云计算数据中心等保2.0解决方案Word文档下载推荐.docx
《云计算数据中心等保2.0解决方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《云计算数据中心等保2.0解决方案Word文档下载推荐.docx(27页珍藏版)》请在冰豆网上搜索。
(1)最小授权原则依据“缺省拒绝”的方式制定防护策略。
防护策略在身份鉴别的基础上,只授权开放必要的访问权限,并保证数据安全的完整性、机密性、可用性。
(2)业务相关性原则在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。
(3)策略最大化原则当存在多项不同安全策略时,安全域防护策略包含这些策略的合集,并选取最严格的防护策略,安全域的防护必须遵循策略最大化原则。
在云平台总体安全架构建设方面,按纵深防御思想进行设计:
第一层防护:
外部单位至云数据中心的物理边界防护,即云平台南北向的安 全防护;
第二层防护:
数据中心不同业务区之间的安全防护;
第三层防护:
数据中心内部,不同租户间的东西向防护采用VPC中虚拟防火墙
进行访问控制,同一租户内的业务隔离采用安全组的方式进行控制;
第四层防护:
在数据中心,部署安全资源池,各租户根据其需求调用安全资 源池中的防护能力,用于满足租户的安全需求。
2等保相关要求
根据等保2.0相关要求,本期部署相应的安全产品,具体等保重点要求内容 如下表:
第13页
基本要求 分类
内容
应保证网络设备的业务处理能力满足业务高峰期需要
应保证网络各个部分的带宽满足业务高峰期需要应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性
应采用校验码技术或加解密技术保证通信过程中数据的完整性
应采用密码技术保证通信过程中数据的保密性应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信
应能够对内部用户非授权联到外部网络的行为进行限制或检查
应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络
对应产品
网管系统网管系统
网络
架构
网络设计、交换机
安全通信
网络设计
通信
传输
防火墙VPN
(IPSec/L2TP/SSL)
/安全认证网关
防火墙
安全边界
边界
防护
终端准入系统
基本要求 分类 内容 对应产品应在网络边界或区域之间根据访问控制策略设置
访问控制规则,默认情况下除允许通信外受控接口拒
绝所有通信
应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化
访问
控制
入侵防范
恶意代码防范
�应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力
应对进出网络的数据流实现基于应用协议和应用内容的访问控制
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
应在关键网络节点处检测和限制从内部发起的网络攻击行为
应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应供提报警
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
�防火墙
入侵防御、抗DDOS
安全 审计记录应包括事件的日期和时间、用户、事件类网络审计、上网行为管
审计 型、事件是否成功及其他与审计相关的信息
应对审计记录进行保护,定期备份,避免受到未预
期的删除、修改或覆盖等
�理、堡垒机
安全计算环境
�应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退等出
身份 相关措施
鉴别 当进行远程管理时,应采取必要措施,防止鉴别信
息在网络传输过程中被窃听
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别且,其中一种鉴别技术至少应使用密码技术来实现
应启用安全审计功能,审计覆盖到每个用户,对重
要的用户行为和重要安全事件进行审计
审计记录应包括事件的日期和时间、用户、事件类安全 型、事件是否成功及其他与审计相关的信息
审计 应对审计记录进行保护,定期备份,避免受到未预
�
账号管理、身份认证系统
日志审计系统
基本要求 分类 内容 对应产品
系统应遵循最小安装的原则,仅安装需要的组件和应用程序
应关闭不需要的系统服务、默认共享和高危端口
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
入侵
防范
数据完整性
数据保密性
数据备份恢复
�应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为并,将其有效阻断
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要务业数据、重要审计数据、重要配置数据、重要视数频据和重要个人信息等
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和要重个人信息等
应提供重要数据的本地数据备份与恢复功能
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
应提供重要数据处理系统的热冗余,保证系统的高可用性
应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作并,对这些操作
�漏洞扫描
终端杀毒
VPN
异地备份
审计 进行审计 数据库审计、堡垒机、
管理
安全管理
中心
应通过审计管理员对审计记录进行分析,并根据分
析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等
集中
管控
应对分散在各个设备上的审计数据进行收集汇总
和集中分析,并保证审计记录的留存时间符合法律法规要求
3安全架构
(4)计算存储区安全资源池本身是将多种安全设备、安全功能及安全服务统一起来,提供灵活的应用接口,为租户提供安全资源服务。
安全资源池既可以为物理上一个独立的计算区域(安全资源独立部署),也可以在普通计算区域中逻辑划分出来的一个资源组合(应用与安全资源混合部署)。
通过安全资源池的建设,一方面通过传统物理设备满足了数据中心网络环境下南北向的流量防护问题,一方面通过虚拟化安全资源池,在云计算数据中心内部,保障虚拟机之间东西向流量的安全防护,通过引流、分流的方式,将虚拟机的流量接入安全节点,进行处置后在被发送到目的地;
并且可以实现对云平台内虚拟化层流量检测、过滤的要求。
本期建设2台单独的物理服务器,用于部署安全资源池,每台服务器通过2*10GE链路上联至计算存储区的接入交换机。
安全资源池内部署漏洞扫描系统和数据库审计系统,保证云平台整体的安全合规性。
租户可通过选择安全资源池内的安全服务,用于对自身业务系统的防护。
4云平台安全
云平台安全主要涉及用户管理,是通过云平台内部管理平台实现,跟资源创 建和维护有很大关系,主要包括:
l角色访问的管理,通过管控平台下发工单信息,创建相关资源,并提供相应模块接口,使得每个用户对应相应资源,并于云平台内部进行访问管理。
l特权用户访问管理审计,通过管控平台下发工单信息,创建相关特权用户资源,并提供相应模块接口,能监控用户的接入和自身运维数据。
l双因素强认证,由于网络接入口统一在云数据中心,所以接入网络会进行
相关的认证,到了云平台资源,在系统上设置安全策略,这是第二重认证管理手段,能确保用户的安全。
5网络安全
网络云化以后,网络安全问题凸显在几个方面:
网络云化对网络安全可靠性要求大大提升;
网络云化对网络安全高性能的要求大幅提升;
网络云化要求安全管理自动化部署;
网络云化要求安全弹性部署,按需扩展。
3.5.5.1边界防火墙(含链路负载均衡和IPS功能)
边界防火墙用于控制外部用户、分支机构、协同部门向互联网的数据访问控
制,保护内部的网络安全环境,并确定访问的时间、权限,服务类型和质量等,达到抵挡外部入侵和防止内部信息泄密的目的。
在互联网出口区部署 2台边界防火墙(含LB和IPS功能),保证出口的可靠性。
(1)LB(链路负载均衡)
传统的控制流量走向的方法是通过路由实现选路,而路由只能根据目的地址提供转发服务,考虑到当今网络业务的繁杂和数据流量的瞬息万变,仅依靠路由显然无法满足用户的实际需求。
下一代防火墙根据不同的应用场景提供
了多种选路策略,通过分析流量的属性或链路的实时状态选择最佳的出接口,提高链路资源的利用率,提升用户的上网体验。
防火墙的出方向负载均衡特性由智能 DNS、DNS透明代理和策略路由等功能模块组成:
智能DNS
智能DNS是指在企业内网存在DNS服务器的情况下,出口防火墙对于来自不同ISP用户的DNS请求进行智能回复,使用户能够获得最适合的解析地址,即与 用户属于同一ISP网络的地址。
用户发起访问时会以此地址为目的地址,访 问企业为该ISP网络专门提供服务的Web服务器。
由于无需绕道其他ISP网络,因此确保了用户的Web访问延迟最小,业务体验最优。
DNS透明代理
DNS透明代理可以修改部分内网用户的DNS请求报文的目的地址,将其修改为其他ISP内的DNS服务器地址。
由于DNS请求被转发到不同的ISP,因此解析后的Web
服务器地址也就属于不同的ISP,上网流量将通过不同的ISP链路转发,这样就
不会造成一个链路拥塞、其他链路却闲置的情况,充分利用了所 有链路资源。
策略路由
策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而 是
根据用户制定的策略进行路由选择的机制,从更多的维度(应用、服务、
升级会员 