XXX云资源池安全建设方案.docx
《XXX云资源池安全建设方案.docx》由会员分享,可在线阅读,更多相关《XXX云资源池安全建设方案.docx(24页珍藏版)》请在冰豆网上搜索。
XXX云资源池安全建设方案
XXX云资源池安全建设方案
1.需求分析
等级保护管理规范和技术标准作为增强系统安全防护能力的重要政策,是综合性的安全系统工程,等级保护制度同样适用于云环境,在云环境中,各私有云之间和各用户之间的边界模糊化,无法划分区域,从而导致无法根据不同区域面临的防护需求制定不同的安全策略,无法满足等保要求。
云和虚拟化的安全首先是要解决虚拟环境中网络流的调度,其次根据网络流所属的安全域,提供不同的检测和防护手段,最后应能满足云环境中弹性扩展对安全管理策略弹性迁移的的要求。
XXX云资源池对安全的需求为:
Ø实现集中采集
根据XXX云资源池的网络结构和应用特点,应采用“流量集中采集、安全产品自主分流”的方式,避免多头采集带来的性能损耗。
Ø实现集中管理和部署
实现对安全产品的统一管理。
使得网络的安全管理人员能在一个入口上完成不同安全产品的配置、修改和查询,而不必面对多个管理入口,从而有效提高管理效率。
Ø实现虚拟安全域可视化
能够直观的展现虚拟安全域的网络流连接情况,使得网络安全管理人员可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。
从而有效的避免虚拟资产黑箱化的风险。
Ø实现虚拟流量的入侵检测
能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。
Ø实现虚拟流量的网络及数据库行为审计
能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,促进核心资产数据库、服务器等的正常运营。
Ø实现虚拟环境下访问控制
能够提供针对租户南北向的访问控制,集防火墙、VPN等多种安全技术于一身,同时全面支持各种路由协议、QoS等功能,为租户网络边界提供了访问控制以及远程VPN接入实现数据的全程加密访问。
2.设计原则
根据以上对XXX云安全需求的分析,XXX云安全资源池的建设应遵循以下原则:
Ø多样产品组合,产生协同效应:
单一的安全产品是无法满足高级别的安全合规要求(例如等保),安全资源池支持多个虚拟安全产品并行运行,不同种类的安全产品组合在一起,产生协同效应,不但可以产生出新的安全价值,而且可以更好的满足安全合规要求。
Ø高效利用资源,节省运维成本:
安全资源池可以将多个安全产品以虚拟机的方式运行在一台硬件设备中,充分发挥了硬件性能,提高了硬件使用效率。
另外,在节约了硬件成本的同时,还节省了以往多台硬件消耗的机架租金、电力、人力维护等运维成本。
多个安全产品部署在同一台设备中,可节约交换机物理端口资源的占用,缩短了产品上线时间。
Ø快速部署实现,即时应急响应:
安全资源池可以从安全市场获得各种安全产品虚机映像,通过虚机映像可以快速创建各种虚拟化的安全产品,这个过程最多十几分钟,最快甚至只需要1~2分钟,从而实现了快速部署安全产品。
使得用户在面对安全威胁时,迅速以安全产品组织防御体系,帮助用户做到对安全事件的及时响应,维护用户利益。
Ø产品平滑升级,保障系统稳定:
安全产品会经常面临特征库或软件版本的升级。
有些谨慎的用户,希望在保障业务的前提下进行升级操作。
如升级中发现问题,用户希望能迅速回退到最近的正常状态。
使用安全资源池可开启多个虚拟机分别运行升级前后的软件。
如升级后发现问题,可迅速切换。
保障业务稳定运行。
Ø灵活扩展组件,持续提升能力:
安全资源池既支持在单机硬件资源允许的条件下,用户通过创建安全产品虚拟机,快速扩展自己的安全能力;同时也要支持分布式系统架构,在单机硬件资源不够时,可将多台主机组成硬件资源池,通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式,近乎无限扩展安全能力。
Ø具备未来扩展到软件定义网络的能力:
随着云平台网络虚拟化技术的升级,安全资源池应具备扩展支持SDN的能力,能够与SDN网络对接,实现安全资源服务能力的业务编排,并统一虚拟安全资源和物理安全资源。
3.整体架构
基于软件定义安全的思想,实现了网络安全设备与它们的接入模式、部署位置解耦合。
智慧流安全平台由安全资源池、转发层、平台管理中心三部分组成。
●安全资源池
由各种物理形态或虚拟形态的网络安全设备组成,兼容各家厂商的产品。
这些安全设备不再采用单独部署、各自为政的工作模式,而是由管理中心统一部署、管理、调度,以实现相应的安全功能。
安全资源可以按需取用,支持高扩展性、高弹性,就像一个资源池一样。
●转发层
本方案中转发层实现可根据XXX云资源池实际情况提供两种部署模式,即SDN模式和虚拟导流模式。
实现对IDC资源池虚拟流量的牵引。
ØSDN模式:
适用于云资源池采用SDN技术的环境,即软件定义网络(SoftwareDefinedNetwork,SDN)中的硬件交换机。
将网络安全设备接入转发层后,通过将流导入或绕过安全设备,即可实现安全设备的部署和撤销,采用该模式需要与各云资源池的SDN控制器进行联动,通过云资源池控制器对宿主机内部的虚拟流量进行牵引或复制。
Ø虚拟导流模式:
适用于云资源池采用非SDN技术的环境,支持Vmware和KVM,通过虚拟导流技术实现对虚拟机流量复制并导出到外部安全资源池进行检测和审计,采用该模式需要在每台物理主机上(宿主机)安装虚拟导流器。
●平台管理中心
由侧重于安全方面的应用组成,包含用户交互界面,将用户配置的或运行中实时产生的安全功能需求转化为具体的安全资源调度策略下发给转发层予以实现,做到安全防护的智能化、自动化、服务化。
提供北向API接口,接受上层综合管理系统的管理。
4.安全资源池技术要求
安全产品虚拟化就是使软件和硬件相互分离,把软件从主要安装硬件中分离出来,使得安全产品的系统可以直接运行在虚拟环境上,可允许多个安全产品同时运行在一个或N个物理硬件之上,形成安全资源池,对外提供各项安全服务。
如下图所示:
安全资源池系统架构图
安全资源池管理系统负责安全产品的虚机管理、授权管理以及系统的自身管理。
具有可集成多种虚拟安全产品于一身的强大扩展能力,可根据云的实际需求动态调整相应的虚拟安全产品,而无需经过复杂的硬件产品上架过程。
安全资源池主要功能要求如下:
Ø主机管理
支持对主机(宿主机Host)的CPU、内存、硬盘资源使用情况进行监控,支持监控主机运行时间,支持远程关机、重启等操作。
Ø虚机管理
支持对虚机(安全产品虚机)创建、删除、启动、关闭、重启、暂停等操作,支持VNC(用于远程控制的软件)、串口、HTTP几种对虚机的管控方式。
支持虚机实时和24小时的CPU、内存、磁盘读写的监控。
支持虚机自定义设置CPU、内存、硬盘、网卡等资源,支持选择产品映像模板(安全市场中下载)创建对应的安全产品虚机实例,实现相应安全功能。
虚机支持32位或64位CPU,支持共享和绑定CPU两种方式,网络接口支持桥、I/O透传和I/O虚拟化三种应用方式。
Ø产品市场
支持安全市场客户端,可以从安全市场源服务器下载各种安全产品映像和产品文档,用于创建虚机实例和配置虚机实例。
安全市场客户端支持下载第三方ISO文件,用于安装第三方产品虚拟机(例如windows、Centoslinux)。
更新安全市场源服务器上的内容,无需更新安全资源池系统版本,即可创建更多类型的安全产品虚机,满足日益增长的安全需求。
Ø授权中心
支持对系统和安全产品虚机的授权管理,用户可以导入授权或追加授权。
Ø网络管理
支持以太网接口、桥接口、路由、DNS等常用网络配置管理。
支持对本地提供的服务http、https、ssh、ping、mysql、vnc提供访问控制,支持串口管理。
Ø系统管理
系统具有丰富的自身配置管理功能,包括A或B双系统启动、补丁管理,支持NTP和手工时间同步。
Ø日志查询
支持对系统日志、虚机日志、操作日志的查询,可根据时间、级别、模块等多种条件进行查询。
5.安全资源池安全产品软件要求
安全产品需要部署在安全资源池的虚拟平台上,并满足以下需求:
5.1.入侵检测
攻击检测能力
攻击检测基础能力,系统应支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的协议分析、超7层应用协议(如:
HTTPTunnel)识别与分析,系统应支持工作在非默认端口下的周知服务(如运行在8000端口下的WebServer)的协议识别与协议分析能力;
系统需要支持如下常见协议的解析:
ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、VlanTag、MPLS、TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等,协议覆盖面广,与之对应的事件库完备,需提供截图证明;
设备具有抗逃避检测机制,可以针对分片逃逸攻击、重叠逃逸攻击、加入多余或者无用字节逃逸攻击进行有效防范,并且能具体说明;
设备具有对为高级持续威胁检测设备的联动,并且能提供有效的界面截图;
能够对缓冲区溢出、网络蠕虫、网络数据库攻击、木马软件、间谍软件等各种攻击行为进行检测,需提供界面截图;
系统首页提供最近24小时内网络发生的展示界面,包括对拒绝服务事件、扫描事件、蠕虫事件、木马病事件、网络整体状况等展示,需提供界面截图;
系统需具备对针对Web系统(包括浏览器、服务器)的攻击具备检测能力:
SQL注入(包括各种变形)、XSS(包括存储式XSS、反射式XSS)及其各种语法变形、Webshell、网页挂马、语义变形、编码等环境下的精确检测能力,需提供界面截图;
系统需提供对IM(即时消息)通信、P2P通信、在线视频、在线音频、在线游戏、在线炒股,需提供截图;
系统提供的攻击特征不应少于3600条有效最新攻击特征,并且根据协议类型、安全类型、流行程度、影响设备等方式做有效分类,需提供截图;
具备协议自识别功能,具备规则用户自定义功能,可以对应用协议进行用户自定义,并提供详细协议分析变量;
系统需提供对事件的二次检测能力,即对已生成的事件进行二次分析与统计,并根据统计结果进行报警,同时,系统需支持对统计阈值进行设定的图形化用户接口,通过该图形化接口,用户可以选择需要统计的基础事件并对阈值进行设置与调整;
系统需具备针对如下几种拒绝服务攻击的检测能力:
针对特定主机的TCP(SYN)FLOOD、针对特定主机的TCP(STREAM)FLOOD、针对特定主机的UDPFLOOD、针对特定主机的ICMPFLOOD;对上述所有攻击检测都可通过控制界面配置统计时间、报警阈值(投标时需提供加盖原厂商公章的产品界面截图);
系统需具备独立的专业查毒引擎,独立的病毒库,如AV引擎非自研,须出具第三方授权文件或者第三方防病毒厂商出具的授权许可影印件;
系统需具备独立的病毒报警、统计界面,需要提供该界面的截图;
需提供病毒库在线升级和网站手工下载的界面截图;
系统具备针对IPv6环境下网络数据包捕获、IPv6协议分析、协议异常状态检测、协议规则匹配和响应处理能力,需提供界面截图;
系统具备可以对IPv6实现事件日志采集和分析统计,需提供界面截图;
控制中心与引擎可以通过IPv6协议进行通信
根据黑名单的匹配,进行恶意URL的检测,需提供界面截图;
提供网关IP-MAC地址绑定的功能识别攻击,需提供界面截图;
系统提供自定义弱口令规则的能力,使用户可以灵活定义网络内的弱口令条件,需提供
升级会员 