云安全之路 | 当我们谈云网络安全的时候我们在谈什么

“由于网络安全产品的碎片化和客户需求多样化,

网络安全厂商向云租户提供

虚拟化的网络安全产品和方案与

云平台厂商内置提供的安全产品和方案

将长期共存。”

【云安全之路】往期文章:

这,就是你需要的混合云多云网络安全解决方案

从网络安全说起  

“云网络安全”顾名思义,就是云上的网络安全,所以理解“云网络安全”,我们需要先回顾一下在物理网络中我们都做了哪些网络安全的工作,然后再看怎么把物理网络中的网络安全产品和方案搬到云上。
 
对于通用的网络安全的定义,《GBT22239-2019 信息安全技术网络安全等级保护基本要求》中是这样描述的:“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。 
总结来说,网络安全的重点工作有两类:访问控制和威胁控制。物理网络中常见的网络安全产品包括防火墙、接入访问控制、入侵防御系统、防病毒和反恶意软件、虚拟专用网络等。 

理解云网络安全 

回顾完物理网络中的网络安全,理解“云网络安全”就容易了,我们也给“云网络安全”下个定义:“专指面向云租户或用户的云工作负载(虚机和容器)和业务的网络安全建设活动,是传统物理网络中网络安全建设活动在云业务环境中的变体,通常是把传统物理硬件安全设备变形为适配云环境的虚拟化安全网元,并按照云网络的业务逻辑进行组网部署”。云业务环境中的网络安全建设按网络安全产品的特点可以分为引流型、代理型、访问型、主机型等几类,防火墙、入侵防御属于引流型,Web 应用防火墙属于代理型,漏洞扫描、堡垒机属于访问型,防病毒属于主机型。对于引流型云网络安全产品,由于其受限于云网络技术,不同类型的不同云环境有不同的技术方案,而其它类型除了使用虚拟机或软件的产品,部署使用上跟在物理网络中并没有不同。 

云计算安全责任共担模型—云网络安全的范围  

我们谈云网络安全时,常常需要讨论云计算安全责任共担模型,因为它明确指出了云网络安全覆盖的范围。下图摘自《云计算开源产业联盟 – 云计算安全责任共担白皮书(2020 年)》,从中我们可以看到云网络安全的范围作用于云主机的操作系统、网络、以及应用,而根据云业务类型的不同,云网络安全的责任主体又有所不同,对于 IaaS 业务,云网络安全的责任主体完全是云租户自己;对于 PaaS 业务,云网络安全需要由云服务商和云租户共同完成(云租户看不到云主机),而对于 SaaS 业务,云网络安全则完全需要云服务商来保证。

典型的公有云网络安全方案—东西南北、云上云下

公有云上的网络安全方案是随着公有云的技术演进而演进的,如下图所示,目前主流的方案是将所有虚拟化网络安全网元都部署在独立的安全 VPC 中,互联网流量通过防火墙做 NAT,VPC 间流量通过防火墙不做 NAT,云上云下流量通过防火墙走 VPN。代理型和访问型的网络安全产品对云网络的条件要求不高,只需网络连通即可。

云网络安全能力满足度评估:等保 2.0(云计算场景) 

 
如何评价云网络安全建设的水平和成熟度,目前业内通常参考的是等保 2.0(云计算场景)的满足度,下图总结于《GBT22239-2019 信息安全技术网络安全等级保护基本要求》,云计算业务场景的等级保护既要满足安全通用要求又要满足云计算安全扩展要求。在云环境中,无论是安全通用要求还是云计算安全扩展要求都需要部署虚拟化的网络安全网元来满足,需要的虚拟化网络安全网元包括:防火墙、VPN、入侵检测防御、病毒过滤防护、堡垒机、漏洞扫描、Web 应用防火墙、日志审计等,根据等级保护级别的不同,网元的种类需求不同。

总结 

 
云安全是一个很大的概念,在信通院新发布的云安全全景图 2.0 版本中,云安全覆盖了云工作负载保护、网络安全、数据安全、应用安全、身份和访问安全、安全管理和运营、DevSecOps、业务安全、安全服务等 9 大领域,本文中探讨的云网络安全是其中的一个领域。相比于其它领域, 云网络安全更多是传统物理网络中网络安全建设活动在云业务环境中的变体,即将传统物理硬件安全设备变形为适配云环境的虚拟化安全网元,并按照云网络的业务逻辑进行组网部署,因此云网络安全这个领域通常还是传统物理网络安全的厂商在参与。
随着 SaaS 化网络安全服务需求越来越迫切,一些云平台厂商逐步开始向云租户提供内置的网络安全能力(如防火墙、入侵防御等),并在向更多自研或者集成第三方安全能力的方向迈进。由于网络安全产品的碎片化和客户需求多样化,网络安全厂商向云租户提供虚拟化的网络安全产品和方案与云平台厂商内置提供的安全产品和方案将长期共存。