一、案例背景
国能集团天津港码头有限责任公司(原神华集团,简称“天津码头”)于2004年4月成立,由国家能源集团控股。近年来公司开展了数字港口规划,数字化转型是开发数字化技术及支持能力以新建一个富有活力的数字化商业模式,从战略、业务运营、信息化建设三个层面对集团港口业务及信息化现状进行理解和分析,同时提出了数字化决策,数字化管理和数字化运营的数字化港口建设思路,全面推进智慧、绿色港口建设。随着工业互联网、AI计算、大数据等技术的发展普及,企业上云是支撑数字化建设的必要措施,实现数字化转型重生的重要路径。当数字化体系重心基于云平台构建时,云安全已经成为数字化建设的重要课题。
当前安全形势严峻,APT、0Day攻击、勒索病毒等恶意攻击事件层出不穷,国能集团天津码头各业务系统的安全生产运营面临着层层挑战;虚拟化平台模糊了传统网络边界,使得安全防护措施无从下手,并存在着巨大的安全风险,种类繁多的安全设备,导致公司整体安全运维管理效率低下。因此,针对当前生产运营面临的问题,天津煤炭码头急需提升整体网络的安全性、健壮性和可靠性,从而推进和保障信息化和智慧化港口的建设。
在此项目中,上元信安为国能集团天津港码头提供了东西向云安全微隔离产品—护云,将从业务云平台、数据中心边界、监控网、核心服务器区域提升国能集团天津港码头的安全能力体系。
图1实施组网情况
上元护云-微隔离系统是基于NFV架构和DPDK转发原理进行构建的,支持部署在vmware,KVM,Xen等虚拟化平台,提供虚拟化平台内东西向的流量可视化、虚拟机间的精细访问控制,同时贴近虚拟机提供病毒防护、入侵防御、应用控制、URL过滤、异常流量防护等,实现基于业务、虚拟机的边界重构,建立云内安全防御体系,保障业务虚拟化平台安全、可靠运营。
上元护云整体方案设计基于SDN思想,采用数据转发和控制分离的高可用架构,护云控制器负责网络管理和配置,虚拟安全组件负责数据转发和安全防护,如果控制器出现故障不会影响到用户业务的正常转发通信,为云内业务提供安全、可靠的运行环境。
护云系统接管受保护虚拟机的东西南北向流量,对虚机与虚机之间的东西南北向流量进行L2-L7层高级安全防护。由控制器集中进行虚拟安全组件的管理与配置,统一下发安全策略并进行网络编排。在统一管理平台上实现对网络及流量的监控,展现云内安全态势并进行日志审计。护云在云内部以虚机为单位进行安全防护,在云内的微边界建立全面安全防线应对各种攻击和威胁,从而构成完善的云安全解决方案。
图2护云整体产品架构
护云共包含三部分功能组件:
1)护云统一管理平台:如同整个方案的大脑,提供统一的管理界面并统管全局。管理人员通过统一管理平台可以进行整个系统的管理及用户管理。能够直观的了解云内全流量的安全风险状况,监控虚机资产情况和网络情况,实现对系统日志、安全日志的审计和溯源。
2)护云控制器:根据业务、租户、安全的需求直接进行策略配置,对网络进行编排,由控制器自动分发到相应的虚拟安全组件,大大简化云内安全防护策略及运维工作,帮助管理人员快速定位风险位置,及时作出安全响应。
3)分布式虚拟化安全组件:作为网络层到应用层安全防护能力的提供者,具备全面的流量深度检测与抗攻击能力,包括:应用管控、入侵防护、病毒防护、应用安全防护、内容过滤、三层至七层DDos防护、Web防护、智能流量管理等,从多个角度,全方位的保障每台虚拟机的安全。
上元信安护云整体主要的功能如下:
1)安全微隔离
护云云安全解决方案为用户提供全面的安全保护,帮助用户建立L2-L7层的防护体系,能够有效对病毒样本进行网络间的查杀与隔离;有效防御虚机间各类入侵攻击行为(SQL注入、缓冲区溢出攻击、端口扫描、木马、蠕虫等);有效遏制虚机间DDoS攻击行为、保障私有云内核心业务长期、有效、稳定、持续的提供服务。
护云在虚拟机之间采用零信任管理,实现不同虚机之间的微隔离,阻断虚机之间流量并进行安全过滤。护云能够及时对威胁虚拟机进行隔离,并仅对符合安全规则流量放行,有效减少虚机间威胁攻击行为,防止安全威胁在云内部进行蔓延和扩散,导致出现虚机间的病病毒风暴引起网络瘫痪、业务中断等情况,造成严重的损失。安全微隔离为云环境提供更细粒度的管理,能够以虚拟机为单位制定防护规则,提供端到端的安全保护。
2)动态安全防护
当私有云内虚机迁移时,护云会自动感知虚拟机状态变化,原有的安全防护规则将随着虚机在分布式安全组件之间一起移动,当虚机迁移到新的环境后,安全策略自动关联生效,整个迁移过程不影响业务的安全防护。同时提供全生命周期的安全防护,无论虚拟机处于开启、关机或启动状态,护云都能时刻提供安全保护。通过动态安全防护策略,帮助用户构建动态、自适应的安全防护机制,有效的减少运维管理人员的工作量和降低工作难度,提高运维效率。
3)可视化和态势感知
护云从安全、业务、应用、网络四个角度全面实现云内流量和风险的可视化。
安全可视化包括了云内安全事件统计、攻击威胁拓扑分布、攻击趋势、攻击日志的统计、以及整体安全风险的评估来展示云内安全状态,另外护云从异常流量、入侵防护、病毒防御、上网行为管理、舆情监控等多个维度对安全状态进行分层次的分析,更加精确的定位威胁;同时根据安全日志信息的统计、归类和提炼,定位黑客画像以及攻击兴趣点,帮助用户从攻击源到攻击目标回溯分析,找出云内安全薄弱区域,并制定有针对性的安全防护手段。
应用的可视化,从应用的角度分析云内流量的构成、分布、趋势等。
图3应用态势大屏
网络可视化通过自动发现云内虚拟资产并构建逻辑拓扑,帮助用户直观了解云内整体资产的情况以及虚拟网络结构,同时对资产的状态以及关联资产的用户、应用等进行深度分析,实现资产深度可视化。护云不仅帮助用户了解到有那些资产,更让用户清楚知道资产的状况。
图4网络态势大屏
护云通过可视化帮助用户形成了云内态势感知的能力,通过安全大屏对私有云内部、可视化呈现,直观展示云内虚机日常活动;对云内虚机进行多维度(流量、应用、业务、安全等)全视角的可视化监控;通过大数据分析技术,让用户对云内应用、网络、业务的真实状态有清晰的认知,同时也让用户感知云内的安全态势,帮助用户提供有针对性的措施和快速应对威胁,智能关联云分析,有效避免APT攻击的发生。
l 智能异常流量预警
护云通过大数据分析技术,收集云内海量业务流量数据,并根据应用数据类型进行特征提取和分析;同时采用机器学习技术对业务流量特征自动学习并建立业务流量模型,经过周期性的业务模型特征学习和训练,自动修正业务流量模型、预测业务流量趋势。
护云在完成周期性业务模型学习和流量趋势预测之后,将云内业务流量与自学习模型自动比对,一旦发现异常情况快速告警并通知运维人员,实现异常流量的智能预测和告警。
l 高可用性
护云在设计上采用标准的SDN架构,控制层面和数据层面完全分离,控制器实时对虚拟安全组件健康状态进行监测。当控制层面出现故障时,不影响数据层面的转发,当数据转发层面出现故障时,控制器会使受保护的虚机进入bypass状态,保障业务不受影响。
护云在防护模式上采用统一构建,逐步防护。在云内部统一构建安全防护能力,根据用户的实际业务需求,分批分次对虚拟机加保护,将风险逐步化解,减少对业务影响。
上元护云云安全解决方案改变了数据中心安全设备分层次部署的传统模式,通过集中部署,构建安全网络,降低了企业采购成本;灵活的安全策略机制能够根据租户需求进行简单、高度自适应的配置。
护云云安全解决方案采用完全的SDN架构设计,控制平面和数据层面完全分离,确保无单点故障发生,控制器或安全组件任一出现故障,都能保证业务稳定可靠运行。
护云云安全解决方案基于虚拟安全组件、Web应用防护等安全组件全维度防护,保护虚机面授病毒、入侵、DDoS、Web攻击等威胁行为影响,提供安全可靠的业务运营环境。
护云采用微隔离管理方式,细化安全域,实现精细化安全管理,为不同业务系统提供差异化的安全防护,保证每个业务系统都能享受到符合其业务需求的安全服务。
护云对于安全资源调度过程进行统一管理、自动下发,适应业务与网络快速变化。在用户实际操作中通过管理控制器进行一站式操作即可完成虚拟机的安全防护,最大限度地减少工作量和运维成本,缩短了策略调优的周期,也避免了在纷繁复杂的大量配置中发生的误操作,保证了策略配置的一致性。
护云同时为用户提供私有内部安全态势感知,从安全、应用、网络等多个方面展现当前云内态势,通过汇总分析,了解云内安全现状和安全趋势,为业务安全策略调整、安全资源调度、应对新的未知攻击提供数据支持和依据。
1.外防内控,保障天津港安全生产
基于核心业务从网络隔离、访问控制、入侵防御、病毒防护等构建边界纵深防御体系;深入业务虚拟化平台内部,以虚拟机为单位重新定义虚拟边界,针对生产管控系统、生产辅助系统、自动化控制系统、生产执行系统等东西向流量深度过滤,使其具备与边界同等级的安全防护能力。通过严防外部威胁,精控内部互访,建立统一的生产管理网安全防护体系,保障业务系统安全运行。
2.全面可视,支撑港口数字化运营
实现生产管理网东西南北的全向流量可视化监测,全面构析和呈现生产管理网内流量的组成和分布、安全风险,帮助用户全面感知网络态势,为天津港码头的数字化决策、管理、运营提供支撑。
3.智能运维,助力智慧港口建设
贴合国能集团天津码头业务虚拟化平台日常运维场景,提供虚拟机迁移时安全策略自动调动,动态跟随,建立业务虚拟化平台自适应安全体系,满足自动化、智能化的安全运维管理需求,助力智慧港口建设。
4.政策合规,减少风险,降本增效
纵深安全能力和微隔离全面覆盖传统信息系统和虚拟化平台,满足”等保2.0”相关规范;从外到内构建安全生产运营环境,减少安全事件风险,减低运营成本;自动化和智能化运维管理,提升安全管理效率。