天融信毕学尧:以自主原创为核心 打造内生安全的私有云
2022-04-24 天融信

4月22日,2022首届网络空间内生安全发展大会暨第四届先进计算与内生安全国际学术会议-内生安全生态论坛在线上举办。本次论坛由网络通信与安全紫金山实验室和中国网络空间内生安全技术与产业联盟共同主办、天融信科技集团协办,天融信科技集团高级副总裁毕学尧受邀出席并发表《私有云内生安全的探索与实践》主题演讲。本次论坛汇聚来自国内著名大学和知名企业的专家学者及资深技术人员,就内生安全拟态防御的相关新理论、新技术、新应用进行深入研讨交流,探讨内生安全新范式,交流拟态防御新技术,展示内生安全拟态防御的新成果、新应用,助力拟态防御技术发展再上新台阶。

当前,云技术的飞速发展为企业注入了新一轮活力,同时也为IT安全建设带来了新的挑战。云平台资源共享、边界模糊、动态变化等特点,使得基于外部软硬件的传统安全防御手段无法有效应对云内安全威胁,云+安全深度融合的内生安全模式将是云计算发展的一大趋势。

毕学尧提出,云平台内生安全建设框架涉及平台层、网络层、主机层、数据层等各层面,作为云平台的核心组件,计算虚拟化安全、网络虚拟化安全、云平台数据存储安全和云访问控制安全是云内生安全防护体系建设的重要内容。

强化平台安全

严格控制云平台访问,天融信太行云通过内置固化的安全策略,减少超级权限带来的安全风险,增加对云管理操作的审计,防止恶意管理员的蓄意攻击。在云主机的访问管控方面,通过外设管控、文档管控、移动存储管控等方式,降低云主机的入侵风险。

提升计算虚拟化安全

通过对云平台操作系统的加固和监控,防止虚拟机恶意逃逸,阻断恶意攻击等行为;嵌入可信计算模块,为普通虚拟机提供TPM/TCM支持,软硬结合对云平台进行整体安全可信建设;融入容器安全防御能力,通过镜像安全扫描、访问控制、入侵检测、审计和准入校验等机制,对容器构建、部署和运行进行安全管控。

细化网络虚拟化安全

构建多层次云网络内生安全能力,对虚拟机网络端口进行访问控制,同时通过网络微分段技术对虚拟机组设置安全策略;通过内置的分布式防火墙,对网络流量进行深度检测,实时阻断攻击和病毒的传播;从而实现对虚拟网络流量全方向全内容的深度管控。

云平台原生数据安全

虚拟机磁盘、快照、镜像是云平台的核心数据资产,在虚拟机的全生命周期中,对虚机磁盘、快照、模板镜像进行全链路加密、完整性校验以及残余信息擦除,降低虚拟机被非法访问、篡改以及植入病毒的风险。一旦发现上述风险,可通过原生的CDP功能进行恢复,最大限度减少勒索病毒导致的损失。

云平台内生安全探索

支持异构集群管理,利用云平台信创异构多云管理的能力,同步部署用户关键业务,实现类似拟态的动态防御机制。同时,通过云、网、安的深度融合,构建SASE安全互联,进一步提升业务安全的保障能力。

此外,在本次大会云端创新成果展,天融信拟态构造防火墙借助AR/VR、远程操控方式进行沉浸式展示。通过在传统防火墙基础上进行的内生安全改造,基于拟态防御理论,天融信拟态构造防火墙以动态异构冗余技术改变防火墙的输入输出关系,在多个层面增加网络攻击的难度,在不消除漏洞的条件下斩断攻击链,有效防御未知漏洞、后门等暗功能的攻击,提升边界网络的防护能力,保护内网业务安全。

TOPSEC

目前,采用第三方安全产品和服务保障云安全的业务模式已经基本成熟,云计算与网络安全同步规划和建设,融合发展的趋势越来越明显。未来,天融信将继续与时俱进,提供更加稳定可靠、安全高效的云产品,助力客户数字化转型,为数字中国建设添砖加瓦。