借助 Check Point 軟件刀片架構的全方位防護,Check Point CloudGuard IaaS 虛擬版 (VE) 網(wǎng)關(guān)通過(guò)保護虛擬機 (VM) 和應用程序,幫助動(dòng)態(tài)虛擬環(huán)境防御內外部威脅。Check Point 的虛擬化安全防護功能支持多種虛擬機監控程序,包括 VMware ESX、Microsoft Hyper-V 和 KVM。
CloudGuard IaaS VE 專(zhuān)為數據中心、分支機構和其他多租戶(hù)部署的動(dòng)態(tài)需求而設計,提供最高級威脅防護安全保護來(lái)檢查虛擬環(huán)境中流入和流出子網(wǎng)的流量。完全集成式安全功能包括:防火墻、IPS、應用程序控制、IPsec VPN、防病毒、防僵尸網(wǎng)絡(luò )和屢獲殊榮的 SandBlast 沙盒技術(shù)。
CloudGuard IaaS VE 提供一致的安全策略管理、實(shí)施和報告功能,從而實(shí)現向虛擬化云環(huán)境的無(wú)憂(yōu)遷移。此外,CloudGaurd IaaS VE 還支持彈性許可模式(基于虛擬內核計算并從共享池中自動(dòng)分配),是動(dòng)態(tài)工作負載環(huán)境的理想選擇。
虛擬化安全概述
虛擬化和基于云架構的廣泛采用,源于企業(yè)對轉型的渴望;企業(yè)希望能夠實(shí)現更高的效率、更快的速度、更大的靈活性和更有效的成本控制。雖然虛擬化解決方案能夠提供傳統 IT 基礎設施力有不及的眾多優(yōu)勢,但傳統安全方法并不適應這些全新計算和網(wǎng)絡(luò )環(huán)境的動(dòng)態(tài)需求,可能使組織面臨一系列獨有的安全風(fēng)險。
對于云支持環(huán)境(如虛擬化數據中心、分支機構和其他多租戶(hù)基礎設施)來(lái)說(shuō),安全插入和管理是重大挑戰。組織疲于管理針對物理和虛擬環(huán)境的不同安全解決方案,導致策略實(shí)施缺乏一致性,管理和審計工作困難重重。與此同時(shí),網(wǎng)絡(luò )威脅的頻率和復雜性持續增加。傳統用于保護物理網(wǎng)絡(luò )的安全方法無(wú)法充分擴展到虛擬環(huán)境中,導致虛擬環(huán)境暴露于風(fēng)險之中,成為吸引網(wǎng)絡(luò )罪犯的目標。一旦虛擬機 (VM) 環(huán)境遭到漏洞威脅,攻擊就能夠在虛擬網(wǎng)絡(luò )內的虛擬機之間橫向擴散,甚至向外擴展到整個(gè)企業(yè)網(wǎng)絡(luò )。
Check Point CloudGuard IaaS 虛擬版 (VE) 為保護基于虛擬機監控程序的虛擬網(wǎng)絡(luò )提供了量身定制的全方位安全措施,因此企業(yè)可以放心地將應用程序和工作流擴展到云支持環(huán)境中。
虛擬化網(wǎng)絡(luò )的威脅防護
Check Point 的云安全解決方案旗艦產(chǎn)品 CloudGuard IaaS 虛擬版 (VE) 通過(guò)使用業(yè)界領(lǐng)先的高級威脅防護安全保護,來(lái)實(shí)現對虛擬機 (VM) 及應用程序的保護,防止動(dòng)態(tài)虛擬化環(huán)境遭受內部和外部威脅。CloudGuard IaaS VE 與 VMware ESX、Microsoft Hyper-V 和 KVM 等領(lǐng)先的虛擬機監控程序無(wú)縫集成。此外,CloudGuard IaaS VE 還提供了與公有云資產(chǎn)間可靠且安全的連接,同時(shí)利用業(yè)界領(lǐng)先的安全措施保護應用程序和數據,幫助企業(yè)顯著(zhù)簡(jiǎn)化涵蓋私有、混合和公有云網(wǎng)絡(luò )的安全管理和策略實(shí)施。
業(yè)務(wù)靈活性和強大的安全性
CloudGuard IaaS VE 讓企業(yè)可以從容地將工作負載安全部署到虛擬化云網(wǎng)絡(luò )中,為客戶(hù)帶來(lái)切實(shí)的好處,包括:
- 針對公有云中可能導致私有云/數據中心遭受威脅的安全漏洞攻擊、惡意軟件和零日攻擊,提供安全保護
- 跨私有云和公有云網(wǎng)絡(luò )兩者的統一安全管理、可見(jiàn)性和報告
- 消除與業(yè)務(wù)中斷和故障時(shí)間相關(guān)的成本及信譽(yù)損失
- 將敏感工作負載、應用程序和數據安全遷移到云端
完全集成式安全保護
CloudGuard IaaS VE 提供業(yè)界領(lǐng)先的威脅防護安全保護,即便面對最復雜的攻擊,也能保障虛擬化云網(wǎng)絡(luò )的安全。完全集成式安全保護包括:
- 防火墻、入侵防護系統 (IPS)、防病毒和防僵尸網(wǎng)絡(luò )技術(shù)保護云中服務(wù)免遭未授權訪(fǎng)問(wèn),并阻止攻擊
- 應用程序控制幫助阻止應用程序層拒絕服務(wù) (DoS) 攻擊,并確保混合云服務(wù)安全
- 移動(dòng)訪(fǎng)問(wèn)允許移動(dòng)用戶(hù)使用具有雙重身份驗證和設備配對的 SSL 加密連接,連接到混合云環(huán)境
- 數據丟失防護保護敏感數據免遭竊取或意外丟失
- SandBlast 零日保護沙盒技術(shù)提供最高級的惡意軟件和零日攻擊保護
- 物理和虛擬基礎設施統一管理
通過(guò)單個(gè)儀表板集中安全管理的各個(gè)方面,如策略管理、日志記錄、監控、事件分析和報告,安全管理員可全面了解整個(gè)組織的安全狀況。CloudGuard IaaS VE 為組織提供針對虛擬云基礎設施的完整威脅可見(jiàn)性和實(shí)施一致性。
對物理和基于云的網(wǎng)絡(luò )進(jìn)行集中化配置和監控,從而簡(jiǎn)化策略管理,為所有企業(yè)數據提供一致的安全足跡。采用層級化方法的策略管理,讓管理員可以將單個(gè)策略分為子策略,從而適用自定義保護措施,以及根據每個(gè)應用程序或分區委派責任。這可確保跨物理和云網(wǎng)絡(luò )應用適當級別的保護。
整合性日志和報告
Check Point SmartEvent 是 R80 安全管理平臺的組成部分,整合了對虛擬和物理網(wǎng)絡(luò )的監控、日志記錄和報告功能。與其他記錄一樣,虛擬化云工作負載流量也會(huì )被記錄,并可在同一儀表板中輕松查看。可針對虛擬化工作負載生成安全報告,以跟蹤整個(gè)基于云的基礎設施的安全合規性,從而大幅簡(jiǎn)化合規報告和審核流程。
動(dòng)態(tài)安全策略
CloudGuard IaaS 可經(jīng)過(guò)配置,與控制器組件相集成,融入安全管理平臺。CloudGuard IaaS 控制器集成了云管理解決方案,加入情景共享功能,允許在 Check Point 安全策略中導入云對象并進(jìn)行再利用。此舉將安全策略創(chuàng )建時(shí)間從幾分鐘縮短至幾秒鐘。云對象的實(shí)時(shí)情景共享會(huì )得到持續維護,以便自動(dòng)跟蹤任何更改或新的添加,無(wú)需管理員干預。Check Point 日志因為包括云情景(包含云對象名稱(chēng)),豐富度進(jìn)一步提升。例如,在 Vmware 環(huán)境中,vCenter 對象(如虛擬機標識和網(wǎng)絡(luò )元素)可通過(guò)安全策略獲取,并填充到日志和報告中。
具有自動(dòng)分配功能的彈性許可
許可基于計算發(fā)放(任何 CloudGuard IaaS VE 網(wǎng)關(guān)在用的虛擬內核),允許從共享和集中化許可池中動(dòng)態(tài)分配 CloudGuard IaaS VE 網(wǎng)關(guān)實(shí)例。這種彈性許可模式由 Check Point 安全管理提供,是動(dòng)態(tài)工作負載的理想之選。
私有云網(wǎng)絡(luò )中的無(wú)縫集成
Check Point CloudGuard IaaS VE 可以作為安全網(wǎng)關(guān)進(jìn)行部署,用于保護虛擬網(wǎng)絡(luò )或虛擬網(wǎng)段的入口-出口點(diǎn),以及作為使用標準路由配置的 VM 間保護機制。當使用服務(wù)鏈與 SDN 控制器相集成,以執行透明流量重定向時(shí),CloudGuard IaaS 可作為一項服務(wù)進(jìn)行交付。這為 SDN 和 NFV 框架上構建的私有云環(huán)境提供了平滑的無(wú)縫集成。同樣支持的還有用于橫向(東-西向)流量保護的安全微分段、隔離(自動(dòng)隔離)受感染主機的功能等高級功能。
安全自動(dòng)化和協(xié)調
在虛擬化數據中心環(huán)境中,通常需要將負責管理安全工作流程的不同系統進(jìn)行集成。此外,為簡(jiǎn)化安全操作,重復的手動(dòng)任務(wù)必須實(shí)現自動(dòng)化。Check Point 的安全管理 API 允許精確的權限控制,因此編輯權限可縮小到策略中的特定規則或對象,從而限制自動(dòng)化任務(wù)或集成可以訪(fǎng)問(wèn)與更改的對象。這種自動(dòng)配置受信任連接的能力,使安全團隊有信心對整個(gè)安全工作流程進(jìn)行自動(dòng)化和簡(jiǎn)化操作。此外,預定義 Check Point 安全模板可將新配置虛擬應用程序的安全防護自動(dòng)化。這使得高級安全防護更易于在虛擬化網(wǎng)絡(luò )部署。
解決方案組件
CloudGuard IaaS 網(wǎng)關(guān)
CloudGuard IaaS 網(wǎng)關(guān)是一種在虛擬機 (VM) 內運行的安全網(wǎng)關(guān)。該產(chǎn)品提供了業(yè)界領(lǐng)先的高級威脅防護安全保護,用于部署到虛擬化網(wǎng)絡(luò )中,以提供邊界保護,并防止威脅在數據中心內的應用程序之間發(fā)生橫向移動(dòng)。
Check Point R80 安全管理搭配
CloudGuard IaaS 控制器
Check Point CloudGuard IaaS 控制器與虛擬基礎設施管理器、云管理系統和 SDN 控制器相集成。該產(chǎn)品支CloudGuard IaaS 支持范圍最為廣泛的云基礎架構和虛擬機管理程序持導入云管理和網(wǎng)絡(luò )對象(vCenter、OpenStack、NSX、ACI),能夠動(dòng)態(tài)追蹤對象更改,并允許在 Check Point 安全策略和日志中使用云網(wǎng)絡(luò )安全組。其允許實(shí)現優(yōu)化網(wǎng)絡(luò )安全服務(wù)部署、配置和自動(dòng)化。
CloudGuard IaaS 支持范圍最為廣泛的云基礎架構和虛擬機管理程序
虛擬化監控程序和管理器
虛擬化監控程序為軟件定義的數據中心提供了一個(gè)高性能的服務(wù)器虛擬化平臺。虛擬化基礎設施管理器(如 vCenter)為服務(wù)器虛擬化環(huán)境提供集中化配置和管理。除了 SR_IOV 網(wǎng)絡(luò )接口支持外,Check Point 的 CloudGuard IaaS VE 還支持多種虛擬機監控程序,包括 VMware ESX、Microsoft Hyper-V 和 KVM。
云網(wǎng)絡(luò )結構和控制器(可選)
云網(wǎng)絡(luò )結構為軟件定義的數據中心提供了一個(gè)高性能的網(wǎng)絡(luò )虛擬化平臺。控制器提供網(wǎng)絡(luò )結構的集中化配置和管理。其允許實(shí)現高級網(wǎng)絡(luò )安全服務(wù)插入 (L4-L7) 和自動(dòng)化。
云管理(可選)
云管理器為集中化管理提供自動(dòng)化和協(xié)調平臺,可為軟件定義的數據中心的所有組件進(jìn)行配置。其允許實(shí)現高級網(wǎng)絡(luò )安全服務(wù)插入 (L4-L7) 和自動(dòng)化。
主要特點(diǎn)和優(yōu)勢
- 使用 Check Point 的高級威脅保護,保障要求最嚴格、對業(yè)務(wù)最關(guān)鍵的虛擬化環(huán)境安全,實(shí)現最高惡意軟件捕獲率
- 將全面的安全保護整個(gè)集成到單一安全網(wǎng)關(guān)中
- 優(yōu)化部署到虛擬數據中心、分支機構和多租戶(hù)環(huán)境中
- 支持業(yè)界領(lǐng)先的虛擬機監控程序,包括 VMware ESXi、Microsoft Hyper-V 和 KVM
- 為虛擬和物理網(wǎng)絡(luò )的控制和可見(jiàn)性提供統一的安全管理
- 幾分鐘內即可為快速的應用程序部署配置安全服務(wù)
- 共享安全情景,以更好地協(xié)調安全控制措施
- 具有自動(dòng)化和集中化分配功能的彈性許可模式
- 無(wú)縫集成到私有云環(huán)境中,實(shí)現高級和自動(dòng)化安全部署
綜述
Check Point CloudGuard IaaS 虛擬版為下一代虛擬化云網(wǎng)絡(luò )中的 Check Point 高級安全服務(wù)提供更加快速、自動(dòng)化和簡(jiǎn)化的配置和部署。這種集成可促使安全和基礎設施團隊之間更好地協(xié)作,同時(shí)在物理和虛擬基礎設施中提供全面的控制和可見(jiàn)性。CloudGaurd IaaS 還集成了多種公有云(包括 AWS、Microsoft Azure、Google 云平臺、阿里云等)以及私有云環(huán)境,包括以 SDN 技術(shù)和常部署在 SDDC 中的 NFV 框架為基礎構建的環(huán)境,包括 VMware NSX、Cisco ACI 和 OpenStack。
