四 云平台安全域划分和防护设计
安全需求和挑战
从风险管理的角度讲,主要就是管理资产、威胁、脆弱性
和防护措施及其相关关系,最终保障云计算平台的持续安全,以及 其所支撑的业务的安全。 云计算
平台是在传统 IT技术的基础上,增加了一个虚拟化层,并且具有了资源池化、按需分配,弹性调配,高可靠等特点。 因此,传统的安全威胁种类依然存在,传统的安全防护方案依然可以发挥一定的作用。综合考虑云计算所带来的变化、风险,从 保障系统整体安全出发,其面临的主要挑战和需求如下:- 法律和合规
三 云安全防护总体架构设计
云安全防护设计应充分考虑云计算的特点和要求,基于对安全威胁的分析,明确来各方面的安全需求,充分利用现有的、成 熟的安全控制措施,结合云计算的特点和最新技术进行综合考虑和设计,以满足风险管理要求、合规性的要求,保障和促进云计 算业务的发展和运行。
设计思路
在进行方案设计时,将遵循以下思路:
基于安全域的纵深防护体系设计 以安全服务为导向,并符合云计算的特点 充分利用现有安全控制措施及最新技术 充分利用云计算等最新技术 安全运营 安全保障目标
通过人员、技术和流程要素,构建安全监测、识别、防护、审计和响应的综合能力,有效抵御相关威胁,将云平台的风险降 低到企业可接受的程度,并满足法律、监管和合规性要求,保障云计算资源/服务的安全。
安全保障体系框架
云平台的安全保障可以分为管理和技术两个层面。首先,在技术方面,需要按照分层、纵深防御的思想,基于安全域的划分, 从物理基础设施、虚拟化、网络、系统、应用、数据等层面进行综合防护;其次,在管理方面,应对云平台、云服务、云数据的 整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。云平台的安全保障体系框架如下图所示:
图 三.3 云平台安全保障体系框架
简单说明如下:
6 云安全解决方案
云安全防护总体架构设计 « 安全保障目标
安全保障体系总体技术实现架构设计
云计算平台的安全保障技术体系不同于传统系统,它也必须实现和提供资源弹性、按需分配、全程自动化的能力,不仅仅为 云平台提供安全服务,还必须为租户提供安全服务,因此需要在传统的安全技术架构基础上,实现安全资源的抽象化、池化,提 供弹性、按需和自动化部署能力。
总体技术实现架构
充分考虑云计算的特点和优势,以及最新的安全防护技术发展情况,为了达成提供资源弹性、按需分配的安全能力,云平台 的安全技术实现架构设计如下:
图 三.4 云平台安全技术实现架构
7 云安全解决方案
云安全防护总体架构设计 « 安全保障体系总体技术实现架构设计
说明:
云平台的安全保障体系最终落实和实现应借鉴工程化方法,严格落实“三同步”原则,在系统规划、设计、实现、测试等阶 段把落实相应的安全控制,实现安全控制措施与云计算平台的无缝集成,同时做好运营期的安全管理,保障虚拟主机/应用/服务 实例创建的同时,同步部署相应的安全控制措施,并配置相应的安全策略。
四 云平台安全域划分和防护设计
安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域,在同一安全域中的系统共享相同的安全策略, 通过安全域的划分把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题,是实现大规模复杂信息系统安全保护的
8 云安全解决方案
云平台安全域划分和防护设计 « 安全保障体系总体技术实现架构设计
有效方法。安全域划分是按照安全域的思想,以保障云计算业务安全为出发点和立足点,把网络系统划分为不同安全区域,并进 行纵深防护。
对于云计算平台的安全防护,需要根据云平台安全防护技术实现架构,选择和部署合理的安全防护措施,并配置恰当的策略, 从而实现多层、纵深防御,才能有效的保证云平台资源及服务的安全。
安全域划分
安全域划分的原则
管理区:主要提供云平台的运维管理、安全管理服务,一般可分为: 资源区:主要包括各种虚拟化资源,涉及主机、网络、数据、平台和应用等各种虚拟化资源。按照各种资源安全策略的 不同,可以进一步细分为生产资源、非生产资源、管理资源。不同的资源区对应不同的上层区域,如生产区、非生产区、 管理区等;DMZ区:主要包括提供给 用户、外部用户访问代理服务器、Web服务器组成。一般情况下 、 用户必须通过 DMZ区服务器才能访问内部主机或服务;堡垒区:主要提供内部运维管理人员、云平台租户的远程安全接入以及对其授权、访问控制和审计服务,一般包括 VPN 服务器、堡垒机等;运维终端接入区:负责云平台的运行维护终端接入 针对具体的云平台,在完成安全域划分之后,就需要基于安全域划分结果,设计和部署相应的安全机制、措施,以进行有效
防护。
云平台不同于一般的 IT系统,会涉及多个网络,下面对此进行简要说明,再讨论云平台的安全防护。
网络隔离
为了保障云平台及其承载的业务安全,需要根据网络所承载的数据种类及功能,进行单独组网。管理网络 物理设备是承载虚拟机的基础资源,其管理必须得到严格控制,所以应采用独立的带外管理网络来保障 物理设备管理的安全性。同时各种虚拟资源的准备、分配、安全管理等也需要独立的网络,以避免与正常业务数据通信 的相互影响,因此设立独立的管理网络来承载物理、虚拟资源的管理流量;存储网络 对于数据存储,往往采用 SAN、NAS等区域数据网络来进行数据的传输,因此也将存储网络独立出来, 并于其他网络进行隔离;迁移网络 虚拟机可以在不同的云计算节点或主机间进行迁移,为了保障迁移的可靠性,需要将迁移网络独立出来;控制网络 随着 SDN技术的出现,数据平面和数据平面数据出现了分离。控制平面非常重要,关于真个云平台网 络服务的提供,因此建议组建独立的控制网络,保障网络服务的可用性、可靠性和安全性
云平台安全域划分和防护设计 « 安全域划分
上面适用于一般情况。针对具体的应用场景,也可以根据需要划分其他独立的网络,
安全防护设计
云计算系统具有传统 IT系统的一些特点,从上面的安全域划分结果可以看到,其在外部接口层、核心交换层的安全域划分是 基本相同的,针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。如下图所示:
图 四.8 传统安全措施的部署
当然,从上面的安全域划分结果可以看到,相对于传统的网络与信息系统来讲,云平台由于采用了虚拟化技术,在计算服务 层、资源层的安全域划分与传统 IT系统有所不同,这主要体现在虚拟化部分,即生产区、非生产区、管理区、支撑服务区、堡垒 区、DMZ区等。下面在对这些采用了虚拟化技术的区域进行重点设计。当然,对于不同的区域,应按照根据 4.3节安全保障技术 框架的要求,选择、落实适用的安全控制措施,下面重点说明。
生产区
生产区部署了虚拟化主机、软件平台、应用层,应基于虚拟化技术实现,因此其安全防护应考虑虚拟化安全、网络安全、主 机安全、应用安全、数据安全等内容。
虚拟化安全
虚拟化安全主要涉及虚拟化组件及其管理的安全,包括了虚拟化操作系统、虚拟化交换机、虚拟主机、虚拟存储及虚拟化安 全管理系统的安全。
对于虚拟化安全主要采用的是安全配置和加固、虚拟化映像防护等。详细内容参见第七章介绍。
网络安全 网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、VPN接入、安全审计等内容。
防火墙及边界防护
安全域需要隔离,并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有 VLAN、网络设备 ACL、防火墙、IPS设备等,这里主要对防火墙的功能、部署进行说明
功能 访问控制系统的安全目标是将云计算中心与不可信任域进行有效地隔离与访问授权。访问控制系统由防火墙系统组成, 防火墙在网络入口点或者安全域的边界,根据设定的安全规则,检查经过的通信流量,在保护内部网络安全的前提下, 对两个或多个网络之间传输的数据包和联接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许。
产品形态 对于云计算环境的边界隔离,主要采用传统防火墙、虚拟化防火墙。
部署 对于云平台,防火墙需要实现对传统网络环境中的安全域的隔离,也需要实现对虚拟化环境中的安全域(如生产域及其 子区、生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ域及其子区等)的隔离。对于传统网络环境中的 安全域可采用传统防火墙、传统的部署方式即可,而对于虚拟化环境中的安全域可采用虚拟化防火墙实现。
以 ESXi虚拟化平台为例,虚拟化防护墙的部署方式如下图所示:
图 四.9 虚拟化防火墙部署
网络异常流量监测与分析
云计算中心部署的应用和业务非常丰富,如基于流媒体的音视频服务, VPN业务等等,必然会受到各种网络攻击,如 DDOS,进而出现大量异常流量。在这种流量成分日益复杂,异常流量海量涌现的情况下,对网络流量进行实时监测和 分析,从而全面了解流量的各种分布以及变化趋势就显得十分必要了。
功能 网络流量分析系统在云计算中心运营维护中的作用体现在两个方面:异常流量监测分析和流量统计分析。由于互联网上 存在大量的异常流量,尤其是大流量的抗拒绝服务(DDoS)攻击经常造成链路拥塞,以至于网络无法正常提供服务甚 至造成整个网络环境完全瘫痪。因此异常流量监测分析是网络流量分析系统的首要任务,下面详细阐述流量统计分析和 异常流量检测分析的功能。
类型一:基于流(FLOW)信息的流量分析产品,流(FLOW)信息由网络中的路由器和交换机产生,流量分析设 备根据流(FLOW)信息进行流量分析;类型二:基于应用层分析的深度包检测产品(DPI),采用端口镜向或分光方式将需要分析的数据流转发给流量分 析设备
基于流(FLOW)信息的流量分析产品具有如下特性,1)采用旁路方式进行部署,不会影响业务;2)能够支持大流量 大范围网络的分析需求,由于流(FLOW)数据是对网络实际转发数据流的聚合与抽象,相对于 DPI设备投资较少;3) 对于大流量监测来讲,其检测准确率可以达到 99.99%。
云平台安全域划分和防护设计 « 安全防护设计
对于云平台,其数据流量较大,且内置的虚拟交换机可以直接输出 数据流,因此建议在云计算中心采用基于流 (FLOW)信息的流量分析产品。
系统组成和形态
基于 技术安全检测与分析系统主要包括异常流量检测系统和综合分析平台。 对于异常网络流量监测系统,其产品形态目前主要有传统物理设备形态,以及虚拟化产品形态。考虑的设备的性能以及 与流量清洗设备联动的要求,可同时采用两种形态。
部署建议 综合分析云计算中心的实际情况,其异常流量主要来自互联网、第三方网络、企业广域网,还包括虚拟机之间互相攻击 的异常流量。因此需要在云平台的互联网出口、外联网出口、广域网出口,以及生产区域边界、DMZ区域边界上部署异 常流量监测系统(旁路部署 流量采样检测模块),实现流量统计分析、路由分析、异常流量检测。它既可以作 为流量监控分析产品对网络流量进行深入分析,从而全面了解各类流量的分布以及变化趋势;也可分析诸如 DDoS攻击、 网络滥用误用、P2P流量等异常流量。
异常流量检测系统基于 数据,其采集点是主要物理/虚拟交换机上,可根据需要灵活部署。以 ESXi虚 拟化平台为例,一般部署情况如下图所示:
图 四.10 异常流量监测系统部署
网络入侵检测
云计算对外提供服务,完全面向互联网,所面临的威胁被无限放大,在云计算中心网络出口采用入侵检测机制,收集各 种信息,由内置的专家系统进行分析,发现其中潜在的攻击行为。由网络入侵检测系统捕获分析网络中的所有报文,发 现其中的攻击企图,根据事先制定的策略通知管理员或自行采取保护措施。
功能 入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害 之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到更高的重视。
入侵检测系统可实时监控云计算中心网络中的数据访问和系统事件,及时发现攻击行为并作为分析证据并对可疑的访问 行为进行自动响应。
利用入侵检测系统的攻击结果判定功能重点关注攻击成功的安全事件。针对某些特定的安全规则单独设定安全策略,针 对云计算中心业务特点过滤一些低风险或者不可能成功的攻击行为,从而减少管理员关注日志告警的工作量,也使得重 要攻击行为能够得到重点体现。
同时,可以针对业务特点自定义某些特定的安全规则。如敏感内容信息过滤,设置自定义的关键字过滤检测规则,通过 与防火墙的联动或自身发送的 TCP 数据包,将涉及敏感信息的 TCP会话阻断,防止信息泄露或者一些非法的网络 信息传递。
产品组成和形态 网络入侵检测系统一般包括网络入侵检测设备和综合分析平台。网络入侵检测设备主要有传统硬件网络入侵检测设备 (NIDS)和虚拟化网络入侵检测设备( vNIDS)两种产品形态。
部署建议 入侵检测系统应部署在已被入侵的高危区域或者关键区域。包括互联网接入区、外联网接入区,以及关键的计算服务域。 对于互联网接入区、外联网接入区,可采用传统的 IDS,而对于位于虚拟化平台上的关键计算服务域可以用虚拟化入侵 检测系统,并可部署一套综合分析系统,对系统所有入侵检测日志进行统一存储、分析和呈现。以 ESXi虚拟 化平台为例,一般部署情况如下图所示:
图 四.11 网络入侵检测系统部署图
主机安全 主机安全与传统安全相同,这里不再赘述。
应用安全
Web应用防护
云计算中心一般都是采用 Web的方式来对外提供各类服务,特别是在 Web 2.0的技术趋势下,75%以上的攻击都瞄准 了网站(Web)。这些攻击可能导致云计算服务提供商遭受声誉和经济损失,可能造成恶劣的社会影响。Web应用防护 技术通过深入分析和解析 HTTP的有效性、提供安全模型只允许已知流量通过、应用层规则、基于会话的保护,可检测 应用程序异常情况和敏感数据(如信用卡、网银帐号等)是否正在被窃取,并阻断攻击或隐蔽敏感数据,保护云计算平 台的 Web服务器,确保云计算平台 Web应用和服务免受侵害。
Web防护技术
与传统防火墙/IPS 系统相比较,Web应用防护技术将提供一种安全运维控制手段,基于对 HTTP/HTTPS流量的双向分 析,为 WEB应用提供实时的防护。
云平台安全域划分和防护设计 « 安全防护设计
图 四.12 虚拟化 Web应用防火墙部署
网页防篡改
网页防篡改系统可以仍旧部署在 Web服务上,实现防篡改功能,其功能、技术实现与部署与传统方式相同,这里不再 赘述。
网站安全监测技术 见安全管理区的描述。
数据安全
对于数据安全,需要涉及数据的产生、传输、存储、使用、迁移、销毁以及备份和恢复的全生命周期,并在数据的不同生周 期阶段采用数据分类分级、标识、加密、审计、擦除等手段。另外,在采用了这些基础防护技术措施之外,还应考虑数据库审计、 数据防泄露以及数据库防火墙的手段,最大限度地保证云平台中的数据安全。
非生产区
对于非生产区部署的主机、应用一般与生产区基本相同,因此,对于非生产区的安全防护可以借鉴生产区的防护方法,这里 不再赘述。
DMZ区
DMZ区主要部署了生产区核心应用的一些代理主机、web 主机等,其直接面向来自互联网的网络访问,受到的威胁程度高, 应进行重点防护。
对于 DMZ区的安全防护可以借鉴生产区的防护方法,这里不再赘述。需要说明是的:为了保证系统安全防护的可靠性,其 安全防护措施,如防火墙,应与网络接入区、生产区等防护措施形成多层异构模式。
堡垒区
VPN接入
VPN接入可以采用传统 VPN接入设备,也可以采用虚拟化的 VPN接入设备。其实现方式与传统方式基本相同,这里不再赘
述。
堡垒机
云平台的管理运维人员、第三方运维人员以及租户需要多云计算平台的主机、应用及网络设备进行管理、维护操作。为了发 现和防止不当操作、越权操作的发生,需要对此类用户进行认证、授权、访问控制和审计。堡垒机就是完成上述功能的关键设备, 典型应用场景如下图所示:
网络设备和服务器区
UNIX/LINUX 网络设备 安全设备 DB
返回结果
执行访问操作: SSH//RDP // VNC /FTP/SFTP ……
堡垒机
审计控制台
WEB登录
返回结果
维护人员
云平台管理 /运维人员 第三方代维人员 云平台租户
图 四.13 堡垒机应用场景
功能
堡垒机可以提供一套先进的运维安全管控与审计解决方案,目标是帮助云计算中心运维人员转变传统 IT 安全运维被动响应的 模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益,主要实现功能如
下:
对于云平台来讲,这里采用的安全防护措施可与虚拟化管理平台、云管理平台有机集成,如实现虚拟机配置/活动信息的获取、 租户信息的获取、虚拟机所部署应用的信息的获取等,以实现全程自动化实现。
安全检查/评估系统
所有的 IT组件都会有安全漏洞或者配置弱点,需要部署安全检查/评估系统对系统进行持续安全检查、扫描,并自动化分析 系统存在的问题,给出应对策略。
功能 安全扫描技术主要是用来评估计算机网络系统的安全性能,是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形 式对目标可能存在的已知安全漏洞/配置弱点进行逐项检查。安全扫描系统可对云平台主机/设备/应用进行定期扫描、评估, 分析客户业务系统当前的设置和防御,指出潜在的安全漏洞,以改进系统对入侵的防御能力。扫描的目标包括工作站、服务 器、路由器、交换机、数据库应用等各种对象,根据扫描结果向系统管理员提供安全性分析报告,为提高网络安全整体水平 产生重要依据。
产品形态 对于安全评估系统,其产品形态目前主要有传统物理设备形态,以及虚拟化产品形态。根据需要可以选择相应的产品形态。
部署建议 在共享式工作模式下,只要将安全评估系统接入云平台安全管理子区网络并进行正确的配置即可正常使用,其工作范围可以 覆盖到云平台网络地址可达之处。运维人员可以从任意地址登录安全评估系统并下达扫描任务。
网站安全监测技术 云计算平台所部署了大量网站,需要对这些网站进行持续、动态侦测,提早发现问题和漏洞,增强客户访问体验。
技术原理与功能
传统的网站安全监管方式通常是采用 Web 应用安全扫描工具周期性的对网站进行安全扫描与评估,然后根据评估结果进行 安全加固和风险管理。这种安全检查工作是一种静态的检查工作,能够反映站点被检查那一时期站点的安全问题,但是缺少 风险的持续监测性。
网站安全监测技术根据网站系统监管要求,通过对目标站点进行页面爬取和分析,为用户提供透明模式的远程集中化安全监 测、风险检查和安全事件的实时告警,并为用户提供全局视图的风险度量报告,非常适用于为租户提供安全增值服务。
网站安全监测技术具体包括 Web爬虫与链接智能分析、Web页面预处理与分级检测、网页木马检测与分析,实现网站漏洞 扫描、网页挂马监测、网页敏感内容监测、网页篡改监测、网站平稳度监测、网站域名解析监测等功能,能够从站点的脆弱 性、完整性、可用性三方面全方位的对站点的安全能力要求进行监管,并且可为一个大型的站点群同时提供安全监测的能力。
产品形态 对于网站安全检测,其产品形态目前主要有传统物理设备形态,以及虚拟化产品形态。根据需要可以选择相应的产品形态。
部署 网站安全监测系统可根据云计算平台网站的规模进行独立部署和分布式部署。独立部署方式就是在网络中部署一台同时具备 监测及数据分析能力的设备,即一台设备实现所需要的监测能力。系统具有管理网口和扫描网口,管理口可接入用户内容, 用于用户对监测任务的管理。扫描口接入外网,对重要网站进行监测。分布式部署方式,即采用单台控制中心,多台引擎的
23 云安全解决方案
云平台安全域划分和防护设计 «
参考资料
绿盟 2015绿盟科技云安全解决方案
友情链接
GB-T 25068.1-2020 信息技术 安全技术 网络安全 第1部分:综述和概念
