0x1本周话题
话题:想咨询建设过私有云安全能力的大佬一个问题,就是公司内新建了一套私有云环境(如阿里、腾讯、华为等),那原来的一堆安全设备,比如堡垒机、态势感知平台、TAP网络、WAF等,可以做到把私有云内的流量导出到云外,让这些原有的安全设备重新发挥作用吗?尤其是私有云自带的比如堡垒机,如不满足新创、国密等要求,怎么解决的呢?
A1:一种就是流量绕云外安全设备,一种就是云平台接管设备,属于云内资源。
A2:可以的,某家的主机安全带有流量转发功能,可以转发到外部。WAF 采用路由模式也是可以的。另外,转发流量一定要评估好带宽,不然可能会影响到生产业务。
Q:还是说私有云内的安全能力(如WAF、堡垒机、态势感知)彻底替代了原来的安全的一套安全设备,逐渐往云上的安全能力全部替代?现在就是对云内安全能力存疑,也怕被后期绑定。
A3:我觉得还是先定义私有云的安全要求把,是要求完全隔离,还是可以底层数据互或者上层应用数据互通。全流量分析采用两套,其他后续逐步全部往云原生走,主机安全得好好评估一下,因为更新较慢。根据需求再做安全评估,你买的应该是公有云吧,还是说你买的是专有云部分,控制台在厂家那里。
A4:在自己家机房建设私有云啊,跟公有云完全没关系。
A5:自建的私有云就跟你比如的那些没关系了啊,自家机房,怎么部署,流量怎么搞,这不全都在自己手里吗。
A6:自建私有云,也是采购,云厂商来建设,我见过的私有云,都是采购的,大厂来建设的,还没见过完全自己搭建的。你现在问题估计是,不想放弃现有的设备,不放心云厂商的安全中心能力。
A7:他也只是帮你建设啊,你可以提出来安全部分复用原来那一套啊,可以直接放弃他们的安全中心那部分,而且自家内部机房,带宽也不是问题,打底10G跳线搞起来。
A8:可以不全部接纳云厂商安全解决方案,云里可以有第三方产品,主要是看你要达到什么效果。
A9:云里的第三方产品,了解过一些也是和云适配的特定型号的。建私有云的方案设计时,要求考虑原设备的利旧吧。各家私有云也有自己适配的设备的,要设计时考虑。
A10:那就直接流量转发出来,复用你原有的安全设备。主要是感觉做方案的时候就没有提及旧设备利用问题,直接按全新方案去做的。
Q:就想问下建设过的私有云安全能力的大佬,实际是怎么利旧的?我们咨询了厂商,大部分利旧很困难,比如态势感知设备,此外,Tap网络几乎要重构,私有云提供的堡垒机不满足新创、密评要求。
A11:可以,流量镜像出去,一般的云厂商都带了分光分流设备,会有多余的口。但是要么感觉能力都一般(比如WAF、堡垒机),要么根本无法利旧老设备(如态感),要么利旧很复杂(如tap网络)。要想所有利旧肯定不可能,会很复杂,只能部分利旧,那些老的产品也不是云原生化的。
A12:肯定做方案的时候要考虑。软硬适配不是说说这么轻松的。
A13:这些能力都有特定基础条件的。私有云厂家没有实际适配测试验证过的设备,告诉你功能支持,也没人敢用的。我们就是用的自己的堡垒机,专门给云内使用,看你是多租户还是单单租户,我们可以理解成单租户。
A14:不可能三角,必需明确需求,有取舍。有些通用的就不要太纠结云内自带的能力,比如堡垒机,有些强需求的,比如态感,是有方案可以把流量给出来的,那就好好设计下。感觉是在设计初期,可以多聊聊,看看方向。还要看看具体是哪一层的安全能力,saas和paas的好利旧一些,iaas层的和云厂商绑定比较紧。
A15:这个还是看你们的实际需求和场景,像我们学校就是自建的机房和私有云,但是云平台上面的那些安全功能基本上都没用上,整体的安全需求都还是依托于传统的硬件类安全设备来实现的。
A16:我感觉他这个都快落地了,或者可能已经落地了,如果还在设计初期的话,可以给供应商划个底线,安全方面接入原有的就接入原有的,不能接入或者复用的,就把流量传出来。
A17:1.私有云里面也会有三方oem或生态产品,都是传统产品的虚拟化形态。这种用谁都无所谓,老旧的硬件设备折腾下也能接入。2.和云密切相关的原生类产品还是建议用csp的,举个例子,比如vpc间流量都是vxlan,让老的设备解包也解不了,还是要靠csp的黑魔法去处理。再比如cspm这种,传统厂商也没有私有云产品接口清单,也做不来。
A18:我们实际就是云内流量分析用的云厂商服务,其他的大部分放在云边界。
Q:cspm是啥,前面那个csp是私有云安全的意思吧?
A19:cspm云安全态感。
A20:现在有云内方案,用云内agent把流量给出来,如果是都落地了才考虑安全,那就太晚了,应该早点介入的。
Q:这个agent 一般放在哪里?
A21:宿主机 vm 容器都可以,看具体场景和需求。
A22:私有云自带的安全能力如果经过poc测试发现不太满足,可以不选,这样底座还小一些,然后去买点第三方的安全能力(现在很多厂商对私有云都有很多案例)。
A23:可以的,取决于具体网络架构。一般WAF就放在互联网边界。堡垒机打通权限即可。态势感知把日志发过去即可。overlay有专门的流量采集方案。
A24:我们这边建设前说能利旧的,建完对接都是问题,云专线、对等链接、弹性IP在实现具体需求时都有问题,已经准备放弃抵抗了。