安全产品与安全管理平台的变化

　　三、 未来的安全管理产品如何适应云计算的要求?

　　在安全的发展过程中，安全管理一直有着非常重要的作用。一方面，它通过对多个设备的统一的策略配置和设备管理，在安全产品规模部署的情况下，实现简易化的部署方式，节省维护成本。另一方面，安全管理平台又是整个安全解决方案的窗口，通过对安全设备产生的各种安全日志的收集分析，生成清晰全面的多种TOP N的攻击报表，便于管理员及时了解整网的安全状况，增强了整网安全的可视性;

　　尽管现阶段的安全管理平台已经可以较好的满足上述的职责要求，但是应对未来的云计算环境，安全管理平台将会面临一些新的需求：

　　l 如何更好的整合安全事件和日志的差异性，适应多厂商、多类型设备混合组网的需求?

　　l 如何适应虚拟化环境下的安全策略管理和部署?

　　l 如何及时感知虚拟化环境下的业务迁移，实现安全策略的及时调整和动态迁移等等。

　　为了有效解决这些潜在的问题，未来的云安全管理平台将着重在以下几个方面实现升级：

　　1. 集成与开放

　　在企业的网络安全建设过程中，为了建设相对全面的防御体系，势必涉及到多种不同类型的安全设备的部署，典型如防火墙产品、IPS入侵防御产品或者是流量分析系统等。如果管理员利用其产品配套的管理软件如FW manager，IPS manager或者是Traffic manager进行日常的维护监控，势必造成管理效率的低下;同时，大型的网络安全环境下，因为安全建设的补丁式叠加和产品选择标准上的差异，在同一个网络安全环境下，很可能存在多个安全厂商的多类型产品同时存在：如为了可靠性考虑选择2个防火墙厂商的产品做异构安全防护、或者选择不同的厂商分别提供诸如IPS和流量防护等产品;此时，如何解决不同厂商配置方法上的差异，如何实现多类型安全设备的统一日志管理和事件关联分析，是需要考虑的关键需求。

　　为了满足用户的上述需求安全管理平台的增强要从以下两个方面进行增强：一方面需要增强自身的组网及服务提供能力，集成对本厂商多类型安全设备的统一配置管理和事件分析功能，并且可以通过定制化的手段，实现对其他主流厂商的安全日志的支持;另一方面，针对多厂商设备混合组网的实际情况，各设备厂商的安全管理软件，需要从配置管理和事件分析两个角度提供标准的API接口。通过这种API接口，厂商自身的安全管理平台以Agent代理方式，完成上层第三方安全管理平台对本地设备的配置下发及安全事件的格式转换，为企业的统一安全管理平台的建设创造条件。

　　如图1所示，交换机路由器等网络设备的安全日志、FW/IPS等安全设备的安全日志、以及类似关键服务器的安全日志，本身在各自的管理平台上可以得到展现。同时，厂商管理平台实时事件分析Agent模块，对这些安全日志进行预定的格式转换，重新发送到上层的统一安全事件管理平台，以实现整网安全事件的统一分析。

　　图1 统一的安全管理平台组网示意图

　　2. 虚拟化的资源管理

　　和传统的网络环境不同，虚拟化环境下的安全管理平台，其面向对象不再是单一的厂商物理设备。因为虚拟化实例的广泛使用，整个云中的安全设备已经虚化成了一个包含多个虚拟单元的资源池。此时的安全管理软件平台，无论是在设备配置管理还是安全日志分析等方面，都需要基于单个虚拟化设备资源来进行。同时，对于这些虚拟化单元，还需要更进一步，将传统的单一用户管理升级到多用户可以同时管理的模式中来，在完成初始化的用户虚拟化资源分配和绑定后，后续的任何操作，都应该可以基于不同租户的不同管理员进行;每个管理员都可以随时对本企业的安全资源进行策略配置调整，管理维护企业本身的安全事件分析报告。

　　3. 安全策略的自动迁移调整

　　虚拟化环境下的虚拟机自动迁移，是云计算环境的重要特征之一。为跟随这种虚拟机的迁移，业务系统本身的资源配置以及该虚拟机的接入端口属性都在积极响应并提供适配的手段。而要想实现安全策略的跟随迁移，要求安全管理平台提供重要的技术支撑，主要的技术要求将包括：

　　l 及时建立起网络中的每个虚拟机和安全策略组的对应关系，实现全局的虚拟机安全策略统一规划和管理;

　　l 及时感知虚拟机的迁移动作，并获取虚拟机迁移后的网络位置信息，以此来触发安全策略的迁移;

　　l 根据迁移后的虚拟机信息，探测计算出迁移后的虚拟机所对应的安全设备，为下一步的安全策略调整做准备;

　　l 基于上述信息自动调整安全策略，将该虚拟机对应的安全策略组重新下发到新的安全设备上，完成整个安全策略的迁移。在这个过程中，安全管理平台可以有效整合各方面资源，实现安全策略的动态迁移。

　　四、 结束语

　　在新一代互联网的变革中，“云安全”的概念日益被用户所接受。安全产品自身的发展、安全与网络的融合以及虚拟化等对安全防护带来了新的促进和挑战。云安全不仅要解决常规的安全防护，更要对云带来的虚拟化能高效的适应，要能实现安全的智能管理。