XXX云资源池安全建设方案.docx
《XXX云资源池安全建设方案.docx》由会员分享,可在线阅读,更多相关《XXX云资源池安全建设方案.docx(25页珍藏版)》请在冰豆网上搜索。
XXX云资源池安全建设方案
XXX云资源池安全建设方案
XXX云资源池安全建设方案
1.需求分析
等级保护管理规范和技术标准作为增强系统安全防护能力的重要政策,是综合性的安全系统工程,等级保护制度同样适用于云环境,在云环境中,各私有云之间和各用户之间的边界模糊化,无法划分区域,从而导致无法根据不同区域面临的防护需求制定不同的安全策略,无法满足等保要求。
云和虚拟化的安全首先是要解决虚拟环境中网络流的调度,其次根据网络流所属的安全域,提供不同的检测和防护手段,最后应能满足云环境中弹性扩展对安全管理策略弹性迁移的的要求。
XXX云资源池对安全的需求为:
Ø实现集中采集
根据XXX云资源池的网络结构和应用特点,应采用“流量集中采集、安全产品自主分流”的方式,避免多头采集带来的性能损耗。
Ø实现集中管理和部署
实现对安全产品的统一管理。
使得网络的安全管理人员能在一个入口上完成不同安全产品的配置、修改和查询,而不必面对多个管理入口,从而有效提高管理效率。
Ø实现虚拟安全域可视化
能够直观的展现虚拟安全域的网络流连接情况,使得网络安全管理人员可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。
从而有效的避免虚拟资产黑箱化的风险。
Ø实现虚拟流量的入侵检测
能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。
Ø实现虚拟流量的网络及数据库行为审计
能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、
Ø安全资源池可开启多个虚拟机分别运行升级前后的软件。
如升级后发现问题,可迅速切换。
保障业务稳定运行。
Ø灵活扩展组件,持续提升能力:
安全资源池既支持在单机硬件资源允许的条件下,用户通过创建安全产品虚拟机,快速扩展自己的安全能力;同时也要支持分布式系统架构,在单机硬件资源不够时,可将多台主机组成硬件资源池,通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式,近乎无限扩展安全能力。
Ø具备未来扩展到软件定义网络的能力:
随着云平台网络虚拟化技术的升级,安全资源池应具备扩展支持SDN的能力,能够与SDN网络对接,实现安全资源服务能力的业务编排,并统一虚拟安全资源和物理安全资源。
2.整体架构
基于软件定义安全的思想,实现了网络安全设备与它们的接入模式、部署位置解耦合。
智慧流安全平台由安全资源池、转发层、平台管理中心三部分组成。
●安全资源池
由各种物理形态或虚拟形态的网络安全设备组成,兼容各家厂商的产品。
这些安全设备不再采用单独部署、各自为政的工作模式,而是由管理中心统一部署、管理、调度,以实现相应的安全功能。
安全资源可以按需取用,支持高扩展性、高弹性,就像一个资源池一样。
●转发层
本方案中转发层实现可根据XXX云资源池实际情况提供两种部署模式,即SDN模式和虚拟导流模式。
实现对IDC资源池虚拟流量的牵引。
ØSDN模式:
适用于云资源池采用SDN技术的环境,即软件定义网络(SoftwareDefinedNetwork,SDN)中的硬件交换机。
将网络安全设备接入转发层后,通过将流导入或绕过安全设备,即可实现安全设备的部署和撤销,采用该模式需要与各云资源池的SDN控制器进行联动,通过云资源池控制器对宿主机内部的虚拟流量进行牵引或复制。
Ø虚拟导流模式:
适用于云资源池采用非SDN技术的环境,支持Vmware和KVM,通过虚拟导流技术实现对虚拟机流量复制并导出到外部安全资源池进行检测和审计,采用该模式需要在每台物理主机上(宿主机)安装虚拟导流器。
●平台管理中心
由侧重于安全方面的应用组成,包含用户交互界面,将用户配置的或运行中实时产生的安全功能需求转化为具体的安全资源调度策略下发给转发层予以实现,做到安全防护的智能化、自动化、服务化。
提供北向API接口,接受上层综合管理系统的管理。
3.安全资源池技术要求
安全产品虚拟化就是使软件和硬件相互分离,把软件从主要安装硬件中分离出来,使得安全产品的系统可以直接运行在虚拟环境上,可允许多个安全产品同时运行在一个或N个物理硬件之上,形成安全资源池,对外提供各项安全服务。
如下图所示:
安全资源池系统架构图
安全资源池管理系统负责安全产品的虚机管理、授权管理以及系统的自身管理。
具有可集成多种虚拟安全产品于一身的强大扩展能力,可根据云的实际需求动态调整相应的虚拟安全产品,而无需经过复杂的硬件产品上架过程。
安全资源池主要功能要求如下:
Ø主机管理
支持对主机(宿主机Host)的CPU、内存、硬盘资源使用情况进行监控,支持监控主机运行时间,支持远程关机、重启等操作。
Ø虚机管理
支持对虚机(安全产品虚机)创建、删除、启动、关闭、重启、暂停等操作,支持VNC(用于远程控制的软件)、串口、HTTP几种对虚机的管控方式。
支持虚机实时和24小时的CPU、内存、磁盘读写的监控。
支持虚机自定义设置CPU、内存、硬盘、网卡等资源,支持选择产品映像模板(安全市场中下载)创建对应的安全产品虚机实例,实现相应安全功能。
虚机支持32位或64位CPU,支持共享和绑定CPU两种方式,网络接口支持桥、I/O透传和I/O虚拟化三种应用方式。
Ø产品市场
支持安全市场客户端,可以从安全市场源服务器下载各种安全产品映像和产品文档,用于创建虚机实例和配置虚机实例。
安全市场客户端支持下载第三方ISO文件,用于安装第三方产品虚拟机(例如windows、Centoslinux)。
更新安全市场源服务器上的内容,无需更新安全资源池系统版本,即可创建更多类型的安全产品虚机,满足日益增长的安全需求。
Ø授权中心
支持对系统和安全产品虚机的授权管理,用户可以导入授权或追加授权。
Ø网络管理
支持以太网接口、桥接口、路由、DNS等常用网络配置管理。
支持对本地提供的服务http、https、ssh、ping、mysql、vnc提供访问控制,支持串口管理。
Ø系统管理
系统具有丰富的自身配置管理功能,包括A或B双系统启动、补丁管理,支持NTP和手工时间同步。
Ø日志查询
支持对系统日志、虚机日志、操作日志的查询,可根据时间、级别、模块等多种条件进行查询。
4.安全资源池安全产品软件要求
安全产品需要部署在安全资源池的虚拟平台上,并满足以下需求:
4.1.入侵检测
攻击检测能力
攻击检测基础能力,系统应支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的协议分析、超7层应用协议(如:
HTTPTunnel)识别与分析,系统应支持工作在非默认端口下的周知服务(如运行在8000端口下的WebServer)的协议识别与协议分析能力;
系统需要支持如下常见协议的解析:
ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、VlanTag、MPLS、TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等,协议覆盖面广,与之对应的事件库完备,需提供截图证明;
设备具有抗逃避检测机制,可以针对分片逃逸攻击、重叠逃逸攻击、加入多余或者无用字节逃逸攻击进行有效防范,并且能具体说明;
设备具有对为高级持续威胁检测设备的联动,并且能提供有效的界面截图;
能够对缓冲区溢出、网络蠕虫、网络数据库攻击、木马软件、间谍软件等各种攻击行为进行检测,需提供界面截图;
系统首页提供最近24小时内网络发生的展示界面,包括对拒绝服务事件、扫描事件、蠕虫事件、木马病事件、网络整体状况等展示,需提供界面截图;
系统需具备对针对Web系统(包括浏览器、服务器)的攻击具备检测能力:
SQL注入(包括各种变形)、XSS(包括存储式XSS、反射式XSS)及其各种语法变形、Webshell、网页挂马、语义变形、编码等环境下的精确检测能力,需提供界面截图;
系统需提供对IM(即时消息)通信、P2P通信、在线视频、在线音频、在线游戏、在线炒股,需提供截图;
系统提供的攻击特征不应少于3600条有效最新攻击特征,并且根据协议类型、安全类型、流行程度、影响设备等方式做有效分类,需提供截图;
具备协议自识别功能,具备规则用户自定义功能,可以对应用协议进行用户自定义,并提供详细协议分析变量;
系统需提供对事件的二次检测能力,即对已生成的事件进行二次分析与统计,并根据统计结果进行报警,同时,系统需支持对统计阈值进行设定的图形化用户接口,通过该图形化接口,用户可以选择需要统计的基础事件并对阈值进行设置与调整;
系统需具备针对如下几种拒绝服务攻击的检测能力:
针对特定主机的TCP(SYN)FLOOD、针对特定主机的TCP(STREAM)FLOOD、针对特定主机的UDPFLOOD、针对特定主机的ICMPFLOOD;对上述所有攻击检测都可通过控制界面配置统计时间、报警阈值(投标时需提供加盖原厂商公章的产品界面截图);
系统需具备独立的专业查毒引擎,独立的病毒库,如AV引擎非自研,须出具第三方授权文件或者第三方防病毒厂商出具的授权许可影印件;
系统需具备独立的病毒报警、统计界面,需要提供该界面的截图;
需提供病毒库在线升级和网站手工下载的界面截图;
系统具备针对IPv6环境下网络数据包捕获、IPv6协议分析、协议异常状态检测、协议规则匹配和响应处理能力,需提供界面截图;
系统具备可以对IPv6实现事件日志采集和分析统计,需提供界面截图;
控制中心与引擎可以通过IPv6协议进行通信
根据黑名单的匹配,进行恶意URL的检测,需提供界面截图;
提供网关IP-MAC地址绑定的功能识别攻击,需提供界面截图;
系统提供自定义弱口令规则的能力,使用户可以灵活定义网络内的弱口令条件,需提供界面截图;
威胁展示能力
系统提供威胁的实时展示能力,可以将引擎检测到的威胁在威胁展示界面进行实时显示,现实内容需全面丰富,包括:
威胁的中文名称、威胁的处理状态、威胁的等级、威胁流行程度、威胁的源ip、威胁的目标ip、威胁发生的时间段(今日该威胁第一条的发生时间、今日该威协最后一条发生时间)、该威胁今日发生次数、该威协最近十分钟的发生次数;
系统需提供威胁在展示界面的合并能力,并可根据相同IP合并、目的IP合并、目的IP加目的端口合并等多条件,并且可配置基于IPV6的前缀长度,需提供界面截图;
系统可配置过滤条件,可根据MAC过滤和IP过滤关系进行“与”“或”策略配置,需提供界面截图;
系统需要具备在引擎端合并事件的能力并提供合并的设置界面;在显示端需要提供在显示过程中的二次合并能力,以便进一步精简报警,系统需要提供不少于5种在显示端进行事件二次合并的模板,并且支持在实时事件显示界面中对每条上报事件选择各自的二次合并方式,需提供界面截图;
系统需具备入侵定位能力,需提供界面截图;
系统首页需提供如下关键报警及汇总数据:
重点威胁的今日发生情况、历史日均发生情况、今日发生事件的Top5事件、今日流量曲线、流行情况发生情况、流行次数;
系统需提供设置用户关注事件的能力,通过设置,可以明确地将事件设置为需要关注或不需要关注,用户的设置结果将取代用户自动分析的结果,即:
用户设置为需要关注的报警事件,直接在告警界面进行显示,用户设置为不需要关注的报警事件,不再在用户的事件报警展示界面进行展示;
系统需提供对历史事件进行查询的能力,通过历史事件查询功能,用户可以通过制定查询条件对历史告警事件进行查询,同时需提供至少3种默认的查询条件模板;
定制事件显示条件模板,通过事件所属的协议类型、事件所属的安全类型、事件的流行程度、事件的严重级别、事件的影响设备、事件影响的系统等条件定义事件过滤模板;
操作系统资产配置与报警自动关联,根据配置的目的地址、影响系统与影响设备进行上报事件的过滤;
针对达到识别策略的事件进行优化处理,包括对日志的处理和策略的处理;
针对阈值的设定,判定是否是新增事件;
多级分布和全局预警
系统支持多级部署,集中管理能力,可以添加组件(包括子控、引擎)提供各个组件(子控、引擎)的拓扑图,并在图中动态显示组件之间的实时连接状态;
至少支持五级以上部署环境,每单级节点至少支持五十台以上设备的同时管理;
系统首页呈现本级控制中心与各引擎的拓扑图,并且可设定显示或隐藏,需提供界面截图;
系统需支持采用可拖拽的拓扑图展示全网的设备及管理节点,同时该图还应该对设备与管理节点、管理节点与管理节点之间的连接状态进行实时显示;
系统多级分布的流量统计,控制中心下直接管理的所有引擎的总流量速率与分类流量速率,需提供界面截图;
上级节点可以跨级为下级节点发送策略、支持对引擎批量下发策略;下级节点可以将报警日志逐级上报,同时,下级节点也可以设置向上级管理节点上报事件所必须满足的条件;
级联环境中,上级针对下发策略的锁定,锁定子控的一些策略,锁定的事件是不允许进行配置、编辑、删除等操作的;
上级管理节点可以向下级管理节点自动下发升级包,包括引擎升级包、控制台升级包、事件库升级包,需提供界面截图;
系统需提供全局预警的能力,即:
在多级部署环境中,其中一个控制中心监测到某一个攻击之后,可以通过全局预警功能将此攻击事件通告给其它的控制中心;
为了提高全局预警的预警级别,提高用户对全局预警事件的关注度,并能用高亮或报警灯等方式进行提醒;
全局预警需提供手工编辑预警内容的能力;
报警事件在显示时将标注源ip地址、目的ip地址是属于内网地址或外网地址;
系统需提供常用的内置策略模板,并可以将策略导入、导出、合并,同时支持用户自定义策略,自定义策略的时候,可以根据事件名称、协议类型、安全类型等维度进行事件的快速查询;
系统支持从威胁发现到威胁展示、威胁说明、分析帮助、处理过程帮助、处理过程记录、后继续自动处理的威胁全过程处理流程,帮助用户发现威胁、分析威胁、处理威胁,完成威胁管理工作的全流程闭环,需提供stepbystep界面截图;
威胁响应能力
支持如下报警响应方式:
计入日志、页面报警、发送邮件、发送SNMPTrap信息、发送SYSLOG信息、发送RST阻断报文、防火墙联动、全局预警、提取原始报文;
在检测到攻击事件之后,系统需提供向多个不同SYSLOG服务器发送报警信息的能力;
系统需提供防火墙联动的能力,支持的防火墙至少需要包括:
天清FW
系统需支持在检测到攻击事件之后捕获攻击原始报文的能力,所捕获的攻击原始报文需保存成标准的cap格式,可以通过snifferpro、whirshark、ethereal打开。
报表功能
系统需提供完善的报表系统所提供的报表模板不应少于50个,能辅助用户分析一段时间内的威胁;
系统需提供事件名称+目的地址+源地址;事件名称+源地址+目的地址的三维交叉报表,能辅助用户快速定位问题;
系统需提供完善的报表系统,支持面向安全结论的分析报表;报表需支持如下格式:
HTML、PDF、EXCEL、WORD,所生成的报表可以自动发送到多个邮箱,能辅助用户查阅;
报表需支持手动立即执行、周期性自动执行两种执行方式;
配置部署能力
系统提供根据用户的组织结构定义“组织/部门”的能力,并且“组织/部门”之间可以嵌套,“组织/部门”可以通过:
IP、IP段、引擎(加网口)、子控进行定义;
可以针对组织来查看历史事件与生成报表;
支持分用户虚拟管里的能力,系统可以创建多个用户,每个用户可以与特定的引擎绑定,当此用户登录到系统之后,只能看到该引擎上报的事件,并仅能对该引擎进行配置;
系统需支持虚拟引擎的功能,支持按照抓包口、IP地址、IP地址范围、VLAN、MAC地址配置虚拟引擎,不同的虚拟引擎可以采用不同的事件集,需提供界面截图;
提供系统升级、特征库升级的能力,支持在线和离线升级功能;支持通过HTTP代理服务器进行在线升级;
4.2.网络审计
数据库审计
支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache数据库审计
支持对Oracle数据库状态的自动监控,可监控会话数、连接进程、CPU和内存占用率等信息。
支持国产数据库人大金仓、达梦、南大通用、神通数据库的审计。
需提供截图证明。
支持对针对数据库的XSS攻击、SQL注入攻击行为进行审计。
需提供截图证明。
提供对数据库返回码的知识库和实时说明,帮助管理员快速对返回码进行识别。
需提供截图证明。
支持数据库账号登陆成功、失败的审计。
支持对数据库绑定变量方式访问的审计
支持对超长SQL语句的审计
支持Select操作返回行数和返回内容的审计
支持访问数据库的源主机名、源主机用户、SQL操作响应时间、数据库操作成功、失败的审计;
支持数据库操作类、表、视图、索引、触发器、存储过程、游标、事物等各种对象的SQL操作审计。
支持数据库存储过程自动获取及内容审计。
网络协议审计
支持Telnet协议的审计,能够审计用户名、操作命令、命令响应时间、返回码等;
支持对FTP协议的审计,能够审计用户名、命令、文件、命令响应时间、返回码等
支持审计网络邻居的用户名、读写操作、文件名等
支持审计NFS协议的用户名、文件名等
支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP
支持IP-MAC绑定变化情况的审计
数据库异常行为智能审计
支持自动建立数据库操作行为基线
数据库操作行为基线包括数据库账号、操作类型、频率等行为特征
对超出数据库操作行为基线的操作可自动识别,并及时告警
审计策略支持
系统应自带不少于100个缺省的审计规则库,方便用户选择使用。
用户可自定义审计策略,审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件
数据库审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件(非正则表达式方式)
审计策略支持字段名称和字段值作为分项响应条件(非正则表达式方式)
响应方式
支持记录审计日志
支持对违规行为实时阻断
界面告警
Syslog告警
SNMPtrap告警
短信告警
邮件告警
日志查询统计
支持按时间、级别、源\目的IP、源\目的MAC、协议名、源\目的端口为条件进行查询
支持查询、统计的条件模板编辑与应用
支持多个查询、统计任务同时进行
数据库访问日志,支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件
支持按自定义关键字作为查询和统计条件
支持查询统计条件之间的与、或、非逻辑组合
提供缺省的报表模板库,供用户选择使用。
支持根据自定义关键字自动生成报表
支持按每天、每周、每月、时刻生成报表
支持生成CSV、Word、PDF、xls、HTML格式的报表导出
支持邮件方式定期自动发送报表
4.3.安全域流量审计
自身管理
提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能
管理员登陆支持静态口令认证,支持密码的复杂性管理,比如大小写、数字、特殊字符、长度等
提供审计数据管理功能,能够实现对审计日志、审计报告的自动备份
提供系统升级功能,能够通过升级包的方式实现升级
提供审计策略和配置的导入导出
基本功能要求
能够采集流经交换机、路由器的全流量镜像网络流
能够将流量转化成服务器、设备间的业务互联关系事件
互联关系事件中能够提供业务互联发生时的应用层协议名称
提供设置业务互联事件发生时记录原始会话内容的功能
能够将相同源设备、目的设备间的业务互联事件归并成一条事件
提供管理员对业务互联事件的黑白确认功能
提供确认后的黑名名单信息的展示和导出功能
提供全网设备间的业务互联关系实时监控拓扑图功能
提供私自接入网络的设备发现功能
提供内部与境外发生互联的事件监控功能
提供黑白灰名单事件报表功能
系统设备的互联监控
系统应具备对内部服务器与境外设备互联的自动发现能力。
系统能区分互联时的方向,即能够区分是内部服务器向外连接还是外部设备向用户内部服务器的连接。
内部服务器能够自动定位到设备名称、IP、所属业务系统、所属安全域。
境外设备能够自动定位到国家和所属企业。
未知设备发现
应具备对未经审批或者私自违规接入网络的设备的自动发现能力
新发现的设备能够自动识别IP地址和MAC地址。
能够列出未知设备的每次连入网络的详细情况。
内部设备间的互联拓扑展示
应具备将内部服务器或者设备间的互联情况适用拓扑图的形式进行自动展示。
应具备自动区分服务器或者设备所属的安全域或者业务系统
应具备按照域、子域、设备的不同层次对互联情况进行拓扑展示,并能在不同层次间进行下钻和后退。
能够使用不同颜色的线条将合法与非法的链接进行区分
能够在拓扑图上统计并显示域间、子域间、设备间的互联频次
互联事件归并处理
应具备将海量的互联事件按照“源IP+目的IP+目的端口”的方式进行归并和统计,方便管理员查看互联事件
防火墙策略审计
支持防火墙策略的导入;防火墙冗余安全策略分析;防火墙安全策略收敛分析;防火墙策略命中频次分析;防火墙潜在冲突策略分析;并提供防火墙策略分析报表;
内部傀儡设备挖掘
应支持对设备的连接频次进行统计和排名,以便挖掘内部傀儡设备
应具备对设备的连入、连出频次进行统计和排名,以便识别业务的正常和违规,同时为挖掘内部傀儡设备提供数据
实时响应
应支持对互联事件的全流量抓包功能。
应支持对互联事件的过滤功能。
部署和管理
采用B/S管理方式,全中文管理和使用界面
无需在被监控范围内的系统上安装任何代理
4.4.安全网关
IPSECVPN
支持IPSECVPN隧道内的访问控制,对隧道内已有数据进行访问控制;
支持隧道入口流量管控,可以通过地址、端口、协议等维度管控进入隧道的流量
支持透明、路由、混合等网络环节的接入
支持AES128/256、DES、3DES等多种加密算法,支持DH1、DH2、DH5、RSA1024等非对称加密算法,支持AH和ESP封装模式以及MD5、SHA1、SHA2_256/384/512等通用摘要算法
支持DMVP功能,扩展IPSEC网络仅需修改新接入设备及中心设备,无需修改其他同级节点设备配置
SSLVPN
访问WEB应用时,免客户端、免控件,实现零客户端。
只要WEB浏览器支持HTTPS协议就可访问,对终端的主机操作系统和硬件没有要求;支持无客户端认证方式实现隧道安全连接
支持虚拟门户,可以为多个不同区域用户个性化定制多个登录界面,可以为PORTAL界面发布的资源(B/S,C/S模式),支持多种的认证方式、多种显示属性的设定,不同的加密强度选择;能进行个性门户(PORTAL)定制化处理;支持虚拟门户定制模板功能,并允许用户自由导入导出
支持B/S和C/S资源发布;支持资源负载及其权值配置;支持NC资源配置发布
用户认证
要求支持实名认证重定向功能,非代理模式认证,支持第三方实名认证服务器
支持统一用户认证,一次用户配置可同时用于IPSEC、SSL、VPDN,实现用户列表一次性配置即可同时用于全部类型VPN接入
支持本地认证、口令认证、动态令牌、短信认证等多
升级会员 