白皮书

确保云安全

Updated March 23, 2010
  • Share via AddThis

云计算是一种计算方式。在这种计算方式中,可动态扩展且以虚拟化为主的资源会被作为一种服务提供。用户不需要对支持他们的“云”中的技术基础架构有任何了解、专长或控制。此外,云计算采用了一种模式,使人们能够以可用、方便和按需的方式通过网络访问可配置的计算资源共享池,例如,网络、服务器、存储、应用、服务,这些资源可以在最少的管理工作或服务提供商互动的情况下迅速提供和释放。

F5 Networks 云调查,2009 年 8 月

简介

虽然企业肯定看到了计算资源“现收现付”模式的商业利益,但“安全问题”似乎总是排列在有关云计算的调查中首位!这些担忧包括认证、授权、会计 (AAA) 服务;加密;存储;安全漏洞;监管合规性;数据和用户的位置;以及与隔离敏感企业数据相关的其他风险。在这一系列的担忧中,再加上数据失控的可能性,云模式开始变得有点可怕。无论您的应用在云中的位置如何,或者它们是如何被服务的,有一个“问题” 是始终存在的:那就是,您是在第三方地点托管和交付您的关键数据的,而不是在您自己的可控的范围内,这就使得保护数据安全成为重中之重。

谨慎进入云端

大多数早期采用者开始使用非关键数据测试云中托管。性能、可扩展性和共享资源是最初云产品的主要关注点。虽然这仍然是一个主要的吸引力,但云计算已经成熟并确立了自己作为 IT 部门另一个选择的地位,更多的数据(包括敏感数据)正在向云端转移。问题是,您根本无从知晓数据每时每刻都在云端的什么地方。IT 部门已经对敏感数据的保密性和完整性感到焦虑;将这些数据托管在云端不仅突显了对保护第三方位置关键数据的担忧,还加重了对这些数据进行基于角色的访问控制以实现正常业务功能的担心。

企业开始意识到云不适合静态的安全控制。与云架构中的所有其他元素一样,安全必须集成到一个集中的动态控制平台中。在云中,安全解决方案必须有能力拦截所有数据流量,解释其上下文,然后对该流量做出适当决策,包括指示其他云元素如何处理该流量。云需要应用全局策略和工具,并且在应用和数据从数据中心移动到云端以及移动到云端的其他点时,这些策略和工具要能够与应用和数据一起迁移并控制对它们的访问。

应用交付的作用

一般来说,F5 解决方案都专注于应用交付。鉴于任何云,无论模式或位置如何,其最终目标都是以最高效、最敏捷、最安全的方式交付应用,因此在构建云基础架构时,F5 解决方案就显得尤为重要。考虑到应用交付需要与云架构的动态控制平面一样的战略控制点,而且必须具备同等的拦截、解释和指示能力,这一说法更是千真万确。

云必然需要各种组件(其中许多不在 F5 的领域内)来创建一个能够提供可扩展性的环境,与应用交付相关的基础架构解决方案与 F5 的专业领域密切相关。这些基础架构解决方案提供了动态控制平面所需的可扩展性、可延伸性、适应性、可管理性、安全性、移动性和实时性能。

F5 专注于利用独特的模块化交付基础架构中的代理(拦截)、策略(解释/指示)和服务(解释/指示)提供智能和策略控制点,非常适合处理与云计算相关的大量流量。F5 解决方案可以部署在各种硬件平台上,在整体容量和性能上提供了灵活性,使大中型组织以及服务提供商能够选择可满足组织独特需求的应用交付或数据解决方案。

F5 安全云

虽然您可能会把 F5 BIG-IP Local Traffic Manager (LTM) 应用交付控制器视同高级负载均衡,但它也会检查所有入站和出站应用内容。此外,BIG-IP LTM 是一个强大的安全工具,可以阻挡基于网络和应用协议的攻击。开箱即用的 BIG-IP LTM 既能保护由它传送的应用,也能保护与其连接的网络。而且 BIG-IP LTM 提供了统一的安全解决方案,包括但不限于数据包过滤、端口锁定、拒绝服务 (DoS) 攻击保护、网络/管理隔离、协议验证、速率整形、SSL 终止等。

虽然这份安全优势列表令人印象深刻,但有一些攻击无法通过网络设备或应用检测到,而且越来越多的“盗贼”通过基于 Web 的攻击来追寻应用数据。由于第 7 层 DoS 攻击、XSS、SQL 注入和暴力破解攻击很容易入侵 Web 应用,因此必须采取额外的安全措施。

F5 BIG-IP Application Security Manager (ASM) 作为 Web 应用防火墙,不仅可以防止 OWASP Top 10 中所列的常见漏洞,还可以通过细化策略加强对数据的控制。BIG-IP ASM 应用安全模板适用于许多流行应用,使您能够以最佳设置快速部署应用安全。有了 BIG-IP ASM,即使是在云端,对访问数据之人、可用数据类型、是否可以交换数据的控制能力,以及获取详细的日志和报告的能力,也能够帮助您满足监管合规性的要求。BIG-IP ASM 提供了额外的保护措施,如擦除社会保障号、信用卡号和其他自定义字段中的内容;以及屏蔽敏感数据、选择性加密服务器 cookie 和密码字段、目录级或文件类型限制,以及隐藏 IIS 服务器版本信息的资源隐形。

云供应商和客户最为关注的问题之一就是数据进出云的强大认证、授权和加密。

用户和管理员都需要进行身份验证,并且要使用强有力的或双重身份验证,以确保只有授权人员能够访问数据。再者,数据本身也需要进行细分,以确保不会被泄露给其他用户或系统。大多数专家都认为,AAA 服务以及用于管理云基础架构的安全加密隧道应该是供应商提供的基本云服务中最重要的一项。由于数据可以存放在您实际控制较少的远程位置,因此逻辑控制变得至关重要,强制执行对原始数据的严格访问并保护传输中的数据(如上传新数据)对业务而言非同小可。丢失、泄露或篡改数据会带来毁灭性的后果。

对此,F5 可以通过 BIG-IP Edge Gateway 和 BIG-IP Access Policy Manager (APM) 等解决方案帮助供应商和客户。BIG-IP Edge Gateway 采用 SSL 技术,将访问安全、加速和应用可用性服务整合在一起,实现上下文感知、策略控制、安全和优化的应用访问。BIG-IP APM 是一个灵活、高性能的访问和安全平台;有了它,您可以通过实施可靠的安全策略来管理网络和应用的访问。通过整合上述服务,以及在网络中引入用户和群组身份,策略和服务级别的设置将可以基于身份和位置。基于上下文的访问使互联网以及云计算成为企业更快速、更易预测、更安全的网络,这对移动用户和 IT 管理员尤其有利。

图示
图 1:F5 安全云提供从客户端到云的全面保护。

分布在全球各地的移动用户需要快速、安全地访问应用;IT 管理员需要管理云架构和云应用。BIG-IP Edge Gateway 和 BIG-IP APM 具有丰富的安全功能,可以满足移动用户和 IT 管理员的需求。

基于 SSL VPN 的安全服务提供端点安全,让 IT 管理员能够掌握访问组织之人,端点设备的态势,以验证是否符合企业访问策略。强大的 AAA 服务、L4 和 L7 用户访问控制列表以及集成的应用安全有助于保护企业资产并保持监管合规。可用性服务为管理员提供了全局流量管理功能,可根据位置、L2-L4 交换、集成路由和 IPv6 Gateway 将用户引导到最佳站点。加速服务提供非对称和对称的网络和应用加速,以及缓存、压缩和去重复,以获得卓越的用户体验。

通过 BIG-IP Edge Gateway 连接的用户,无论身处何地,都能通过每秒多千兆的 SSL 加密吞吐量与 BIG-IP LTM 速度的 HTTP 和 HTTPS 接收应用。客户端服务通过智能连接接入智能系统,使用户能够在移动设备上动态地访问企业网络和应用。与 BIG-IP Edge Gateway 绑定的智能连接接入,通过让漫游用户知道自己何时未连接到企业域,为其提供即时安全访问。智能连接接入还通过流量整形提供应用加速,以实现动态、适应性的压缩。通过客户端流量整形,管理员可以优先处理服务器消息块 (SMB) 等特定协议,确保文件传输和 VoIP 流量都能通过。

通过 BIG-IP WAN 优化模块支持的集成 iSession,IT 部门可以通过优化的加密隧道与云环境连接。由于保持对云中数据的控制十分重要,因此一些组织喜欢将数据“存放”在企业数据中心,并在请求时让云端访问数据。这个过程自然会对性能产生影响,为此,安全、优化的 iSession 隧道提供了从数据到云的管道。对称、自适应压缩使隧道能够使用可用带宽的最佳压缩比,并调整数据流以更好地使用带宽、CPU 和压缩率。分支机构也能从加速服务中获益。无论是对于备份场景还是仅用于保持信息的更新,对称数据去重复只更新数据的变化(而不是传输整个文件),从而节省带宽。此外,还支持 CIF 和 MAPI 加速,以及硬件加速(SSL 和压缩)和 L7 速率整形,包括 QoS 模式。

管理云一直是 IT 部门面临的一个挑战。一个用于 Web 访问管理和 SSO 的中央访问控制点, 使得针对上下文感知网络的基于策略的资源访问控制, 可以快速部署,并且易于管理。BIG-IP Edge Gateway 策略可以导入和导出,Web 应用安全且可加速,并能提供远程访问、内部 LAN 控制以及公共和私人无线模式。

结论

云计算在快速发展的同时,可以为 IT 部门提供一个强大的应用交付选择。云计算承诺提供可扩展的按需资源、灵活的自助式部署、更低的总体拥有成本、更快的上市时间,以及多种服务选项,可以托管您的整个基础架构,成为您基础架构的一部分,或只为单个应用服务。

无论您与云的距离有多远,无论是公有云、私有云还是混合云,F5 解决方案都可以帮助您的云基础架构或部署变得更加安全、可靠和灵活。安全远程访问技术提供了对基于云应用的上下文安全访问;Web 应用防火墙提供了集中应用安全的方法;网络端脚本提供了按需解决安全漏洞的敏捷、即时方法,所有这些都有助于保持云的动态、流畅和安全。IT 管理员可以隔离配置和管理,对云计算基础架构的访问进行精细控制,并可以隔离应用流量,提高使用共享资源的应用数据的安全性。

使用 F5 保护云安全,包括一套灵活、统一的解决方案,同时每个解决方案都有自己的专长,以满足您特定的云应用交付需求。