为云上业务和资产保驾护航,只需要“它”就够了

关注腾讯云大学,了解行业最新技术动态

引言

企业“上云”过程中,会遇到哪些网络安全问题?云原生环境中,有怎样一款产品可以集成流量检测、威胁情报、漏洞补丁、访问控制等安全能力,为用户的云上业务和资产保驾护航?

本次课程我们邀请到腾讯安全云防火墙产品负责人 周荃,为大家介绍腾讯安全云防火墙的核心能力与用户价值,并提供基于云防火墙构建云原生安全体系的最佳实践。

讲师简介

毕业于复旦大学计算机工程专业,研究方向为网络与信息安全,加入腾讯后负责云防火墙产品设计与研发,从零到一搭建云原生环境下防火墙能力框架,为互联网金融、互联网教育、电商等行业提供等保、网络安全、架构规划、最佳实践解决方案。

(点击观看完整直播回顾)

企业上云面临哪些网络安全问题?

随着我国公有云市场的不断发展,越来越多的企业或客户选择将自己的业务系统迁移到云上。那么在上云的过程中,很多用户就会发现云环境和传统的网络存在很多差异,其中第一个,在云上申请和获取一个公网IP地址是十分便捷的,在云控制台上只要点击一个按钮就可以获得一个公网IP。我们接触到一些规模比较大的用户,他们有数以千计,甚至上万的公网IP,在这样一个数量基数下,会导致用户有大量的公网端口暴露在互联网当中,那么如何帮助用户对其公网进行统一的管理,进而统一地去管理用户在互联网上的所有流量,尤其是外到内的流量,这是我们要面临的第一个问题。

第二个问题,大家都知道在互联网的世界中,漏洞的出现是十分频繁的,每天都会有新的漏洞被暴露出来,因此漏洞的攻击是源源不断的。虽然腾讯云上有主机安全这样的产品,可以帮助用户解决云服务器当中的漏洞问题。但是也有用户会找到我们说,能不能有另外一种方式,在流量这一侧,针对漏洞攻击和漏洞利用的流量去做到智能识别和智能拦截,这是第二个问题。

第三,大部分的网络攻击和安全事件都具有极其明显的回联特征,比如用户云上的资产被爆破登录之后下载了挖矿的木马,那么下载了木马之后一定会定期地与黑客的域名及主机进行回联。所以如何自动地帮助用户去监测云上主机的主动外联行为,尤其是对于恶意地址、恶意域名的主动访问,并且在必要的时候进行自动阻断。这是我们面临的第三个问题,一个内到外的场景,也就是我们常说的主动外联。

最后则是一个内到内的场景,很多用户在将业务系统上云的时候发现云上的网络结构是VPC,也就是虚拟私有云。那么相对于传统网络中基于安全域及DMZ隔离区去划分业务系统,在云上是否能基于VPC这种结构去实现业务系统上云的最佳实践,并且实现VPC间的访问控制和流量可视化呢?这是我们面临的第四个问题。

什么是腾讯云防火墙?

为了满足用户需求,解决上述的这些问题,我们推出了一款产品——腾讯云防火墙。腾讯云防火墙是一款SaaS化防火墙产品,可以简单地认为腾讯云防火墙其实就是把传统的、硬件的下一代防火墙,也就是NGFW的能力迁移到了云环境当中。那么两者的区别在哪里呢?

区别就在于,云防火墙是通过SaaS化部署的形式,也就是说在性能上能够做到天然的弹性扩展和平行扩容。同时,在容灾、容备方面,由于腾讯云防火墙是内置集群部署技术,无需客户自己去购买、部署双机热备系统,能够原生地支持高可用和高性能。

图中左侧是用户网络结构在腾讯云中比较典型的架构情况,我们可以看到用户会根据VPC去划分业务系统,不同的业务系统之间由于有访问需求,就需要购买云上的对等连接或者是云联网这样的产品,做到VPC之间的互通互联。同时,VPC内的资产也会通过子网进行划分,并且可以直接通过公网IP直接访问互联网。

那么在这样一个流量的结构图当中,我们会为用户准备两道防火墙结构。首先,我们会在用户的网络和互联网的边界上部署一道互联网边界防火墙,用来集中地管理、监测用户的所有互联网流量,也就是我们常说的南北向流量。另一方面,我们也会在用户的VPC之间部署一道VPC防火墙,用来统一管理用户所有内到内的流量,也就是东西向流量。这两道墙我们又通过提供一个统一的控制平面,并且通过提供一些核心的安全能力,包括访问控制、威胁情报检测以及入侵防御系统,来实时保护用户的云上资产、云上业务以及云上流量的安全。

学习君微信

微信号:Tcloudedu

添加“学习君”微信

回复”关键词“加入交流群 

了解行业最新技术动态