教育行业云桌面解决方案之云安全防护

教育行业云桌面解决方案之云安全防护

2021-07-15 13:08:39

 

  根据调研数据,信息安全风险是客户采用云计算所考虑重大问题之一,且国家和行业安全监管愈加严格,安全已经成为组织规划、设计、建设和使用云计算系统而急需解决的重大问题之一,尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云计算系统安全保障问题

  云计算模式通过将数据统一存储在云计算服务器中,在传统 IT 技术的基础上,增加了一个虚拟化层,并且具有了资源池化、按需分配,弹性调配,高可靠等特点,但是这样也导致虚拟网络中无法更好的进行防护,比如同网段的流量可能内部进行交互,无法进行流量监控;同租户的不同网络的流量可能不经过物理防火墙,无法进行审计。

  在云计算环境中,为了适应虚拟化环境,以及对对云主机之间的流量、跨安全域边界得流量进行监测和访问控制的需要,安全设备在保持架构和功能的基础上,在产品形态和部署方式发生了一定的变化。

  在产品形态方面,主要体现是由硬件变化了软件。在部署方式方面,主要通过合理设计虚拟化网络逻辑结构,将虚拟化安全设备部署在合理的逻辑位置,同时保证随着虚拟主机的动态迁移,能够做到安全防护措施和策略的跟随。

 

NGFW(下一代防火墙)

  传统单点设备包括防火墙、VPN、IPS、杀毒、沙盒等,需要一系列的设备,NGFW集成了以上所有的功能,拓扑更简单,功能更强大。NGFW支持云主机形态,从防火墙、IPS、SSL VPN、Anti-DDoS、网闸等技术手段确保云边界和云内部系统、数据和通信的隔离和安全,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
 
  1. 网络隔离和安全过滤
 
  NGFW基于状态检测包过滤技术,可以针对IP地址、服务、端口等参数决定是否允许数据包通过,在第三层(网络层)和第四层(传输层)进行数据过滤。
 
  NGFW预置了常用网络服务的端口信息,如HTTP使用的TCP 80端口、FTP使用的TCP 21/20端口等。也可以自定义任意的TCP/UDP/ICMP/IP服务和端口。同样可以将不同的服务和端口加入组,在策略中统一调用。

 
  1. NAT
  NAT即网络地址转换,是把数据包中的源地址(端口)或目标地址(端口)转换成需要的地址。NAT由以下两个步骤完成:原有地址被转换成所映射的地址,然后再把返回的数据包进行地址还原。
  可以在内部网络使用私网地址。私网地址在Internet上是不可以路由,只有转换成公网地址后,才能使用。NAT把真实的IP隐藏起来,攻击者就无法知道主机的真实地址。如果两个网络地址重叠的话,通过NAT可以实现网络的互通。
  NGFW防火墙支持多种NAT方式,可以实现公网IP地址和私网IP地址的单向或双向转换,常被作为专门的NAT设备使用。

NGFW支持的NAT方法包括
1、静态NAT
2、动态NAT
3、PAT
4、运营商级NAT(CGN)

NGFW可以实现对上述各类NAT的细粒度控制:
1、哪些地址需要进行NAT
2、什么时间段内进行NAT
3、目标地址为多少的时候进行NAT
4、哪些服务要做NAT
5、防火墙的什么端口到什么端口之间进行NAT
使NAT功能完全根据用户的需求进行工作,非常灵活方便。
 
入侵检测防护能力
  主机入侵检测防御系统,是一个跨平台服务器安全加固产品,符合国家三级安全操作系统安全加固要求,可以将常见服务器操作系统提升至等保三级要求,从根本上免疫现有的各种针对操作系统的攻击行为。
主要功能包括:
防爆破:采用系统级插件技术,可及时发现并阻断暴力破解行为,其相对主机账户安全策略来说更智能,配置更方便,更贴合用户实际需求;
主机隔离:内核级网络防火墙,网络驱动技术实现,不依赖系统自身的防火墙,对不同的业务之间的流量进行精准识别、针对非法流量可以精准阻断;
访问控制:支持互联网应用服务的访问控制,支持对一个IP或IP范围进行Web应用层面的细粒度访问控制。网站访问控制的策略优先级高于网站漏洞防护策略。支持对不同网站的URL进行配置,也可通过直接设置域名达到全站放行;
进程防护:使用内核驱动技术,每当有进程启动时从操作系统内核中可以得到通知,获取到包括进程路径等一系列上下文信息后,可以根据用户设置的白名单直接拒绝或放行;
性能监控:可限制资源最大使用限度,对终端的CPU、内存、磁盘及网络入站、出站流量进行监控,并在达到用户配置的阈值时及时发出告警,防止系统资源耗尽
可疑行为检测:监控操作系统中横向命令,及时告警
文件完整性监控:监控指定监控目录下内容完整性

主机安全

  虚拟化安全管理系统旨在解决企业虚拟化环境下的安全问题,提供对宿主机、云主机、云主机应用的三层防护能力,采用低耗的技术架构,全面兼容企业物理和虚拟环境,保障企业业务系统的稳定性和连续性,为用户提供一套可跨多种虚拟化平台、具备强大防护能力的虚拟化安全解决方案。
  主机作为安全威胁的源头,针对安全威胁的响应最终会“着陆”到主机。主机面临的安全威胁可以概括为以下三个方面:
  外来威胁:恶意代码数量日益增加、攻击手段不断翻新、甚至误操作导致的电脑崩溃、网络瘫痪、重要数据丢失/破坏、病毒、移动存储木马、信息泄露等;
  管理措施不足:操作系统漏洞、内网访问不受控、数据共享权限混乱、数据外泄渠道通畅等;
  制度执行力度不够:安全制度缺失、监管与审计不力等。

  由此提出了如下相关三个方面的安全需求:
主机防御:能够防御针对主机系统和网站的攻击;
安全检测:能够检测病毒、木马等安全威胁,并且能够一键清除所有威胁;
安全运维:能够第一时间更新漏洞补丁信息,提醒管理员修复。
  1. 方案设计
  在深入分析与研究常见黑客入侵技术的基础上,总结归纳大量针对主机的安全漏洞信息和攻击方式后,提出了以主机安全及管理系统为基础的解决方案。
设计原理示意图:
 
 
方案目标
  1. 防御已知和未知类型勒索病毒
  面对使传统杀毒软件束手无策的未知类型勒索病毒,®主机安全及管理系统采用诱饵引擎,在未知类型勒索病毒试图加密时发现并阻断其加密行为,有效守护主机安全。
  1. 管控全局终端安全态势
  服务器、PC和虚拟机等终端安装了客户端软件后,上传病毒木马、违规外联、安全配置等威胁信息到管理控制中心。用户在管理控制中心可以看到所有安装了客户端软件的主机,包括服务器、PC和虚拟机的安全态势,并进行统一任务下发,策略配置。
  1. 全方位的主机防护体系
  主机安全及管理系统包含传统杀毒软件的病毒查杀、漏洞管理、性能监控功能,在系统防护方面还可做到系统登录防护、系统进程防护、文件监控,还支持网络防护、Web应用防护、勒索挖矿防御、外设管理等多个功能点。
  1. 流量可视化安全可见
  主机安全及管理系统通过流量画像的流量全景图,展示内网所有流量和主机间通信关系,梳理通信逻辑,上帝视角对策略进行规划,便于用户第一时间发现威胁,一键清除威胁。
  1. 简单配置,离线升级,补丁管理
  主机安全及管理系统可将人类语言转化为具体安全配置,明确、有效的进行主机防护。主程序、病毒库、漏洞库、补丁库、Web后门库、违规外联黑名单库全部支持离线导入升级包、一键自动升级,可在专网使用。