1、深信服云安全解决方案深信服云安全解决方案深信服电子科技有限公司2015年11月7日第一章建设背景1。1云平台背景云计算的兴起,给人们的工作方式以及商业模式带来根本性变化,甚至可能掀起信息技术的第三次“浪潮”.目前,云计算在电信、互联网、IT行业以及金融等方面都扮演着举足轻重的角色。正如业界虚拟化领域的一位资深专家所言:“以前大家对于云计算可谓众说纷纭,都有各自不同的见解和看法,而现在业界已逐渐形成共识:云计算就是下一代运算模式的演变.每家单位都要建立自己的云计算模式,其第一步要做的就是完成内部云或私有云的建制。内部云建制的科技基础就是虚拟化云平台,这也将成为拉动整个虚拟化云平台市场持续走高的成
2、长动力.在大企业,虚拟化云平台能帮助单位在业务层面实现弹性架构和资源池化,一方面可以大幅提升存储计算等各种硬件资源的利用效率,另一方面还可明显提升办公、对外服务的开通时间、可用性以及灾难恢复等能力.著名咨询公司Gartner将虚拟化云平台技术列为2009年十大战略技术第一位,而在2010年初发布预测中,更是大胆断言到2012年20%的单位将不再拥有IT资产。尤其在大企业,因为多个内在关联的趋势正在推动大企业逐步减少IT硬件资产,这些趋势主要是虚拟化云平台、云计算服务、虚拟化的桌面交付等。而虚拟化云平台技术,作为云计算的一个支撑技术,必将成为未来最重要的最值得研究的IT技术之一。1。2云平台建设
3、意义云平台的搭建将有助于IT系统从粗放式、离散化的建设模式向集约化、整体化的可持续发展模式转变,使IT管理服务从各自为政、相互封闭的运作方式向跨部门跨区域的协同互动和资源共享转变。1、云计算能够降低信息化成本在云环境下,可以将信息技术资源交给专业的第三方云服务商管理,由云服务商提供需要的信息技术基础架构、软硬件资源和信息服务等,各子公司、集团根据按需付费的原则定制需要的信息服务。这带来了两大好处:一是不需要投资建立大量的数据中心和大型机房,购买服务器和存储设备等,从而节省建设费用;二是信息软硬件资源交给专业的云服务商管理,集团不再负担信息系统维护和升级,节省了运维费用。2、云计算提高业务系统的
4、部署效率云平台具有较高的灵活性,集团实施新的应用系统时,不必购买额外的软硬件,而是利用已有云基础设施,快速部署系统,提高应用部署速度.开发者在一个平台上构建和部署应用程序,大大提高了信息系统部署效率.3、云计算降低信息共享和业务协同难度长期以来,各应用系统普遍存在各自为政、资源分散等问题。尽管信息难以共享的根源在于业务系统机制问题,但云计算能从技术上降低信息共享和业务协同的难度.通过云平台,多个部门/集团子公司可以共用相应的基础架构,实现各业务系统之间的软硬件共享,提高信息共享的效率,扩大信息共享范围;软硬件资源和信息资源的共享将有利于促进各部门内部与部门之间的业务系统的整合,为各部门业务协同
5、创造条件。4、云计算有助于提高服务效率通过云平台实现软硬件资源所有权与使用权的分离,各子公司将在不拥有软硬件资源的情况下享受信息服务。因此,集团的IT部门能够集中人力物力进行本部门的业务运转,从而减轻行政负担,能有更多的精力专注于面向公众的公共服务,提高效率。同时,在部署了以云计算为技术支撑的云平台以后,后台信息的烟囱式部署方式的壁垒将被打破,从而实现业务数据的统一共享,这对前台服务界面的统一打通有着重要意义,将使得业务系统的统一化不再停留在前台展示层面,而切切实实的实现服务的高效与统一。第二章需求分析集团的云平台一般为专有云架构,专有云平台承担集团内部服务的内容如业务应用系统等,为各分公司、
6、集团子公司的应用系统提供基础设施支撑。云资源共享专区通过安全隔离措施访问公有云(互联网)、公众服务专区;各子公司需要对互联发布的业务系统应根据服务对象逐步迁移至云平台上,实现集中集约部署。2。1 需求概述从整个云平台整体安全角度来看,我们需要考虑三个方面的设计:云平台安全、租户侧安全、安全运维管理和便捷性。图2。12云平台安全需求框架云计算平台和传统计算平台的最大区别在于计算环境,云平台的计算环境比传统意义上的计算环境要更加复杂.对云平台的计算环境的保护也是云平台下信息安全整体保护体系的重中之重.除了平台的安全问题,租户侧也面临一些安全问题,比如接入环境是否满足安全要求、业务系统是否安全、用户
7、访问或接入业务的安全风险、虚机之间信息交换是否安全、业务系统服务可靠性等需求.整个云平台安全运维也成了一大难题,首先平台本身以及平台中的业务系统的安全现状难以实时监测,因此无法做到有效审计,不能追溯安全问题;其次,对于资源池中的安全服务,如何做到动态灵活的统一管理、智能分配,满足云环境下动态高效的需求;再次,租户业务系统迁入后,如何快速的获得所需的安全配额,实现针对性的策略配置和自主运维。归纳起来,云平台整体安全需求如下图所示:图2.1-3云平台整体安全需求2。2 平台侧需求对于云来说,平台无疑是对外提供服务的基础,无论是建设运营方,还是租户,对于平台自身的可靠性、安全性都是极为关注的。因此平
8、台层的安全建设需要从平台安全防护,平台的接入安全,以及平台服务可靠性方面来建设,保证云平台业务系统安全可靠运行。2.2.1平台安全需求平台需要直接连接互联网,面临着非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、web应用保护、僵尸木马、DDoS攻击等各种安全问题,并且其底层和其上的系统软件可能存在的安全漏洞将影响到整个平台系统的安全,攻击者在利用漏洞入侵到平台之后,可以对整个平台内部的资源进行各种破坏,从而导致系统不可用,或者数据丢失、数据泄露,其潜在的威胁将无法估量。分区分域需求在安全设计方案中,我们需要将省级部门的业务通过逻辑隔离划分不同的安全域,首先云平台建设时需考虑将基础设施资源划
9、分为两个独立的区域,分别为互联网业务区、公用网络区,两个区域间不能直接访问,仅能通过跨网数据交换区进行数据交换。每个等保区域内不同租户应用间通过VLAN/VxLAN网络隔离,租户间通过访问控制设备进行访问控制,禁止非授权访问。云平台支持虚拟私有云,可以在一个云数据中心里灵活设定多个虚拟私有云,多个私有云之间使用VPN技术或VXLAN技术,达到端到端的隔离效果。防网络病毒需求云平台的核心是计算和数据资源,因此也是网络入侵者最主要的目标.病毒、蠕虫、木马等恶意代码一旦感染云平台系统或应用,就可能在平台内部快速传播,消耗网络资源,劫持平台应用,窃取敏感信息,发送垃圾信息,甚至重定向用户到恶意网页。所
10、以云平台安全建设需要包含检测和清除病毒蠕虫木马等恶意内容的机制。云应用安全需求云环境的随需部署和动态迁移,使安全策略的部署变得复杂,需要一个灵活动态安全机制来适配虚拟化网络安全防护.因为应用只与虚拟层交互,而与真正的硬件隔离,导致应用层的安全威胁缺乏监管而泛滥,安全管理人员看不到设备背后的安全风险,服务器变得更加不固定和不稳定。云环境中B/S架构的业务普遍存在,大量的Web业务应用引入各种各样的漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对云应用的攻击,比如SQL注入、跨站脚本攻击等,进而实现对内部敏感信息监控、窃取、篡改等目的。因此需要有效的设备来识别并防护针对业务系统漏洞的攻击.防止
11、漏洞攻击云平台内部有大量业务服务器,其底层和业务应用系统会不断产生新的安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对云平台的攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对网站敏感信息监控、窃取、篡改等目的.因此需要有效的手段来识别并防护针对系统漏洞的攻击。2.1.2接入安全需求云平台接入安全首先要考虑租户的安全接入,租户接入的目的主要是对托管的业务、租赁的服务进行运维管理,因此需要对接入平台的租户身份进行有效的认证,避免非法用户接入带来的危害;而对于普通用户来说,平台内部哪些资源是对其开放的,哪些资源不能访问需要界定;在整个大平台内部,不同的云业务及虚
12、拟私有云之间会有大量的信息交互,因此需要考虑如何保障云间业务的安全互联,避免信息泄露和越权访问。云间安全互联云平台里面可能包含了多个部门数据中心或虚拟私有云,跨部门或跨级别之间也会进行信息的流转,传统数据中心和云平台系统进行信息交互,这些信息往往涉及到机密等级的问题,应予以严格保密。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。基于IPsec的加密方式被广泛采用,其优点显而易见:IPSEC对应用系统透明且具有极强的安全性,同时也易于部署和维护,这对于庞大的云平台来说,显得极有好处。 租户安全接入集团子公司(租户)业务系统上线后,面临着用户远程接入访问的问题,不管是运维人员的运维
13、接入,还是集团子公司用户的接入,都是需要慎重考虑接入安全的问题,尤其是使用BYOD接入访问,更应该对其接入进行严格的身份认证和安全核查,同时对用户访问行为进行合理的权限划分,避免安全问题从远端传递过来并在云平台蔓延.用户访问安全一些集团子公司部门通过云平台对外发布的业务应用,平台用户可以直接使用互联网进行访问,用户能够访问的资源,需要靠访问控制的安全策略来核查,避免非授权的数据泄漏问题。访问控制系统的安全目标是将云计算中心与不可信任域进行有效地隔离与访问授权。访问控制系统应根据各业务的安全级别要求和全网安全策略控制出入网络的信息流,并且系统本身具有较强的抗攻击能力。访问控制系统由防火墙系统组成
14、,防火墙在网络入口点根据设定的安全规则,检查经过的通信流量,在保护内部网络安全的前提下,对两个或多个网络之间传输的数据包和联接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许。2.1。3业务可靠需求云平台需要保障服务可靠性,一旦出现中断将造成重大损失,并且影响集团形象。服务中断来源于俩方面:一方面因为攻击造成拒绝对外提供服务,这种情况下服务器或带宽资源被消耗完,导致无法处理后续服务;另一方面是因为服务器故障停止对外服务、出口链路中断、数据中心切换等问题带来的服务软中断;此外,灾难、电力供应等不可抗拒性也会导致服务中断,此类事件一旦发生,便会造成数据中心毁灭性的破坏.同时会对租户的
15、公信力产生非常不利的影响。不可抗拒性的中断建议采用冗余数据中心的方式来解决。而云平台内部,每套业务系统都会有多个服务器(虚机)来承担服务,出口网络也会选用多家Internet服务,因此使用服务器负载、链路负载设备就能解决软中断问题。防止拒绝服务云平台上托管着大量的面向互联网的服务,往往会成为拒绝服务的攻击目标。黑客控制着大量的僵尸“肉机”,从而发起向云平台的大量异常请求,这种攻击行为使得Web等系统充斥大量需要响应的信息,严重消耗网络系统资源,导致外联服务平台无法对外正常提供服务,影响云平台和各集团子公司部门正常的业务开展。链路负载均衡云平台接入往往多条运营商链路,从而保证网络服务的质量,消除
16、单点故障,减少停机时间。为提升外部用户从外部访问内部网站和应用系统的速度和性能,就需要对多条链路进行负载优化,实现在多条链路上动态平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路,保障业务应用不中断.全局负载均衡当某一云中心出现系统性故障时,或者某一云中心的性能负载出现过大问题时,可以通过全局负载,进行实时业务调度,让两个或者多个云数据中心能够互为备份,让用户获得就近最快速的访问.2.3 租户侧需求2.3.1 租户间隔离需求分析 在设计方案中我们看到,要求将各部门的业务通过逻辑隔离划分不同的安全域,首先云平台建设时需考虑将基础设施资源划分为两个独立的区域,两个区域间不能直接访问
17、,仅能通过跨网数据交换区进行数据交换.其次为满足等保合规需求,每个业务区内还需要划分二级等保区和三级等保区两个区域,两者的计算资源不允许共享。每个等保区域内不同租户应用间通过VLAN/VxLAN网络隔离,租户间通过访问控制设备进行访问控制,禁止非授权访问。2。3。2 租户虚拟机需求分析 在云平台的环境下,租户内部存在一台或多台虚拟机,虚拟机是否安全和可靠直接影响到租户业务的质量好坏,而虚拟机主要存在以下需求:对虚拟主机进行安全加固,采取措施防止通过虚拟机漏洞获得对所在物理机的访问和控制;单台物理服务器上的各虚拟机之间可能存在二层流量交换,而这部分流量对于管理员来说是不可见的.在这种情况下,管理
18、员需要判断虚拟机之间的访问是否符合预定的安全策略,或者需要考虑如何设置策略以便实现对虚拟机之间流量的访问控制及安全风险检测;保证不同虚拟机之间的隔离,屏蔽非必要的虚拟主机之间的互访,即使有数据互访的需求也是在管理员知情并批准的提前下且需经过防火墙的安全检测;对虚拟机的可靠性保障,实时监测虚机的性能状态,出现故障时能及时修复,在多台虚机间做负载均衡;提高虚拟机的利用率,实时监测虚拟机的业务量,在业务的高峰期,能够新增适量的虚拟机来保障用户访问请求的及时快速处理。在业务的低谷期,能够减少虚拟机来避免资源的浪费,实现资源的动态调整。2。3。3 租户互联网业务需求分析 租户基于云平台构建的互联网业务系
19、统,其安全风险与传统基于物理主机构建的业务应用相似,操作系统、数据库、Web服务器软件、中间件及应用软件相关安全风险和可靠度均需要加以关注.租户的互联网业务主要承载对外发布系统、门户网站等,用户主要是互联网用户,因此该区域的需求分为了访问控制、web安全防护、入侵防御、病毒防护、安全管理、应用可靠、用户体验. 1。虚拟化访问控制:通过互联网接入云租户的用户,合法性难以保证,因此需要设置相应的访问安全策略来控制流量的访问,实现安全隔离与防护. 2。虚拟化Web安全防护:在云平台中,同样存在Web攻击,黑客通常会采用Web攻击的方式来入侵Web服务器,一旦获取了权限,将造成信息泄露、网页篡改等风险
20、,因此对于云平台同样需要做到Web的安全防护. 3。入侵防御:风险不仅存在于网络层,业务应用如果存在漏洞,也会给黑客可趁之机,造成漏洞攻击,同时还存在各种病毒侵染,因此需要有完备的入侵防御体系来保障租户业务的安全。 4。业务可靠:租户的业务系统上线后,与传统的硬件平台一样,也存在着应用假死、出口线路拥塞&故障、用户的请求被错误的分配等问题,我们需要提供一种有效的方法实现云应用的实时监控及访问请求的智能调度,杜绝因虚机故障或应用假死造成访问中断。 5。用户体验:当访问量过多,业务量太大时,用户的访问速度变慢,如何在不改变用户的使用习惯的情况下,通过合理调配链路、虚拟机等资源来实现访问速度的提升?
21、2。3。4 租户外网业务需求分析 租户的外网业务主要是用于各集团子公司单位人员接入访问或者移动办公、出差人员的访问,流量经过互联网或者广域网,该区域存在的需求如下:1. 安全接入:访问的人员需要经过认证授权,防止非法访问,同时流量流经城/广域网,需要进行加密传输,防止数据泄密的风险.2. 权限划分:众多的应用系统需要采用合理的访问权限控制机制,避免将重要服务器暴露在所有内网甚至外网用户面前,因密码爆破、越权访问等行为导致系统内重要数据的泄露.同时,针对于不同的应用系统对访问人员做好细致的访问权限控制,避免越权访问.3. 流量清洗:病毒、木马可以通过广域网扩散到云平台,而终端用户的安全意识往往比
22、较薄弱,如果终端被黑客控制,成为黑客攻击的跳板,将会对整个云平台业务造成损失,因此我们需要对访问流量进行清洗,以保证其安全性。4。 安全防护:与传统数据中心类似,云平台中的安全需求也是不仅能够防护传统网络层的风险,还能识别并防护应用层的威胁,防止漏洞攻击,实现双向内容检测,防止敏感信息泄露。5。 应用加速:很多业务应用通过广域网传输时,即使带宽够用,但往往丢包多、延时大,比如视屏会议,经常会出现马赛克、画质不清晰等问题,导致体验不佳,如何实现用户与云间核心应用的加速?6。 业务可靠:租户的业务系统上线后,与传统的硬件平台一样,也存在着应用假死、虚机故障、出口线路拥塞故障、用户的请求被错误的分配
23、等问题,我们需要从以下两个方面来更好的保障租户业务系统的稳定:提供一种有效的方法实现云应用的实时监控及访问请求的智能调度,从而保障用户访问体验,杜绝因虚机故障或应用假死造成用户访问中断.和管理平台进行实时联动,在业务的高峰期,能够新增适量的虚拟机来保障用户访问请求的及时快速处理。在业务的低谷期,能够减少虚拟机来避免资源的浪费。2.5 管理运维需求 三分技术,七分管理”,有效的运维管理是保障安全的重要手段.基于云计算模式的业务系统对数据安全、隐私保护提出了更高的要求,在数据管理权与所有权分离的状态下这些问题显得更加突出。从运维安全的角度来看,可信云的建设需要严格界定云平台的应用边界,同时还要健全
24、云计算数据保护的标准体系,建立完善的云计算服务平台建设规范和信息安全管理规范,从管理上最大限度地降低风险隐患。在管理运维角度,我们从以下几个方面进行重点关注:租户运维:需要将租户管理账号与云基础设施管理账号的权限分离,防止租户主机非授权访问.同时租户管理界面还能够直观的看到当前云平台提供的各类安全、服务、稳定性组件,租户管理只需在管理界面上即可轻松的开启、关闭各功能模块,从而实现租户的个性化安全、服务需求。同时,在管理平台上应能定期的生成各租户的安全风险报表,可以帮助平台上督促租户进行漏洞发现、安全整改等工作.从而让租户管理员轻松的了解目前的安全短板所在,从而进行针对性的补足。云平台运维:管理
25、平台(网管平台、安全管理平台、云管理平台)仅允许通过管理区域内的管理终端本地访问,避免远程管理可能引入的系统风险。同时在互联网区与公用网络区的管理网络中断部署防火墙等安全设备,用于两个管理网络的安全隔离。网管平台通过SNMP等方式实现对多种IT资产进行统一的管理,包括服务器、网络设备、安全设备、应用系统等设备.同时云平台管理员从安全管理平台上能够看到当前平台下所有虚机的安全风险状况,从而可以更加有效的管理整个云平台的安全.平台服务商合作运维:具备通过统一的接口实现云监管平台的相关管理功能要求(OpenStack),能够和平台服务商进行合作开发,从而实现更加高效、完整易用的管理。第三章设计原则本
26、次云平台的总体设计原则如下:统一性原则由于云计算是一个复杂的体系,应在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好系统的标准化设计与施工。成熟稳定由于云计算的发展变化很快,而本项目建设时间紧,涉及面广,应用性强,在设计过程中,应选成熟稳定的技术和产品,确保建成的云平台适应各方的需求,同时节约项目施工时间。实用先进为避免投资浪费,云平台体系的设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,使系统具有容量的扩充与升级换代的可能,以便该项目在尽可能的时间内与业务发展和信息技术进步相适应。开放适用由于云计算平台为各业务应用系统提供支撑,必须充分
27、考虑系统的开放性,提供开放标准接口,供开发者、用户使用.经济性原则云计算操作系统应在满足云平台建设需求的前提下具备较高的性价比.同时,云计算操作系统必须提供本地化技术支持,降低云平台维护成本。安全可靠云平台涉及用户范围广,数量大,实时性强,设计时应加强系统安全防护能力,确保系统运行可靠,业务不中断,数据不丢失。本次方案设计中参考的依据如下:GB 178591999 计算机信息系统安全保护等级划分准则GB/T 222392008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 25058-2010 信息安全技术 信息系
28、统安全等级保护实施指南中共中央办公厅、国务院办公厅国家信息化领导小组关于我国电子政务建设的指导意见(中办发200217号);国家信息化领导小组国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号);国家信息化领导小组关于推进国家电子政务网络建设的意见(中办发200618号);国务院办公厅关于加强政府网站建设和管理工作的意见(国办发2006)104号);国家发展改革委关于国家电子政务外网(一期工程)项目建议书的批复(发改高技20042135号);第四章解决方案4.1 解决方案综述对于云服务商而言,根据前面的需求分析,以及平台的建设思路和建设目标,我们从平台层、租户层、安全运维管
29、理这三个方面来设计云平台整体安全方案,其框架图如下所示:云平台安全设计框架在平台层,我们主要解决了平台整体的网络数据安全的问题,以及租户和用户接入平台、云间互联的安全问题,此外云平台层面,我们也考虑了业务可靠性的安全保障.这部分主要采用硬件设备:平台互联网出口:两台下一代防火墙、两台应用交付、两台SSL VPN在租户层,我们考虑了业务安全上云的问题,以及业务应用安全、租户、用户接入安全问题,此外在租户侧我们还考虑了主机和虚机横行访问的安全问题。每个租户根据需求部署虚拟化软件安全、优化产品(根据第一期要求,配置XX个租户的规模),vAF共计XX核授权、vAD共计XX核授权:vAF:每个租户的虚拟
30、下一代防火墙,分配28核虚拟CPU,提供2001G性能vAD:每个租户的虚拟应用交付,分配分配2-8核虚拟CPU,提供2002G性能在安全运维管理方面,我们从平台方和运维方分别分别进行了安全运维考虑,帮助平台方实现集中监控和运维审计,实现租户随需选配和自主运维安全服务的需求。运维管理网边界:下一代防火墙、一套集中管理系统SC4.2 平台侧设计方案云平台安全部署框架如上图所示,在云平台物理网络边界部署安全、应用交付类产品,如下一代防火墙NGAF、安全网关SSL VPN、应用交付AD等产品,形成安全硬件资源池,在物理网络出口提供平台级的整体安全保护,实现如区域划分、接入控制、病毒防护、入侵防护、漏
31、洞检测、DDoS攻击防护、WEB安全防护、接入安全、服务器负载均衡等功能,实现2到7层安全防护和应用、链路的负载优化,实现精细的区域划分与可视化的权限访问控制,保证云平台和内部业务系统具备更高的安全性、可用性、持续性,以及快速性。4。2。1平台安全方案云平台物理网络出口部署的下一代防火墙NGAF可以有效保障平台的安全。深信服下一代防火墙(NextGeneration Application Firewall)NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有全面的应用层安全防护功能和强劲的处理能力。深信服NGAF设备实现了完整的二到七层网
32、络数据安全保护,提供了业界领先的访问控制、入侵防御、病毒防护、漏洞保护、Web应用安全保护等功能,实时防御来自互联网、外网的非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为,确保了平台网络和业务系统数据持续安全运行。 一.1.2.3.4.4.1.4.2.4.2.1.4.2.1.1.平台分区分域平台层整体安全架构如上图所示,依照云平台的建设需求,本次云平台利用NGAF实现了公用网络区和互联网区区域边界划分,其中公用网络区主要是部门系统内和系统间的互访,互联网用户不能直接访问这个区域的数据和信息系统;互联网区部署的是集团的WEB等托管服务,完成信息互联网发布和数据填报.在各安全区内,又从接入区、核心网络交换区、计算存储区、运维管理区进行安全区域划分,而在公
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1