安全需求和挑戰(zhàn)
從風(fēng)險管理的角度講,主要就是管理資產(chǎn)、威脅、脆弱性
和防護措施及其相關(guān)關(guān)系,最終保障云計算平臺的持續(xù)安全,以及 其所支撐的業(yè)務(wù)的安全。 云計算
平臺是在傳統(tǒng) IT技術(shù)的基礎(chǔ)上,增加了一個虛擬化層,并且具有了資源池化、按需分配,彈性調(diào)配,高可靠等特點。 因此,傳統(tǒng)的安全威脅種類依然存在,傳統(tǒng)的安全防護方案依然可以發(fā)揮一定的作用。綜合考慮云計算所帶來的變化、風(fēng)險,從 保障系統(tǒng)整體安全出發(fā),其面臨的主要挑戰(zhàn)和需求如下:- 法律和合規(guī)
- 動態(tài)、虛擬化
網(wǎng)絡(luò)邊界安全 - 虛擬化安全 - 流量可視化
- 數(shù)據(jù)保密和防泄露
- 安全運維和管理
針對云計算所面臨的安全威脅及來自各方面的安全需求,需要對科學(xué)設(shè)計云計算平臺的安全防護架構(gòu),選擇安全措施,并進 行持續(xù)管理,滿足云計算平臺的全生命周期的安全。
三 云安全防護總體架構(gòu)設(shè)計
云安全防護設(shè)計應(yīng)充分考慮云計算的特點和要求,基于對安全威脅的分析,明確來各方面的安全需求,充分利用現(xiàn)有的、成 熟的安全控制措施,結(jié)合云計算的特點和最新技術(shù)進行綜合考慮和設(shè)計,以滿足風(fēng)險管理要求、合規(guī)性的要求,保障和促進云計 算業(yè)務(wù)的發(fā)展和運行。
設(shè)計思路
在進行方案設(shè)計時,將遵循以下思路:
- 保障云平臺及其配套設(shè)施
- 云計算除了提供 IaaS、PaaS、SaaS服務(wù)的基礎(chǔ)平臺外,還有配套的云管理平臺、運維管理平臺等。要保障云的安 全,必須從整體出發(fā),保障云承載的各種業(yè)務(wù)、服務(wù)的安全。
- 基于安全域的縱深防護體系設(shè)計
- 對于云計算系統(tǒng),仍可以根據(jù)威脅、安全需求和策略的不同,劃分為不同的安全域,并基于安全域設(shè)計相應(yīng)的邊 界防護策略、內(nèi)部防護策略,部署相應(yīng)的防護措施,從而構(gòu)造起縱深的防護體系。當(dāng)然,在云平臺中,安全域的
5 云安全解決方案
云安全防護總體架構(gòu)設(shè)計 ? 安全需求和挑戰(zhàn)
邊界可能是動態(tài)變化的,但通過相應(yīng)的技術(shù)手段,可以做到動態(tài)邊界的安全策略跟隨,持續(xù)有效的保證系統(tǒng)的安 全。
- 對于云計算系統(tǒng),仍可以根據(jù)威脅、安全需求和策略的不同,劃分為不同的安全域,并基于安全域設(shè)計相應(yīng)的邊 界防護策略、內(nèi)部防護策略,部署相應(yīng)的防護措施,從而構(gòu)造起縱深的防護體系。當(dāng)然,在云平臺中,安全域的
- 以安全服務(wù)為導(dǎo)向,并符合云計算的特點
- 云計算的特點是按需分配、資源彈性、自動化、重復(fù)模式,并以服務(wù)為中心的。因此,對于安全控制措施選擇、 部署、使用來講必須滿足上述特點,即提供資源彈性、按需分配、自動化的安全服務(wù),滿足云計算平臺的安全保 障要求。
- 充分利用現(xiàn)有安全控制措施及最新技術(shù)
- 在云計算環(huán)境中,還存在的傳統(tǒng)的網(wǎng)絡(luò)、主機等,同時,虛擬化主機中也有相應(yīng)的操作系統(tǒng)、應(yīng)用和數(shù)據(jù),傳統(tǒng) 的安全控制措施仍舊可以部署、應(yīng)用和配置,充分發(fā)揮防護作用。另外,部分安全控制措施已經(jīng)具有了虛擬化版 本,也可以部署在虛擬化平臺上,進行虛擬化平臺中的東西向流量進行檢測、防護。
- 充分利用云計算等最新技術(shù)
- 信息安全措施/服務(wù)要保持安全資源彈性、按需分配的特點,也必須運用云計算的最新技術(shù),如 SDN、NFV等, 從而實現(xiàn)按需、簡潔的安全防護方案。
安全運營
- 隨著云平臺的運營,會出現(xiàn)大量虛擬化安全實例的增加和消失,需要對相關(guān)的網(wǎng)絡(luò)流量進行調(diào)度和監(jiān)測,對風(fēng)險 進行快速的監(jiān)測、發(fā)現(xiàn)、分析及相應(yīng)管理,并不斷完善安全防護措施,提升安全防護能力。
安全保障目標(biāo)
通過人員、技術(shù)和流程要素,構(gòu)建安全監(jiān)測、識別、防護、審計和響應(yīng)的綜合能力,有效抵御相關(guān)威脅,將云平臺的風(fēng)險降 低到企業(yè)可接受的程度,并滿足法律、監(jiān)管和合規(guī)性要求,保障云計算資源/服務(wù)的安全。
安全保障體系框架
云平臺的安全保障可以分為管理和技術(shù)兩個層面。首先,在技術(shù)方面,需要按照分層、縱深防御的思想,基于安全域的劃分, 從物理基礎(chǔ)設(shè)施、虛擬化、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等層面進行綜合防護;其次,在管理方面,應(yīng)對云平臺、云服務(wù)、云數(shù)據(jù)的 整個生命周期、安全事件、運行維護和監(jiān)測、度量和評價進行管理。云平臺的安全保障體系框架如下圖所示:
圖 三.3 云平臺安全保障體系框架
簡單說明如下:
6 云安全解決方案
云安全防護總體架構(gòu)設(shè)計 ? 安全保障目標(biāo)
- 物理環(huán)境安全在物理層面,通過門禁系統(tǒng)、視頻監(jiān)控、環(huán)境監(jiān)控、物理訪問控制等措施實現(xiàn)云運行的物理環(huán)境、環(huán)境 設(shè)施等層面的安全;
- 虛擬化安全在虛擬化層面,通過虛擬層加固、虛擬機映像加固、不同虛擬機的內(nèi)存/存儲隔離、虛擬機安全檢測、虛 擬化管理安全等措施實現(xiàn)虛擬化層的安全;
- 網(wǎng)絡(luò)安全在網(wǎng)絡(luò)層,基于完全域劃分,通過防火墻、 IPS、VLAN ACL手段進行邊界隔離和訪問控制,通過 VPN技術(shù) 保障網(wǎng)絡(luò)通信完全和用戶的認證接入,在網(wǎng)絡(luò)的重要區(qū)域部署入侵監(jiān)測系統(tǒng)(IDS)以實現(xiàn)對網(wǎng)絡(luò)攻擊的實時監(jiān)測和告 警,部署流量監(jiān)測和清洗設(shè)備以抵御 DDoS攻擊,部署惡意代碼監(jiān)測和防護系統(tǒng)以實現(xiàn)對惡意代碼的防范。需要說明 的是這里的網(wǎng)絡(luò)包括了實體網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò),通過整體防御保障網(wǎng)絡(luò)通信的安全;
- 主機安全:通過對服務(wù)主機/設(shè)備進行安全配置和加固,部屬主機防火墻、主機 IDS,以及惡意代碼的防護、訪問控制等 技術(shù)手段對虛擬主機進行保護,確保主機能夠持續(xù)的提供穩(wěn)定的服務(wù);
- 應(yīng)用安全通過 PKI基礎(chǔ)設(shè)施對用戶身份進行標(biāo)識和鑒別,部署嚴(yán)格的訪問控制策略,關(guān)鍵操作的多重授權(quán)等措施保證 應(yīng)用層安全,同時采用電子郵件防護、Web應(yīng)用防火墻、Web網(wǎng)頁防篡改、網(wǎng)站安全監(jiān)控等應(yīng)用安全防護措施保證特 定應(yīng)用的安全;
- 數(shù)據(jù)保護從數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)防泄露、剩余數(shù)據(jù)防護、文檔權(quán)限管理、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計方面加強數(shù) 據(jù)保護,以及離線、備份數(shù)據(jù)的安全;
-
安全管理根據(jù) ISO27001、COBIT、ITIL等標(biāo)準(zhǔn)及相關(guān)要求,制定覆蓋安全設(shè)計與獲取、安全開發(fā)和集成、安全風(fēng)險管 理、安全運維管理、安全事件管理、業(yè)務(wù)連續(xù)性管理等方面安全管理制度、規(guī)范和流程,并配置相應(yīng)的安全管理組織和 人員,并建議相應(yīng)的技術(shù)支撐平臺,保證系統(tǒng)得到有效的管理
上述安全保障內(nèi)容和目標(biāo)的實現(xiàn),需要基于 PKI、身份管理等安全基礎(chǔ)支撐設(shè)施,綜合利用安全成熟的安全控制措施,并構(gòu)建 良好的安全實現(xiàn)機制,保障系統(tǒng)的良好運轉(zhuǎn),以提供滿足各層面需求的安全能力。
由于云計算具有資源彈性、按需分配、自動化管理等特點,為了保障其安全性,就要求安全防護措施/能力也具有同樣的特點, 滿足云計算安全防護的要求,這就需要進行良好的安全框架設(shè)計。
安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設(shè)計
云計算平臺的安全保障技術(shù)體系不同于傳統(tǒng)系統(tǒng),它也必須實現(xiàn)和提供資源彈性、按需分配、全程自動化的能力,不僅僅為 云平臺提供安全服務(wù),還必須為租戶提供安全服務(wù),因此需要在傳統(tǒng)的安全技術(shù)架構(gòu)基礎(chǔ)上,實現(xiàn)安全資源的抽象化、池化,提 供彈性、按需和自動化部署能力。
總體技術(shù)實現(xiàn)架構(gòu)
充分考慮云計算的特點和優(yōu)勢,以及最新的安全防護技術(shù)發(fā)展情況,為了達成提供資源彈性、按需分配的安全能力,云平臺 的安全技術(shù)實現(xiàn)架構(gòu)設(shè)計如下:
圖 三.4 云平臺安全技術(shù)實現(xiàn)架構(gòu)
7 云安全解決方案
云安全防護總體架構(gòu)設(shè)計 ? 安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設(shè)計
說明:
- 安全資源池:可以由傳統(tǒng)的物理安全防護組件、虛擬化安全防護組件組成,提供基礎(chǔ)的安全防護能力;
- **安全平臺:**提供對基礎(chǔ)安全防護組件的注冊、調(diào)度和安全策略管理??梢栽O(shè)立一個綜合的安全管理平臺,或者分立的安 全管理平臺,如安全評估平臺、異常流量檢測平臺等;
-
安全服務(wù):提供給云平臺租戶使用的各種安全服務(wù),提供安全策略配置、狀態(tài)監(jiān)測、統(tǒng)計分析和報表等功能,是租戶管 理其安全服務(wù)的門戶
通過此技術(shù)實現(xiàn)架構(gòu),可以實現(xiàn)安全服務(wù)/能力的按需分配和彈性調(diào)度。當(dāng)然,在進行安全防護措施具體部署時,仍可以采用 傳統(tǒng)的安全域劃分方法,明確安全措施的部署位置、安全策略和要求,做到有效的安全管控。對于安全域的劃分方法詳見第五章。
對于具體的安全控制措施來講,通常具有硬件盒子和虛擬化軟件兩種形式,可以根據(jù)云平臺的實際情況進行部署方案選擇。 與云平臺體系架構(gòu)的無縫集成
云平臺的安全防護措施可以與云平臺體系架構(gòu)有機的集成在一起,對云平臺及云租戶提供按需的安全能力。
云平臺的安全保障體系最終落實和實現(xiàn)應(yīng)借鑒工程化方法,嚴(yán)格落實“三同步”原則,在系統(tǒng)規(guī)劃、設(shè)計、實現(xiàn)、測試等階 段把落實相應(yīng)的安全控制,實現(xiàn)安全控制措施與云計算平臺的無縫集成,同時做好運營期的安全管理,保障虛擬主機/應(yīng)用/服務(wù) 實例創(chuàng)建的同時,同步部署相應(yīng)的安全控制措施,并配置相應(yīng)的安全策略。
四 云平臺安全域劃分和防護設(shè)計
安全域是由一組具有相同安全保護需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域,在同一安全域中的系統(tǒng)共享相同的安全策略, 通過安全域的劃分把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護問題,是實現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全保護的
8 云安全解決方案
云平臺安全域劃分和防護設(shè)計 ? 安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設(shè)計
有效方法。安全域劃分是按照安全域的思想,以保障云計算業(yè)務(wù)安全為出發(fā)點和立足點,把網(wǎng)絡(luò)系統(tǒng)劃分為不同安全區(qū)域,并進 行縱深防護。
對于云計算平臺的安全防護,需要根據(jù)云平臺安全防護技術(shù)實現(xiàn)架構(gòu),選擇和部署合理的安全防護措施,并配置恰當(dāng)?shù)牟呗裕?從而實現(xiàn)多層、縱深防御,才能有效的保證云平臺資源及服務(wù)的安全。
安全域劃分
安全域劃分的原則
- 業(yè)務(wù)保障原則:安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時,還要保障業(yè)務(wù)的正常 運行和運行效率;
- 結(jié)構(gòu)簡化原則:安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護體系。比如, 安全域劃分并不是粒度越細越好,安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難;
- 等級保護原則:安全域劃分和邊界整合遵循業(yè)務(wù)系統(tǒng)等級防護要求,使具有相同等級保護要求的數(shù)據(jù)業(yè)務(wù)系統(tǒng)共享防護 手段;
- 生命周期原則:對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計,還要考慮云平臺擴容及因業(yè)務(wù)運營而帶來的變化,以 及開發(fā)、測試及后期運維管理要求
安全域的邏輯劃分
按照縱深防護、分等級保護的理念,基于云平臺的系統(tǒng)結(jié)構(gòu),其安全域的邏輯劃分如下圖所示:
圖 四.6 云平臺安全域邏輯劃分
9 云安全解決方案
云平臺安全域劃分和防護設(shè)計 ? 安全域劃分
按照防護的層次,從外向內(nèi)可分為外部接口層、核心交換層、計算服務(wù)層、資源層。根據(jù)安全要求和策略的不同,每一層再 分為不同的區(qū)域。對于不同的區(qū)域,可以根據(jù)實際情況再細分為不同的區(qū)域。例如,根據(jù)安全等級保護的要求,對于生產(chǎn)區(qū)可以 在細分為一級保護生產(chǎn)區(qū)、二級保護生產(chǎn)區(qū)、三級保護生產(chǎn)區(qū)、四級保護生產(chǎn)區(qū),或者根據(jù)管理主體的不同,也可細分為集團業(yè) 務(wù)生產(chǎn)區(qū)、分支業(yè)務(wù)生產(chǎn)區(qū)。
對于實際的云計算系統(tǒng),在進行安全域劃分時,需要根據(jù)系統(tǒng)的架構(gòu)、承載的業(yè)務(wù)和數(shù)據(jù)流、安全需求等情況,按照層次化、 縱深防御的安全域劃分思想,進行科學(xué)、嚴(yán)謹(jǐn)?shù)膭澐郑豢伤腊嵊蔡?,下面給出一個安全域劃分的示例,可參考。
安全域的劃分示例
根據(jù)某數(shù)據(jù)中心的實際情況及安全等級防護要求,安全域劃分如下圖所示:
10 云安全解決方案
云平臺安全域劃分和防護設(shè)計 ? 安全域劃分
圖 四.7 安全域劃分示例
說明如下: - 互聯(lián)網(wǎng)接入?yún)^(qū):主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等,負責(zé)實現(xiàn)與 163、169、CMNET等互聯(lián)網(wǎng)的互聯(lián);
- 內(nèi)聯(lián)網(wǎng)接入?yún)^(qū):主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等,負責(zé)實現(xiàn)與組織內(nèi)部網(wǎng)絡(luò)的互連;
- 廣域網(wǎng)接入?yún)^(qū):主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等,負責(zé)與本組織集團或其他分支網(wǎng)絡(luò)的接入;
- 外聯(lián)網(wǎng)接入?yún)^(qū):主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等,負責(zé)本組織第三方合作伙伴網(wǎng)絡(luò)的接入,如銀行、合 作網(wǎng)絡(luò)等;
- 核心交換區(qū):由支持虛擬交換的高性能交換機組成。負責(zé)整個云計算系統(tǒng)內(nèi)部之間、內(nèi)部與外部之間的通信交換;
- 生產(chǎn)區(qū):主要包括一系列提供正常業(yè)務(wù)服務(wù)的虛擬主機、平臺及應(yīng)用軟件,使提供 IaaS、PaaS、SaaS服務(wù)的核心組件。 根據(jù)業(yè)務(wù)主體、安全保護等級的不同,可以進行進一步細分。例如:可以根據(jù)保護等級的不同,細分為四級保護子區(qū)、 三級保護子區(qū)、二級保護子區(qū)。另外,為了保證不同生產(chǎn)子區(qū)之間的通信,可以單獨劃分一個負責(zé)交換的數(shù)據(jù)交換子區(qū);
- 非生產(chǎn)區(qū):非生產(chǎn)區(qū)主要為系統(tǒng)開發(fā)、測試、試運行等提供的邏輯區(qū)域。根據(jù)實際情況,一般可分為系統(tǒng)開發(fā)子區(qū)、系 統(tǒng)測試子區(qū)、系統(tǒng)試運行子區(qū);
-
支撐服務(wù)區(qū):該區(qū)域主要為云平臺及其組件提供共性的支撐服務(wù),通常按照所提供的功能的不同,可以細分為:
- 通用服務(wù)子區(qū):一般包括數(shù)字證書服務(wù)、認證服務(wù)、目錄服務(wù)等;
- 運營服務(wù)子區(qū):一般包括用戶管理、業(yè)務(wù)服務(wù)管理、服務(wù)編排等;
-
管理區(qū):主要提供云平臺的運維管理、安全管理服務(wù),一般可分為:
- 運維管理子區(qū):一般包括運維監(jiān)控平臺、網(wǎng)管平臺、網(wǎng)絡(luò)控制器等;
- 安全管理子區(qū):一般包括安全審計、安全防病毒、補丁管理服務(wù)器、安全檢測管理服務(wù)器等。
- 資源區(qū):主要包括各種虛擬化資源,涉及主機、網(wǎng)絡(luò)、數(shù)據(jù)、平臺和應(yīng)用等各種虛擬化資源。按照各種資源安全策略的 不同,可以進一步細分為生產(chǎn)資源、非生產(chǎn)資源、管理資源。不同的資源區(qū)對應(yīng)不同的上層區(qū)域,如生產(chǎn)區(qū)、非生產(chǎn)區(qū)、 管理區(qū)等;
- DMZ區(qū):主要包括提供給 Internet用戶、外部用戶訪問代理服務(wù)器、Web服務(wù)器組成。一般情況下 Internet、Intranet 用戶必須通過 DMZ區(qū)服務(wù)器才能訪問內(nèi)部主機或服務(wù);
- 堡壘區(qū):主要提供內(nèi)部運維管理人員、云平臺租戶的遠程安全接入以及對其授權(quán)、訪問控制和審計服務(wù),一般包括 VPN 服務(wù)器、堡壘機等;
-
運維終端接入?yún)^(qū):負責(zé)云平臺的運行維護終端接入 針對具體的云平臺,在完成安全域劃分之后,就需要基于安全域劃分結(jié)果,設(shè)計和部署相應(yīng)的安全機制、措施,以進行有效
防護。
云平臺不同于一般的 IT系統(tǒng),會涉及多個網(wǎng)絡(luò),下面對此進行簡要說明,再討論云平臺的安全防護。
網(wǎng)絡(luò)隔離
為了保障云平臺及其承載的業(yè)務(wù)安全,需要根據(jù)網(wǎng)絡(luò)所承載的數(shù)據(jù)種類及功能,進行單獨組網(wǎng)。 - 管理網(wǎng)絡(luò) 物理設(shè)備是承載虛擬機的基礎(chǔ)資源,其管理必須得到嚴(yán)格控制,所以應(yīng)采用獨立的帶外管理網(wǎng)絡(luò)來保障 物理設(shè)備管理的安全性。同時各種虛擬資源的準(zhǔn)備、分配、安全管理等也需要獨立的網(wǎng)絡(luò),以避免與正常業(yè)務(wù)數(shù)據(jù)通信 的相互影響,因此設(shè)立獨立的管理網(wǎng)絡(luò)來承載物理、虛擬資源的管理流量;
- 存儲網(wǎng)絡(luò) 對于數(shù)據(jù)存儲,往往采用 SAN、NAS等區(qū)域數(shù)據(jù)網(wǎng)絡(luò)來進行數(shù)據(jù)的傳輸,因此也將存儲網(wǎng)絡(luò)獨立出來, 并于其他網(wǎng)絡(luò)進行隔離;
- 遷移網(wǎng)絡(luò) 虛擬機可以在不同的云計算節(jié)點或主機間進行遷移,為了保障遷移的可靠性,需要將遷移網(wǎng)絡(luò)獨立出來;
- 控制網(wǎng)絡(luò) 隨著 SDN技術(shù)的出現(xiàn),數(shù)據(jù)平面和數(shù)據(jù)平面數(shù)據(jù)出現(xiàn)了分離??刂破矫娣浅V匾P(guān)于真?zhèn)€云平臺網(wǎng) 絡(luò)服務(wù)的提供,因此建議組建獨立的控制網(wǎng)絡(luò),保障網(wǎng)絡(luò)服務(wù)的可用性、可靠性和安全性
云平臺安全域劃分和防護設(shè)計 ? 安全域劃分
上面適用于一般情況。針對具體的應(yīng)用場景,也可以根據(jù)需要劃分其他獨立的網(wǎng)絡(luò),
安全防護設(shè)計
云計算系統(tǒng)具有傳統(tǒng) IT系統(tǒng)的一些特點,從上面的安全域劃分結(jié)果可以看到,其在外部接口層、核心交換層的安全域劃分是 基本相同的,針對這些傳統(tǒng)的安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進行安全防護。如下圖所示:
圖 四.8 傳統(tǒng)安全措施的部署
當(dāng)然,從上面的安全域劃分結(jié)果可以看到,相對于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng)來講,云平臺由于采用了虛擬化技術(shù),在計算服務(wù) 層、資源層的安全域劃分與傳統(tǒng) IT系統(tǒng)有所不同,這主要體現(xiàn)在虛擬化部分,即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務(wù)區(qū)、堡壘 區(qū)、DMZ區(qū)等。下面在對這些采用了虛擬化技術(shù)的區(qū)域進行重點設(shè)計。當(dāng)然,對于不同的區(qū)域,應(yīng)按照根據(jù) 4.3節(jié)安全保障技術(shù) 框架的要求,選擇、落實適用的安全控制措施,下面重點說明。
生產(chǎn)區(qū)
生產(chǎn)區(qū)部署了虛擬化主機、軟件平臺、應(yīng)用層,應(yīng)基于虛擬化技術(shù)實現(xiàn),因此其安全防護應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主 機安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。
虛擬化安全
虛擬化安全主要涉及虛擬化組件及其管理的安全,包括了虛擬化操作系統(tǒng)、虛擬化交換機、虛擬主機、虛擬存儲及虛擬化安 全管理系統(tǒng)的安全。
對于虛擬化安全主要采用的是安全配置和加固、虛擬化映像防護等。詳細內(nèi)容參見第七章介紹。
網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測和清洗、網(wǎng)絡(luò)入侵檢測、惡意代碼防護、VPN接入、安全審計等內(nèi)容。
防火墻及邊界防護
安全域需要隔離,并需要采取訪問控制措施對安全域內(nèi)外的通信進行有效管控。通??刹捎玫拇胧┯?VLAN、網(wǎng)絡(luò)設(shè)備 ACL、防火墻、IPS設(shè)備等,這里主要對防火墻的功能、部署進行說明
功能 訪問控制系統(tǒng)的安全目標(biāo)是將云計算中心與不可信任域進行有效地隔離與訪問授權(quán)。訪問控制系統(tǒng)由防火墻系統(tǒng)組成, 防火墻在網(wǎng)絡(luò)入口點或者安全域的邊界,根據(jù)設(shè)定的安全規(guī)則,檢查經(jīng)過的通信流量,在保護內(nèi)部網(wǎng)絡(luò)安全的前提下, 對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許。
產(chǎn)品形態(tài) 對于云計算環(huán)境的邊界隔離,主要采用傳統(tǒng)防火墻、虛擬化防火墻。
部署 對于云平臺,防火墻需要實現(xiàn)對傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的安全域的隔離,也需要實現(xiàn)對虛擬化環(huán)境中的安全域(如生產(chǎn)域及其 子區(qū)、生產(chǎn)域及其子區(qū)、支撐服務(wù)域及其子區(qū)、管理域及其子區(qū)、DMZ域及其子區(qū)等)的隔離。對于傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的 安全域可采用傳統(tǒng)防火墻、傳統(tǒng)的部署方式即可,而對于虛擬化環(huán)境中的安全域可采用虛擬化防火墻實現(xiàn)。
以 VMWare ESXi虛擬化平臺為例,虛擬化防護墻的部署方式如下圖所示:
圖 四.9 虛擬化防火墻部署
網(wǎng)絡(luò)異常流量監(jiān)測與分析
云計算中心部署的應(yīng)用和業(yè)務(wù)非常豐富,如基于流媒體的音視頻服務(wù), VPN業(yè)務(wù)等等,必然會受到各種網(wǎng)絡(luò)攻擊,如 DDOS,進而出現(xiàn)大量異常流量。在這種流量成分日益復(fù)雜,異常流量海量涌現(xiàn)的情況下,對網(wǎng)絡(luò)流量進行實時監(jiān)測和 分析,從而全面了解流量的各種分布以及變化趨勢就顯得十分必要了。
功能 網(wǎng)絡(luò)流量分析系統(tǒng)在云計算中心運營維護中的作用體現(xiàn)在兩個方面:異常流量監(jiān)測分析和流量統(tǒng)計分析。由于互聯(lián)網(wǎng)上 存在大量的異常流量,尤其是大流量的抗拒絕服務(wù)(DDoS)攻擊經(jīng)常造成鏈路擁塞,以至于網(wǎng)絡(luò)無法正常提供服務(wù)甚 至造成整個網(wǎng)絡(luò)環(huán)境完全癱瘓。因此異常流量監(jiān)測分析是網(wǎng)絡(luò)流量分析系統(tǒng)的首要任務(wù),下面詳細闡述流量統(tǒng)計分析和 異常流量檢測分析的功能。
- 流量統(tǒng)計分析 流量統(tǒng)計分析的任務(wù)是實時監(jiān)控進出云計算中心流量的地域分布,應(yīng)用組成分布、變 化趨勢,并生成相應(yīng)的統(tǒng)計報表。統(tǒng)計對象的粒度可以為 IP地址、IP地址段、用戶(用 IP地址或地址段的組合來 定義)。流量的地域分布顯示對某個主機(或地址段、用戶)的訪問流量來自哪些地域。流量統(tǒng)計結(jié)果對流量工程 具有很重要的參考價值。應(yīng)用組成分布顯示云計算中心內(nèi)部各種業(yè)務(wù)的開展情況,結(jié)合地域分布的信息,也可以指 導(dǎo)流量工程。流量的變化趨勢顯示流量隨時間的變化規(guī)律以及峰值時段對帶寬的占用情況,這些數(shù)據(jù)有助于進行 云計算中心容量規(guī)劃。
- 異常流量監(jiān)測分析
- 雙向異常流量監(jiān)測 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的由內(nèi)至外、由外至內(nèi)的流量進行雙向監(jiān)測,即可 監(jiān)測外發(fā)異常流量,也可監(jiān)測外來異常流量;
- 異常流量定位 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的流量進行持續(xù)監(jiān)控和實時分析,并對異常流量 進行及時的發(fā)現(xiàn)、告警和定位,使網(wǎng)管人員能夠準(zhǔn)確的發(fā)現(xiàn)異常流量進入網(wǎng)絡(luò)的端口和攻擊目標(biāo);
- 異常流量分析 異常網(wǎng)絡(luò)流量分析系統(tǒng)對異常流量進行詳細的分析,對異常流量的行為進行記錄和 分析,使網(wǎng)管人員能夠準(zhǔn)確的了解異常流量的行為特征;
- 異常流量防范 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠針對網(wǎng)絡(luò)中的異常流量提供防范方法和建議,使網(wǎng)管人 員能夠快速應(yīng)對網(wǎng)絡(luò)中的異常流量,將異常流量對網(wǎng)絡(luò)和用戶的影響減少到最低;
- 異常流量記錄 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中發(fā)生的異常流量進行記錄,網(wǎng)管人員可以查詢系 統(tǒng)的歷史記錄,分析網(wǎng)絡(luò)異常流量的類型、特點和趨勢,總結(jié)長期預(yù)防異常流量的手段和方法;
- 異常流量過濾 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠根據(jù)異常流量的特點、方向,通知其他安全設(shè)備對異常流 量進行過濾、清洗或壓制?;蛘咄ㄖ\維人員進行手動處理,以防止或減少云計算中心受異常流量的影響
目前業(yè)界的通常解決方案是異常流量檢測分析系統(tǒng)與抗拒絕服務(wù)攻擊系統(tǒng)聯(lián)動部署實現(xiàn)異常流量分析和過濾,異常流量 檢測分析系統(tǒng)將異常告警信息實時通告給抗拒絕服務(wù)攻擊系統(tǒng),由抗拒絕服務(wù)攻擊系統(tǒng)實施異常流量過濾凈化,將凈化 后的流量回注??咕芙^服務(wù)攻擊系統(tǒng)的在后面的章節(jié)詳細闡述。
產(chǎn)品技術(shù)選型
目前網(wǎng)絡(luò)流量分析產(chǎn)品主要有兩大類型:
- 類型一:基于流(FLOW)信息的流量分析產(chǎn)品,流(FLOW)信息由網(wǎng)絡(luò)中的路由器和交換機產(chǎn)生,流量分析設(shè) 備根據(jù)流(FLOW)信息進行流量分析;
- 類型二:基于應(yīng)用層分析的深度包檢測產(chǎn)品(DPI),采用端口鏡向或分光方式將需要分析的數(shù)據(jù)流轉(zhuǎn)發(fā)給流量分 析設(shè)備
基于流(FLOW)信息的流量分析產(chǎn)品具有如下特性,1)采用旁路方式進行部署,不會影響業(yè)務(wù);2)能夠支持大流量 大范圍網(wǎng)絡(luò)的分析需求,由于流(FLOW)數(shù)據(jù)是對網(wǎng)絡(luò)實際轉(zhuǎn)發(fā)數(shù)據(jù)流的聚合與抽象,相對于 DPI設(shè)備投資較少;3) 對于大流量監(jiān)測來講,其檢測準(zhǔn)確率可以達到 99.99%。
云平臺安全域劃分和防護設(shè)計 ? 安全防護設(shè)計
對于云平臺,其數(shù)據(jù)流量較大,且內(nèi)置的虛擬交換機可以直接輸出 Netflow數(shù)據(jù)流,因此建議在云計算中心采用基于流 (FLOW)信息的流量分析產(chǎn)品。
系統(tǒng)組成和形態(tài)
基于 Netflow技術(shù)安全檢測與分析系統(tǒng)主要包括異常流量檢測系統(tǒng)和綜合分析平臺。 對于異常網(wǎng)絡(luò)流量監(jiān)測系統(tǒng),其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài),以及虛擬化產(chǎn)品形態(tài)??紤]的設(shè)備的性能以及 與流量清洗設(shè)備聯(lián)動的要求,可同時采用兩種形態(tài)。
部署建議 綜合分析云計算中心的實際情況,其異常流量主要來自互聯(lián)網(wǎng)、第三方網(wǎng)絡(luò)、企業(yè)廣域網(wǎng),還包括虛擬機之間互相攻擊 的異常流量。因此需要在云平臺的互聯(lián)網(wǎng)出口、外聯(lián)網(wǎng)出口、廣域網(wǎng)出口,以及生產(chǎn)區(qū)域邊界、DMZ區(qū)域邊界上部署異 常流量監(jiān)測系統(tǒng)(旁路部署 Netflow流量采樣檢測模塊),實現(xiàn)流量統(tǒng)計分析、路由分析、異常流量檢測。它既可以作 為流量監(jiān)控分析產(chǎn)品對網(wǎng)絡(luò)流量進行深入分析,從而全面了解各類流量的分布以及變化趨勢;也可分析諸如 DDoS攻擊、 網(wǎng)絡(luò)濫用誤用、P2P流量等異常流量。
異常流量檢測系統(tǒng)基于 Netflow數(shù)據(jù),其采集點是主要物理/虛擬交換機上,可根據(jù)需要靈活部署。以 VMWare ESXi虛 擬化平臺為例,一般部署情況如下圖所示:
圖 四.10 異常流量監(jiān)測系統(tǒng)部署
網(wǎng)絡(luò)入侵檢測
云計算對外提供服務(wù),完全面向互聯(lián)網(wǎng),所面臨的威脅被無限放大,在云計算中心網(wǎng)絡(luò)出口采用入侵檢測機制,收集各 種信息,由內(nèi)置的專家系統(tǒng)進行分析,發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡(luò)入侵檢測系統(tǒng)捕獲分析網(wǎng)絡(luò)中的所有報文,發(fā) 現(xiàn)其中的攻擊企圖,根據(jù)事先制定的策略通知管理員或自行采取保護措施。
功能 入侵檢測作為一種積極主動地安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害 之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā),入侵檢測理應(yīng)受到更高的重視。
入侵檢測系統(tǒng)可實時監(jiān)控云計算中心網(wǎng)絡(luò)中的數(shù)據(jù)訪問和系統(tǒng)事件,及時發(fā)現(xiàn)攻擊行為并作為分析證據(jù)并對可疑的訪問 行為進行自動響應(yīng)。
利用入侵檢測系統(tǒng)的攻擊結(jié)果判定功能重點關(guān)注攻擊成功的安全事件。針對某些特定的安全規(guī)則單獨設(shè)定安全策略,針 對云計算中心業(yè)務(wù)特點過濾一些低風(fēng)險或者不可能成功的攻擊行為,從而減少管理員關(guān)注日志告警的工作量,也使得重 要攻擊行為能夠得到重點體現(xiàn)。
同時,可以針對業(yè)務(wù)特點自定義某些特定的安全規(guī)則。如敏感內(nèi)容信息過濾,設(shè)置自定義的關(guān)鍵字過濾檢測規(guī)則,通過 與防火墻的聯(lián)動或自身發(fā)送的 TCP Killer數(shù)據(jù)包,將涉及敏感信息的 TCP會話阻斷,防止信息泄露或者一些非法的網(wǎng)絡(luò) 信息傳遞。
產(chǎn)品組成和形態(tài) 網(wǎng)絡(luò)入侵檢測系統(tǒng)一般包括網(wǎng)絡(luò)入侵檢測設(shè)備和綜合分析平臺。網(wǎng)絡(luò)入侵檢測設(shè)備主要有傳統(tǒng)硬件網(wǎng)絡(luò)入侵檢測設(shè)備 (NIDS)和虛擬化網(wǎng)絡(luò)入侵檢測設(shè)備( vNIDS)兩種產(chǎn)品形態(tài)。
部署建議 入侵檢測系統(tǒng)應(yīng)部署在已被入侵的高危區(qū)域或者關(guān)鍵區(qū)域。包括互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū),以及關(guān)鍵的計算服務(wù)域。 對于互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū),可采用傳統(tǒng)的 IDS,而對于位于虛擬化平臺上的關(guān)鍵計算服務(wù)域可以用虛擬化入侵 檢測系統(tǒng),并可部署一套綜合分析系統(tǒng),對系統(tǒng)所有入侵檢測日志進行統(tǒng)一存儲、分析和呈現(xiàn)。以 VMWare ESXi虛擬 化平臺為例,一般部署情況如下圖所示:
圖 四.11 網(wǎng)絡(luò)入侵檢測系統(tǒng)部署圖
主機安全 主機安全與傳統(tǒng)安全相同,這里不再贅述。
應(yīng)用安全
Web應(yīng)用防護
云計算中心一般都是采用 Web的方式來對外提供各類服務(wù),特別是在 Web 2.0的技術(shù)趨勢下,75%以上的攻擊都瞄準(zhǔn) 了網(wǎng)站(Web)。這些攻擊可能導(dǎo)致云計算服務(wù)提供商遭受聲譽和經(jīng)濟損失,可能造成惡劣的社會影響。Web應(yīng)用防護 技術(shù)通過深入分析和解析 HTTP的有效性、提供安全模型只允許已知流量通過、應(yīng)用層規(guī)則、基于會話的保護,可檢測 應(yīng)用程序異常情況和敏感數(shù)據(jù)(如信用卡、網(wǎng)銀帳號等)是否正在被竊取,并阻斷攻擊或隱蔽敏感數(shù)據(jù),保護云計算平 臺的 Web服務(wù)器,確保云計算平臺 Web應(yīng)用和服務(wù)免受侵害。
Web防護技術(shù)
與傳統(tǒng)防火墻/IPS 系統(tǒng)相比較,Web應(yīng)用防護技術(shù)將提供一種安全運維控制手段,基于對 HTTP/HTTPS流量的雙向分 析,為 WEB應(yīng)用提供實時的防護。
- 對 HTTP有本質(zhì)的理解:能完整地解析 HTTP,包括報文頭部、參數(shù)及載荷。支持各種 HTTP 編碼(如 chunked encoding);提供嚴(yán)格的 HTTP協(xié)議驗證;提供 HTML限制;支持各類字符集編碼;具備 response過濾能力;
- 提供應(yīng)用層規(guī)則:WEB應(yīng)用通常是定制化的,傳統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應(yīng)用層 規(guī)則,且具備檢測變形攻擊的能力,如檢測 SSL加密流量中混雜的攻擊;
- 提供正向安全模型(白名單模型):僅允許已知有效的輸入通過,為 WEB應(yīng)用提供了一個外部的輸入驗證機制, 安全性更為可靠;
- 提供會話防護機制:HTTP協(xié)議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進行有效補充,防護基 于會話的攻擊類型,如 cookie篡改及會話劫持攻擊
Web 應(yīng)用防護技術(shù)將以一個可閉環(huán)又可循環(huán)的方式去降低潛在的威脅,對于事中疏漏的攻擊,可用事前的預(yù)發(fā)現(xiàn)和事 后的彌補,形成環(huán)環(huán)相扣的動態(tài)安全防護。事前是用掃描方式主動檢查網(wǎng)站并把結(jié)果形成新的防護規(guī)則增加到事中的防 護策略中,而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此,不能進一步修改和損壞網(wǎng)站文件,對于要求信譽 高和完整性的用戶來說,這是尤為重要的環(huán)節(jié)。
產(chǎn)品形態(tài) 對于網(wǎng)絡(luò)應(yīng)用防火墻,其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài),以及虛擬化產(chǎn)品形態(tài)。在虛擬化的環(huán)境中,應(yīng)選擇虛 擬化產(chǎn)品形態(tài),并可以實現(xiàn)和網(wǎng)站安全檢測系統(tǒng)、Web安全掃描系統(tǒng)進行聯(lián)動。
產(chǎn)品部署
Web 應(yīng)用防火墻應(yīng)部署在 Web服務(wù)器之前,并邏輯串聯(lián)。根據(jù)需要可選擇透明模式、路由模式或者反向代理模式。 以 VMWare ESXi虛擬化平臺為例,其部署方式如下圖所示:
云平臺安全域劃分和防護設(shè)計 ? 安全防護設(shè)計
圖 四.12 虛擬化 Web應(yīng)用防火墻部署
網(wǎng)頁防篡改
網(wǎng)頁防篡改系統(tǒng)可以仍舊部署在 Web服務(wù)上,實現(xiàn)防篡改功能,其功能、技術(shù)實現(xiàn)與部署與傳統(tǒng)方式相同,這里不再 贅述。
網(wǎng)站安全監(jiān)測技術(shù) 見安全管理區(qū)的描述。
數(shù)據(jù)安全
對于數(shù)據(jù)安全,需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、遷移、銷毀以及備份和恢復(fù)的全生命周期,并在數(shù)據(jù)的不同生周 期階段采用數(shù)據(jù)分類分級、標(biāo)識、加密、審計、擦除等手段。另外,在采用了這些基礎(chǔ)防護技術(shù)措施之外,還應(yīng)考慮數(shù)據(jù)庫審計、 數(shù)據(jù)防泄露以及數(shù)據(jù)庫防火墻的手段,最大限度地保證云平臺中的數(shù)據(jù)安全。
非生產(chǎn)區(qū)
對于非生產(chǎn)區(qū)部署的主機、應(yīng)用一般與生產(chǎn)區(qū)基本相同,因此,對于非生產(chǎn)區(qū)的安全防護可以借鑒生產(chǎn)區(qū)的防護方法,這里 不再贅述。
DMZ區(qū)
DMZ區(qū)主要部署了生產(chǎn)區(qū)核心應(yīng)用的一些代理主機、web 主機等,其直接面向來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問,受到的威脅程度高, 應(yīng)進行重點防護。
對于 DMZ區(qū)的安全防護可以借鑒生產(chǎn)區(qū)的防護方法,這里不再贅述。需要說明是的:為了保證系統(tǒng)安全防護的可靠性,其 安全防護措施,如防火墻,應(yīng)與網(wǎng)絡(luò)接入?yún)^(qū)、生產(chǎn)區(qū)等防護措施形成多層異構(gòu)模式。
堡壘區(qū)
VPN接入
VPN接入可以采用傳統(tǒng) VPN接入設(shè)備,也可以采用虛擬化的 VPN接入設(shè)備。其實現(xiàn)方式與傳統(tǒng)方式基本相同,這里不再贅
述。
堡壘機
云平臺的管理運維人員、第三方運維人員以及租戶需要多云計算平臺的主機、應(yīng)用及網(wǎng)絡(luò)設(shè)備進行管理、維護操作。為了發(fā) 現(xiàn)和防止不當(dāng)操作、越權(quán)操作的發(fā)生,需要對此類用戶進行認證、授權(quán)、訪問控制和審計。堡壘機就是完成上述功能的關(guān)鍵設(shè)備, 典型應(yīng)用場景如下圖所示:
網(wǎng)絡(luò)設(shè)備和服務(wù)器區(qū)
UNIX/LINUX Server Windows 網(wǎng)絡(luò)設(shè)備 安全設(shè)備 DB
返回結(jié)果
執(zhí)行訪問操作: SSH/TELNET/RDP // VNC /FTP/SFTP ……
堡壘機審計控制臺
WEB登錄
返回結(jié)果
維護人員
云平臺管理 /運維人員 第三方代維人員 云平臺租戶
圖 四.13 堡壘機應(yīng)用場景
功能
堡壘機可以提供一套先進的運維安全管控與審計解決方案,目標(biāo)是幫助云計算中心運維人員轉(zhuǎn)變傳統(tǒng) IT 安全運維被動響應(yīng)的 模式,建立面向用戶的集中、主動的運維安全管控模式,降低人為安全風(fēng)險,滿足合規(guī)要求,保障企業(yè)效益,主要實現(xiàn)功能如
下:
- 集中賬號管理 建立基于唯一身份標(biāo)識的全局實名制管理,支持統(tǒng)一賬號管理策略,實現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備 等無縫連接;
- 集中訪問控制 通過集中訪問控制和細粒度的命令級授權(quán)策略,基于最小權(quán)限原則,實現(xiàn)集中有序的運維操作管 理,讓正確的人做正確的事;
- 集中安全審計 基于唯一身份標(biāo)識,通過對用戶從登錄到退出的全程操作行為進行審計,監(jiān)控用戶對目標(biāo)設(shè)備的 所有敏感操作,聚焦關(guān)鍵事件,實現(xiàn)對安全事件地及時發(fā)現(xiàn)預(yù)警,及準(zhǔn)確可查
產(chǎn)品形態(tài) 對于堡壘機,其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài),以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。
部署 云計算平臺的管理用戶類型主要包括:云平臺運維管理人員、第三方管理人員以及云平臺租戶。從網(wǎng)絡(luò)訪問途經(jīng)講,有內(nèi)部網(wǎng) 絡(luò)訪問和來自互聯(lián)網(wǎng)的訪問。堡壘機部署在管理終端和被管理設(shè)備之間,并實現(xiàn)邏輯上的串聯(lián)部署,同時,堡壘機應(yīng)部署在管 理平面,實現(xiàn)和用戶數(shù)據(jù)的隔離。
以 VMWare ESXi虛擬化平臺為例,一般部署情
云平臺安全域劃分和防護設(shè)計 ? 安全防護設(shè)計
圖 四.14 堡壘機部署圖
支撐服務(wù)區(qū)
支撐服務(wù)區(qū)的安全防護與傳統(tǒng) IT系統(tǒng)的支撐服務(wù)區(qū)相同,主要部署防火墻、入侵檢測等防護、數(shù)據(jù)庫審計、信息防泄露等防 護措施,這里不再贅述。
管理區(qū)
管理區(qū)可以細分為運維管理子區(qū)、安全管理子區(qū)。運維管理子區(qū)主要部署虛擬化管理平臺、云運維管理平臺、網(wǎng)絡(luò)管理平臺 等,其防護與傳統(tǒng)的 IT系統(tǒng)基本相同,不再贅述。
對于安全管理子區(qū),一般會集中化部署安全防護措施的管理服務(wù)器、提供通用安全服務(wù)的服務(wù)平臺,如綜合安全管理服務(wù)器、 防病毒服務(wù)器、安全檢查/評估系統(tǒng)、安全態(tài)勢監(jiān)測系統(tǒng)等,實現(xiàn)“大院式”防護,降低防護成本。
圖 四.15 安全管理子區(qū)
對于云平臺來講,這里采用的安全防護措施可與虛擬化管理平臺、云管理平臺有機集成,如實現(xiàn)虛擬機配置/活動信息的獲取、 租戶信息的獲取、虛擬機所部署應(yīng)用的信息的獲取等,以實現(xiàn)全程自動化實現(xiàn)。
安全檢查/評估系統(tǒng)
所有的 IT組件都會有安全漏洞或者配置弱點,需要部署安全檢查/評估系統(tǒng)對系統(tǒng)進行持續(xù)安全檢查、掃描,并自動化分析 系統(tǒng)存在的問題,給出應(yīng)對策略。
功能 安全掃描技術(shù)主要是用來評估計算機網(wǎng)絡(luò)系統(tǒng)的安全性能,是網(wǎng)絡(luò)安全防御中的一項重要技術(shù),其原理是采用模擬攻擊的形 式對目標(biāo)可能存在的已知安全漏洞/配置弱點進行逐項檢查。安全掃描系統(tǒng)可對云平臺主機/設(shè)備/應(yīng)用進行定期掃描、評估, 分析客戶業(yè)務(wù)系統(tǒng)當(dāng)前的設(shè)置和防御,指出潛在的安全漏洞,以改進系統(tǒng)對入侵的防御能力。掃描的目標(biāo)包括工作站、服務(wù) 器、路由器、交換機、數(shù)據(jù)庫應(yīng)用等各種對象,根據(jù)掃描結(jié)果向系統(tǒng)管理員提供安全性分析報告,為提高網(wǎng)絡(luò)安全整體水平 產(chǎn)生重要依據(jù)。
產(chǎn)品形態(tài) 對于安全評估系統(tǒng),其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài),以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。
部署建議 在共享式工作模式下,只要將安全評估系統(tǒng)接入云平臺安全管理子區(qū)網(wǎng)絡(luò)并進行正確的配置即可正常使用,其工作范圍可以 覆蓋到云平臺網(wǎng)絡(luò)地址可達之處。運維人員可以從任意地址登錄安全評估系統(tǒng)并下達掃描任務(wù)。
網(wǎng)站安全監(jiān)測技術(shù) 云計算平臺所部署了大量網(wǎng)站,需要對這些網(wǎng)站進行持續(xù)、動態(tài)偵測,提早發(fā)現(xiàn)問題和漏洞,增強客戶訪問體驗。
技術(shù)原理與功能
傳統(tǒng)的網(wǎng)站安全監(jiān)管方式通常是采用 Web 應(yīng)用安全掃描工具周期性的對網(wǎng)站進行安全掃描與評估,然后根據(jù)評估結(jié)果進行 安全加固和風(fēng)險管理。這種安全檢查工作是一種靜態(tài)的檢查工作,能夠反映站點被檢查那一時期站點的安全問題,但是缺少 風(fēng)險的持續(xù)監(jiān)測性。
網(wǎng)站安全監(jiān)測技術(shù)根據(jù)網(wǎng)站系統(tǒng)監(jiān)管要求,通過對目標(biāo)站點進行頁面爬取和分析,為用戶提供透明模式的遠程集中化安全監(jiān) 測、風(fēng)險檢查和安全事件的實時告警,并為用戶提供全局視圖的風(fēng)險度量報告,非常適用于為租戶提供安全增值服務(wù)。
網(wǎng)站安全監(jiān)測技術(shù)具體包括 Web爬蟲與鏈接智能分析、Web頁面預(yù)處理與分級檢測、網(wǎng)頁木馬檢測與分析,實現(xiàn)網(wǎng)站漏洞 掃描、網(wǎng)頁掛馬監(jiān)測、網(wǎng)頁敏感內(nèi)容監(jiān)測、網(wǎng)頁篡改監(jiān)測、網(wǎng)站平穩(wěn)度監(jiān)測、網(wǎng)站域名解析監(jiān)測等功能,能夠從站點的脆弱 性、完整性、可用性三方面全方位的對站點的安全能力要求進行監(jiān)管,并且可為一個大型的站點群同時提供安全監(jiān)測的能力。
產(chǎn)品形態(tài) 對于網(wǎng)站安全檢測,其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài),以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。
部署 網(wǎng)站安全監(jiān)測系統(tǒng)可根據(jù)云計算平臺網(wǎng)站的規(guī)模進行獨立部署和分布式部署。獨立部署方式就是在網(wǎng)絡(luò)中部署一臺同時具備 監(jiān)測及數(shù)據(jù)分析能力的設(shè)備,即一臺設(shè)備實現(xiàn)所需要的監(jiān)測能力。系統(tǒng)具有管理網(wǎng)口和掃描網(wǎng)口,管理口可接入用戶內(nèi)容, 用于用戶對監(jiān)測任務(wù)的管理。掃描口接入外網(wǎng),對重要網(wǎng)站進行監(jiān)測。分布式部署方式,即采用單臺控制中心,多臺引擎的
23 云安全解決方案
云平臺安全域劃分和防護設(shè)計 ?
參考資料
綠盟 2015綠盟科技云安全解決方案文章來源:http://www.zghlxwxcb.cn/news/detail-789989.html
友情鏈接
GB-T 25068.1-2020 信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第1部分:綜述和概念文章來源地址http://www.zghlxwxcb.cn/news/detail-789989.html
到了這里,關(guān)于云安全防護總體架構(gòu)設(shè)計的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!