随着云计算产业成熟,一个不容忽视的问题也随之出现—— 云安全,品高云作为基础架构云的提供商,一直致力着云安全世界的构建。在上月,品高云与国内知名安全厂商启明星辰针对云安全领域,进行了产品联合测试,验证了 BingocloudOS 与 Vetrix 系统结合度,分别从兼容性、防护功能实现两个层面进行了验证测试,效果令人满意。

层面一:两者结合方式

Vetrix 系统对云平台防护,其底层实现形式是对于云中流量进行检测,若检测结果符合在 Vetrix 管理中心所预设的策略,则继续正常运行;若检测发现异常流量或违背预设策略,则在 Vetrix 管理中心预警提示并产生后续相应的阻断效果。由此可知,实现防护的关键在于云中虚拟机的流量导流,而品高云完全支持将流量导出,并且经过测试验证,有两种形式可以实现:

1、品高云的 SDN 网络支持通过 OVS 引流的方式将云中流量直接导出,导出流量经过交换机送往 Vetrix 管理中心,再由 vIDS、数据库审计的虚拟机进行流量检测,此方式可以导流功能无资源消耗;

2、 在品高云中运行启明星辰 Vetrix 系统的 VTAP 虚拟机,此虚拟机具有导流的功能,可以平滑的的导出云中流量,送往 Vetrix 管理中心进行检测,并且支持 Vxlan 的封装;

层面二:结合的效果的验证

将云中流量导出后,Vetrix 系统能进行哪些检测?效果如何?云外攻击又该如何防护?这是安全防护实现的关键,也是用户最为关心的事情。就测试成果来看,Vetrix 系统可就东西向和南北向两个维度的威胁进行有效防护,即便在应用虚拟机在发生节点迁移后,Vetrix 系统也能准确识别并做出相应的匹配改变,保持防护效果不变。

1、 在东西向上,针对导出流量进行 IDS、数据库审计,其中 Vetrix 管理中心负责对于检测策略的配置、流量的分配、以及检测成果的呈现,运维人员可直接登录管理中心进行操作,而其下的 VIDS、数据库审计虚拟机具体执行检测任务;

2、在南北向上,针对云外的流量,在访问云中虚拟机之前,首先进行过滤过滤,当出现威胁攻击或与管理中心下发策略违背时,直接进行 WAF 阻断,经验证 SQL 注入完全无效,防护类别可横向扩展;

3、租户识别,在公有云和混合云、或者规模较大的私有云,可能存在租户的概念,而经过测试,Vetrix 系统可以实现对云中租户的识别,从而进行租户级防护的隔离;

总而言之,通过本次测试,我们见证了品高云与启明星辰安全产品的结合,这是品高云在安全领域的又一次重要实践,更让我们有理由相信,品高云是一个包容又开放的平台,是一朵安全高效的云。