数字时代下,上云成为企业投身产业数字化、实现转型的必然选择。但随着网络环境的复杂化,企业在享受云上便利的同时,也面临着安全挑战。层出不穷的应用程序和产品服务,引发了网络容量和复杂度的指数级倍增,云服务商需要提供更加灵活可靠的网络安全能力,来满足企业多元化的云上安全需求。
信息安全保障体系的建设是一项系统工程,防火墙的部署往往是优先项。防火墙是内部网络和外部网络之间的连接桥梁,同时可以对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全。
在企业多业务上云场景下,如何合理高效地提供云内防火墙服务,帮助企业享受云服务的同时降低入云成本,是云服务商需要重点考虑的问题。天翼云秉承云服务国家队的责任和担当,始终将保障用户云上安全视为重中之重,不断完善自身安全产品与服务,推动企业云上业务安全发展。
以天翼云服务一企业全业务上云的项目为例,该企业需要为多个生产经营系统进行云化改造,在系统建设过程中,天翼云考虑到系统承载业务的重要性和即将面临的安全风险,按照等级保护制度的相关要求,同步规划安全保障体系,通过设计独立的VPC分别承载各个系统,减少相互之间的影响,充分保证系统的安全性,同时为每个VPC均提供防火墙,作为安全防护的基础能力。
在具体实施过程中,天翼云在VPC边界部署防火墙,使多个VPC可以公用一个防火墙,通过在各个VPC之间配置对等连接实现互通,部署防火墙的VPC配置和单个VPC部署配置相同,未部署防火墙的VPC对等连接需要配置默认路由,指向防火墙内网接口;所有进出公网的流量都需要通过部署防火墙的VPC进行转发和源目地址转换,保证所有VPC的公网流量都通过防火墙进行转发,实现防火墙的防护功能。
天翼云为该企业打造的安全保障体系具有安全可靠、快速部署、弹性扩展等优势。
通过在VPC区域边界采用虚拟化防火墙进行基于应用级别最小安全访问控制,开启入侵防护、防病毒进行恶意代码防护,可以对流量进行GRE封装,并将流量发送到云中流量分析系统或者传送到本地流量分析设备,实现VPC之间流量安全检测,保证VPC边界安全;
支持精细化应用识别、虚拟专用网、入侵防御、病毒过滤、负载均衡等功能,具备快速部署和迁移能力,降低客户初始采购和管理维护成本;
可按需部署和扩展安全服务资源,并与现有的云管理平台进行紧密集成,将管理和安全防护能力直接深入到云计算服务架构中,可伴随着客户或虚拟业务资源的需求增长和缩减。
网络信息安全是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。天翼云作为云服务国家队,将坚持科技创新,深耕安全技术研发,持续完善安全产品与服务,为我国数字经济长期健康发展注入不竭动力。