云安全管理平台

云安全,究竟需要什么样的管理平台?

面对云安全，如何构建和管理“安全云”环境是当前服务商和用户面临的主要挑战。如何管理云计算中复杂的虚拟化环境?如何实现多类型安全设备的统一日志管理和事件关联分析?如何对虚拟化环境下的安全策略进行管理和部署?如何根据业务变化，快速及时的实现安全策略自动化分发和动态调整?诸如此类等等复杂的虚拟化环境对安全管理提出了新的要求：高性能。云计算环境中设备资源、数据大集中，需要对海量事件进行集中采集和分析，安全管理系统应具有更先进的技术以大大提高事件处理能力。

统一管理。云计算环境中存在多种类型、多个厂家的设备资源，各种设备日志格式、内容千差万别，要求安全管理平台能够屏蔽其差异性，实现统一的智能分析和审计，并提供丰富的综合分析报告。

可迁移。云计算环境中虚拟化的应用，使管理单元从传统上的以“设备中心”向以“虚拟实例”为中心转变，各种资源的池化管理也使业务变化更为频繁，要求安全策略必须实现自动化部署，以便能够及时跟踪业务变化并完成动态调整，减少人工处理带来的业务延迟。

多业务系统的融合。云计算环境中IT管理系统也趋于融合，安全管理系统与其他管理系统联系越加紧密，与网络管理不断融合，同时与身份管理系统、运营管理系统也要密切协同配合。这就要求安全管理平台更加具有开放性。

针对以上这些新的应用特点，集中化、虚拟化，自动化、开放成为新一代云安全管理平台的必备特征。

一、云安全管理平台的整体架构

云安全管理平台应构建起智能开放统一的系统架构，以适应当前的云安全管理需求。如图1所示，第一，采用开放的SOA架构，提供SOAP/REST开放接口，方便与其他业务系统进行融合和协作;第二，采用分层设计，通过资源访问层将各种设备资源的访问接口进行适配和封装，利于对不同资源集中管控;第三，平台支撑层提供模块化的基础管理功能，包括高性能采集和分析引擎，大容量数据存储，虚拟化资源管理，完善的知识库系统等;第四，业务管理层对基础管理功能进行组合，实现基于业务的全方位、多视角的安全管理。

图1 云安全管理平台系统框架

二、集中的虚拟化资源管理

和传统的网络环境不同，在云计算环境中大量使用了虚拟化技术。比如“一虚多”，即一台设备虚拟成多台，如“多虚一”，即多台设备处理同一个业务，又如“多虚多”，即多个业

务在多台虚拟服务器上运行。此外由于虚拟化实例的广泛使用，整个云中的安全设备已经虚化成了一个包含多个虚拟单元的资源池，资源分配更加的随心所欲，不再局限于死板的物理资源分配。此时的安全管理软件平台，无论是在设备配置管理还是安全日志分析等方面，都需要基于虚拟化的设备资源，而不是基于单个物理设备来进行。而且，对于这些虚拟化单元，用户权限管理也要进一步细化，在完成初始化的用户虚拟化资源分配和绑定后，后续的任何操作，都应该可以基于不同租户的不同管理员进行;每个管理员都可以随时对本企业的安全资源进行策略配置调整，管理维护企业本身的安全事件分析报告。

新一代安全管理平台能够管理各种安全设备，多种安全业务在一套平台中集中展现和部署，物理/虚拟资源统一管理，实现网络安全的集中化管理。用户可以根据实际情况划分区域，面向虚拟资源，支持将虚拟设备划分为不同的虚拟设备组，同时灵活的权限管理允许不同用户管理不同的虚拟化安全设备，满足对虚拟化资源的分级分权管理需求，确保以最经济、高效的方式让新增业务快速上线并运行，对虚拟资源分配、跟踪、执行，为业务运营提供有力支撑。

三、快速的事件智能分析

在云计算环境中，要求安全管理平台对云及虚拟化环境下的IT资源统一进行监控、审计和分析，要求具有更先进的海量数据处理与分析能力，以海量事件采集为例，需要满足每秒几万条事件的处理能力，同时完成海量事件的快速查询和综合分析，提供丰富的事件报表。新一代安全管理平台将基于虚拟化资源，进行海量事件采集和统计分析，对全网范围内的安全事件进行综合的智能分析，并提供各种直观、详细的报告，满足用户的定制报告需求。在全景式的分析报告中，管理员可以轻松地看到整网过去的安全状况和未来的安全趋势，有效的帮助其了解需要重点关注的网络攻击，发现各种安全风险，以便提早防范。安全管理平台还将具有强有力的审计能力，能够从历史数据中快速查找到相关的安全事件信息，通过深入的数据查询，对具体的安全事件深入分析，能够一步一步追踪，剥茧抽丝，最终发现安全事件攻击来源及根本原因。同时利用高效的关联分析技术以及完善的知识库系统，能够在成千上万条安全事件中快速准确发现当前正在发生的重要事件，及时对网络安全提前预警进而实现对攻击行为的准确隔离。

四、自动化的策略动态调整

在传统的管理模式中，管理员关注资源的管理，侧重如何从底层资源出发保障业务和性能。而云模式下的管理则更侧重资源的自动化调配和调度，以及基于网络业务的服务深度保障，即如何根据业务性能需求变化来调整和优化资源供给方案。虚拟化的使用首先是带来需要管理目标的增加，再就是系统架构会随着业务的变化而不断的发生动态的变更，这就要求安全管理系统必须能够根据动态变化的虚拟化环境，做出相应的安全策略调整;对于管理员来说，需要为各种应用、各种处理程序，以及各种数据基础设置正确的安全策略，当面对数量众多安全策略，管理员迫切希望这些安全策略具有可移植性并易于配置，而常规模式下的手工网络操作将引起业务服务的长时间中断，已经不能满足当前业务的要求。当资源或服务发生变化时(例如服务扩容，服务虚拟化引入的VM调整、迁移等)，要求安全策略能够随之自动的进行动态调整，而不必重新实施和部署对应的安全策略，减少网络维护工作量，提高企业运营效率。安全管理平台的自动化体现在两个方面：

一是能够根据资源和业务的变化，自动实现安全策略配置的动态调整。例如，当云计算环境内的虚拟机迁移时，安全管理平台能够感应到虚拟机迁移状况，从虚拟机管理系统中获取虚拟机迁移前后的各种信息，包括虚拟机迁移前所在物理主机以及迁移后物理主机位置及IP 地址信息，然后通过网络管理系统中的网络拓扑图(拓扑图中包括了所有网络资源的连接关系)，定位出迁移后物理主机所在交换机端口进而找到所属防火墙设备，然后系统自动匹配并找出虚拟机原有安全策略，并将原有策略重新部署到新的防火墙中，实现安全策略的自动