首页 -> 网络技术 -> 技术前哨 -> 正文
Fortinet云计算安全解决方案

一、云计算安全需求特点

云计算结构与传统计算方式有着很大的区别,对云计算平台的安全建设也不能停留在传统思路上,必须与时俱进,符合新形势下的安全要求。

云计算环境下的安全特点和需求主要包括以下几方面:

1. 集中化

云计算环境下,安全防御将呈现出明显的集中化趋势。这是因为:

1) 终端几乎不保存数据,攻击终端的收益越来越小。恶意攻击者更多地将注意力集中到储存了海量数据的云端。

2) 由于终端轻量化、终端安全性提高、终端多样化等原因,对终端的攻击越来越难。

2. 专业化

正因为云计算时代明显的安全集中化趋势,对安全专业化的要求也达到了前所未有的程度。

近两年出现的APT(Advanced Persistent Threat)——高级持续性威胁,是一种极专业、极有针对性的攻击方法。APT攻击具有极强的隐蔽能力,当攻击者发现网络中受信的应用程序漏洞时,并不急于求成,而是非常耐心地利用它来进一步渗透,从而形成攻击所需的环境。在发起最终攻击前,攻击者经常会针对性地进行几个月甚至更长时间的潜心准备,运用多种渗透手段(包括钓鱼、木马、僵尸、注入等技术,甚至自行挖掘0day漏洞,以及利用社会工程学方法),收集大量关于目标系统的精确信息,熟悉被攻击者的网络坏境,探测各种安全隐患,定位关键信息的存储位置与通信方式。当一切准备就绪后,攻击者便可窃取大量被锁定的重要信息,或者造成大面积的严重破坏。

3. 复杂化

云计算平台是一个通用的平台,其上可以运行多种多样的网络应用,因此也可能带来各种不同的安全威胁。安全管理员需要从链路层、网络层、系统层、应用层(Web、数据库等)等各个层面进行全方位的考虑。

4. 健壮性

云计算为大量外部或内部用户提供服务,为了保证高质量的服务不间断运行,必须构建一个健壮的平台。云计算平台的安全防御也同样需要具有极强的健壮性,不应成为整个基础架构的短板。对安全部署的健壮性要求主要体现在高性能、可扩展、高可靠性等几方面。

5. 虚拟化

云计算数据中心为多租户运营环境,大量外部(公有云)及内部(私有云)用户共享云计算资源。服务器、链路、网络设备、安全设备均被大量用户共用。

为了最大化利用设备资源、便于管理,安全部署同样有着强烈的分散虚拟化需求。

6. 可视化

云计算平台是一个复杂的网络,管理难度大。为了降低管理难度,并把握全局,云计算平台的安全建设应遵循可视化原则。

二、 Fortinet全面防御云计算安全

Fortinet云安全解决方案不仅建立了从网络基础架构到关键应用的安全融合防御体系,满足云计算多层次的安全需求;并运用了多种硬件加速技术,为云计算提供数据中心极高的安全性能;还结合了大量虚拟化技术,无缝贴合云计算网络架构,是一套为云计算环境量身定制的安全解决方案。下图是Fortinet云计算安全解决方案示意图,下文将对Fortinet解决方案的特点进行详述。

Fortinet云计算安全方案概要图

1. 多层融合安全保护 1.1 网络基础架构安全

如前文所述,云计算数据中心面临着多样化的安全威胁,包括黑客入侵、拒绝服务攻击、窃听、病毒、木马、蠕虫等,以及结合上述威胁的混合型攻击和APT攻击。因此,首先需要在网络基础架构上进行安全加固。使用传统的单点安全防御方法(即使用防火墙、IPS、VPN、防毒墙等一系列安全设备)来应对混合型攻击,存在成本高、部署难、管理难等缺点,且由于安全防御的各组成部分缺乏统一有效的有机结合,很容易被混合型攻击及APT攻击逐一绕过,防御效果不好。

Fortinet公司的FortiGate新一代安全网关通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。它集防火墙、IPS、应用控制、病毒过滤、内容过滤、流量控制等多种安全功能于一身,覆盖网络层、系统层和应用层,多项安全技术在FortiGate设备中有机结合,形成多层次安全防御体系,有效抵御当前流行的混合型安全威胁及APT攻击。

1.2 多层次DDoS防御

FortiDDoS是专业的DDoS防御设备,通过多种检测及过滤技术,实现多层次安全防护,精确检测并阻断各种网络层和应用层的DoS/DDoS攻击和未知恶意流量,包括SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻击等各种攻击。

FortiDDoS以在线方式串联在云计算数据中心边界,工作模式为透明模式,无需破坏现有网络拓扑,也不会修改网络流量。FortiDDoS具有自学习功能,能自动建立正常流量基线及相关阈值,极大地降低了管理难度。

FortiDDoS使用多个 FortiASIC-TP(流量处理器)芯片对DDoS防御功能进行加速,单台设备即可防御高达数Gbps的攻击,还能通过负载均衡进行扩展,满足更高的性能要求。

1.3 Web应用安全

在云计算数据中心建立专门的安全Web服务区,将FortiWeb Web应用防火墙以透明模式串联至安全Web服务区与核心交换机之间。透明模式部署无需修改网络拓扑,且不会对数据流量进行任何修改,且可以实现对Web攻击的实时防护,是一种较好的部署方式。

根据性能需求,将一台或多台(负载均衡)FortiWeb部署至安全Web服务区的前端,所以需要FortiWeb防护的Web服务器(虚拟机)都部署至安全Web服务区。可以利用vMotion等VM迁移技术将虚拟机实时迁入或迁出安全Web服务区,无论公有云还是私有云都可以很灵活地开启或关闭Web安全防御。

FortiWeb是完整Web应用和XML防火墙,对应用程序、数据库及两者间交互的信息进行保护、均衡和加速,能极大的降低基于Web应用程序的部署时间和复杂性。FortiWeb基于签名库与模板检测、基于阈值的限制、会话管理、流强制、基于规则的参数验证、表单及表单域篡改验证、XML IPS等技术,能完整地防御OWASP Top 10的Web攻击,包括跨站脚本、SQL注入、缓存溢出、OS命令注入、跨站请求伪造、出站数据泄漏、编码攻击、Cookie篡改/中毒、会话劫持、 失效访问控制、强制浏览/目录穿越、站点侦察、拒绝服务等攻击,提高Web应用的安全性,并未云计算中心在法律和合规方面提供帮助。

1.4 数据安全

与Web应用类似,在云计算数据中心建立专门的安全数据服务区,将重要数据库服务器虚拟机通过vMotion迁移到该区域,然后在该区域的接入层交换机上旁路部署FortiDB数据库安全设备,从脆弱性评估和法规遵从、数据库活动监测两方面对数据库安全进行保护。

2. 虚拟化安全架构

2

2.1 安全设备虚拟化

与服务器分散虚拟化相似,FortiGate统一威胁管理设备也可实现强大的虚拟化部署。

FortiGate HA集群以旁挂方式连接在云计算中心的核心交换机上,在FortiGate上配置不同的VLAN子接口,对应不同的业务系统(私有云)或租户(公有云)。这样便实现了多租户共享少数FortiGate安全设备的目标。

通常云计算平台的业务系统或租户数量都非常多,如果所有业务系统或租户的安全管理都混合在一起,会使得安全策略的条目数量极其庞大(可能多达数万条),导致管理极其困难。而且各租户的配置还可能存在冲突(例如接口地址、路由、策略等)。

FortiGate的虚拟化功能(VDOM)可以完美地解决这一难题。单台FortiGate可以最多划分为500个VDOM(虚拟域),每个VDOM具有各自独立的接口地址、工作模式(NAT或透明)、路由表、安全策略、管理员账号等。FortiGate的防火墙、IPS、防病毒、VPN、DLP等安全功能均可在VDOM中实现。

2.2 安全软件虚拟化

除安全设备硬件虚拟化外,Fortinet还提供完善的安全软件虚拟化解决方案。Fortinet系列安全产品如FortiGate、FortiWeb、FortiManager、FortiAnalyzer等可以VMware或Xen虚拟机形式交付,直接运行在云计算数据中心的虚拟化平台上。

如上图所示,在一台或多台物理服务器组成的虚拟化平台上,运行着多个不同租户的业务虚拟机。还可以在虚拟化平台上再运行FortiGate-VM虚拟机,并对虚拟化网络进行配置,使进出服务器物理网卡的流量都经过FortiGate-VM的过滤,将其中的入侵、攻击、病毒等安全威胁过滤,从而起到保护业务服务器的作用。

这种安全软件虚拟化部署可为云计算数据中心提供以下益处:

1) 实现云计算数据中心内部各区域的安全隔离与防御。

2) 实现安全处理性能线性扩展。

综上所述,FortiGate的设备虚拟化(VDOM)和软件虚拟化(FortiGate-VM)契合云计算虚拟化环境,为云计算虚拟化提供了安全、可靠、易管理的解决方案。

3. 高性能、低消耗的绿色安全

3

3.1 基于ASIC专用芯片的高性能安全

FortiGate安全设备除了使用高性能多核CPU作为操作系统执行者和任务调度者,还采用多种Fortinet公司自行设计开发的专用ASIC芯片,来进行特定安全功能。例如负责包转发、NAT、流控、VPN加解密的FortiASIC-NP(网络处理器)、负责IPS解码和特征匹配的FortiASIC-SP(安全处理器)、负责内容层特征匹配(病毒过滤、内容过滤等)的FortiASIC-CP(内容处理器)等。这些专用ASIC芯片与通用处理器(CPU)配合使用来处理复杂的业务,就像人的大脑和脊柱(CPU)以及周围神经系统(ASIC)协同工作来执行一样,如此,将CPU从繁重的工作中解放出来,使整个系统实现数倍于同类产品的性能。

根据权威安全性能评测厂商Breaking Point的测试,Fortinet公司的高端旗舰产品FortiGate-5140B的防火墙吞吐量高达559Gbps,包转发率高达813Mpps,遥遥领先于同类产品,被誉为“世界上最快的防火墙”。

3.2 低资源消耗的绿色安全

云计算数据中心的设备数量庞大,往往需要占用庞大空间,消耗大量能源。如何减少空间、能源等资源消耗,也是云计算数据中心建设的难题。

由于大量使用专用ASIC芯片作为性能引擎,FortiGate设备无需配置过多高能耗的CPU,整机能耗和发热量远低于同类产品。又因为能耗和发热量小,就无需大量空间来安置散热装置,使得设备体积也实现了小型化。作为“世界上最快的防火墙”,FortiGate-5140B实现了500Gbps以上的超高防火墙性能,而设备高度只有13U,功率仅为3000多W;120Gbps的FortiGate-3950B只有3U高度,最大功率仅400多W。使用FortiGate高性能安全设备同时还能大量节约机房空间,降低能耗,非常符合云计算中心实现节能减排、绿色安全的目标。

4. 可视化安全管理

云计算数据中心为大量租户运行海量应用,而且设备种类、数量众多,在多站点环境中甚至需要跨地域管理,管理难度很高。

结合FortiManger集中管控平台、FortiAnalyzer日志审计中心,Fortinet云安全管理方案实现统一可视化安全管理,使云计算中心管理员既能随时掌握全局安全态势,又能深入每一个安全细节,为安全建设、监控、响应、优化提供科学依据。

5. FortiGuard安全云

信息安全是一个动态的过程,世界各地每天都会产生新的病毒、攻击等安全威胁,静态的安全防护很难适应瞬息万变的安全需求。

Fortinet公司的FortiGuard安全云为Fortinet用户提供安全特征更新与查询服务,配合Fortinet系列安全产品,为云计算中心构建实时更新、快速响应的安全体系。

6. Fortinet云计算安全方案优势总结

Fortinet云计算安全解决方案覆盖了从链路、网络、系统、内容到Web、DB等关键应用的安全需求,避免了安全短板,为云计算数据中心构建了立体安全防御体系,全面防御各类混合型攻击和APT攻击。

安全设备虚拟化和安全软件虚拟化技术,与VM虚拟机技术、HA冗余技术、vMotion迁移技术完美配合,使Fortinet的安全技术无缝溶入多租户、虚拟化的云计算环境。

独特的多ASIC芯片硬件处理构架,提供无与伦比的安全处理能力,满足云计算中心苛刻的性能要求。极低的空间占用和能源消耗,顺应云计算中心节能减排、绿色安全的趋势。

统一可视化安全管理及智能响应,为云计算数据中心降低管理难度,整合安全资源,加快响应速度,提升防御能力。

Fortinet安全设备与FortiGuard安全云配合工作,帮助云计算中心持续更新安全体系,第一时间防御各种0day攻击。

文章搜索

覆盖全国各省会城市及海外城市的网速测试
→选择要测试的地区
→选择目标测试点
>> 测试点注册