安全需求和挑戰(zhàn)

從風(fēng)險管理的角度講，主要就是管理資產(chǎn)、威脅、脆弱性
和防護措施及其相關(guān)關(guān)系，最終保障云計算平臺的持續(xù)安全，以及 其所支撐的業(yè)務(wù)的安全。 云計算
平臺是在傳統(tǒng) IT技術(shù)的基礎(chǔ)上，增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調(diào)配，高可靠等特點。 因此，傳統(tǒng)的安全威脅種類依然存在，傳統(tǒng)的安全防護方案依然可以發(fā)揮一定的作用。綜合考慮云計算所帶來的變化、風(fēng)險，從 保障系統(tǒng)整體安全出發(fā)，其面臨的主要挑戰(zhàn)和需求如下：- 法律和合規(guī)

• 動態(tài)、虛擬化
  網(wǎng)絡(luò)邊界安全 - 虛擬化安全
• 流量可視化
• 數(shù)據(jù)保密和防泄露
• 安全運維和管理
  針對云計算所面臨的安全威脅及來自各方面的安全需求，需要對科學(xué)設(shè)計云計算平臺的安全防護架構(gòu)，選擇安全措施，并進 行持續(xù)管理，滿足云計算平臺的全生命周期的安全。

三 云安全防護總體架構(gòu)設(shè)計

云安全防護設(shè)計應(yīng)充分考慮云計算的特點和要求，基于對安全威脅的分析，明確來各方面的安全需求，充分利用現(xiàn)有的、成 熟的安全控制措施，結(jié)合云計算的特點和最新技術(shù)進行綜合考慮和設(shè)計，以滿足風(fēng)險管理要求、合規(guī)性的要求，保障和促進云計 算業(yè)務(wù)的發(fā)展和運行。

設(shè)計思路

在進行方案設(shè)計時，將遵循以下思路：

• 保障云平臺及其配套設(shè)施
  • 云計算除了提供 IaaS、PaaS、SaaS服務(wù)的基礎(chǔ)平臺外，還有配套的云管理平臺、運維管理平臺等。要保障云的安 全，必須從整體出發(fā)，保障云承載的各種業(yè)務(wù)、服務(wù)的安全。
• 基于安全域的縱深防護體系設(shè)計
  • 對于云計算系統(tǒng)，仍可以根據(jù)威脅、安全需求和策略的不同，劃分為不同的安全域，并基于安全域設(shè)計相應(yīng)的邊 界防護策略、內(nèi)部防護策略，部署相應(yīng)的防護措施，從而構(gòu)造起縱深的防護體系。當(dāng)然，在云平臺中，安全域的
    5 云安全解決方案
    云安全防護總體架構(gòu)設(shè)計 ? 安全需求和挑戰(zhàn)
    邊界可能是動態(tài)變化的，但通過相應(yīng)的技術(shù)手段，可以做到動態(tài)邊界的安全策略跟隨，持續(xù)有效的保證系統(tǒng)的安 全。
• 以安全服務(wù)為導(dǎo)向，并符合云計算的特點
  • 云計算的特點是按需分配、資源彈性、自動化、重復(fù)模式，并以服務(wù)為中心的。因此，對于安全控制措施選擇、 部署、使用來講必須滿足上述特點，即提供資源彈性、按需分配、自動化的安全服務(wù)，滿足云計算平臺的安全保 障要求。
• 充分利用現(xiàn)有安全控制措施及最新技術(shù)
  • 在云計算環(huán)境中，還存在的傳統(tǒng)的網(wǎng)絡(luò)、主機等，同時，虛擬化主機中也有相應(yīng)的操作系統(tǒng)、應(yīng)用和數(shù)據(jù)，傳統(tǒng) 的安全控制措施仍舊可以部署、應(yīng)用和配置，充分發(fā)揮防護作用。另外，部分安全控制措施已經(jīng)具有了虛擬化版 本，也可以部署在虛擬化平臺上，進行虛擬化平臺中的東西向流量進行檢測、防護。
• 充分利用云計算等最新技術(shù)
  • 信息安全措施/服務(wù)要保持安全資源彈性、按需分配的特點，也必須運用云計算的最新技術(shù)，如 SDN、NFV等， 從而實現(xiàn)按需、簡潔的安全防護方案。

安全運營

• 隨著云平臺的運營，會出現(xiàn)大量虛擬化安全實例的增加和消失，需要對相關(guān)的網(wǎng)絡(luò)流量進行調(diào)度和監(jiān)測，對風(fēng)險 進行快速的監(jiān)測、發(fā)現(xiàn)、分析及相應(yīng)管理，并不斷完善安全防護措施，提升安全防護能力。

安全保障目標(biāo)

通過人員、技術(shù)和流程要素，構(gòu)建安全監(jiān)測、識別、防護、審計和響應(yīng)的綜合能力，有效抵御相關(guān)威脅，將云平臺的風(fēng)險降 低到企業(yè)可接受的程度，并滿足法律、監(jiān)管和合規(guī)性要求，保障云計算資源/服務(wù)的安全。

安全保障體系框架

云平臺的安全保障可以分為管理和技術(shù)兩個層面。首先，在技術(shù)方面，需要按照分層、縱深防御的思想，基于安全域的劃分， 從物理基礎(chǔ)設(shè)施、虛擬化、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等層面進行綜合防護；其次，在管理方面，應(yīng)對云平臺、云服務(wù)、云數(shù)據(jù)的 整個生命周期、安全事件、運行維護和監(jiān)測、度量和評價進行管理。云平臺的安全保障體系框架如下圖所示：
圖 三.3 云平臺安全保障體系框架
簡單說明如下：
6 云安全解決方案
云安全防護總體架構(gòu)設(shè)計 ? 安全保障目標(biāo)

• 物理環(huán)境安全在物理層面，通過門禁系統(tǒng)、視頻監(jiān)控、環(huán)境監(jiān)控、物理訪問控制等措施實現(xiàn)云運行的物理環(huán)境、環(huán)境 設(shè)施等層面的安全；
• 虛擬化安全在虛擬化層面，通過虛擬層加固、虛擬機映像加固、不同虛擬機的內(nèi)存/存儲隔離、虛擬機安全檢測、虛 擬化管理安全等措施實現(xiàn)虛擬化層的安全；
• 網(wǎng)絡(luò)安全在網(wǎng)絡(luò)層，基于完全域劃分，通過防火墻、 IPS、VLAN ACL手段進行邊界隔離和訪問控制，通過 VPN技術(shù) 保障網(wǎng)絡(luò)通信完全和用戶的認證接入，在網(wǎng)絡(luò)的重要區(qū)域部署入侵監(jiān)測系統(tǒng)（IDS）以實現(xiàn)對網(wǎng)絡(luò)攻擊的實時監(jiān)測和告 警，部署流量監(jiān)測和清洗設(shè)備以抵御 DDoS攻擊，部署惡意代碼監(jiān)測和防護系統(tǒng)以實現(xiàn)對惡意代碼的防范。需要說明 的是這里的網(wǎng)絡(luò)包括了實體網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)，通過整體防御保障網(wǎng)絡(luò)通信的安全；
• 主機安全：通過對服務(wù)主機/設(shè)備進行安全配置和加固，部屬主機防火墻、主機 IDS，以及惡意代碼的防護、訪問控制等 技術(shù)手段對虛擬主機進行保護，確保主機能夠持續(xù)的提供穩(wěn)定的服務(wù)；
• 應(yīng)用安全通過 PKI基礎(chǔ)設(shè)施對用戶身份進行標(biāo)識和鑒別，部署嚴(yán)格的訪問控制策略，關(guān)鍵操作的多重授權(quán)等措施保證 應(yīng)用層安全，同時采用電子郵件防護、Web應(yīng)用防火墻、Web網(wǎng)頁防篡改、網(wǎng)站安全監(jiān)控等應(yīng)用安全防護措施保證特 定應(yīng)用的安全；
• 數(shù)據(jù)保護從數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)防泄露、剩余數(shù)據(jù)防護、文檔權(quán)限管理、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計方面加強數(shù) 據(jù)保護，以及離線、備份數(shù)據(jù)的安全；
• 安全管理根據(jù) ISO27001、COBIT、ITIL等標(biāo)準(zhǔn)及相關(guān)要求，制定覆蓋安全設(shè)計與獲取、安全開發(fā)和集成、安全風(fēng)險管 理、安全運維管理、安全事件管理、業(yè)務(wù)連續(xù)性管理等方面安全管理制度、規(guī)范和流程，并配置相應(yīng)的安全管理組織和 人員，并建議相應(yīng)的技術(shù)支撐平臺，保證系統(tǒng)得到有效的管理
  上述安全保障內(nèi)容和目標(biāo)的實現(xiàn)，需要基于 PKI、身份管理等安全基礎(chǔ)支撐設(shè)施，綜合利用安全成熟的安全控制措施，并構(gòu)建 良好的安全實現(xiàn)機制，保障系統(tǒng)的良好運轉(zhuǎn)，以提供滿足各層面需求的安全能力。
  由于云計算具有資源彈性、按需分配、自動化管理等特點，為了保障其安全性，就要求安全防護措施/能力也具有同樣的特點， 滿足云計算安全防護的要求，這就需要進行良好的安全框架設(shè)計。

安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設(shè)計

云計算平臺的安全保障技術(shù)體系不同于傳統(tǒng)系統(tǒng)，它也必須實現(xiàn)和提供資源彈性、按需分配、全程自動化的能力，不僅僅為 云平臺提供安全服務(wù)，還必須為租戶提供安全服務(wù)，因此需要在傳統(tǒng)的安全技術(shù)架構(gòu)基礎(chǔ)上，實現(xiàn)安全資源的抽象化、池化，提 供彈性、按需和自動化部署能力。
總體技術(shù)實現(xiàn)架構(gòu)
充分考慮云計算的特點和優(yōu)勢，以及最新的安全防護技術(shù)發(fā)展情況，為了達成提供資源彈性、按需分配的安全能力，云平臺 的安全技術(shù)實現(xiàn)架構(gòu)設(shè)計如下：
圖 三.4 云平臺安全技術(shù)實現(xiàn)架構(gòu)
7 云安全解決方案
云安全防護總體架構(gòu)設(shè)計 ? 安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設(shè)計
說明：

• 安全資源池：可以由傳統(tǒng)的物理安全防護組件、虛擬化安全防護組件組成，提供基礎(chǔ)的安全防護能力；
• **安全平臺：**提供對基礎(chǔ)安全防護組件的注冊、調(diào)度和安全策略管理?？梢栽O(shè)立一個綜合的安全管理平臺，或者分立的安 全管理平臺，如安全評估平臺、異常流量檢測平臺等；
• 安全服務(wù)：提供給云平臺租戶使用的各種安全服務(wù)，提供安全策略配置、狀態(tài)監(jiān)測、統(tǒng)計分析和報表等功能，是租戶管 理其安全服務(wù)的門戶
  通過此技術(shù)實現(xiàn)架構(gòu)，可以實現(xiàn)安全服務(wù)/能力的按需分配和彈性調(diào)度。當(dāng)然，在進行安全防護措施具體部署時，仍可以采用 傳統(tǒng)的安全域劃分方法，明確安全措施的部署位置、安全策略和要求，做到有效的安全管控。對于安全域的劃分方法詳見第五章。
  對于具體的安全控制措施來講，通常具有硬件盒子和虛擬化軟件兩種形式，可以根據(jù)云平臺的實際情況進行部署方案選擇。 與云平臺體系架構(gòu)的無縫集成
  云平臺的安全防護措施可以與云平臺體系架構(gòu)有機的集成在一起，對云平臺及云租戶提供按需的安全能力。

云平臺的安全保障體系最終落實和實現(xiàn)應(yīng)借鑒工程化方法，嚴(yán)格落實“三同步”原則，在系統(tǒng)規(guī)劃、設(shè)計、實現(xiàn)、測試等階 段把落實相應(yīng)的安全控制，實現(xiàn)安全控制措施與云計算平臺的無縫集成，同時做好運營期的安全管理，保障虛擬主機/應(yīng)用/服務(wù) 實例創(chuàng)建的同時，同步部署相應(yīng)的安全控制措施，并配置相應(yīng)的安全策略。

四 云平臺安全域劃分和防護設(shè)計

安全域是由一組具有相同安全保護需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，在同一安全域中的系統(tǒng)共享相同的安全策略， 通過安全域的劃分把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題，是實現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全保護的
8 云安全解決方案
云平臺安全域劃分和防護設(shè)計 ? 安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設(shè)計
有效方法。安全域劃分是按照安全域的思想，以保障云計算業(yè)務(wù)安全為出發(fā)點和立足點，把網(wǎng)絡(luò)系統(tǒng)劃分為不同安全區(qū)域，并進 行縱深防護。
對于云計算平臺的安全防護，需要根據(jù)云平臺安全防護技術(shù)實現(xiàn)架構(gòu)，選擇和部署合理的安全防護措施，并配置恰當(dāng)?shù)牟呗裕?從而實現(xiàn)多層、縱深防御，才能有效的保證云平臺資源及服務(wù)的安全。

安全域劃分

安全域劃分的原則

• 業(yè)務(wù)保障原則：安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，還要保障業(yè)務(wù)的正常 運行和運行效率；
• 結(jié)構(gòu)簡化原則：安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護體系。比如， 安全域劃分并不是粒度越細越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難；
• 等級保護原則：安全域劃分和邊界整合遵循業(yè)務(wù)系統(tǒng)等級防護要求，使具有相同等級保護要求的數(shù)據(jù)業(yè)務(wù)系統(tǒng)共享防護 手段；
• 生命周期原則：對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還要考慮云平臺擴容及因業(yè)務(wù)運營而帶來的變化，以 及開發(fā)、測試及后期運維管理要求
  安全域的邏輯劃分
  按照縱深防護、分等級保護的理念，基于云平臺的系統(tǒng)結(jié)構(gòu)，其安全域的邏輯劃分如下圖所示：
  圖 四.6 云平臺安全域邏輯劃分
  9 云安全解決方案
  云平臺安全域劃分和防護設(shè)計 ? 安全域劃分
  按照防護的層次，從外向內(nèi)可分為外部接口層、核心交換層、計算服務(wù)層、資源層。根據(jù)安全要求和策略的不同，每一層再 分為不同的區(qū)域。對于不同的區(qū)域，可以根據(jù)實際情況再細分為不同的區(qū)域。例如，根據(jù)安全等級保護的要求，對于生產(chǎn)區(qū)可以 在細分為一級保護生產(chǎn)區(qū)、二級保護生產(chǎn)區(qū)、三級保護生產(chǎn)區(qū)、四級保護生產(chǎn)區(qū)，或者根據(jù)管理主體的不同，也可細分為集團業(yè) 務(wù)生產(chǎn)區(qū)、分支業(yè)務(wù)生產(chǎn)區(qū)。
  對于實際的云計算系統(tǒng)，在進行安全域劃分時，需要根據(jù)系統(tǒng)的架構(gòu)、承載的業(yè)務(wù)和數(shù)據(jù)流、安全需求等情況，按照層次化、 縱深防御的安全域劃分思想，進行科學(xué)、嚴(yán)謹(jǐn)?shù)膭澐郑豢伤腊嵊蔡?，下面給出一個安全域劃分的示例，可參考。
  安全域的劃分示例
  根據(jù)某數(shù)據(jù)中心的實際情況及安全等級防護要求，安全域劃分如下圖所示：
  10 云安全解決方案
  云平臺安全域劃分和防護設(shè)計 ? 安全域劃分
  圖 四.7 安全域劃分示例
  說明如下：
• 互聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等，負責(zé)實現(xiàn)與 163、169、CMNET等互聯(lián)網(wǎng)的互聯(lián)；
• 內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等，負責(zé)實現(xiàn)與組織內(nèi)部網(wǎng)絡(luò)的互連；
• 廣域網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等，負責(zé)與本組織集團或其他分支網(wǎng)絡(luò)的接入；
• 外聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等，負責(zé)本組織第三方合作伙伴網(wǎng)絡(luò)的接入，如銀行、合 作網(wǎng)絡(luò)等；
• 核心交換區(qū)：由支持虛擬交換的高性能交換機組成。負責(zé)整個云計算系統(tǒng)內(nèi)部之間、內(nèi)部與外部之間的通信交換；
• 生產(chǎn)區(qū)：主要包括一系列提供正常業(yè)務(wù)服務(wù)的虛擬主機、平臺及應(yīng)用軟件，使提供 IaaS、PaaS、SaaS服務(wù)的核心組件。 根據(jù)業(yè)務(wù)主體、安全保護等級的不同，可以進行進一步細分。例如：可以根據(jù)保護等級的不同，細分為四級保護子區(qū)、 三級保護子區(qū)、二級保護子區(qū)。另外，為了保證不同生產(chǎn)子區(qū)之間的通信，可以單獨劃分一個負責(zé)交換的數(shù)據(jù)交換子區(qū)；
• 非生產(chǎn)區(qū)：非生產(chǎn)區(qū)主要為系統(tǒng)開發(fā)、測試、試運行等提供的邏輯區(qū)域。根據(jù)實際情況，一般可分為系統(tǒng)開發(fā)子區(qū)、系 統(tǒng)測試子區(qū)、系統(tǒng)試運行子區(qū)；
• 支撐服務(wù)區(qū)：該區(qū)域主要為云平臺及其組件提供共性的支撐服務(wù)，通常按照所提供的功能的不同，可以細分為：
  • 通用服務(wù)子區(qū)：一般包括數(shù)字證書服務(wù)、認證服務(wù)、目錄服務(wù)等；
  • 運營服務(wù)子區(qū)：一般包括用戶管理、業(yè)務(wù)服務(wù)管理、服務(wù)編排等；
• 管理區(qū)：主要提供云平臺的運維管理、安全管理服務(wù)，一般可分為：
  • 運維管理子區(qū)：一般包括運維監(jiān)控平臺、網(wǎng)管平臺、網(wǎng)絡(luò)控制器等；
  • 安全管理子區(qū)：一般包括安全審計、安全防病毒、補丁管理服務(wù)器、安全檢測管理服務(wù)器等。
• 資源區(qū)：主要包括各種虛擬化資源，涉及主機、網(wǎng)絡(luò)、數(shù)據(jù)、平臺和應(yīng)用等各種虛擬化資源。按照各種資源安全策略的 不同，可以進一步細分為生產(chǎn)資源、非生產(chǎn)資源、管理資源。不同的資源區(qū)對應(yīng)不同的上層區(qū)域，如生產(chǎn)區(qū)、非生產(chǎn)區(qū)、 管理區(qū)等；
• DMZ區(qū)：主要包括提供給 Internet用戶、外部用戶訪問代理服務(wù)器、Web服務(wù)器組成。一般情況下 Internet、Intranet 用戶必須通過 DMZ區(qū)服務(wù)器才能訪問內(nèi)部主機或服務(wù)；
• 堡壘區(qū)：主要提供內(nèi)部運維管理人員、云平臺租戶的遠程安全接入以及對其授權(quán)、訪問控制和審計服務(wù)，一般包括 VPN 服務(wù)器、堡壘機等；
• 運維終端接入?yún)^(qū)：負責(zé)云平臺的運行維護終端接入 針對具體的云平臺，在完成安全域劃分之后，就需要基于安全域劃分結(jié)果，設(shè)計和部署相應(yīng)的安全機制、措施，以進行有效
  防護。
  云平臺不同于一般的 IT系統(tǒng)，會涉及多個網(wǎng)絡(luò)，下面對此進行簡要說明，再討論云平臺的安全防護。
  網(wǎng)絡(luò)隔離
  為了保障云平臺及其承載的業(yè)務(wù)安全，需要根據(jù)網(wǎng)絡(luò)所承載的數(shù)據(jù)種類及功能，進行單獨組網(wǎng)。
• 管理網(wǎng)絡(luò) 物理設(shè)備是承載虛擬機的基礎(chǔ)資源，其管理必須得到嚴(yán)格控制，所以應(yīng)采用獨立的帶外管理網(wǎng)絡(luò)來保障 物理設(shè)備管理的安全性。同時各種虛擬資源的準(zhǔn)備、分配、安全管理等也需要獨立的網(wǎng)絡(luò)，以避免與正常業(yè)務(wù)數(shù)據(jù)通信 的相互影響，因此設(shè)立獨立的管理網(wǎng)絡(luò)來承載物理、虛擬資源的管理流量；
• 存儲網(wǎng)絡(luò) 對于數(shù)據(jù)存儲，往往采用 SAN、NAS等區(qū)域數(shù)據(jù)網(wǎng)絡(luò)來進行數(shù)據(jù)的傳輸，因此也將存儲網(wǎng)絡(luò)獨立出來， 并于其他網(wǎng)絡(luò)進行隔離；
• 遷移網(wǎng)絡(luò) 虛擬機可以在不同的云計算節(jié)點或主機間進行遷移，為了保障遷移的可靠性，需要將遷移網(wǎng)絡(luò)獨立出來；
• 控制網(wǎng)絡(luò) 隨著 SDN技術(shù)的出現(xiàn)，數(shù)據(jù)平面和數(shù)據(jù)平面數(shù)據(jù)出現(xiàn)了分離?？刂破矫娣浅Ｖ匾P(guān)于真?zhèn)€云平臺網(wǎng) 絡(luò)服務(wù)的提供，因此建議組建獨立的控制網(wǎng)絡(luò)，保障網(wǎng)絡(luò)服務(wù)的可用性、可靠性和安全性

云平臺安全域劃分和防護設(shè)計 ? 安全域劃分
上面適用于一般情況。針對具體的應(yīng)用場景，也可以根據(jù)需要劃分其他獨立的網(wǎng)絡(luò)，
安全防護設(shè)計
云計算系統(tǒng)具有傳統(tǒng) IT系統(tǒng)的一些特點，從上面的安全域劃分結(jié)果可以看到，其在外部接口層、核心交換層的安全域劃分是 基本相同的，針對這些傳統(tǒng)的安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進行安全防護。如下圖所示：
圖 四.8 傳統(tǒng)安全措施的部署
當(dāng)然，從上面的安全域劃分結(jié)果可以看到，相對于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng)來講，云平臺由于采用了虛擬化技術(shù)，在計算服務(wù) 層、資源層的安全域劃分與傳統(tǒng) IT系統(tǒng)有所不同，這主要體現(xiàn)在虛擬化部分，即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務(wù)區(qū)、堡壘 區(qū)、DMZ區(qū)等。下面在對這些采用了虛擬化技術(shù)的區(qū)域進行重點設(shè)計。當(dāng)然，對于不同的區(qū)域，應(yīng)按照根據(jù) 4.3節(jié)安全保障技術(shù) 框架的要求，選擇、落實適用的安全控制措施，下面重點說明。
生產(chǎn)區(qū)
生產(chǎn)區(qū)部署了虛擬化主機、軟件平臺、應(yīng)用層，應(yīng)基于虛擬化技術(shù)實現(xiàn)，因此其安全防護應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主 機安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。
虛擬化安全
虛擬化安全主要涉及虛擬化組件及其管理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機、虛擬主機、虛擬存儲及虛擬化安 全管理系統(tǒng)的安全。
對于虛擬化安全主要采用的是安全配置和加固、虛擬化映像防護等。詳細內(nèi)容參見第七章介紹。
網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測和清洗、網(wǎng)絡(luò)入侵檢測、惡意代碼防護、VPN接入、安全審計等內(nèi)容。
防火墻及邊界防護
安全域需要隔離，并需要采取訪問控制措施對安全域內(nèi)外的通信進行有效管控。通?？刹捎玫拇胧┯?VLAN、網(wǎng)絡(luò)設(shè)備 ACL、防火墻、IPS設(shè)備等，這里主要對防火墻的功能、部署進行說明
功能 訪問控制系統(tǒng)的安全目標(biāo)是將云計算中心與不可信任域進行有效地隔離與訪問授權(quán)。訪問控制系統(tǒng)由防火墻系統(tǒng)組成， 防火墻在網(wǎng)絡(luò)入口點或者安全域的邊界，根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下， 對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。
產(chǎn)品形態(tài) 對于云計算環(huán)境的邊界隔離，主要采用傳統(tǒng)防火墻、虛擬化防火墻。
部署 對于云平臺，防火墻需要實現(xiàn)對傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的安全域的隔離，也需要實現(xiàn)對虛擬化環(huán)境中的安全域（如生產(chǎn)域及其 子區(qū)、生產(chǎn)域及其子區(qū)、支撐服務(wù)域及其子區(qū)、管理域及其子區(qū)、DMZ域及其子區(qū)等）的隔離。對于傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的 安全域可采用傳統(tǒng)防火墻、傳統(tǒng)的部署方式即可，而對于虛擬化環(huán)境中的安全域可采用虛擬化防火墻實現(xiàn)。
以 VMWare ESXi虛擬化平臺為例，虛擬化防護墻的部署方式如下圖所示：
圖 四.9 虛擬化防火墻部署
網(wǎng)絡(luò)異常流量監(jiān)測與分析
云計算中心部署的應(yīng)用和業(yè)務(wù)非常豐富，如基于流媒體的音視頻服務(wù)， VPN業(yè)務(wù)等等，必然會受到各種網(wǎng)絡(luò)攻擊，如 DDOS，進而出現(xiàn)大量異常流量。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)的情況下，對網(wǎng)絡(luò)流量進行實時監(jiān)測和 分析，從而全面了解流量的各種分布以及變化趨勢就顯得十分必要了。
功能 網(wǎng)絡(luò)流量分析系統(tǒng)在云計算中心運營維護中的作用體現(xiàn)在兩個方面：異常流量監(jiān)測分析和流量統(tǒng)計分析。由于互聯(lián)網(wǎng)上 存在大量的異常流量，尤其是大流量的抗拒絕服務(wù)（DDoS）攻擊經(jīng)常造成鏈路擁塞，以至于網(wǎng)絡(luò)無法正常提供服務(wù)甚 至造成整個網(wǎng)絡(luò)環(huán)境完全癱瘓。因此異常流量監(jiān)測分析是網(wǎng)絡(luò)流量分析系統(tǒng)的首要任務(wù)，下面詳細闡述流量統(tǒng)計分析和 異常流量檢測分析的功能。

• 流量統(tǒng)計分析 流量統(tǒng)計分析的任務(wù)是實時監(jiān)控進出云計算中心流量的地域分布，應(yīng)用組成分布、變 化趨勢，并生成相應(yīng)的統(tǒng)計報表。統(tǒng)計對象的粒度可以為 IP地址、IP地址段、用戶（用 IP地址或地址段的組合來 定義）。流量的地域分布顯示對某個主機（或地址段、用戶）的訪問流量來自哪些地域。流量統(tǒng)計結(jié)果對流量工程 具有很重要的參考價值。應(yīng)用組成分布顯示云計算中心內(nèi)部各種業(yè)務(wù)的開展情況，結(jié)合地域分布的信息，也可以指 導(dǎo)流量工程。流量的變化趨勢顯示流量隨時間的變化規(guī)律以及峰值時段對帶寬的占用情況，這些數(shù)據(jù)有助于進行 云計算中心容量規(guī)劃。
• 異常流量監(jiān)測分析
  • 雙向異常流量監(jiān)測 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的由內(nèi)至外、由外至內(nèi)的流量進行雙向監(jiān)測，即可 監(jiān)測外發(fā)異常流量，也可監(jiān)測外來異常流量；
  • 異常流量定位 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的流量進行持續(xù)監(jiān)控和實時分析，并對異常流量 進行及時的發(fā)現(xiàn)、告警和定位，使網(wǎng)管人員能夠準(zhǔn)確的發(fā)現(xiàn)異常流量進入網(wǎng)絡(luò)的端口和攻擊目標(biāo)；
  • 異常流量分析 異常網(wǎng)絡(luò)流量分析系統(tǒng)對異常流量進行詳細的分析，對異常流量的行為進行記錄和 分析，使網(wǎng)管人員能夠準(zhǔn)確的了解異常流量的行為特征；
  • 異常流量防范 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠針對網(wǎng)絡(luò)中的異常流量提供防范方法和建議，使網(wǎng)管人 員能夠快速應(yīng)對網(wǎng)絡(luò)中的異常流量，將異常流量對網(wǎng)絡(luò)和用戶的影響減少到最低；
  • 異常流量記錄 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中發(fā)生的異常流量進行記錄，網(wǎng)管人員可以查詢系 統(tǒng)的歷史記錄，分析網(wǎng)絡(luò)異常流量的類型、特點和趨勢，總結(jié)長期預(yù)防異常流量的手段和方法；
  • 異常流量過濾 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠根據(jù)異常流量的特點、方向，通知其他安全設(shè)備對異常流 量進行過濾、清洗或壓制?；蛘咄ㄖ\維人員進行手動處理，以防止或減少云計算中心受異常流量的影響
    目前業(yè)界的通常解決方案是異常流量檢測分析系統(tǒng)與抗拒絕服務(wù)攻擊系統(tǒng)聯(lián)動部署實現(xiàn)異常流量分析和過濾，異常流量 檢測分析系統(tǒng)將異常告警信息實時通告給抗拒絕服務(wù)攻擊系統(tǒng)，由抗拒絕服務(wù)攻擊系統(tǒng)實施異常流量過濾凈化，將凈化 后的流量回注?？咕芙^服務(wù)攻擊系統(tǒng)的在后面的章節(jié)詳細闡述。
    產(chǎn)品技術(shù)選型
    目前網(wǎng)絡(luò)流量分析產(chǎn)品主要有兩大類型：
• 類型一：基于流（FLOW）信息的流量分析產(chǎn)品，流（FLOW）信息由網(wǎng)絡(luò)中的路由器和交換機產(chǎn)生，流量分析設(shè) 備根據(jù)流（FLOW）信息進行流量分析；
• 類型二：基于應(yīng)用層分析的深度包檢測產(chǎn)品（DPI），采用端口鏡向或分光方式將需要分析的數(shù)據(jù)流轉(zhuǎn)發(fā)給流量分 析設(shè)備
  基于流（FLOW）信息的流量分析產(chǎn)品具有如下特性，1）采用旁路方式進行部署，不會影響業(yè)務(wù)；2）能夠支持大流量 大范圍網(wǎng)絡(luò)的分析需求，由于流（FLOW）數(shù)據(jù)是對網(wǎng)絡(luò)實際轉(zhuǎn)發(fā)數(shù)據(jù)流的聚合與抽象，相對于 DPI設(shè)備投資較少；3） 對于大流量監(jiān)測來講，其檢測準(zhǔn)確率可以達到 99.99%。

云平臺安全域劃分和防護設(shè)計 ? 安全防護設(shè)計
對于云平臺，其數(shù)據(jù)流量較大，且內(nèi)置的虛擬交換機可以直接輸出 Netflow數(shù)據(jù)流，因此建議在云計算中心采用基于流 （FLOW）信息的流量分析產(chǎn)品。
系統(tǒng)組成和形態(tài)
基于 Netflow技術(shù)安全檢測與分析系統(tǒng)主要包括異常流量檢測系統(tǒng)和綜合分析平臺。 對于異常網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)?？紤]的設(shè)備的性能以及 與流量清洗設(shè)備聯(lián)動的要求，可同時采用兩種形態(tài)。
部署建議 綜合分析云計算中心的實際情況，其異常流量主要來自互聯(lián)網(wǎng)、第三方網(wǎng)絡(luò)、企業(yè)廣域網(wǎng)，還包括虛擬機之間互相攻擊 的異常流量。因此需要在云平臺的互聯(lián)網(wǎng)出口、外聯(lián)網(wǎng)出口、廣域網(wǎng)出口，以及生產(chǎn)區(qū)域邊界、DMZ區(qū)域邊界上部署異 常流量監(jiān)測系統(tǒng)（旁路部署 Netflow流量采樣檢測模塊），實現(xiàn)流量統(tǒng)計分析、路由分析、異常流量檢測。它既可以作 為流量監(jiān)控分析產(chǎn)品對網(wǎng)絡(luò)流量進行深入分析，從而全面了解各類流量的分布以及變化趨勢；也可分析諸如 DDoS攻擊、 網(wǎng)絡(luò)濫用誤用、P2P流量等異常流量。
異常流量檢測系統(tǒng)基于 Netflow數(shù)據(jù)，其采集點是主要物理/虛擬交換機上，可根據(jù)需要靈活部署。以 VMWare ESXi虛 擬化平臺為例，一般部署情況如下圖所示：
圖 四.10 異常流量監(jiān)測系統(tǒng)部署
網(wǎng)絡(luò)入侵檢測
云計算對外提供服務(wù)，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無限放大，在云計算中心網(wǎng)絡(luò)出口采用入侵檢測機制，收集各 種信息，由內(nèi)置的專家系統(tǒng)進行分析，發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡(luò)入侵檢測系統(tǒng)捕獲分析網(wǎng)絡(luò)中的所有報文，發(fā) 現(xiàn)其中的攻擊企圖，根據(jù)事先制定的策略通知管理員或自行采取保護措施。
功能 入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害 之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到更高的重視。
入侵檢測系統(tǒng)可實時監(jiān)控云計算中心網(wǎng)絡(luò)中的數(shù)據(jù)訪問和系統(tǒng)事件，及時發(fā)現(xiàn)攻擊行為并作為分析證據(jù)并對可疑的訪問 行為進行自動響應(yīng)。
利用入侵檢測系統(tǒng)的攻擊結(jié)果判定功能重點關(guān)注攻擊成功的安全事件。針對某些特定的安全規(guī)則單獨設(shè)定安全策略，針 對云計算中心業(yè)務(wù)特點過濾一些低風(fēng)險或者不可能成功的攻擊行為，從而減少管理員關(guān)注日志告警的工作量，也使得重 要攻擊行為能夠得到重點體現(xiàn)。
同時，可以針對業(yè)務(wù)特點自定義某些特定的安全規(guī)則。如敏感內(nèi)容信息過濾，設(shè)置自定義的關(guān)鍵字過濾檢測規(guī)則，通過 與防火墻的聯(lián)動或自身發(fā)送的 TCP Killer數(shù)據(jù)包，將涉及敏感信息的 TCP會話阻斷，防止信息泄露或者一些非法的網(wǎng)絡(luò) 信息傳遞。
產(chǎn)品組成和形態(tài) 網(wǎng)絡(luò)入侵檢測系統(tǒng)一般包括網(wǎng)絡(luò)入侵檢測設(shè)備和綜合分析平臺。網(wǎng)絡(luò)入侵檢測設(shè)備主要有傳統(tǒng)硬件網(wǎng)絡(luò)入侵檢測設(shè)備 （NIDS）和虛擬化網(wǎng)絡(luò)入侵檢測設(shè)備（ vNIDS）兩種產(chǎn)品形態(tài)。
部署建議 入侵檢測系統(tǒng)應(yīng)部署在已被入侵的高危區(qū)域或者關(guān)鍵區(qū)域。包括互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，以及關(guān)鍵的計算服務(wù)域。 對于互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，可采用傳統(tǒng)的 IDS，而對于位于虛擬化平臺上的關(guān)鍵計算服務(wù)域可以用虛擬化入侵 檢測系統(tǒng)，并可部署一套綜合分析系統(tǒng)，對系統(tǒng)所有入侵檢測日志進行統(tǒng)一存儲、分析和呈現(xiàn)。以 VMWare ESXi虛擬 化平臺為例，一般部署情況如下圖所示：
圖 四.11 網(wǎng)絡(luò)入侵檢測系統(tǒng)部署圖
主機安全 主機安全與傳統(tǒng)安全相同，這里不再贅述。
應(yīng)用安全
Web應(yīng)用防護
云計算中心一般都是采用 Web的方式來對外提供各類服務(wù)，特別是在 Web 2.0的技術(shù)趨勢下，75%以上的攻擊都瞄準(zhǔn) 了網(wǎng)站（Web）。這些攻擊可能導(dǎo)致云計算服務(wù)提供商遭受聲譽和經(jīng)濟損失，可能造成惡劣的社會影響。Web應(yīng)用防護 技術(shù)通過深入分析和解析 HTTP的有效性、提供安全模型只允許已知流量通過、應(yīng)用層規(guī)則、基于會話的保護，可檢測 應(yīng)用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護云計算平 臺的 Web服務(wù)器，確保云計算平臺 Web應(yīng)用和服務(wù)免受侵害。
Web防護技術(shù)
與傳統(tǒng)防火墻/IPS 系統(tǒng)相比較，Web應(yīng)用防護技術(shù)將提供一種安全運維控制手段，基于對 HTTP/HTTPS流量的雙向分 析，為 WEB應(yīng)用提供實時的防護。

• 對 HTTP有本質(zhì)的理解：能完整地解析 HTTP，包括報文頭部、參數(shù)及載荷。支持各種 HTTP 編碼（如 chunked encoding）；提供嚴(yán)格的 HTTP協(xié)議驗證；提供 HTML限制；支持各類字符集編碼；具備 response過濾能力；
• 提供應(yīng)用層規(guī)則：WEB應(yīng)用通常是定制化的，傳統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應(yīng)用層 規(guī)則，且具備檢測變形攻擊的能力，如檢測 SSL加密流量中混雜的攻擊；
• 提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過，為 WEB應(yīng)用提供了一個外部的輸入驗證機制， 安全性更為可靠；
• 提供會話防護機制：HTTP協(xié)議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進行有效補充，防護基 于會話的攻擊類型，如 cookie篡改及會話劫持攻擊
  Web 應(yīng)用防護技術(shù)將以一個可閉環(huán)又可循環(huán)的方式去降低潛在的威脅，對于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事 后的彌補，形成環(huán)環(huán)相扣的動態(tài)安全防護。事前是用掃描方式主動檢查網(wǎng)站并把結(jié)果形成新的防護規(guī)則增加到事中的防 護策略中，而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此，不能進一步修改和損壞網(wǎng)站文件，對于要求信譽 高和完整性的用戶來說，這是尤為重要的環(huán)節(jié)。
  產(chǎn)品形態(tài) 對于網(wǎng)絡(luò)應(yīng)用防火墻，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。在虛擬化的環(huán)境中，應(yīng)選擇虛 擬化產(chǎn)品形態(tài)，并可以實現(xiàn)和網(wǎng)站安全檢測系統(tǒng)、Web安全掃描系統(tǒng)進行聯(lián)動。
  產(chǎn)品部署
  Web 應(yīng)用防火墻應(yīng)部署在 Web服務(wù)器之前，并邏輯串聯(lián)。根據(jù)需要可選擇透明模式、路由模式或者反向代理模式。 以 VMWare ESXi虛擬化平臺為例，其部署方式如下圖所示：

云平臺安全域劃分和防護設(shè)計 ? 安全防護設(shè)計
圖 四.12 虛擬化 Web應(yīng)用防火墻部署
網(wǎng)頁防篡改
網(wǎng)頁防篡改系統(tǒng)可以仍舊部署在 Web服務(wù)上，實現(xiàn)防篡改功能，其功能、技術(shù)實現(xiàn)與部署與傳統(tǒng)方式相同，這里不再 贅述。
網(wǎng)站安全監(jiān)測技術(shù) 見安全管理區(qū)的描述。
數(shù)據(jù)安全
對于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、遷移、銷毀以及備份和恢復(fù)的全生命周期，并在數(shù)據(jù)的不同生周 期階段采用數(shù)據(jù)分類分級、標(biāo)識、加密、審計、擦除等手段。另外，在采用了這些基礎(chǔ)防護技術(shù)措施之外，還應(yīng)考慮數(shù)據(jù)庫審計、 數(shù)據(jù)防泄露以及數(shù)據(jù)庫防火墻的手段，最大限度地保證云平臺中的數(shù)據(jù)安全。
非生產(chǎn)區(qū)
對于非生產(chǎn)區(qū)部署的主機、應(yīng)用一般與生產(chǎn)區(qū)基本相同，因此，對于非生產(chǎn)區(qū)的安全防護可以借鑒生產(chǎn)區(qū)的防護方法，這里 不再贅述。
DMZ區(qū)
DMZ區(qū)主要部署了生產(chǎn)區(qū)核心應(yīng)用的一些代理主機、web 主機等，其直接面向來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問，受到的威脅程度高， 應(yīng)進行重點防護。
對于 DMZ區(qū)的安全防護可以借鑒生產(chǎn)區(qū)的防護方法，這里不再贅述。需要說明是的：為了保證系統(tǒng)安全防護的可靠性，其 安全防護措施，如防火墻，應(yīng)與網(wǎng)絡(luò)接入?yún)^(qū)、生產(chǎn)區(qū)等防護措施形成多層異構(gòu)模式。
堡壘區(qū)
VPN接入
VPN接入可以采用傳統(tǒng) VPN接入設(shè)備，也可以采用虛擬化的 VPN接入設(shè)備。其實現(xiàn)方式與傳統(tǒng)方式基本相同，這里不再贅
述。
堡壘機
云平臺的管理運維人員、第三方運維人員以及租戶需要多云計算平臺的主機、應(yīng)用及網(wǎng)絡(luò)設(shè)備進行管理、維護操作。為了發(fā) 現(xiàn)和防止不當(dāng)操作、越權(quán)操作的發(fā)生，需要對此類用戶進行認證、授權(quán)、訪問控制和審計。堡壘機就是完成上述功能的關(guān)鍵設(shè)備， 典型應(yīng)用場景如下圖所示：
網(wǎng)絡(luò)設(shè)備和服務(wù)器區(qū)
UNIX/LINUX Server Windows 網(wǎng)絡(luò)設(shè)備 安全設(shè)備 DB
返回結(jié)果
執(zhí)行訪問操作： SSH/TELNET/RDP // VNC /FTP/SFTP ……
堡壘機
審計控制臺
WEB登錄
返回結(jié)果
維護人員
云平臺管理 /運維人員 第三方代維人員 云平臺租戶
圖 四.13 堡壘機應(yīng)用場景
功能
堡壘機可以提供一套先進的運維安全管控與審計解決方案，目標(biāo)是幫助云計算中心運維人員轉(zhuǎn)變傳統(tǒng) IT 安全運維被動響應(yīng)的 模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風(fēng)險，滿足合規(guī)要求，保障企業(yè)效益，主要實現(xiàn)功能如
下：

• 集中賬號管理 建立基于唯一身份標(biāo)識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備 等無縫連接；
• 集中訪問控制 通過集中訪問控制和細粒度的命令級授權(quán)策略，基于最小權(quán)限原則，實現(xiàn)集中有序的運維操作管 理，讓正確的人做正確的事；
• 集中安全審計 基于唯一身份標(biāo)識，通過對用戶從登錄到退出的全程操作行為進行審計，監(jiān)控用戶對目標(biāo)設(shè)備的 所有敏感操作，聚焦關(guān)鍵事件，實現(xiàn)對安全事件地及時發(fā)現(xiàn)預(yù)警，及準(zhǔn)確可查
  產(chǎn)品形態(tài) 對于堡壘機，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。
  部署 云計算平臺的管理用戶類型主要包括：云平臺運維管理人員、第三方管理人員以及云平臺租戶。從網(wǎng)絡(luò)訪問途經(jīng)講，有內(nèi)部網(wǎng) 絡(luò)訪問和來自互聯(lián)網(wǎng)的訪問。堡壘機部署在管理終端和被管理設(shè)備之間，并實現(xiàn)邏輯上的串聯(lián)部署，同時，堡壘機應(yīng)部署在管 理平面，實現(xiàn)和用戶數(shù)據(jù)的隔離。
  以 VMWare ESXi虛擬化平臺為例，一般部署情
  云平臺安全域劃分和防護設(shè)計 ? 安全防護設(shè)計
  圖 四.14 堡壘機部署圖
  支撐服務(wù)區(qū)
  支撐服務(wù)區(qū)的安全防護與傳統(tǒng) IT系統(tǒng)的支撐服務(wù)區(qū)相同，主要部署防火墻、入侵檢測等防護、數(shù)據(jù)庫審計、信息防泄露等防 護措施，這里不再贅述。
  管理區(qū)
  管理區(qū)可以細分為運維管理子區(qū)、安全管理子區(qū)。運維管理子區(qū)主要部署虛擬化管理平臺、云運維管理平臺、網(wǎng)絡(luò)管理平臺 等，其防護與傳統(tǒng)的 IT系統(tǒng)基本相同，不再贅述。
  對于安全管理子區(qū)，一般會集中化部署安全防護措施的管理服務(wù)器、提供通用安全服務(wù)的服務(wù)平臺，如綜合安全管理服務(wù)器、 防病毒服務(wù)器、安全檢查/評估系統(tǒng)、安全態(tài)勢監(jiān)測系統(tǒng)等，實現(xiàn)“大院式”防護，降低防護成本。
  圖 四.15 安全管理子區(qū)

對于云平臺來講，這里采用的安全防護措施可與虛擬化管理平臺、云管理平臺有機集成，如實現(xiàn)虛擬機配置/活動信息的獲取、 租戶信息的獲取、虛擬機所部署應(yīng)用的信息的獲取等，以實現(xiàn)全程自動化實現(xiàn)。
安全檢查/評估系統(tǒng)
所有的 IT組件都會有安全漏洞或者配置弱點，需要部署安全檢查/評估系統(tǒng)對系統(tǒng)進行持續(xù)安全檢查、掃描，并自動化分析 系統(tǒng)存在的問題，給出應(yīng)對策略。
功能 安全掃描技術(shù)主要是用來評估計算機網(wǎng)絡(luò)系統(tǒng)的安全性能，是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是采用模擬攻擊的形 式對目標(biāo)可能存在的已知安全漏洞/配置弱點進行逐項檢查。安全掃描系統(tǒng)可對云平臺主機/設(shè)備/應(yīng)用進行定期掃描、評估， 分析客戶業(yè)務(wù)系統(tǒng)當(dāng)前的設(shè)置和防御，指出潛在的安全漏洞，以改進系統(tǒng)對入侵的防御能力。掃描的目標(biāo)包括工作站、服務(wù) 器、路由器、交換機、數(shù)據(jù)庫應(yīng)用等各種對象，根據(jù)掃描結(jié)果向系統(tǒng)管理員提供安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平 產(chǎn)生重要依據(jù)。
產(chǎn)品形態(tài) 對于安全評估系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。
部署建議 在共享式工作模式下，只要將安全評估系統(tǒng)接入云平臺安全管理子區(qū)網(wǎng)絡(luò)并進行正確的配置即可正常使用，其工作范圍可以 覆蓋到云平臺網(wǎng)絡(luò)地址可達之處。運維人員可以從任意地址登錄安全評估系統(tǒng)并下達掃描任務(wù)。
網(wǎng)站安全監(jiān)測技術(shù) 云計算平臺所部署了大量網(wǎng)站，需要對這些網(wǎng)站進行持續(xù)、動態(tài)偵測，提早發(fā)現(xiàn)問題和漏洞，增強客戶訪問體驗。
技術(shù)原理與功能
傳統(tǒng)的網(wǎng)站安全監(jiān)管方式通常是采用 Web 應(yīng)用安全掃描工具周期性的對網(wǎng)站進行安全掃描與評估，然后根據(jù)評估結(jié)果進行 安全加固和風(fēng)險管理。這種安全檢查工作是一種靜態(tài)的檢查工作，能夠反映站點被檢查那一時期站點的安全問題，但是缺少 風(fēng)險的持續(xù)監(jiān)測性。
網(wǎng)站安全監(jiān)測技術(shù)根據(jù)網(wǎng)站系統(tǒng)監(jiān)管要求，通過對目標(biāo)站點進行頁面爬取和分析，為用戶提供透明模式的遠程集中化安全監(jiān) 測、風(fēng)險檢查和安全事件的實時告警，并為用戶提供全局視圖的風(fēng)險度量報告，非常適用于為租戶提供安全增值服務(wù)。
網(wǎng)站安全監(jiān)測技術(shù)具體包括 Web爬蟲與鏈接智能分析、Web頁面預(yù)處理與分級檢測、網(wǎng)頁木馬檢測與分析，實現(xiàn)網(wǎng)站漏洞 掃描、網(wǎng)頁掛馬監(jiān)測、網(wǎng)頁敏感內(nèi)容監(jiān)測、網(wǎng)頁篡改監(jiān)測、網(wǎng)站平穩(wěn)度監(jiān)測、網(wǎng)站域名解析監(jiān)測等功能，能夠從站點的脆弱 性、完整性、可用性三方面全方位的對站點的安全能力要求進行監(jiān)管，并且可為一個大型的站點群同時提供安全監(jiān)測的能力。
產(chǎn)品形態(tài) 對于網(wǎng)站安全檢測，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。
部署 網(wǎng)站安全監(jiān)測系統(tǒng)可根據(jù)云計算平臺網(wǎng)站的規(guī)模進行獨立部署和分布式部署。獨立部署方式就是在網(wǎng)絡(luò)中部署一臺同時具備 監(jiān)測及數(shù)據(jù)分析能力的設(shè)備，即一臺設(shè)備實現(xiàn)所需要的監(jiān)測能力。系統(tǒng)具有管理網(wǎng)口和掃描網(wǎng)口，管理口可接入用戶內(nèi)容， 用于用戶對監(jiān)測任務(wù)的管理。掃描口接入外網(wǎng)，對重要網(wǎng)站進行監(jiān)測。分布式部署方式，即采用單臺控制中心，多臺引擎的
23 云安全解決方案
云平臺安全域劃分和防護設(shè)計 ?

參考資料

綠盟 2015綠盟科技云安全解決方案

友情鏈接

GB-T 25068.1-2020 信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全 第1部分：綜述和概念文章來源地址http://www.zghlxwxcb.cn/news/detail-789989.html

到了這里，關(guān)于云安全防護總體架構(gòu)設(shè)計的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！