Check Point安全云蓝图白皮书

来源:企业网

点击:1243

A+ A-

所属频道:新闻中心

关键词:云计算 安全云蓝图白皮书

    云计算已在全球范围内广泛采用,而且预计未来几年内还会得到进一步增长。业务敏捷性无疑已成为企业采用云计算的主要优势和关键动力,原因在于可以更快地获取和部署IT 资源。一经部署,这些资源便可按需增减以满足需求。据RightScale“2017 云现状报告”(在下方图片中示出),报告中有 95% 的受访者表示他们在使用云。显然,所有云平台(包括公有云和私有云)的采用都十分可观,而且更重要的是,组织在构建其混合云环境时会利用多个供应商。

    同时,Gartner 称,安全性始终是采用云计算的最大妨碍因素。

    这不足为奇,因为云服务本质上是共享且始终连接的动态环境,因而其在安全性方面便成为一个难题。将计算资源和数据迁移到公有云环境意味着,您需与云服务供应商共同承担安全责任。尽管基础设施保护由供应商提供,但您希望并需要能够控制自己的数据,保持其完全私有性,且保护自己所有的云资产,同时还能保持遵守监管要求。Check Point CloudGuard使用高级威胁防护安全功能保护私有云和公有云中的应用程序与数据,同时实现与公有云和混合云环境的可靠连接。

    本文件侧重于架构设计和安全性。其实际是一个蓝图,允许您实现最佳安全控制和可见性,与云基础设施的敏捷性、灵活性及自动化本质保持一致。关于详细的操作指令,每个平台皆存在独立文档,以提供关于解决方案创建及部署的实践指导。

    如上所述,组织希望更好地利用其IT 资源,并将其与云势必提供的最新且最大的如下优势特征相结合:敏捷性 - 缩短上市时间间隔灵活性 - 按需扩展和收缩资源有效性 - 仅根据使用的功能付费在设计基于云的环境时,基本要求便是相应架构需匹配您以及您客户的业务用例,同时保持无懈可击的卓越安全性。

    本文件重点介绍以安全方式构建基于云的环境时,需遵循的必要原则和最佳实践。

    五大原则

    1.具有高级威胁防护的边界安全近年来,攻击的频率和时下所用恶意软件的复杂程度都已明显提高。这种情况的出现与漏洞扫描、Web 用程序攻击和暴力攻击相关的云事件不无关系。许多组织误以为其云服务供应商(CSP) 会负责保护他们云中数据的安全。事实并非如此。

    安全是CSP 的第一要务,但是他们通常按照所谓的“共享责任模式”范式进行操作。这实际意味着,CSP 承担云“的”任何东西的完全所有权(和责任),而客户自行承担有关云“中”任何东西的全部责任。CSP 还为客户提供若干免费的基本安全防护工具,但从最新的威胁和数据泄露事件来看,很明显,更多高级威胁防护不可或缺,客户需负责为自己的数据提供保护。

    因此,组织必须使用一流的保护功能抵御现代攻击,从而为其环境提供坚实屏障。这可在环境边界之上应用,适用于进出环境的主要流量交汇处。

    2.分区网络分区通常旨在缩小网络攻击面,并限制恶意威胁在整个网络内自由传播的能力。最近的网络攻击很大程度上依赖于在网络内横向传播,并感染该网络内的其他机器。这种行为再一次说明通过应用程序或服务对网络进行分割,并在这些网络分段之间配置一流安全防护的必要性。安全执行在两个层面完成。第一层处于访问级别,其中防火墙策略用于允许某些流量正常流动,以认可正常的应用程序操作,但也可以拦截这些分段之间的有害流量。

    在威胁防护的第二层之上,防火墙检查访问级别所允许的流量,但需要彻底对其进行检查,以识别这些流中的恶意行为。这样,应用程序间就可以相互安全通信。进一步讲,云的软件定义网络(SDN) 功能还使我们能够将这些高级保护检查点置于单个主机之间(甚至在同一网络分段内),并实现通常所说的“微分段”。

    蓝图中所涵盖分区的另一方面是,从方法上执行流量限制和分区,以避免可能导致资产对外泄露的人为错误和错误配置引起的数据泄露。该方法的实践方式是,例如系统性地拦截穿过网络一个区段的横向移动,同时允许其在另一个受到密切监控且已实施安全控制措施的替代受制区段上。

    3.敏捷性云势必提供的按需本质能够高速运行业务,并真正实现敏捷应变。如果花费数周时间来配置服务器和服务,或如果安全运行成为业务的重大障碍,则几乎不可能采用现代化的有效业务实践,因为每个申请或审批流程都冗长且耗时。此蓝图的架构方式是在培养敏捷性的同时,确保在不失控且不增加运行风险的情况实现速度增长。

    这可通过在组织中不同利益相关方之间创建范围内的所有权委派来实现。通过这种方式,DevOps、应用程序所有者以及其他群组均可享有资源和环境上的更高权限级别。如此,他们可以自由创建并对其进行管理。伴随更大权限而来的是更多责任,需要自行负责工作负载之内以及之间的访问控制,同时让网络和安全团队负责威胁防护和高级安全防护考量。

    4.自动化、有效性及灵活性云自动化是一个宽泛的术语,与组织用以减少与配置和管理云计算工作负载相关之手动操作的流程和工具有关。显然,这与安全运行也切实相关,因为在云环境中,手动保护工作负载和资源的传统方式已不再适用。如果因安全运行要求而导致业务敏捷性受阻,则可能(通过使用变通方法)忽略前者,或是选择性地以不妨碍业务的方式开放保护措施。就云安全运行而言,自动化对减少潜在风险和消除一些组织流程中的人为因素至关重要。蓝图本质上完全支持并促进流程和步骤的自动化实施,从使用预配置模板完成的环境配置阶段,到使用动态自适应策略完成的日常策略操作,其中无需人为干预。

    5.无边界如前所述,通过多个云供应商启动和运行其工作负载正日益成为企业客户的惯例,而主要目的则是为了更好地支持其业务要求。在单一和异构环境中使用多个云计算供应商通常也称为多云战略。这一战略的确前景看好。

    若利用位于不同地理位置并拥有大量新兴技术的多个云供应商,会面临诸如以下安全挑战:

    a. 跨所有环境执行一致的安全策略

    b. 从统一的中心点轻松管理安全状况

    c. 安全地连接各种云和位置

    d. 允许应用程序轻松安全地与彼此进行通信,而无需考虑其位置如何e. 能够提供深入不同位置之中以及之间流量流动的可见性蓝图能够应对上述挑战并提供支持,敦促企业遵循这一战略。

    下述蓝图架构旨在符合以上指导方针要求,并确保企业安全地迁移到云。      

    Check Point 安全云蓝图白皮书

    该架构概念基于“中心辐射型”模式,其中将环境设置为一种通信线路的系统,其中的通信线路像钢丝辐轮一样布置,其内的所有分支都连接到一个中介器(中心)上,所有进出分支的流量都要遍历通过中介器(中心)。蓝图中提议在同一环境中使用两个这样的中心,以便进行流量分离。

    分支每个分支都是一个独立的网络环境,其包含一个或多个网络子网的集合,典型的工作负载可从中安装及运行。一个常见用例是包含多个虚拟服务器的分支,这些虚拟服务器组成部分或整个应用程序堆栈(Web、应用程序和数据库)。

    另一个用例是用作现有本地网络扩展的分支,如一组用于测试的QA 服务器,或一组数据处理服务器,这些服务器利用云的按需配置降低成本并提高敏捷性。本蓝图属于高级别的设计文档,适用于所有领先的云环境,如AWS、Azure、Google、Oracle 云、阿里云等。

    中心如下图所示,我们在环境中使用两个中心。这样可实现整个环境内的灵活性,并将通信类型进行系统性分离。一个中心旨在接收来自互联网的传入流量,另一个用于分支之间的横向流量、进出公司网络的流量以及传出到互联网或其他云环境的流量。环境内流量通过配置中心和分支间的路由及连接,可以将中心设定成进出环境的唯一路径,以及环境中分支内部和分支之间流通的唯一路径,因为分支间并没有彼此直接连接,实际上只能通过其中一个中心进行访问。这样也能确定出环境的边界和分区。

    Check Point 安全云蓝图白皮书

    边界安全边界划定在中心上进行(北和南)。推荐在边界上启用的安全保护包括防病毒软件、防僵尸网络和IPS。分区通过将资源置于不同的分支,并对进出分支的流量执行安全控制,从而实现分区。

    蓝图中的三大主要分支类型是:仅面向互联网(如上图中的分支 1) - 这些分支连接至北向中心,因此只能通过来自互联网的进站流量进行访问。通常,这些分支将托管面向互联网以及需要从互联网访问的前端服务器。从这些分支到企业资源或环境中其他分支的连接受到系统性拦截,且无法通过简单配置启用(以此避免人为失误和错误,以防将保密资源泄露给公众)。

    仅面向私有(如上图中的分支 2) - 此类分支只连接至南向中心,因此系统性地无法从互联网访问,而只能通过VPN 和/或直接连接至公司网络或环境中其他分支进行访问(根据南向防火墙的安全策略)。此类分支的一个实例就是托管数据库(DB) 服务器。我们不希望可以从互联网直接访问这些服务器,但希望能够具有安全的连接。

    组合(如上图中的分支 3) - 此类分支适用于既可以从互联网访问,也要求后端访问其他分支或公司网络的服务器。此类用例之一是网站服务器,一端连接到互联网,另一端需要访问应用程序服务器或数据库服务器。

    敏捷性

    为实现和支持业务敏捷性,可以创建分支,并完全隶属于组织中不同的LOB(业务部门)。事实上,只要符合组织策略,组织中的任何人都可成为分支所有者。分支创建后,其中的服务器、容器及其他任何工作负载均被分支所有者控制和维护。这样可以实现分支内部自由运行,无论是创建、开发还是启动服务或应用程序。同时也实现了云环境最大的敏捷性功能,不存在技术支持开销,并与每个分支中的任何事件无关。自动化如上所述,蓝图的另一个重要方面是将IT 集成到云运行中。蓝图简化了将 IT 引入云环境的流程,且有助于利用云的自动化和协调等最大功能。

    这样可让IT 顺利运行,使其成为业务的助力者,而非拦路石。通过使用预配置的虚拟防火墙部署模板,IT 只需“单击按钮”,甚至无需任何手动配置,即可安全地部署整个环境。这对于环境配置和日常运行都是如此,同时还支持灵活的环境即装即用。以一个类似于上图的环境为例。环境中的应用程序所有者添加了一个新的分支。Check Point 管理服务器(SMS) 自动识别此新分支,并自动形成所需的安全进出连接。这样可提供对新建分支进出流量的全面可见性和控制,并确保符合IT 所确定的标准和策略。组织安全状况可实现同样程度的动态性,其中策略可以获得预先批准,然后动态地分配至工作负载(如基于资源标记)。

    更新即时完成,使企业主能够按照自身的节奏进行,并确保符合公司的策略和标准。无边界此设计本身还支持在单一云平台的常规限制之外进行扩展,并能处理云平台之间的连接,同时在整个环境中维护相同的架构原则和同等的安全状况。此类多云架构的范例是将服务部署于AWS 和 Azure 的在线游戏公司,其背后的逻辑其实是“最佳”方法,即根据团队的专业知识和技术优势选择每个平台。例如,网站前端和应用程序层由AWS 托管,跨多个可用性区域以提供冗余,而身份和验证功能则由Azure 集成 ID 服务提供,数据库和存储层托管在本地数据中心。

    Check Point 安全云蓝图白皮书

    其他考虑事项统

    一管理多云环境中的运行安全性是一个挑战,因为涉及到管理和控制使用不同管理工具的多个位置的资源。显然在这种状况下,即使环境中已解决连接性问题或安全事件,试图维护统一的策略也会非常麻烦并且效率低下。

    R80.10 管理服务器 (SMS) 是一个集成式安全管理解决方案,包含策略、日志记录、监控、事件关联和报告,所有功能集中在使用统一安全策略的单一系统中,使得管理者能够轻松识别整个环境中的安全风险并维护策略安全。统一的策略让组织能够将其安全定义转换成一组简单的规则,从而在整个组织中简化策略的管理和执行。

    Check Point 安全云蓝图白皮书

    冗余和弹性

    作为经验法则,此蓝图为本地故障事件而创建,具有内置弹性。其在环境的多层上实现。

    1. 数据中心级别冗余 – 环境内置到多个(2 个或以上)区域中,每个区域代表一个独立的数据中心(例如,独立的网络、电力、空调,甚至单独的建筑物)。

    2. 软件级别冗余 – 在整个环境中,网关以 N+1* 冗余性部署。这可根据网关的位置和角色转换为两个独立的解决方案。

    a. 在北向中心,基于 http/https 的连接从互联网传入,网关以弹性方式实施,其中网关数量基于流经网关的负载而动态变化。此类扩展(也称水平扩展**)在负载增加时会增加其他网关,并在几分钟内投入使用(网关初始化需要五到七分钟),负载将在网关之间实现平衡。负载减少时,则会移除池中不需要的网关,以实现环境在成本和性能方面的高效。

    b. 在南向中心,网关部署为活动备份群集。此扩展机制称为垂直扩展***。当通过该中心的负载增加时,会分别向各个网关增加更多的资源。* N+1 冗余是一种弹性形式,确保在组件出现故障时的系统可用性。组件 (N) 至少有一个独立的备份组件 (+1)。** 水平扩展是指通过向资源池增加更多机器进行扩展*** 垂直扩展是指通过在现有机器中提升能力(CPU、内存)进行扩展故障转移北向中心的网关出现故障时,该网关上的连接不会保留,新的连接将被重新平衡到环境中工作正常的网关。

    基于http/https 的连接本质上并无状态。用户体验仅仅是在几秒内刷新浏览器。在南向中心,连接更加多样化、复杂,且通常有状态,连接在群集成员之间不断进行同步。活动网关的故障转移将导致备用成员重新获得所有活动连接,并成为活动成员。连接相关性北向中心连接相关性基于客户的IP 地址和端口号,因此从互联网发起连接时,负载平衡器会选择目标网关以发送连接,并且只要会话在进行中,就一直保持该目标。南向中心相关性基于活动成员,因此所有流量总是导向到活动成员。推荐规模通常基于环境内的性能需求及所需的安全级别调整解决方案。

    推荐的典型环境组成为:

    1. 在北向中心,推荐至少 2 个网关 (N+1),每个配置 4 个虚拟 CPU 内核,8GB 内存。如上所述,扩展是水平进行,因此环境中的负载增长时,新的附加网关会自动添加到环境中。2. 在南向中心,推荐群集包括

    2 个网关,每个配置 8 个虚拟 CPU 内核,8GB 内存。增长是垂直进行,意味着会向每个网关增加更多资源(CPU/ 内存)。

    灾难恢复

    对大多数组织而言,通常会建立弹性的架构以应对严重事件。通过此蓝图提供的灵活性,可以轻松创建和维护灾难恢复站点,作为架构中的另一个站点。而且,可将基础架构缩小至零冗余,但又足以支持高峰负载。

    (审核编辑: 智汇张瑜)