云安全究竟需要什么样的管理平台?

图2 安全策略自动迁移示意

二是智能的监控和告警。当安全管理系统接收到安全设备发送的安全攻击事件时，会提取攻击事件中的攻击源和攻击目的信息，在网络拓扑中，直观显示出攻击源到攻击目的的攻击路径——从攻击发起者途径了解哪些网络设备和安全设备到最终攻击服务器，方便管理员定位查看。同时能够预先设置策略，对关键的攻击事件，直接定位攻击源接入网络的源头设备，自动对该设备下发阻断策略，比如关闭端口，设置ACL、QoS等，快速对攻击者进行封堵，避免攻击泛滥到整个网络。

五、 业务自动编排

在云计算环境中，基础设施可能随着业务需求的变换而不断增长、调整。如果管理员不能对资源及业务进行快速部署，势必会陷入低效率价值而非聚焦服务。这就要求实现高度智能的业务管理：将各种资源提供的能力抽象出来，根据业务对网络安全的要求，建立统一的机制，基于业务流程合理编排成用户所需的安全策略模板。比如针对防火墙设备可以抽象出“定义Zone”、“定义Rule”、“定义Profile”等模型，将其定义为防火墙策略模板。针对LB设备可以抽象出“服务器”、“服务器组”、“虚服务”、“LB policy”等，将其定义为LB策略模板，然后进一步将防火墙策略模板、IPS策略模板、LB策略模板等定义为某种业务安全策略模板。

图3显示了安全策略模板化的过程。在这一过程中，管理人员可以把用户情况，设备情况以及用户与网络安全资源之间的分配关系输入到管理平台中，管理系统将自动的建立人员与网络安全配置关系，通过鉴别用户身份，分配用户所需资源及对应的安全策略，包括防火墙设备、IPS设备、LB设备等，最后针对用户或业务编排出安全策略模板。当出现业务资源变化时，管理员就可以直接利用已有安全模型及安全策略模板快速实现业务的建立与部署，使其摆脱业务规划、实施、变更和监控整个流程的管理复杂性，提高响应云服务需求的业务快速部署能力。同时通过编排实现的各种策略模板，也可供第三方IaaS(基础架构即服务)、PaaS(平台即服务)、SaaS(软件即服务)等云计算管理系统调用，最大限度地提高企业在基础设施建设中的投资价值。

图3安全策略的模板化

当通过自动编排能力交付网络安全服务后，就可以把实现一个业务安全策略部署的预期时间缩短到几分钟时间，从而实现快速的业务部署能力。由此，管理员将彻底从云服务建立、调整、扩容等繁杂的配置工作任务中解脱出来，而将主要精力聚焦于为客户提供高效率、高质量、高保障的服务上来。

六、 多业务融合与协同管理

作为安全业务的集成管理平台，不仅需要提供单独业务模块的管理，还需要将多种业务模块融合，进而支持多系统协同联动，实现网络安全业务的全流程管理。安全管理包括多种业务模块，如防火墙管理，IPS管理，LB管理等，不同设备使用了不同的日志类型和业务配置模式，平台能够将多种业务模块有机结合在一起，屏蔽业务模块差异，提供统一的安全事件分析和策略部署能力。

新一代云安全管理平台能够从云接入环节开始，与第三方认证系统联动，提供基于用户身份的安全业务管控。首先能够针对用户的进行流量统计分析，并能够基于用户下发安全策略，对用户带宽，访问资源权限进行控制，还能够基于用户对访问资源情况进行审计，从用户角色的角度，实现对安全业务的“监”、“管”、“查”。另外，支持同第三方云计算管理系统以及虚拟机管理系统协同工作，根据不同租户的安全业务需求，结合资源负荷状况，实现动态调配虚拟机资源，并能够针对虚拟资源的变化实现安全策略的动态调配。

图4 多业务系统协同

图4以LB业务为例，展示安全管理平台和云管理平台、虚拟机管理系统间的协同。云管理平台针对不同租户分配不同的资源和策略，并调用安全管理平台提供的接口进行部署;安全管理平台完成部署后，会实时监测提供业务的资源可用性状况，包括虚拟机CPU、内存、当前连接数等信息，从而判断出业务资源是否已超负荷运行;当发现业务资源告警，则会自动触发通知虚拟机管理系统(如VMware vCenter)，创建新的虚拟机;当新建虚拟机完成后，安全管理平台会获取其IP信息;最后，安全管理平台动态调整LB策略，将新资源加入到现有业务中，提高业务处理能力，确保业务服务正常。

七、 开放的架构

云计算最终的目标是达到系统的按需运营，能够根据用户请求执行服务的开通。任何一套管理系统，都不可能满足所有用户的需求，这就要求用户在建设数据中心时具备开放的管理战略，管理系统具备开放的能力。

新一代安全管理平台采用基于面向服务(SOA)的开放管理架构，提供了封装网络安全业务的管理调用接口，包括SOAP、RESTful等开放接口，第三方业务系统可以使用这些接口实现对网络资源的调度和编排，也为安全管理平台与第三方云计算管理系统协同联动提供技术支持，帮助第三方业务系统具备构建灵活业务网络的能力。

通过开放的接口，可以将不同产品不同格式的日志转换为固定格式并实时上报，以利于上层管理平台的解析处理，实现整网安全事件的统一分析;可以支持上层的安全策略管理平台调用安全策略部署的接口，实现对全网安全设备的统一策略部署。例如厂商提供的安全管理平台已经定制出各种安全策略模板，第三方云计算管理系统就可以通过这些开放的接口直接调用已有安全策略模板，实现对不同租户的安全策略进行部署，避免其针对不同厂商设备进行适配以及重复开发，满足快速实现业务部署需求。

八、 结束语

未来的网络不仅需要从网络安全的角度出发来保障用户和业务，也要从用户和业务的角度出发来优化网络安全。这意味着安全管理平台需要采用全新的管理模型和灵活的功能架构，并且充分考虑基础设施、技术趋势、业务运行、运维服务等各种管理要素，建立一个开放式、标准化、易扩展、可联动的统一智能安全管理平台，以适应云计算环境对安全管理的新要求。