据,帮助租户客户实现对各租户防护域的全面安全监测,包括如下功能:
支持对告警、漏洞、攻击等的可视化(折线图、柱状图)数据呈现;
支持威胁排序,攻击源IP TOP5、攻击类型TOP5;
支持建立威胁态势指数,并自动描绘出态势指数曲线;
支持对告警事件进行多维度查询并以曲线图呈现告警趋势;
支持可视化查看各安全服务拓扑,可在拓扑图中直接对安全服务进行下钻操作,支持对安全域中的安全服务进行配属或取消配属操作,支持SSO一键跳转;
支持运维管理健康度打分,可查看打分历史,显示扣分项明细;
支持按攻击分类展示攻击数,可根据IP查看攻击分时态势;
支持按IP查看流量上下行数据。
(2)组件配置运维管理模块
支持对安全组件统一进行远程管理,实现日常的基本运维操作,包括开机、重启、关机、详情查看等操作。
支持通过单点登录的方式对安全组件进行安全策略管理,登录过程中安全组件的帐号密码一键代填,无需手动输入。
(3)安全组件策略管理模块
支持无需登录网元管理界面的情况下,实现对WAF、IPS、日志审计、堡垒机、主机防病毒等安全网元集中配置安全策略、资产管理,包括下发安全策略和删除安全策略。
(4)安全组件编排模块
支持所订购安全组件的统一管理,包括可以添加、发布、编辑和删除服务链,可以按照服务链名称、服务链ID和租户对安全域进行查找,实现安全组件快速串接或并接编排能力。支持通过对串联和旁路安全组件进行增减和顺序拖动调整,定义流量的防护模式和防护顺序。
(5)安全组件自助订购管理模块
支持查看安全组件信息,包含组件的类型、规格、授权剩余时间、状态等基本信息。
支持已订购的安全组件管理,并对已订购安全组件的退订、续期等;支持查看安全服务市场,增订所需安全组件。
综上所述,所述CT云集中侧原子能力与边缘云的安全能力协同,以服务化的方式为边缘云提供安全能力。
实施例4
图15是根据本发明的的实施例4的CT云及边缘云安全平台的系统架构框图。
如图15所示,所述系统包括安全能力管理平台(门户)1501、云网Sec-aaS(Security as a service,安全即服务)1502、云网POP(边缘云)1503及其安全能力组件区1506、云网POP(专属云)1504及其安全能力组件区1507、云网POP(IDC/专线用户)1505及其安全能力组件区1508。
所述安全能力管理平台(门户),即云安全管理平台,云上用户1509可经自服务入口访问所述安全能力管理平台(门户)、管理员/安全中台可经营运管理入口访问所述安全能力管理平台(门户),所述最上层的安全能力管理平台(门户)对所述CT云及边缘云安全平台的安全能力进行统一管理和调度。
如图15所示,所述安全管理平台下的安全能力部分采用集中式部署,将安全能力云化,将(省集中)安全能力池以SaaS化服务的方式提供给云网用户,部分采用本地化云网POP点近源部署,在安全能力集约化建设的基础上实现最佳用户体验。
CT云安全资源池和边缘云安全资源池均由统一的云安全管理平台进行管理,所有的资源池均进行统一的监控、纳管、调度,所有的安全原子能力均可在任意一个安全资源池里拉起,配属、销毁,实现了真正、整体的安全协同。
所述安全能力中的大部分安全能力可采用集中式部署的方式在CT云安全资源池中进行建设,通过云平台提供的云主机方式在云内进行模块化部署,具体可以包括网络安全审计、日志审计、漏洞扫描、数据库审计、终端检测与响应、防病毒、堡垒机、Web漏洞扫描、网页防篡改、入侵检测系统等常用的安全能力。部署完成后,只需要对应打通安全能力与所防护的资产之间的网络,即可实现安全能力池中的安全能力以服务化的方式提供给各云计算及IDC节点,如专属云1504、边缘云1503和IDC/专线用户1505等。
边缘云安全资源池池中的主要承载网关型安全能力,如Web应用防火墙(WAF)、下一代防火墙(NFW)、入侵防护系统(IPS)等,出于技术实现难度和产品性能考虑,需要通过云网POP节点在防护目标的近源侧进行本地化部署。通过独立的物理服务器硬件资源,安装部署私有化的安全能力池,旁挂在云平台或IDC的核心交换机上,构建安全能力组件区。通过PBR策略路由、tunnel等网络引流方式,将云内业务系统的南北向流量牵引至云网POP节点的边缘安全资源池池内进行清洗,如Web应用防火墙、下一代防火墙等安全能力服务,待流量清洗完成后再将正常的流量原路回注回云平台中,最终到达对应VPC的业务虚拟机上,从而实现边缘业务系统的安全防护目的。
图16是根据图15的CT云及边缘云安全平台中CT云安全资源池与边缘云MEC的安全资源池相连接的网络拓扑结构。
如图16所示,集中的CT云安全资源池1601通过CN2(Chinatelecom Next CarrierNetwork,中国电信下一代承载网)1602连接边缘云MEC的安全资源池,打通对应安全能力与所防护的资产之间的网络,向其输出安全能力,实现安全能力池(集中)中的安全能力以服务化的方式提供给各云计算及IDC节点1603。集中的CT云安全资源池和边缘的安全资源池按需打通ChinaNet、CN2、MAN、IDC、STN等承载网络。
图17是根据本发明的CT云及边缘云安全平台的一实施例的系统架构框图。
如图17所示,所述CT云及边缘云安全平台包括云化安全能力集中管控平台1701,所述集中管控平台1701控制集中平台运维模块1702、客户自服务模块1703、以及订购服务模块1704,实现对虚拟化安全能力的统一管控,流量编排,租户管理等,并集中部署对外能力开放,实现租户订单的订购管理以及租户自服务管理。
在集中安全能力模块1705内设置有多项安全能力,例如漏洞扫描、堡垒机、云WAF、网站监测、抗DDoS等。
在近源侧部署有安全资源池1708,所述安全资源池实现为专网用户、例如5G专网用户1710和/或互联网专线客户1712提供安全服务能力。
在CT安全云/IDC1709处部署CT安全资源池1709,为IDC及云上租户1711提供安全服务能力。
所述CT云及边缘云安全平台,能够同步获取云平台资产和网络信息,提供基于安全域思想的云安全防护,实时反映防护阵线的安全防护拓扑,具备完备的监控和告警功能,能够提供丰富的云安全报表,具备99.999%的电信级高可用,具备先进的技术性。
所述CT云及边缘云安全平台,使用开放架构,分层解耦,弹性易扩展,基于分片路由的安全服务链编排,具有灵活的扩展性。
现在安全市场已经从纯合规向实用实战进行转变,靠堆砌硬件盒子的时代已经过去,基于SASE理念的云安全集中管理和运营是未来的主流发展方向。未来的演进方向以简单方便的SASE盒子部署在分支机构,在边缘节点部署安全资源池,在总部部署安全运营中心,解决了安全运营中心到边缘侧这段“最后一公里”不可见不可控不可防的问题。所述CT云及边缘云安全平台具备高度的前瞻性。
通过以上的实施方式的描述,本领域的技术人员易于理解,本发明描述的示例性实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个计算机可读的存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台数据处理设备(可以是个人计算机、服务器、或者网络设备等)执行根据本发明的上述方法。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上所述,本发明可以执行计算机程序的方法、装置、电子设备或计算机可读介质来实现。可以在实践中使用微处理器或者数字信号处理器(DSP)等通用数据处理设备来实现本发明的一些或者全部功能。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,应理解的是,本发明不与任何特定计算机、虚拟装置或者电子设备固有相关,各种通用装置也可以实现本发明。以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
以上,对本发明的实施方式进行了说明。但是,本发明不限定于上述实施方式。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (19)
1.一种CT云及边缘云安全平台,其特征在于,包括:
云安全管理平台、云安全资源池、以及虚拟化安全网元;
所述云安全管理平台负责云环境下的安全管理和安全策略,并为电信服务商和租户提供云安全运营服务的各类交互功能;
所述云安全资源池通过云安全管理平台提供的安全业务编排能力,提供适应于安全需求的安全能力;
所述虚拟化安全网元是由各类安全能力形成的虚拟机镜像,所述虚拟化安全网元通过加载在云安全资源池的虚拟化平台上对外提供服务。
2.根据权利要求1所述的平台,其特征在于,
所述CT云及边缘云共用一个云安全资源池,
所述云安全资源池上加载有边缘云自用安全网元、边缘云租户安全网元、CT云自用安全网元、和CT云租户安全网元,所述边缘云自用安全网元给边缘云自用系统提供安全能力、所述边缘云租户安全网元给边缘云租户提供安全能力、所述CT云自用安全网元给CT云自用系统提供安全能力、所述CT云租户安全网元给CT云租户提供安全能力;
所述云安全资源池内包括CT云安全管理平台和边缘云安全管理平台,CT云安全管理平台负责和CT云对接,对安全资源池内负责CT云业务的安全网元提供服务,边缘云安全管理平台负责和边缘云对接,对安全资源池内负责边缘云业务的安全网元提供服务。
3.根据权利要求1或2所述的平台,其特征在于,
所述云安全管理平台在目标被防护云计算平台的基础上划分安全域,并为安全域配属安全服务;
所述云安全资源池承载安全服务,向所述云安全资源池云计算平台内的各个安全域提供适应于安全域安全需求的安全能力。
4.根据权利要求1-3任一项所述的平台,其特征在于,
所述虚拟化安全网元,包括边缘云安全场景下的虚拟化安全网元、以及电信CT云安全等保场景下的虚拟化安全网元。
5.根据权利要求4所述的平台,其特征在于,
所述边缘云安全场景下可对非流量型安全网元,以及流量型安全网元,进行虚拟化的部署,面向电信的用户或电信自营业务系统提供安全防护;
和/或,
所述电信CT云安全等保场景下可对非流量型安全网元,以及流量型安全网元,进行虚拟化的部署,面向电信的用户或电信自营业务系统提供安全防护。
6.根据权利要求1-5任一项所述的平台,其特征在于,
所述云安全管理平台包括云服务商侧、租户侧、安全代维管理模块、以及对外接口模块,
电信服务商可在云服务商侧完成下述操作中的至少一项:平台运行状态监控、定义安全服务包、维护安全服务包、查看订单状态并进行订单流程管理、租户账号维护、代维账号管理和维护、为平台进行各类配置、查看平台日志;
租户可在租户侧完成下述操作中的至少一项:对自有VPC进行安全可视化感知、定义VPC内的安全域/业务系统、对已购买的服务包进行配置维护、进入安全市场进行服务采购、查看历史订单和订单状态、获取安全周报、查看自有VPC的安全事件、查看平台日志;
租户可通过安全代维管理模块采购安全代维服务;
所述对外接口模块至少包括下述接口中的至少一项:云管平台接口、北向SSO接口、网络引流接口、安全能力接口,并且所述对外接口模块可提供定制接口。
7.根据权利要求1-6任一项所述的平台,其特征在于,
所述云安全资源池包括流量控制器、物理交换机、以及安全资源池管理系统和平台,
所述流量控制器将租户的流量和与其对应的安全资源之间建立安全服务链,以实现具体的安全能力;
所述物理交换机接收流量控制器指令,执行流量牵引、镜像、和/或路由工作;
所述安全资源池管理系统和平台用于承载和管理安全资源池,负责执行安全虚拟机开通、镜像加载、快照保护、安全虚拟机迁移、安全虚拟机重启、和/或安全虚拟机挂起工作中的至少一项。
8.根据权利要求1-7任一项所述的平台,其特征在于,
所述云安全资源池通过分布式虚拟化四层交换机承载覆盖等级保护所需的安全服务。
9.根据权利要求1-8任一项所述的平台,其特征在于,
所述云安全资源池将安全能力微服务化,使多个租户共享一个安全虚拟机,同时保持租户间的安全策略、数据和界面的隔离。
10.根据权利要求8或9所述的平台,其特征在于,
所述云安全资源池支持基于分片路由的精细流量编排能力。
11.根据权利要求4-10任一项所述的平台,其特征在于,
所述边缘云安全场景下的虚拟化安全网元包括:云网安全适配层、分布式虚拟化四层交换机、下一代防火墙、虚拟化WAF、虚拟化日志审计、虚拟化堡垒机、主机防病毒、虚拟数据库审计、脆弱性扫描与管理中的至少一项。
12.根据权利要求4-11任一项所述的平台,其特征在于,
所述电信CT云安全等保场景下的虚拟化安全网元包括:下一代防火墙、虚拟化WAF、虚拟化日志审计、虚拟化堡垒机、主机安全与管理、虚拟数据库审计、脆弱性扫描与管理中的至少一项。
13.根据权利要求12所述的平台,其特征在于,
所述主机防病毒安全网元和/或主机安全与管理安全网元使用了B/S和C/S两种模式进行通讯和管理,B/S模式用于控制和管理,C/S模式用于通讯。
14.根据权利要求1-13任一项所述的平台,其特征在于,
所述CT云及边缘云安全平台还包括云安全能力模块,所述云安全能力模块包括市场订单管理功能模块、租户自服务功能模块、安全能力集中管控模块、虚拟化安全组件功能模块;
所述市场订单管理功能模块通过订单管理能力实现安全产品的规格选型与订购;
所述租户自服务功能模块向租户提供安全组件集中自服务管理;
所述安全能力集中管控功能模块用于实现安全资源池、安全组件的集中运维、安全服务的开通、部署及引流编排、和/或租户的运营管理;
所述虚拟化安全组件功能模块包括防火墙、云主机安全、入侵检测防御、堡垒机、DDOS防护、漏洞扫描、WAF、云身份认证、脆弱性扫描、日志审计、数据库审计以及安全安全感知安全能力中的至少一个。
15.一种CT云及边缘云安全平台,其特征在于,包括:
云安全管理平台、CT云安全资源池、边缘云安全资源池、以及安全能力池;
所述云安全管理平台对所述CT云及边缘云安全平台的安全能力进行统一管理和调度,可以通过任意一个安全资源池对安全平台内的所有的安全能力进行操作;
所述云安全管理平台下的安全能力一部分采用集中式部署提供给云网用户,一部分采用本地化云网POP点近源部署。
16.根据权利要求15所述的平台,其特征在于,
所述云安全管理平台下的安全能力一部分采用集中式部署提供给云网用户,是指所述云安全管理平台下的安全能力中的部分采用集中式部署,将安全能力云化以SaaS化服务的方式提供给云网用户。
17.根据权利要求15或16所述的平台,其特征在于,
所述安全能力中的大部分安全能力可采用集中式部署的方式在CT云安全资源池中进行建设,通过云平台提供的云主机方式在云内进行模块化部署,部署完成后,只需要对应打通安全能力与所防护的资产之间的网络,即可实现安全能力池中的安全能力以服务化的方式提供给各云计算及IDC节点。
18.根据权利要求17所述的平台,其特征在于,
所述CT云安全资源池通过CN2连接边缘云安全资源池,打通对应安全能力与所防护的资产之间的网络,向其输出安全能力。
19.根据权利要求15-18任一项所述的平台,其特征在于,
所述边缘云安全资源池池中的部分安全能力通过云网POP节点在防护目标的近源侧进行本地化部署,安装部署私有化的安全能力池,旁挂在云平台或IDC的核心交换机上,构建安全能力组件区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310437358.XA CN118432835A (zh) | 2023-04-21 | 2023-04-21 | Ct云及边缘云安全平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310437358.XA CN118432835A (zh) | 2023-04-21 | 2023-04-21 | Ct云及边缘云安全平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118432835A true CN118432835A (zh) | 2024-08-02 |
Family
ID=92320312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310437358.XA Pending CN118432835A (zh) | 2023-04-21 | 2023-04-21 | Ct云及边缘云安全平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118432835A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119182806A (zh) * | 2024-09-23 | 2024-12-24 | 济南浪潮数据技术有限公司 | 一种安全网元编排方法、装置、设备及可读存储介质 |
| CN119232424A (zh) * | 2024-08-13 | 2024-12-31 | 山东能源集团有限公司 | 一种虚拟网络安全功能链的构建系统和方法 |
| CN119545038A (zh) * | 2024-11-06 | 2025-02-28 | 北京云动辰宇科技有限公司 | 一种基于信创服务器的流媒体硬件加速传输系统 |
| CN119728196A (zh) * | 2024-12-11 | 2025-03-28 | 中国人民解放军61660部队 | 一种基于虚拟网元与物理设备统一调度方法 |
| CN119996150A (zh) * | 2025-02-26 | 2025-05-13 | 浪潮云信息技术股份公司 | 一种支持多场景跨平台的计算节点高可用的系统及方法 |
| CN120012133A (zh) * | 2025-02-10 | 2025-05-16 | 郑州理工职业学院 | 基于计算机系统软件的加密保护方法及系统 |
| CN120185922A (zh) * | 2025-05-13 | 2025-06-20 | 杭州安泉数智科技有限公司 | 基于openvswitch的虚拟化waf透明防护方法及系统 |
| CN120639521A (zh) * | 2025-08-12 | 2025-09-12 | 阿里云飞天(杭州)云计算技术有限公司 | 基于云平台的数据传输方法、云平台、网关、介质和产品 |
-
2023
- 2023-04-21 CN CN202310437358.XA patent/CN118432835A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119232424A (zh) * | 2024-08-13 | 2024-12-31 | 山东能源集团有限公司 | 一种虚拟网络安全功能链的构建系统和方法 |
| CN119182806A (zh) * | 2024-09-23 | 2024-12-24 | 济南浪潮数据技术有限公司 | 一种安全网元编排方法、装置、设备及可读存储介质 |
| CN119182806B (zh) * | 2024-09-23 | 2025-12-12 | 济南浪潮数据技术有限公司 | 一种安全网元编排方法、装置、设备及可读存储介质 |
| CN119545038A (zh) * | 2024-11-06 | 2025-02-28 | 北京云动辰宇科技有限公司 | 一种基于信创服务器的流媒体硬件加速传输系统 |
| CN119728196A (zh) * | 2024-12-11 | 2025-03-28 | 中国人民解放军61660部队 | 一种基于虚拟网元与物理设备统一调度方法 |
| CN119728196B (zh) * | 2024-12-11 | 2025-09-02 | 中国人民解放军61660部队 | 一种基于虚拟网元与物理设备统一调度方法 |
| CN120012133A (zh) * | 2025-02-10 | 2025-05-16 | 郑州理工职业学院 | 基于计算机系统软件的加密保护方法及系统 |
| CN119996150A (zh) * | 2025-02-26 | 2025-05-13 | 浪潮云信息技术股份公司 | 一种支持多场景跨平台的计算节点高可用的系统及方法 |
| CN120185922A (zh) * | 2025-05-13 | 2025-06-20 | 杭州安泉数智科技有限公司 | 基于openvswitch的虚拟化waf透明防护方法及系统 |
| CN120639521A (zh) * | 2025-08-12 | 2025-09-12 | 阿里云飞天(杭州)云计算技术有限公司 | 基于云平台的数据传输方法、云平台、网关、介质和产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jimenez et al. | A survey of the main security issues and solutions for the SDN architecture | |
| CN118432835A (zh) | Ct云及边缘云安全平台 | |
| US20230040556A1 (en) | System and method for network policy simulation | |
| KR102136039B1 (ko) | 소프트웨어 정의 네트워크에서의 보안 | |
| Fernandes et al. | Security issues in cloud environments: a survey | |
| EP3304824B1 (en) | Policy-driven compliance | |
| US12255909B2 (en) | Method and system for monitoring health and security of data center components via bi-directional proxy | |
| US12335315B2 (en) | Method and system for smart recommendation and dynamic grouping of devices for a better device management | |
| Tupakula et al. | Intrusion detection techniques for infrastructure as a service cloud | |
| Varadharajan et al. | Techniques for enhancing security in industrial control systems | |
| Putra et al. | Infrastructure as code for security automation and network infrastructure monitoring | |
| US20250039228A1 (en) | System and method for attacker interdiction using track and trace user and entity behavior analysis | |
| Varadharajan et al. | Securing services in networked cloud infrastructures | |
| JP6832990B2 (ja) | ソフトウェア定義ネットワークにおけるセキュリティ | |
| Jain et al. | Security analysis of SDN WAN applications—B4 and IWAN | |
| CN112511562A (zh) | 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统 | |
| Sanghavi et al. | Software-defined networks a brief overview and survey of services | |
| US20240414195A1 (en) | Topological co-relation | |
| Wu | Examples of mimic defense application | |
| Mookhey et al. | Linux: Security, Audit and Control Features | |
| Pritz | Shell activity logging and auditing in exercise environments of security Lectures using OSS | |
| Tverdokhlib et al. | OPTIMIZATION OF NETWORK INFRASTRUCTURE TO ENSURES RESILIENCE, SECURITY AND SCALABILITY | |
| OGINGA | A MODEL FOR DETECTING INFORMATION TECHNOLOGY INFRASTRUCTURE POLICY VIOLATIONS IN A CLOUD ENVIRONMENT | |
| Tenhunen | Implementing an Intrusion Detection System in the MYSEA architecture | |
| CN119520038A (zh) | 一种加强电力监控系统网络边界安全策略的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |