深信服云安全及解决及方案Word文件下载.docx
《深信服云安全及解决及方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《深信服云安全及解决及方案Word文件下载.docx(23页珍藏版)》请在冰豆网上搜索。
一是不需要投资建立大量的数据中心和大型机房,购置效劳器和存储设备等,从而节省建立费用;
二是信息软硬件资源交给专业的云效劳商管理,集团不再负担信息系统维护和升级,节省了运维费用。
2、云计算提高业务系统的部署效率
云平台具有较高的灵活性,集团实施新的应用系统时,不必购置额外的软硬件,而是利用已有云根底设施,快速部署系统,提高应用部署速度。
开发者在一个平台上构建和部署应用程序,大大提高了信息系统部署效率。
3、云计算降低信息共享和业务协同难度
长期以来,各应用系统普遍存在各自为政、资源分散等问题。
尽管信息难以共享的根源在于业务系统机制问题,但云计算能从技术上降低信息共享和业务协同的难度。
通过云平台,多个部门/集团子公司可以共用相应的根底架构,实现各业务系统之间的软硬件共享,提高信息共享的效率,扩大信息共享*围;
软硬件资源和信息资源的共享将有利于促进各部门内部与部门之间的业务系统的整合,为各部门业务协同创造条件。
4、云计算有助于提高效劳效率
通过云平台实现软硬件资源所有权与使用权的别离,各子公司将在不拥有软硬件资源的情况下享受信息效劳。
因此,集团的IT部门能够集中人力物力进展本部门的业务运转,从而减轻行政负担,能有更多的精力专注于面向公众的公共效劳,提高效率。
同时,在部署了以云计算为技术支撑的云平台以后,后台信息的烟囱式部署方式的壁垒将被打破,从而实现业务数据的统一共享,这对前台效劳界面的统一打通有着重要意义,将使得业务系统的统一化不再停留在前台展示层面,而切切实实的实现效劳的高效与统一。
第二章需求分析
集团的云平台一般为专有云架构,专有云平台承担集团内部效劳的内容如业务应用系统等,为各分公司、集团子公司的应用系统提供根底设施支撑。
云资源共享专区通过平安隔离措施访问公有云〔互联网〕、公众效劳专区;
各子公司需要对互联发布的业务系统应根据效劳对象逐步迁移至云平台上,实现集中集约部署。
2.1需求概述
从整个云平台整体平安角度来看,我们需要考虑三个方面的设计:
云平台平安、租户侧平安、平安运维管理和便捷性。
图2.1-2云平台平安需求框架
云计算平台和传统计算平台的最大区别在于计算环境,云平台的计算环境比传统意义上的计算环境要更加复杂。
对云平台的计算环境的保护也是云平台下信息平安整体保护体系的重中之重。
除了平台的平安问题,租户侧也面临一些平安问题,比方接入环境是否满足平安要求、业务系统是否平安、用户访问或接入业务的平安风险、虚机之间信息交换是否平安、业务系统效劳可靠性等需求。
整个云平台平安运维也成了一大难题,首先平台本身以及平台中的业务系统的平安现状难以实时监测,因此无法做到有效审计,不能追溯平安问题;
其次,对于资源池中的平安效劳,如何做到动态灵活的统一管理、智能分配,满足云环境下动态高效的需求;
再次,租户业务系统迁入后,如何快速的获得所需的平安配额,实现针对性的策略配置和自主运维。
归纳起来,云平台整体平安需求如以下图所示:
图2.1-3云平台整体平安需求
2.2平台侧需求
对于云来说,平台无疑是对外提供效劳的根底,无论是建立运营方,还是租户,对于平台自身的可靠性、平安性都是极为关注的。
因此平台层的平安建立需要从平台平安防护,平台的接入平安,以及平台效劳可靠性方面来建立,保证云平台业务系统平安可靠运行。
平台平安需求
平台需要直接连接互联网,面临着非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、web应用保护、僵尸木马、DDoS攻击等各种平安问题,并且其底层和其上的系统软件可能存在的平安漏洞将影响到整个平台系统的平安,攻击者在利用漏洞入侵到平台之后,可以对整个平台内部的资源进展各种破坏,从而导致系统不可用,或者数据丧失、数据泄露,其潜在的威胁将无法估量。
分区分域需求
在平安设计方案中,我们需要将省级部门的业务通过逻辑隔离划分不同的平安域,首先云平台建立时需考虑将根底设施资源划分为两个独立的区域,分别为互联网业务区、公用网络区,两个区域间不能直接访问,仅能通过跨网数据交换区进展数据交换。
每个等保区域内不同租户应用间通过VLAN/V*LAN网络隔离,租户间通过访问控制设备进展访问控制,制止非授权访问。
云平台支持虚拟私有云,可以在一个云数据中心里灵活设定多个虚拟私有云,多个私有云之间使用VPN技术或V*LAN技术,到达端到端的隔离效果。
防网络病毒需求
云平台的核心是计算和数据资源,因此也是网络入侵者最主要的目标。
病毒、蠕虫、木马等恶意代码一旦感染云平台系统或应用,就可能在平台内部快速传播,消耗网络资源,劫持平台应用,窃取敏感信息,发送垃圾信息,甚至重定向用户到恶意网页。
所以云平台平安建立需要包含检测和去除病毒蠕虫木马等恶意内容的机制。
云应用平安需求
云环境的随需部署和动态迁移,使平安策略的部署变得复杂,需要一个灵活动态平安机制来适配虚拟化网络平安防护。
因为应用只与虚拟层交互,而与真正的硬件隔离,导致应用层的平安威胁缺乏监管而泛滥,平安管理人员看不到设备背后的平安风险,效劳器变得更加不固定和不稳定。
云环境中B/S架构的业务普遍存在,大量的Web业务应用引入各种各样的漏洞,给了入侵者可乘之机。
黑客能够利用这些漏洞发起对云应用的攻击,比方SQL注入、跨站脚本攻击等,进而实现对内部敏感信息监控、窃取、篡改等目的。
因此需要有效的设备来识别并防护针对业务系统漏洞的攻击。
防止漏洞攻击
云平台内部有大量业务效劳器,其底层和业务应用系统会不断产生新的平安漏洞,给了入侵者可乘之机。
黑客能够利用这些漏洞发起对云平台的攻击,比方mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对敏感信息监控、窃取、篡改等目的。
因此需要有效的手段来识别并防护针对系统漏洞的攻击。
接入平安需求
云平台接入平安首先要考虑租户的平安接入,租户接入的目的主要是对托管的业务、租赁的效劳进展运维管理,因此需要对接入平台的租户身份进展有效的认证,防止非法用户接入带来的危害;
而对于普通用户来说,平台内部哪些资源是对其开放的,哪些资源不能访问需要界定;
在整个大平台内部,不同的云业务及虚拟私有云之间会有大量的信息交互,因此需要考虑如何保障云间业务的平安互联,防止信息泄露和越权访问。
云间平安互联
云平台里面可能包含了多个部门数据中心或虚拟私有云,跨部门或跨级别之间也会进展信息的流转,传统数据中心和云平台系统进展信息交互,这些信息往往涉及到**等级的问题,应予以严格**。
因此,在信息传递过程中,必须采取适当的加密方法对信息进展加密。
基于IPsec的加密方式被广泛采用,其优点显而易见:
IPSEC对应用系统透明且具有极强的平安性,同时也易于部署和维护,这对于庞大的云平台来说,显得极有好处。
租户平安接入
集团子公司〔租户〕业务系统上线后,面临着用户远程接入访问的问题,不管是运维人员的运维接入,还是集团子公司用户的接入,都是需要慎重考虑接入平安的问题,尤其是使用BYOD接入访问,更应该对其接入进展严格的身份认证和平安核查,同时对用户访问行为进展合理的权限划分,防止平安问题从远端传递过来并在云平台蔓延。
用户访问平安
一些集团子公司部门通过云平台对外发布的业务应用,平台用户可以直接使用互联网进展访问,用户能够访问的资源,需要靠访问控制的平安策略来核查,防止非授权的数据泄漏问题。
访问控制系统的平安目标是将云计算中心与不可信任域进展有效地隔离与访问授权。
访问控制系统应根据各业务的平安级别要求和全网平安策略控制出入网络的信息流,并且系统本身具有较强的抗攻击能力。
访问控制系统由防火墙系统组成,防火墙在网络入口点根据设定的平安规则,检查经过的通信流量,在保护内部网络平安的前提下,对两个或多个网络之间传输的数据包和联接方式按照一定的平安策略进展检查,来决定网络之间的通信是否被允许。
业务可靠需求
云平台需要保障效劳可靠性,一旦出现中断将造成重大损失,并且影响集团形象。
效劳中断来源于俩方面:
一方面因为攻击造成拒绝对外提供效劳,这种情况下效劳器或带宽资源被消耗完,导致无法处理后续效劳;
另一方面是因为效劳器故障停顿对外效劳、出口链路中断、数据中心切换等问题带来的效劳软中断;
此外,灾难、电力供应等不可抗拒性也会导致效劳中断,此类事件一旦发生,便会造成数据中心消灭性的破坏。
同时会对租户的公信力产生非常不利的影响。
不可抗拒性的中断建议采用冗余数据中心的方式来解决。
而云平台内部,每套业务系统都会有多个效劳器〔虚机〕来承担效劳,出口网络也会选用多家Internet效劳,因此使用效劳器负载、链路负载设备就能解决软中断问题。
防止拒绝效劳
云平台上托管着大量的面向互联网的效劳,往往会成为拒绝效劳的攻击目标。
黑客控制着大量的僵尸“肉机〞,从而发起向云平台的大量异常请求,这种攻击行为使得Web等系统充满大量需要响应的信息,严重消耗网络系统资源,导致外联效劳平台无法对外正常提供效劳,影响云平台和各集团子公司部门正常的业务开展。
链路负载均衡
云平台接入往往多条运营商链路,从而保证网络效劳的质量,消除单点故障,减少停机时间。
为提升外部用户从外部访问内部和应用系统的速度和性能,就需要对多条链路进展负载优化,实现在多条链路上动态平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路,保障业务应用不中断。
全局负载均衡
当*一云中心出现系统性故障时,或者*一云中心的性能负载出现过大问题时,可以通过全局负载,进展实时业务调度,让两个或者多个云数据中心能够互为备份,让用户获得就近最快速的访问。
2.3租户侧需求
2.3.1租户间隔离需求分析
在设计方案中我们看到,要求将各部门的业务通过逻辑隔离划分不同的平安域,首先云平台建立时需考虑将根底设施资源划分为两个独立的区域,两个区域间不能直接访问,仅能通过跨网数据交换区进展数据交换。
其次为满足等保合规需求,每个业务区内还需要划分二级等保区和三级等保区两个区域,两者的计算资源不允许共享。
2.3.2租户虚拟机需求分析
在云平台的环境下,租户内部存在一台或多台虚拟机,虚拟机是否平安和可靠直接影响到租户业务的质量好坏,而虚拟机主要存在以下需求:
●对虚拟主机进展平安加固,采取措施防止通过虚拟机漏洞获得对所在物理机的访问和控制;
单台物理效劳器上的各虚拟机之间可能存在二层流量交换,而这局部流量对于管理员来说是不可见的。
在这种情况下,管理员需要判断虚拟机之间的访问是否符合预定的平安策略,或者需要考虑如何设置策略以便实现对虚拟机之间流量的访问控制及平安风险检测;
●保证不同虚拟机之间的隔离,屏蔽非必要的虚拟主机之间的互访,即使有数据互访的需求也是在管理员知情并批准的提前下且需经过防火墙的平安检测;
●对虚拟机的可靠性保障,实时监测虚机的性能状态,出现故障时能及时修复,在多台虚机间做负载均衡;
●提高虚拟机的利用率,实时监测虚拟机的业务量,在业务的顶峰期,能够新增适量的虚拟机来保障用户访问请求的及时快速处理。
在业务的低谷期,能够减少虚拟机来防止资源的浪费,实现资源的动态调整。
2.3.3租户互联网业务需求分析
租户基于云平台构建的互联网业务系统,其平安风险与传统基于物理主机构建的业务应用相似,操作系统、数据库、Web效劳器软件、中间件及应用软件相关平安风险和可靠度均需要加以关注。
租户的互联网业务主要承载对外发布系统、门户等,用户主要是互联网用户,因此该区域的需求分为了访问控制、web平安防护、入侵防御、病毒防护、平安管理、应用可靠、用户体验。
1.虚拟化访问控制:
通过互联网接入云租户的用户,合法性难以保证,因此需要设置相应的访问平安策略来控制流量的访问,实现平安隔离与防护。
2.虚拟化Web平安防护:
在云平台中,同样存在Web攻击,黑客通常会采用Web攻击的方式来入侵Web效劳器,一旦获取了权限,将造成信息泄露、网页篡改等风险,因此对于云平台同样需要做到Web的平安防护。
3.入侵防御:
风险不仅存在于网络层,业务应用如果存在漏洞,也会给黑客可趁之机,造成漏洞攻击,同时还存在各种病毒侵染,因此需要有完备的入侵防御体系来保障租户业务的平安。
4.业务可靠:
租户的业务系统上线后,与传统的硬件平台一样,也存在着应用假死、出口线路拥塞&
故障、用户的请求被错误的分配等问题,我们需要提供一种有效的方法实现云应用的实时监控及访问请求的智能调度,杜绝因虚机故障或应用假死造成访问中断。
5.用户体验:
当访问量过多,业务量太大时,用户的访问速度变慢,如何在不改变用户的使用习惯的情况下,通过合理调配链路、虚拟机等资源来实现访问速度的提升.
2.3.4租户外网业务需求分析
租户的外网业务主要是用于各集团子公司单位人员接入访问或者移动办公、出差人员的访问,流量经过互联网或者广域网,该区域存在的需求如下:
1.平安接入:
访问的人员需要经过认证授权,防止非法访问,同时流量流经城/广域网,需要进展加密传输,防止数据泄密的风险。
2.权限划分:
众多的应用系统需要采用合理的访问权限控制机制,防止将重要效劳器暴露在所有内网甚至外网用户面前,因密码爆破、越权访问等行为导致系统内重要数据的泄露。
同时,针对于不同的应用系统对访问人员做好细致的访问权限控制,防止越权访问。
3.流量清洗:
病毒、木马可以通过广域网扩散到云平台,而终端用户的平安意识往往比较薄弱,如果终端被黑客控制,成为黑客攻击的跳板,将会对整个云平台业务造成损失,因此我们需要对访问流量进展清洗,以保证其平安性。
4.平安防护:
与传统数据中心类似,云平台中的平安需求也是不仅能够防护传统网络层的风险,还能识别并防护应用层的威胁,防止漏洞攻击,实现双向内容检测,防止敏感信息泄露。
5.应用加速:
很多业务应用通过广域网传输时,即使带宽够用,但往往丢包多、延时大,比方视屏会议,经常会出现马赛克、画质不清晰等问题,导致体验不佳,如何实现用户与云间核心应用的加速.
6.业务可靠:
租户的业务系统上线后,与传统的硬件平台一样,也存在着应用假死、虚机故障、出口线路拥塞&
故障、用户的请求被错误的分配等问题,我们需要从以下两个方面来更好的保障租户业务系统的稳定:
●提供一种有效的方法实现云应用的实时监控及访问请求的智能调度,从而保障用户访问体验,杜绝因虚机故障或应用假死造成用户访问中断。
●和管理平台进展实时联动,在业务的顶峰期,能够新增适量的虚拟机来保障用户访问请求的及时快速处理。
在业务的低谷期,能够减少虚拟机来防止资源的浪费。
2.5管理运维需求
"
三分技术,七分管理"
,有效的运维管理是保障平安的重要手段。
基于云计算模式的业务系统对数据平安、隐私保护提出了更高的要求,在数据管理权与所有权别离的状态下这些问题显得更加突出。
从运维平安的角度来看,可信云的建立需要严格界定云平台的应用边界,同时还要健全云计算数据保护的标准体系,建立完善的云计算效劳平台建立规*和信息平安管理规*,从管理上最大限度地降低风险隐患。
在管理运维角度,我们从以下几个方面进展重点关注:
●租户运维:
需要将租户管理账号与云根底设施管理账号的权限别离,防止租户主机非授权访问。
同时租户管理界面还能够直观的看到当前云平台提供的各类平安、效劳、稳定性组件,租户管理只需在管理界面上即可轻松的开启、关闭各功能模块,从而实现租户的个性化平安、效劳需求。
同时,在管理平台上应能定期的生成各租户的平安风险报表,可以帮助平台上催促租户进展漏洞发现、平安整改等工作。
从而让租户管理员轻松的了解目前的平安短板所在,从而进展针对性的补足。
●云平台运维:
管理平台〔网管平台、平安管理平台、云管理平台〕仅允许通过管理区域内的管理终端本地访问,防止远程管理可能引入的系统风险。
同时在互联网区与公用网络区的管理网络中断部署防火墙等平安设备,用于两个管理网络的平安隔离。
网管平台通过SNMP等方式实现对多种IT资产进展统一的管理,包括效劳器、网络设备、平安设备、应用系统等设备。
同时云平台管理员从平安管理平台上能够看到当前平台下所有虚机的平安风险状况,从而可以更加有效的管理整个云平台的平安。
●平台效劳商合作运维:
具备通过统一的接口实现云监管平台的相关管理功能要求〔OpenStack〕,能够和平台效劳商进展合作开发,从而实现更加高效、完整易用的管理。
第三章设计原则
本次云平台的总体设计原则如下:
●统一性原则
由于云计算是一个复杂的体系,应在统一的框架体系下,参考国际国内各方面的标准与规*,严格遵从各项技术规定,做好系统的标准化设计与施工。
●成熟稳定
由于云计算的开展变化很快,而本工程建立时间紧,涉及面广,应用性强,在设计过程中,应选成熟稳定的技术和产品,确保建成的云平台适应各方的需求,同时节约工程施工时间。
●实用先进
为防止投资浪费,云平台体系的设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和开展潜力,使系统具有容量的扩大与升级换代的可能,以便该工程在尽可能的时间内与业务开展和信息技术进步相适应。
●开放适用
由于云计算平台为各业务应用系统提供支撑,必须充分考虑系统的开放性,提供开放标准接口,供开发者、用户使用。
●经济性原则
云计算操作系统应在满足云平台建立需求的前提下具备较高的性价比。
同时,云计算操作系统必须提供本地化技术支持,降低云平台维护本钱。
●平安可靠
云平台涉及用户*围广,数量大,实时性强,设计时应加强系统平安防护能力,确保系统运行可靠,业务不中断,数据不丧失。
本次方案设计中参考的依据如下:
Ø
GB17859-1999计算机信息系统平安保护等级划分准则
GB/T22239-2021信息平安技术信息系统平安等级保护根本要求
GB/T22240-2021信息平安技术信息系统平安等级保护定级指南
GB/T25058-2021信息平安技术信息系统平安等级保护实施指南
中共中央办公厅、国务院办公厅?
国家信息化领导小组关于我国电子政务建立的指导意见?
〔中办发[2002]17号〕;
国家信息化领导小组?
国家信息化领导小组关于加强信息平安保障工作的意见?
〔中办发[2003]27号〕;
?
国家信息化领导小组关于推进国家电子政务网络建立的意见?
〔中办发[2006]18号〕;
国务院办公厅关于加强政府建立和管理工作的意见(国办发〔2006〕104号〕;
国家开展改革委?
关于国家电子政务外网〔一期工程〕工程建议书的批复?
〔发改高技[2004]2135号〕;
第四章解决方案
4.1解决方案综述
对于云效劳商而言,根据前面的需求分析,以及平台的建立思路和建立目标,我们从平台层、租户层、平安运维管理这三个方面来设计云平台整体平安方案,其框架图如下所示:
云平台平安设计框架
在平台层,我们主要解决了平台整体的网络数据平安的问题,以及租户和用户接入平台、云间互联的平安问题,此外云平台层面,我们也考虑了业务可靠性的平安保障。
这局部主要采用硬件设备:
平台互联网出口:
两台下一代防火墙、两台应用交付、两台SSLVPN
在租户层,我们考虑了业务平安上云的问题,以及业务应用平安、租户、用户接入平安问题,此外在租户侧我们还考虑了主机和虚机横行访问的平安问题。
每个租户根据需求部署虚拟化软件平安、优化产品〔根据第一期要求,配置**个租户的规模〕,vAF共计**核授权、vAD共计**核授权:
vAF:
每个租户的虚拟下一代防火墙,分配2-8核虚拟CPU,提供200-1G性能
vAD:
每个租户的虚拟应用交付,分配分配2-8核虚拟CPU,提供200-2G性能
在平安运维管理方面,我们从平台方和运维方分别分别进展了平安运维考虑,帮助平台方实现集中监控和运维审计,实现租户随需选配和自主运维平安效劳的需求。
运维管理网边界:
下一代防火墙、一套集中管理系统SC
4.2平台侧设计方案
云平台平安部署框架
如上图所示,在云平台物理网络边界部署平安、应用交付类产品,如下一代防火墙NGAF、平安网关SSLVPN、应用交付AD等产品,形成平安硬件资源池,在物理网络出口提供平台级的整体平安保护,实现如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB平安防护、接入平安、效劳器负载均衡等功能,实现2到7层平安防护和应用、链路的负载优化,实现精细的区域划分与可视化的权限访问控制,保证云平台和内部业务系统具备更高的平安性、可用性、持续性,以及快速性。
平台平安方案
云平台物理网络出口部署的下一代防火墙NGAF可以有效保障平台的平安。
深信服下一代防火墙〔Ne*t-GenerationApplicationFirewall〕NGAF面向应用层设计,能够准确识别用户、应用和内容,具备完整平安防护能力,能够全面替代传统防火墙,并具有全面的应用层平安防护功能和强劲的处理能力。
深信服NGAF设备实现了完整的二到七层网络数据平安保护,提供了业界领先的访问控制、入侵防御、病毒防护、漏洞保护、Web应用平安保护等功能,实时防御来自互联网、外网的非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为,确保了平台网络和业务系统数据持续平安运行。
1.1.1.1.平台分区分域
平台层整体平安架构如上图所示,依照云平台的建立需求,本次云平台利用NGAF实现了公用网络区和互联网区区域边界划分,其中公用网络区主要是部门系统内和系统间的互访,互联网用户不能直接访问这个区域的数据和信息系统;
互联网区部署的是集团的WEB等托管效劳,完成信息互联网发布和数据填报。
在各平安区内,又从接入区、核心网络交换区、计算存储区、运维管理区进展平安区域划分,而在公用网络区和互联网区之间,专门设置了数据交换区,满足两个区域之间高强度的网络数据隔离和信息互换需求。
通过云平台区域边界划分和平安隔离,实现网络效劳、应用业务的独立性和各业务的隔离、互访平安保障。
升级会员 