云计算安全解决方案.docx
《云计算安全解决方案.docx》由会员分享,可在线阅读,更多相关《云计算安全解决方案.docx(51页珍藏版)》请在冰豆网上搜索。
云计算安全解决方案
云计算安全解决方案
■文档编号
■
■版本编号
1.0
■日期
■版本变更记录
时间版本说明修改人
■适用性声明
本方案主要阐述了云计算系统的安全威胁、安全需求和防护方案设计思路、安全保障体系框架,以及技术实现机制设计、主要安全措施部署方式。
适用于云计算系统安全方案的规划、设计和管理。
插图索引
图2.1云典型架构3
图2.2云典型逻辑结构4
图4.1云平台安全保障体系框架9
图4.2云平台安全技术实现架构10
图4.3具有安全防护机制的云平台体系架构11
图5.1云平台安全域逻辑划分13
图5.2安全域划分示例14
图5.3传统安全措施的部署17
图5.4虚拟化防火墙部署19
图5.5异常流量监测系统部署22
图5.6网络入侵检测系统部署图23
图5.7虚拟化WEB应用防火墙部署25
图5.8堡垒机应用场景27
图5.9堡垒机部署图28
图5.10安全管理子区29
图6.1SDN典型架构32
图6.2软件定义安全防护体系架构33
图6.3使用SDN技术的安全设备部署图34
图6.4使用SDN技术实现流量牵引的原理图34
图6.5基于手工配置的IPS防护模式35
图7.1云计算关键领域安全40
图7.2安全咨询服务思路41
一.前言
随着云计算技术的不断完善和发展,云计算已经得到了广泛的认可和接收,许多组织已经或即将进行云计算系统建设。
同时,以信息/服务为中心的模式深入人心,大量的应用正如雨后春笋般出现,组织也开始将传统的应用向云中迁移。
同时,云计算技术仍处于不断发展和演进,系统更加开放和易用,功能更加强大和丰富,接口更加规范和开放。
例如软件定义网络(简称SDN)技术、NFV(网络功能虚拟化)等新技术。
这必将推动云计算技术的更加普及和完善。
云计算技术给传统的IT基础设施、应用、数据以及IT运营管理都带来了革命性改变,对于安全管理来说,既是挑战,也是机遇。
首先,作为新技术,云计算引入了新的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系,如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等方面;其次,云计算的资源弹性、安需调配、高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战,也推进了安全服务内容、实现机制和交付方式的创新和发展。
根据调研数据,信息安全风险是客户采用云计算所考虑重大问题之一,且国家和行业安全监管愈加严格,安全已经成为组织规划、设计、建设和使用云计算系统而急需解决的重大问题之一,尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云计算系统安全保障问题。
本方案基于XX科技长期对云计算安全的探索和研究,借鉴行业最佳实践,结合XX科技近期云计算安全建设经验,提出了云计算安全保障框架和方法。
本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑战,进而对安全保障内容和实现机制、部署方法进行了设计和阐述,并介绍了相关的安全技术服务内容和范围,最后给出了典型的安全防护场景。
二.云计算典型体系结构
云计算主要是通过网络,将IT以抽象化的方式交付给客户,为基于IT的服务交付模式带来了巨大变革。
云计算的一些独特优势,使其广为接受,包括:
大规模资源池化、资源弹性、按需分配、自动化部署、高可靠性、高运营效率及技术和IT的高透明度。
云计算平台的实现主要包括两个方式:
虚拟化构成的云和应用程序/服务器构成的云,其中后者的安全防护与传统方式基本相同,不再赘言,这里主要对虚拟化构成的云进行讨论。
目前,计算虚拟化已经成熟,并为组织所广泛采用,如VMwarevSphere、CitrixXen等。
另外,一些用户开始尝试采用SDN、NFV等新型技术,旨在通过软件控制方式解决现网中遇到的存储、网络不能自动部署和分权分域管理问题。
2.1云计算系统分类
根据NIST发布的相关规范,云计算系统按照部署方法可分为私有云、公有云、社区云、混合云。
为了便于说明,以下内容将主要以私有云为例进行说明。
云计算系统所采用虚拟化技术的不同,对安全防护设计和部署具有一定影响。
根据有无才采用SDN、NFV技术,可分为两类:
原生虚拟化系统和基于SDN技术的虚拟化系统。
如无特别说明,下述描述均指原生虚拟化系统。
2.2云计算系统典型物理架构
下图给出了一个典型的云计算系统的典型架构。
互联网内部网
综合管理带外网络
光纤交换机
光纤交换机
存储NAS
存储NAS
服务器服务器
SANSAN
图2.1云典型架构
云计算系统通常具有以下特征:
✧核心交换机一般采用高性能数据中心级交换机搭建,支持虚拟化技术,并提供
Internet、内部网络、外部专用网络的接入。
通过汇聚交换机(支持虚拟化)提供
x86服务器、小型机等服务器的接入。
✧与互联网相关,可以提供VPN接入,外发访问,以及公众用户对云的访问。
✧与内部网络相同,可以提供内部用户对云的访问,以及和内部其他系统进行信息交互。
✧都有大量的刀片式服务器,并通过虚拟化软件,实现对计算资源的抽象和池化。
✧具有SAN、NAS存储系统。
具有独立的存储网络。
✧具有独立的综合管理平台,实现对云的运营管理。
✧具有带外网管系统,实现对整个云的运维管理。
应用授权
数据交换
请求服务
搜索服务
……
2.3云计算系统逻辑结构
云计算系统一般都包括三个层次两个平台:
基础设施即服务(IaaS)、平台即服务
(PaaS)
平台
即服务
(IaaS)基础设施即服务
通用平
台组件
的应用系统
的应用
基于基础设施
基于通用平台组
件
基于应用支持组件的应用
指挥
调度
综合监控
运维管
理平台
物理资源
虚拟化和平台
接口
云间网络
云管理平台
……
计费管理
资源管理
用户管理
云服务开通
云服务
目录管理
(SaaS)软件
即服务
服务和数据
界面框架
客户程序软件
展示平台
表现形态
应用支撑组件
财务基
应用
于交应用易支
应用
撑组邮件件的
应用
应用
……
故障管理
性能管理
容量管理
配置管理
事件管理
(PaaS)、云软件即服务(SaaS)、云管理平台和运维管理平台。
如下图所示:
数据库平台
中间件平台
目录服务
日志服务
……
操作系统
云内网络
存储
服务器
图2.2云典型逻辑结构
简单说明如下:
●基础设施即服务层(IaaS):
包括了各种服务器、存储、网络设备、链路等各种物理资源,以及虚拟化管理程序和对外提供服务的接口。
可以基于此层对外提供虚拟主机服务。
●平台即服务层(PaaS):
包括了各种系统、平台、应用软件,可以提供应用软件的开发、测试、部署和运营环境。
●软件即服务(SaaS):
包括各一系列的应用软件,以及提供各客户/用户使用的交互展示程序。
可以通过网络向用户交付相应的应用服务。
●云管理平台:
负责云计算服务的运营,并对云计算资源池系统及其中的各类资源进行集中管理,主要功能包括云服务开通、用户管理、计价管理等功能。
通常云管理平台通过与资源池系统之间的资源管理接口下发资源管理指令,并通过网管接口向云维管理平台(网管系统)提供资源池系统内各类设备的管理和监控信息。
●运维管理平台:
实现对虚拟设备、系统、网络的技术维护和管理工作,包括容量、配置和事件管理等功能。
一般通过带外网络与各种资源进行互联。
三.云计算安全威胁和需求分析
云计算模式通过将数据统一存储在云计算服务器中,加强对核心数据的集中管控,比传统分布在大量终端上的数据行为更安全。
由于数据的集中,使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾备恢复。
但云计算在带来方便快捷的同时也带来新的挑战。
3.1安全威胁分析
CSA在2013年的报告中列出了九大安全威胁。
依排序分别为1.数据泄露2.数据丢失
3.帐户劫持4.不安全的接口(API)5.拒绝服务攻击(DDoS)6.内部人员的恶意操作7.云计算服务的滥用8.云服务规划不合理9.共享技术的漏洞问题。
把云计算环境下的安全威胁细化,并按云计算环境下等级保护的基本要求进行对应,可得到如下的云计算环境下的具体安全威胁:
●网络安全部分
–业务高峰时段或遭遇DDoS攻击时的大流量导致网络拥堵或网络瘫痪
–重要网段暴露导致来自外部的非法访问和入侵
–单台虚拟机被入侵后对整片虚拟机进行的渗透攻击,并导致病毒等恶意行为在网络内传播蔓延
–虚拟机之间进行的ARP攻击、嗅探
–云内网络带宽的非法抢占
–重要的网段、服务器被非法访问、端口扫描、入侵攻击
–云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源
–虚拟化网络环境中流量的审计和监控
–内部用户或内部网络的非法外联行为的检查和阻断
–内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等行为
●主机安全部分:
–服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问的行为
–对服务器、宿主机、虚拟机等进行操作管理时被窃听
–同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露
–对服务器的Web应用入侵、上传木马、上传webshell等攻击行为
–服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访问和入侵
–虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其它虚拟机的资源不足
●资源抽象安全部分
–虚拟机之间的资源争抢或资源不足导致的正常业务异常或不可用
–虚拟资源不足导致非重要业务正常运作但重要业务受损
–缺乏身份鉴别导致的非法登录hypervisor后进入虚拟机
–通过虚拟机漏洞逃逸到hypervisor,获得物理主机的控制权限
–攻破虚拟系统后进行任易破坏行为、网络行为、对其它账户的猜解,和长期潜伏
–通过hypervisor漏洞访问其它虚拟机
–虚拟机的内存和存储空间被释放或再分配后被恶意攻击者窃取
–虚拟机和备份信息在迁移或删除后被窃取
–hypervisor、虚拟系统、云平台不及时更新或系统漏洞导致的攻击入侵
–虚拟机可能因运行环境异常或硬件设备异常等原因出错而影响其他虚拟机
–无虚拟机快照导致系统出现问题后无法及时恢复
–虚拟机镜像遭到恶意攻击者篡改或非法读取
●数据安全及备份恢复
–数据在传输过程中受到破坏而无法恢复
–在虚拟环境传输的文件或者数据被监听
–云用户从虚拟机逃逸后获取镜像文件或其他用户的隐私数据
–因各种原因或故障导致的数据不可用
–敏感数据存储漂移导致的不可控
–数据安全隔离不严格导致恶意用户可以访问其他用户数据
为了保障云平台的安全,必须有有效的抵御或消减这些威胁,或者采取补偿性的措施降低这些威胁造成的潜在损失。
当然,从安全保障的角度讲,还需要兼顾其他方面的安全需求。
3.2安全需求和挑战
从风险管理的角度讲,主要就是管理资产、威胁、脆弱性和防护措施及其相关关系,最终保障云计算平台的持续安全,以及其所支撑的业务的安全。
云计算平台是在传统IT技术的基础上,增加了一个虚拟化层,并且具有了资源池化、按需分配,弹性调配,高可靠等特点。
因此,传统的安全威胁种类依然存在,传统的安全防护方案依然可以发挥一定的作用。
综合考虑云计算所带来的变化、风险,从保障系统整体安全出发,其面临的主要挑战和需求如下:
●法律和合规
●动态、虚拟化网络边界安全
●虚拟化安全
●流量可视化
●数据保密和防泄露
●安全运维和管理
针对云计算所面临的安全威胁及来自各方面的安全需求,需要对科学设计云计算平台的安全防护架构,选择安全措施,并进行持续管理,满足云计算平台的全生命周期的安全。
四.云安全防护总体架构设计
云安全防护设计应充分考虑云计算的特点和要求,基于对安全威胁的分析,明确来各方面的安全需求,充分利用现有的、成熟的安全控制措施,结合云计算的特点和最新技术进行综合考虑和设计,以满足风险管理要求、合规性的要求,保障和促进云计算业务的发展和运行。
4.1设计思路
在进行方案设计时,将遵循以下思路:
●保障云平台及其配套设施
云计算除了提供IaaS、PaaS、SaaS服务的基础平台外,还有配套的云管理平台、运维管理平台等。
要保障云的安全,必须从整体出发,保障云承载的各种业务、服务的安全。
●基于安全域的纵深防护体系设计
对于云计算系统,仍可以根据威胁、安全需求和策略的不同,划分为不同的安全域,并基于安全域设计相应的边界防护策略、内部防护策略,部署相应的防护措施,从而构造起纵深的防护体系。
当然,在云平台中,安全域的边界可能是动态变化的,但通过相应的技术手段,可以做到动态边界的安全策略跟随,持续有效的保证系统的安全。
●以安全服务为导向,并符合云计算的特点
云计算的特点是按需分配、资源弹性、自动化、重复模式,并以服务为中心的。
因此,对于安全控制措施选择、部署、使用来讲必须满足上述特点,即提供资源弹性、按需分配、自动化的安全服务,满足云计算平台的安全保障要求。
●充分利用现有安全控制措施及最新技术
在云计算环境中,还存在的传统的网络、主机等,同时,虚拟化主机中也有相应的操作系统、应用和数据,传统的安全控制措施仍旧可以部署、应用和配置,充分发挥防护作用。
另外,部分安全控制措施已经具有了虚拟化版本,也可以部署在虚拟化平台上,进行虚拟化平台中的东西向流量进行检测、防护。
●充分利用云计算等最新技术
信息安全措施/服务要保持安全资源弹性、按需分配的特点,也必须运用云计算的最新技术,如SDN、NFV等,从而实现按需、简洁的安全防护方案。
●安全运营
随着云平台的运营,会出现大量虚拟化安全实例的增加和消失,需要对相关的网络流量进行调度和监测,对风险进行快速的监测、发现、分析及相应管理,并不断完善安全防护措施,提升安全防护能力。
4.2安全保障目标
通过人员、技术和流程要素,构建安全监测、识别、防护、审计和响应的综合能力,有效抵御相关威胁,将云平台的风险降低到企业可接受的程度,并满足法律、监管和合规性要求,保障云计算资源/服务的安全。
4.3安全保障体系框架
云平台的安全保障可以分为管理和技术两个层面。
首先,在技术方面,需要按照分层、纵深防御的思想,基于安全域的划分,从物理基础设施、虚拟化、网络、系统、应用、数据等层面进行综合防护;其次,在管理方面,应对云平台、云服务、云数据的整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。
云平台的安全保障体系框架如下图所示:
安全风险管理
安全设计
与获取
安全开发与集成
安全事件
管理
安全运维
管理
业务连续
性
应用
安全
主机
安全
网络安全
虚拟化
安全
Web应用
防火墙
主机安全防护
安全域
划分
网站安
全检测
OS安全配置与加固
访问流量
控制清洗
网页防
篡改
服务器防病毒
入侵
检测
Email
安全
设备安
全
恶意代VPN
码防护接入
数据安全数据加密
数据防
泄漏
数据库
防火墙
数据库审计
物理环门禁系机房
境安全统安全
安全支撑基础设施
(PKI、身份管理等)
安全管理
虚拟机
加固
Hypervisor
加固
虚拟机映
像安全
虚拟化管
理安全
图4.1云平台安全保障体系框架
简单说明如下:
物理环境安全:
在物理层面,通过门禁系统、视频监控、环境监控、物理访问控制等措施实现云运行的物理环境、环境设施等层面的安全。
虚拟化安全:
在虚拟化层面,通过虚拟层加固、虚拟机映像加固、不同虚拟机的内存/存储隔离、虚拟机安全检测、虚拟化管理安全等措施实现虚拟化层的安全。
网络安全:
在网络层,基于完全域划分,通过防火墙、IPS、VLANACL手段进行边界隔离和访问控制,通过VPN技术保障网络通信完全和用户的认证接入,在网络的重要区域部署入侵监测系统(IDS)以实现对网络攻击的实时监测和告警,部署流量监测和清洗设备以抵御DDoS攻击,部署恶意代码监测和防护系统以实现对恶意代码的防范。
需要说明的是这里的网络包括了实体网络和虚拟网络,通过整体防御保障网络通信的安全。
主机安全:
通过对服务主机/设备进行安全配置和加固,部属主机防火墙、主机IDS,以及恶意代码的防护、访问控制等技术手段对虚拟主机进行保护,确保主机能够持续的提供稳定的服务。
应用安全:
通过PKI基础设施对用户身份进行标识和鉴别,部署严格的访问控制策略,关键操作的多重授权等措施保证应用层安全,同时采用电子邮件防护、Web应用防火墙、
Web网页防篡改、网站安全监控等应用安全防护措施保证特定应用的安全。
数据保护:
从数据隔离、数据加密、数据防泄露、剩余数据防护、文档权限管理、数据库防火墙、数据审计方面加强数据保护,以及离线、备份数据的安全。
安全管理:
根据ISO27001、COBIT、ITIL等标准及相关要求,制定覆盖安全设计与获取、安全开发和集成、安全风险管理、安全运维管理、安全事件管理、业务连续性管理等方面安全
管理制度、规范和流程,并配置相应的安全管理组织和人员,并建议相应的技术支撑平台,保证系统得到有效的管理。
上述安全保障内容和目标的实现,需要基于PKI、身份管理等安全基础支撑设施,综合利用安全成熟的安全控制措施,并构建良好的安全实现机制,保障系统的良好运转,以提供满足各层面需求的安全能力。
由于云计算具有资源弹性、按需分配、自动化管理等特点,为了保障其安全性,就要求安全防护措施/能力也具有同样的特点,满足云计算安全防护的要求,这就需要进行良好的安全框架设计。
4.4安全保障体系总体技术实现架构设计
云计算平台的安全保障技术体系不同于传统系统,它也必须实现和提供资源弹性、按需分配、全程自动化的能力,不仅仅为云平台提供安全服务,还必须为租户提供安全服务,因此需要在传统的安全技术架构基础上,实现安全资源的抽象化、池化,提供弹性、按需和自动化部署能力。
4.4.1总体技术实现架构
安全资
源池
安全技术
安全
平台
安全
服务
安全运营平台
边界隔离
防病毒
安全检测
流量清洗
访问控制
数据保密
安全审计
安全评估
充分考虑云计算的特点和优势,以及最新的安全防护技术发展情况,为了达成提供资源弹性、按需分配的安全能力,云平台的安全技术实现架构设计如下:
安全评
异常流
恶意代码
安全态势
安全事件
…
估平台
量清洗
检测平台
检测平台
管理平台
…
安全服务管理
安全平台管理
安全资源管理
安全事务管理
安全策略管理
防火墙
入侵检测/防御
抗DDoS
Web应用防火墙
……
图4.2云平台安全技术实现架构
说明:
安全资源池:
可以由传统的物理安全防护组件、虚拟化安全防护组件组成,提供基础的安全防护能力。
安全平台:
提供对基础安全防护组件的注册、调度和安全策略管理。
可以设立一个综合的安全管理平台,或者分立的安全管理平台,如安全评估平台、异常流量检测平台等。
安全服务:
提供给云平台租户使用的各种安全服务,提供安全策略配置、状态监测、统计分析和报表等功能,是租户管理其安全服务的门户。
通过此技术实现架构,可以实现安全服务/能力的按需分配和弹性调度。
当然,在进行安全防护措施具体部署时,仍可以采用传统的安全域划分方法,明确安全措施的部署位置、安全策略和要求,做到有效的安全管控。
对于安全域的划分方法详见第五章。
对于具体的安全控制措施来讲,通常具有硬件盒子和虚拟化软件两种形式,可以根据云平台的实际情况进行部署方案选择。
4.4.1与云平台体系架构的无缝集成
客户程序软件
界面
框架
应用支
撑组件
基于应
用支撑
组件的应用
通用平
台组件
(IaaS)基础设施即服
务
…
…
Web应用防火墙
物理资源
虚拟化和平台
…
…
入侵监测/防护
接口
操作系统
异常流量监测和清洗
安全态势监测平台
日志服务
目录服务
中间件平台
数据库平台
…
…
恶意代码分析
安全评估平台
搜索服务
请求服务
数据交换
应用授权
的应用
(PaaS)平台即服务
流量清洗
…
…
访问
控制
安全
评估
云管理平台
安全运
营平台
基于基础设施的应用系统
基于通用平台组
件
(SaaS)软件即服务
防火墙
……
安全策略管理
抗
DDoS
计费管理
安全事务管理
资源管理
安全资源管理
用户管理
云服务开通
安全平
台管理
云服务
目录管理
安全服
务管理
展示平台
表现形态
服务和数据
运维管理平台
财务
应用
交易
应用
邮件
应用
……
云平台的安全防护措施可以与云平台体系架构有机的集成在一起,对云平台及云租户提供按需的安全能力。
故障管理
性能管理
容量管理
配置管理
事件管理
指挥调度
综合监控
云内网络
存储
服务器
云间网络
图4.3具有安全防护机制的云平台体系架构
4.4.2工程实现
云平台的安全保障体系最终落实和实现应借鉴工程化方法,严格落实“三同步”原则,在系统规划、设计、实现、测试等阶段把落实相应的安全控制,实现安全控制措施与云计算平台的无缝集成,同时做好运营期的安全管理,保障虚拟主机/应用/服务实例创建的同时,同步部署相应的安全控制措施,并配置相应的安全策略。
五.云平台安全域划分和防护设计
安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域,在同一安全域中的系统共享相同的安全策略,通过安全域的划分把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题,是实现大规模复杂信息系统安全保护的有效方法。
安全域划分是按照安全域的思想,以保障云计算业务安全为出发点和立足点,把网络系统划分为不同安全区域,并进行纵深防护。
对于云计算平台的安全防护,需要根据云平台安全防护技术实现架构,选择和部署合理的安全防护措施,并配置恰当的策略,从而实现多层、纵深防御,才能有效的保证云平台资源及服务的安全。
5.1安全域划分
5.1.1安全域划分的原则
1)业务保障原则:
安全域方法的根本目标是能够更好的保障网络上承载的业务。
在保证安全的同时,还要保障业务的正常运行和运行效率。
2)结构简化原则:
安全域划分的直
升级会员 