天融信畢學堯:以自主原創為核心,打造內生安全的私有云
4月22日,2022首屆網絡空間內生安全發展大會暨第四屆先進計算與內生安全國際學術會議-內生安全生態論壇在線上舉辦。本次論壇由網絡通信與安全紫金山實驗室和中國網絡空間內生安全技術與產業聯盟共同主辦、天融信科技集團協辦,天融信科技集團高級副總裁畢學堯受邀出席并發表《私有云內生安全的探索與實踐》主題演講。
本次論壇匯聚來自國內著名大學和知名企業的專家學者及資深技術人員,就內生安全擬態防御的相關新理論、新技術、新應用進行深入研討交流,探討內生安全新范式,交流擬態防御新技術,展示內生安全擬態防御的新成果、新應用,助力擬態防御技術發展再上新臺階。
當前,云技術的飛速發展為企業注入了新一輪活力,同時也為IT安全建設帶來了新的挑戰。云平臺資源共享、邊界模糊、動態變化等特點,使得基于外部軟硬件的傳統安全防御手段無法有效應對云內安全威脅,云+安全深度融合的內生安全模式將是云計算發展的一大趨勢。
畢學堯提出,云平臺內生安全建設框架涉及平臺層、網絡層、主機層、數據層等各層面,作為云平臺的核心組件,計算虛擬化安全、網絡虛擬化安全、云平臺數據存儲安全和云訪問控制安全是云內生安全防護體系建設的重要內容。
天融信太行云內生安全架構
強化平臺安全
嚴格控制云平臺訪問,天融信太行云通過內置固化的安全策略,減少超級權限帶來的安全風險,增加對云管理操作的審計,防止惡意管理員的蓄意攻擊。在云主機的訪問管控方面,通過外設管控、文檔管控、移動存儲管控等方式,降低云主機的入侵風險。
提升計算虛擬化安全
通過對云平臺操作系統的加固和監控,防止虛擬機惡意逃逸,阻斷惡意攻擊等行為;嵌入可信計算模塊,為普通虛擬機提供TPM/TCM支持,軟硬結合對云平臺進行整體安全可信建設;融入容器安全防御能力,通過鏡像安全掃描、訪問控制、入侵檢測、審計和準入校驗等機制,對容器構建、部署和運行進行安全管控。
細化網絡虛擬化安全
構建多層次云網絡內生安全能力,對虛擬機網絡端口進行訪問控制,同時通過網絡微分段技術對虛擬機組設置安全策略;通過內置的分布式防火墻,對網絡流量進行深度檢測,實時阻斷攻擊和病毒的傳播;從而實現對虛擬網絡流量全方向全內容的深度管控。
云平臺原生數據安全
虛擬機磁盤、快照、鏡像是云平臺的核心數據資產,在虛擬機的全生命周期中,對虛機磁盤、快照、模板鏡像進行全鏈路加密、完整性校驗以及殘余信息擦除,降低虛擬機被非法訪問、篡改以及植入病毒的風險。一旦發現上述風險,可通過原生的CDP功能進行恢復,最大限度減少勒索病毒導致的損失。
云平臺內生安全探索
支持異構集群管理,利用云平臺信創異構多云管理的能力,同步部署用戶關鍵業務,實現類似擬態的動態防御機制。同時,通過云、網、安的深度融合,構建SASE安全互聯,進一步提升業務安全的保障能力。
此外,在本次大會云端創新成果展,天融信擬態構造防火墻借助AR/VR、遠程操控方式進行沉浸式展示。通過在傳統防火墻基礎上進行的內生安全改造,基于擬態防御理論,天融信擬態構造防火墻以動態異構冗余技術改變防火墻的輸入輸出關系,在多個層面增加網絡攻擊的難度,在不消除漏洞的條件下斬斷攻擊鏈,有效防御未知漏洞、后門等暗功能的攻擊,提升邊界網絡的防護能力,保護內網業務安全。
TOPSEC
目前,采用第三方安全產品和服務保障云安全的業務模式已經基本成熟,云計算與網絡安全同步規劃和建設,融合發展的趨勢越來越明顯。未來,天融信將繼續與時俱進,提供更加穩定可靠、安全高效的云產品,助力客戶數字化轉型,為數字中國建設添磚加瓦。
