云平台安全防护解决方案.docx
《云平台安全防护解决方案.docx》由会员分享,可在线阅读,更多相关《云平台安全防护解决方案.docx(17页珍藏版)》请在冰豆网上搜索。
云平台安全防护解决方案
云平台安全防护解决方案
1、项目建设背景3
2、***安全现状及痛点分析5
2.1安全边界不可见,传统安全访问控制失效6
2.2虚拟化内部的流量不可视7
2.3匹配业务扩张,安全弹性扩容8
2.4安全威胁的整体运维与运营8
三、云安全建设方案9
3.1总体安全设计架构9
3.2详细拓扑部署10
3.3方案详细说明14
3.3.1云平台安全设计14
3.3.2云主机安全设计18
3.3.3虚拟机安全设计23
四、云安全应用场景27
4.1云安全架构设计27
4.2智能化运维管理28
4.3平台解耦,全面兼容28
4.4平台合规安全,服务化交付29
4.5动态感知威胁及时预警29
1、项目建设背景
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(等保1.0)在开展信息安全等级保护工作的过程中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随着信息技术的发展,GB/T22239-2008在时效性、易用性、可操作性上需要进一步提高。
为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,对GB/T22239—2008进行了修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求。
网络安全等级保护制度2.0标准正式对外发布,并将于2019年12月1日正式实施,把云计算平台、大数据平台、移动互联网、物联网和工业控制系统等都纳入了等级保护对象范围,并针对这些新技术、新应用提出了特殊的安全扩展要求。
******总土地面积109.92亩,建设项目总建筑面积20.5万平方米,开设床位数1500张,将建设成为国内一流的、现代化的集医疗、保健、教学、科研、康复五位一体的高端新院区。
***即将开业,医学中心将满足合肥现代化大都市及周边地区的妇女儿童医疗保健需求。
在医学中心的信息化建设过程中,信息安全的建设是一切基础设施和业务资源资源建设的根本和安全保障。
便捷、开放的网络环境,是***信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障***信息化业务的正常运行。
然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁。
为此,2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”,《中华人民共和国网络安全法》(以下简称《网络安全法》)自2017年6月1日开始施行。
其中,《网络安全法》第21条明确规定了“国家实行网络安全等级保护制度”。
《网络安全法》是从国家层面对等级保护工作的法律认可,简单点就是单位不做等级保护工作就是违法。
***信息系统的安全性直接关系到***医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给***和病人带来巨大的灾难和难以弥补的损失。
同时,***信息系统涉及大量***经营和患者医疗等私密信息,信息的泄露和传播将会给***、社会和患者带来安全风险。
医学中心私有云数据中心基本建设完毕,所有重要业务系统包括HIS、PACS、LIS系统都在私有云上,所以在信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。
为了***信息网络的安全稳定运行,确保***信息系统安全,根据***目前的计算机信息网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,进行***网络安全建设。
2、***安全现状及痛点分析
云计算模式通过将数据统一存储在云计算服务器中,加强对核心数据的集中管控,比传统分布在大量硬件设备上的数据行为更安全。
由于数据的集中,使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾备恢复。
但云计算在带来方便快捷的同时也带来新的挑战。
从安全建设原则、安全保护对象和安全建设目标上来讲,云安全与传统的信息安全并无本质的区别。
同时,一些传统的、行之有效的信息安全技术和策略也将会继续应用在云计算平台及其终端设备的安全管理与防护上。
而云计算作为一种新型的计算模式,其安全建设必然与传统的信息安全建设存在区别,其安全性也必有其特殊的一面。
2.1安全边界不可见,传统安全访问控制失效
云计算平台与传统的IT组织架构上的差异导致其安全防护理念上存在差异。
在传统的安全防护中,很重要的一个原则就是基于边界的安全隔离和访问控制,并强调针对不同的安全区域设置差异化的安全防护策略,这依赖于各区域间清晰的边界划分,从而在各区域边界划分的基础之上,合理实施访问控制策略;
但在云计算环境中,计算和存储资源高度整合,基础网络架构统一化,传统的控制部署边界消失。
业务从传统环境迁移到云环境,过去我们能知道业务具体运行于哪台服务器,但云化后,同一套业务系统的WEB端和数据库服务器可能运行于不同的物理服务器之上,那传统的按照区域的访问控制已经失效。
所以在云化建设过程中,需要一套能够适配当前云化环境的解决方案,解决云化环境安全区域的动态划分和动态调整,重新构建云上安全边界。
2.2虚拟化内部的流量不可视
传统网络通过物理线缆将服务器、交换机、安全设备相连,物理服务器上承载的业务系统,也可以通过在不同的端口上部署相应的流量监测方案实现对流量交互的控制、审计。
业务系统云化以后同一台物理机内部有多台虚拟机,虚拟机和虚拟机间的互访在大部分情况下是不会出虚拟化环境的,直接通过vswitch进行数据转发,这样部署于虚拟化环境外部的相关设备就无法对虚拟化环境内部流量的交互路径可视。
内部流量的不可视会带来众多安全问题:
(1)内部业务访问关系不可视
云环境内部流量错综复杂,各种角色的虚拟机承载的不同业务系统,不同业务系统的流程混杂在一起,需通过一种方式,能够梳理出内部业务系统的访问逻辑,如云平台内部有10套业务系统,每套业务系统由2-3台VM组成,每个VM入站和出站的流量分别为100K。
(2)内部威胁不可视
内部爆发的横向攻击往往蔓延速度快,波及范围广,在虚拟化环境内部这种特性更甚,同一网段的虚拟化环境往往控制策略不严格,使用默认策略的情况下,内部威胁极易扩散。
2.3匹配业务扩张,安全弹性扩容
业务的扩展和扩容会引入新的安全需求,安全需求的交付一定不能够滞后于业务的交付,所以需要一套能够快速部署、交付的安全产品,能够匹配业务新建、扩容、迁移引入的安全需求。
外部的威胁是在不断升级的,应对外部威胁的手段也应该是在不断提升的,可以通过建立与之配套的安全团队,也可以通过快速的安全方案的匹配达到持续、快速对抗外部威胁的能力。
2.4安全威胁的整体运维与运营
一个安全体系的建立,需要依托于整体的安全管理框架和相关安全技术。
从而能够建立一套面向安全决策、安全事件应急响应的流程。
所以在云建设前期,必须健全与安全设备配套的运营,能够针对安全设备的安全事件,结合日常运维动作:
1)威胁和日志
的整体管理与运营;2)实现安全设备的统一管理,避免过去安全设备管理配置分散化的现象;3)安全需求的统一管理,面向各业务部门提出的安全需求,可以做到统一管理,资源统一回收。
三、云安全建设方案
3.1总体安全设计架构
通过对云安全威胁和实际需求的分析,按照云平
台安全、云主机安全、虚拟机安全三个层次进行方案设计,对云安全进行分层次、体系化的建设,建设建设架构如图2-1所示。
云平衆全
负淅||址何柱制涼控J计
远程陵入
虛拟机安全I皓点支仝]I微屜目]I风险好玦]I,或詞迪
图2-1云安全建设总体框架图
***云安全整体框架主要围绕层面建设,分别为:
云平台安全:
从网络层面对云数据中心进行整体安全防护,实现云平台与互联网及内网其它业务区域的安全隔离,防范应用层攻击,保障云平台南北向流量安全;同时在云平台边界网络构建“可视、检测、响应”与一体的安全管理中心,对全网流量进行检测分析,对业务系统面临的高危攻击、潜伏威胁进行持续检测和快速响应。
云主机安全:
面向云内主机边界提供统一的安全威胁管理,打通威胁防护体系,建立一个面向云内主机间东西向威胁的快速服务平台,实现安全产品分配、部署,安全策略、安全日志的统一管理。
虚拟机安全:
着眼虚拟机之间的横向流量,提供虚拟机之间安全可视、可控能力,围绕业务系统建立安全边界,从云内业务系统视角出发,构筑围绕云内业务系统的云内“动态边界"。
3.2详细拓扑部署
在云数据中心边界的下一代防火墙,实现云平台与互联网及内网其它业务区域的安全隔离,防范应用层攻击,保障云平台南北向流量安全;在云平台边界网络部署构建一套集“可视、检测、响应”与一体的
全网安全态势感知系统,对全网流量进彳亍检测分析,对业务系统面临的高危攻击、潜伏威胁进行持续检测和快速响应。
为保障云内主机安全,在云数据中心汇聚交换机上旁路部署云安全资源池,云主机安全组件采用安全资源池统一部署,业务安全组件按需从安全资源池调用,方案设计拓扑如下:
在虚拟机中安装轻量化Agent,同时部署终端检测响应平台(EDR)系统,以资产为中心,对主机安全精准、持续的检测,并通过联动协同响应快速处置终端资产安全问题,构建终端检测响应平台。
云安全拓扑部署图
由于云平台基础设施采用虚拟化云平台,核心路
由交换机上,采用物理旁路,逻辑串联的方式,核心
交换机采用策略路由的方式将云平台的业务流量引流到云安全资源池,通过安全资源池提供防火墙等安全组件对数据流量进行安全检测和防护,检测完成后再返回给交换机到出口。
完成整个数据流的安全防护,实现了南北向和东西向纵深防护体系。
资源池整体流量走向如下图所示:
为了保证南北向防护产品的丰富性,安全资源池可以整合第三方的生态产品。
其中云安全资源池平台底层采用超融合架构,部署在X86服务器上,平台中计算资源、存储资源、网络资源、网络功能资源、安全功能等IT基础资源均实现虚拟化,第三方安全产品仅需提供标准的qcow2、OVA文件即可完成安全产品的导入。
以上落实到实际效果主要体现在两个部分:
一部是为不同业务的个性化安全需求提供了灵活性的安全部署方式,一部分是实现了业务系统以及云平台的安全需求以服务化交付,具体如下:
0实现各个业务系统VPC边界防护,虚拟机间的边界防护,形成了纵深多维度防护体系;
0通过安全需求服务化交付,实现了各个业务系统根据不同安全功能需求提供了按需服务,根据各个业务系统需求实现弹性扩展,提供WAF、IPS、FW、VPN、应用负载等丰富的增值服务内容,满足各个业务系统不同等保级别的合规需求;
0通过安全感知平台+检测探针构建安全运营中心,实现全网态势感知动态展示、策略下发、安全事件实时处置;
0后期扩容,可以通过添加X86服务器实现性能
扩容,并且支持分布式部署后的统一集中管理。
3.3方案详细说明
3.3.1云平台安全设计
在云数据中心部署下一代防火墙,下一代防火墙功能模块全部开启后,实现云数据中心安全域边界的安全隔离和L2-L7层的安全防护。
通过发现资产进行风险评估,针对业务脆弱性形成对应的安全策略,融合访问控制、应用控制、入侵防御、WEB应用防护、恶意代码防御、僵尸网络防护等功能,联动分析并阻断网络发现的威胁。
残留的威胁可通过风险发现和威胁情报提供一键防护功能和安全策略调优。
实时漏洞检测的功能,可以持续检测内网中可能存在的风险漏洞,帮助信息中心及时发现存在的安全问题并加以解决。
部署安全感知系统,建立安全运营中心,对网络流量进行持续检测,实现全网流量可视,及时发现潜伏威胁和内部攻击,调整策略动态防御。
安全态势感知系统主要由两部分组成:
监测预警管理系统(感知系统SIS)和监测采集系统(探针STA或者其他安全设备)组成。
其中安全感知系统将收集到的各个节点的数据进行分析,展示安全态势(整体安全态势、区域安全态势、重点网站安全态
势)、威胁统计(包括漏洞、挂马、页面篡改)、实时告警等,同时可实现整改通知、资产管理、风险管理、预警管理、报表管理、系统管理等多方面的管理功能。
潜伏威胁探针通过采集、扫描、核查等方式进行各种数据源的采集输送到感知系统。
通过安全运营中心可以弥补边界防护措施在检测与响应能力方面的不足,实现以下功能:
(1)全网业务资产可视化
主动识别资产:
通过潜伏威胁探针可主动识别业务系统下属的所有业务资产,可主动发现新增资产,
实现业务资产的有效识别;资产暴露面可视化:
将已
识别的资产进行安全评估,将资产的暴露面进行呈现,包括开放的端口、可登录的web后台等;业务系统访问关系:
结合下一代防火墙配置的ACL访问控制策略,将逻辑访问图进行可视化的呈现以识别非法的访问;业务系统应用及流量可视化;业务系统的应用、流量、会话数进行可视化的呈现,并提供流量趋势分析。
(2)全网访问关系可视化
依托于可视化技术,通过信息中心服务器和用户访问关系展示用户、业务系统、互联网之间访问关系,能够识别访问关系的Who,What,Where,When,How,通过颜色区分不同危险等级用户、业务系统。
提供以下展示:
全网业务可视化:
基于全网业务对象的访问关系的图形化展示,包括用户对业务、业务对业务、业务与互联网三者关系的完全展示,并提供快捷的搜索。
供IT人员在业务迁移和梳理时直观的查看业务关系,是否有遗漏的业务未被防护、是否存在内部攻击、是否有业务外连、是否存在外部攻击等行为。
基于业务视角的可视化:
可呈现当前业务由内而外、由外而内两个方向所有可视化访问关系,包括是否被攻击、是否违规、是否被登陆、是否外发攻击等。
并用不同颜色图标标识访问源和目的是否已失陷。
供IT人员识别潜在风险。
如已被控制的用户不停的来攻击当前业务,那么可以很明显的在可视化关系图上看到这个横向攻击。
基于用户的可视化:
可呈现该用户已经通过哪些应用、协议和端口访问了哪些业务,这些访问是否是攻击、违规、远程登陆等行为。
可清晰的看出已对哪些业务存在影响,也能推导当前用户是否已失陷(或可疑)。
(3)安全风险告警和分析
失陷业务/风险用户检测:
通过内网外发异常流量、网页篡改监测、黑链检测等检测技术确定业务系统/资产是否已被攻击,并将资产存在的后门进行检测,并通过邮件告警等方式向管理员告知已失陷的安全事件;
失陷业务和风险用户举证:
事件化、多维度的失陷主机检测,对风险业务、风险用户进行详细举证,将目标资产发起的和遭受的攻击/异常活动进行汇聚整理成安全事件,而不再是大量的日志罗列,可直接看懂当前主机正在进行的活动,或遭受的活动到底是什么;
主机威胁活动链:
以攻击链的形式展示主机被入侵后发起的威胁活动情况,直观显示被入侵后主机是
否被利用产生威胁,且威胁程度是否逐步升级的情况;
有效攻击事件分析:
过旁路镜像的方式可将攻击回包状态进行完整的检测,结合业务系统的漏洞信息,可以识别攻击成功的有效安全事件。
3.3.2云主机安全设计
云主机安全采用安全资源池方案,借助X86服务器集群与计算、存储、网络虚拟化技术,构建软件定义的安全能力中心。
软件定义安全能力由安全应用市场、安全自助编排、安全统一运维、各安全能力组件构成。
软件定义的安全架构
(1)安全应用市场
安全应用市场是用户选用基于软件定义架构的安全防护体系,包括部署安全资源池中的应用商店APPStore,以及部署于安全服务平台中各种实现安全业务的应用APPo如下一代防火墙安全应用、上网行为管理安全应用。
其中,云端的APPStore发布的安全应用,云平台用户可按需购买、下载和在本地部署、运行这些应用。
用户仅需要关注环境中安全资源池之上的业务安全,负责安全设备的资源池安全APP的分配、各类安全信息源的收集和分析,以及相应安全APP的策略解析和执行。
安全应用可以通过互联网从APPStore下载到安全资源池之中,然后被部署、验证、运行和升级。
安全设备的交付形态有很多,但逻辑上都会在安全控制平台的管理下,形成各类资源池,具备相应的安全能力。
安全应用市场主要包含:
管理云端安全应用,如应用试用、下载、创建和删除等;
应用统一更新,如版本更新和规则库的更新;支持应用编排的部署模式,即多种应用可以叠加同时实现多种业务,如编排调度、任务增加、删除和执行等;
(2)安全资源自助编排
从应用市场选购安全服务后,安全服务会自动完成下载和配置部署,同时安全资源池提供了业务区域划分,实现拖动和可视的自助编排界面。
安全区域划分:
依靠多年***信息安全工作实践,内置对外服务区域、运维管理区域、核心服务区域、内部办公区域与区域间的安全策略,且这些区域的划分可根据内部安全规划手动定义。
可根据内部业务系统的划分,来规划不同业务系统/区域的安全防护能力。
所画即所得的安全能力部署:
定义安全区域后,可将该区域所需的安全能力按照安全规划,拖入所属区域。
待全部拖入后,整个云数据中心的防护网络即完成建设。
(3)统一安全运维
基于软件定义的安全架构,在实现了安全编排的基础之上,将所有安全设备的运维平面集中,实现安全能力的统一运维、管理。
基于单业务系统维度的安全视角:
安全资源池能够将安全能力匹配于每个业务系统,统一安全运维界面可以查看基于业务系统维度的安全情况,并根据不同业务系统面临的安全问题及时处置。
统一的安全运营界面:
内置安全运营与运维界面,实现安全事件、安全
日志的统一管理,对每个业务系统匹配的安全服务
(4)安全组件清单
序号
组件名称
功能概述
1
云下一代防火墙(含IPS、WAF、网页防篡改、僵尸网络检测等全模块)
应用层性能支持:
200M、500M和1000M;支持静态路由,ECMP等价路由,支持RIPvl/v2,OSPFv2/v3,BGP等动态路由协议,支持多播路由协议,支持路由异常告警功能;提供基本的安全防御,包括但不限于4-7层访问控制、入侵防御、病毒过滤、网页防篡改等安全功能;对所有应用系统进行漏洞的攻击防护,包括防跨站、防SQL注入、防篡改、防木日、防黑客攻击等;支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;支持对终端已被种植了远控木日或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
2
云网络行
为管理
应用层性能支持:
200M、500M和1000M;支持细致的管理员权限划分,包括对不同用户组的管理权限、对各种主要功能界面的配蚤和查看权限;支持终端调用管理员指定脚本样呈序以满足个性化检查要求,比如检测系统更新是否开启'开放端口、已安装程序列表、终端发通知等;支持基于访问行为的目标IP/IP组实现带宽划分与分西“支持多种事件进行邮件告警,包括攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web关键字过滤告警、杀毒告警、设备流量超限告警、硯盘/CPU/内存异常告警等;
3
云数据库
亩计
应用层性能支持:
200M和400M;支持多种数据库类型的亩计,支持Oracle数据库审计、漱文飯磁数据库审计、DB2数据库亩计、删L数据库亩计、磁g沸据库亩'计、达梦数据库审计、人大金仓数据库亩计'戏或惑您曲[据库审计、弟或亦鐵据库审计、cache数据库;支持白名单亩计,系统使用审计白名单将非关注的内容进行过滤,不进行记录,降低了存储空间和无用信息的堆砌,白名单内容包括以下4个维度:
SQL模板、业务系统、URL地址及数据库条件;支持基于SQL命令的webshell^^!
],提供喊蜩丄日志查询:
可通过查看妙嚥息攻击的时间'源IP、业务系统'websheiyij!
则发现威;
4
云员载均
術
支持包括全局员载均衡和服务器员载均衡的功能;支持轮询、加权轮询'加权最小连接、动态反馈、最快响应、最小'流量、带宽比例、哈希、主备'首个可用、UDP强行负载等算法。
对于非HTIP协议的长连接应用,可通过分析议特征来识别消息的开始和截止,以消息为对象进行七层负载均衡,而非传统基于连接的四层负载均衡。
支持主动探测方式与被动观测方式结合使用的服务器健康检查手段,以便适应各种复杂应用交互流程,保障业务系统的高可用性。
5
云VPN安
全接入
提供SSLVPN或IPSECVPN接入服务
6
云运维审
计
针对RDP、VMC、XII等團形终端操作的连接情况进行记录及亩计;记录发生时间、发生地址、服务端IP、客户端IPs操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号'运维用户姓名、审批用户帐号、审批用户姓名'服务器用户名等信息;
7
云日志审
计
系统支持从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段;对安全事件重新定纟及。
能根据统一的安全策略,按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义;
8
云配置安
全评估
支持扫描器登录到目标系统中对特定应用进行深入扫描;数据库支持:
MysalxDB2xOracle>SqlserverxSybase等,中间件:
Tomcat、IIS、WebservicesxApache、WeblogicxResin、霭賊等;支持对设备或系统配墨基线的核查
3.3.3虚拟机安全设计
(1)云内流量可视可控
通过云平台虚拟机安装Agent获取云环境中的流量,对云环境内核心且关键流量中存在的异常进行检测。
采集检测可以获取的威胁数据包括:
信息收集行为、权限获取、远程控制、数据盗取、系统破坏、木马/病毒/僵尸网络;入侵攻击与病毒泛滥造成的网络流量异常;黑客或黑客组织攻击行为、针对特定目标的入侵行为。
以此形成虚拟流量的逻辑拓扑图。
虚拟流量拓扑图可以根据业务系统自动分类,可以针对内部业务系统:
1.同一业务系统不同角色VM的访问流量可视,可以展示每台VM的应用流量组成(包含流量大小、具体协议等);
2.不同业务系统间流量可视,自动生成不同业务系统间的访问关系,一旦发现异常违规访问,可以设置访问控制策略,拒绝违规异常访问;
3.全局安全威胁控制,根据云内安全监测功能绘制的虚拟拓扑图,可以在任意节点选择部署威胁控制策略,实现快速的威胁隔离;
(2)云内威胁防护
虚拟机防护主要采用的是虚拟机安全agent安全插件,用于检测虚拟机之间的流量、逻辑拓扑,并检测虚拟机的性能状态,检测虚拟机的风险状态,以可视化的方式展示虚拟机的态势感知,重点检测如下:
0Webshe11检测
0暴力破解检测
0僵尸网络检测
0微隔离
(3)常规部署方式
服务端点安全由虚拟机端点agent,控制中心共同组成。
端点agent需要安装在所有的
升级会员 