免費注冊
  • 基礎安全解決方案

方案描述

Scheme description
本方案主要針對公有云上租戶提供一套整體安全解決方案,提供資源彈性、按需分配、自動化的安全服務,滿足云計算基礎安全保障要求。此方案實現從整體出發,保障云承載的各種業務、服務的安全。借鑒等級保護的思想,依據公安部、工信部關于等級保護的要求,對云平臺和云租戶等不同的保護對象實行不同級別的安全保護,滿足合規要求。

云安全模式

Cloud security mode
  • 云安全IaaS模式
  • 云安全PaaS模式
  • 云安全SaaS模式

物理與環境

物理與環境部分,依據相關標準規范,通過對整個項目的土建、機房工藝、電氣智能化等建設滿足要求,具體方案詳見該部分設計。
根據中央網信辦關于《加強黨政部門云計算服務網絡安全管理的意見》[2014]14號文,云服務方若在中國境內提供云服務時,必須確保其云計算基礎設施位于中國境內。另外,為黨政部門提供云服務的云計算服務平臺、數據中心等要設在境內。敏感信息未經批準不得在境外傳輸、處理、存儲。

網絡與通信

(1)網絡構架
  • 云計算平臺的等級大于等于其承載的業務應用系統的等級;
  • 云計算管理平臺應支持虛擬化網絡拓撲結構的展現,且應能在發生虛擬化網絡資源變更時(新建虛擬機、虛擬機網絡接口變化、虛擬機遷移等)提供實時更新和集中監控;
  • 不同云租戶的虛擬網絡之間應使用隔離技術(例如、vFW、VPC等);
  • 云計算管理平臺應保證虛擬機只接收目的地址包括自己地址的報文,避免發生報文轉發錯誤,造成信息泄漏;
  • 通過使用不同的物理交換機來保證云平臺管理流量與租戶業務流量的分離;同時應能實現宿主機上業務口和管理口的分離;
  • 能識別和監控虛擬機之間、虛擬機與物理機間的流量,尤其是同一臺宿主機上多個虛擬機間通信,可以將流量從宿主機中引出到外部網絡中來實現識別和監控目標;
  • 云計算平臺保持一定的開放性(例如主流的Openstack+KVM),支持開放接口接入第三方安全產品,實現租戶安全服務的多樣化,避免租戶被綁定;
  • 云服務方按需提供安全服務,而安全策略集的設置是由云租戶根據自身業務需求進行自主操作,云服務方提供的安全服務應可以實現云租戶安全的自服務;另外安全服務應該可編排,從而實現定義訪問路徑、選擇安全組件、配置安全策略;
(2)訪問控制
  • 云計算管理平臺禁止云租戶虛擬機訪問宿主機;
  • 在云計算環境中,識別虛擬化網絡邊界,部署訪問控制設備(vFW),并配置ACL;
  • 在云環境中,安全及相關策略隨虛擬機遷移,保證前后訪問控制策略的一致;
  • 云租戶可以對自己的不同云主機之間配置訪問策略;
  • 不同安全等級業務系統使用不同的物理服務器來承載,同時其網絡區域邊界應部署訪問控制設備(FW)
(3)入侵防范
  • 在云租戶的網絡邊界部署入侵檢測系統(IPS/IDS或NGFW),實現網絡攻擊的監測、告警和記錄,同時保證入侵檢測設備的特征庫及時更新;
  • 通過vIDS檢測虛擬機到宿主機之間的異常流量,并進行告警;
  • 云服務方應提供7*24小時的網站監測服務(websafe),全天候針對云租戶互聯網發布內容實時監測,發現違規有害信息及時通過短信、郵件等方式告知云租戶
(4)安全審計
  • 云計算安全管理平臺提供權限設置功能,在保證安全的遠程管理前提下,通過安全審計設備對遠程用戶的操作命令實時審計;
  • 根據職責劃分,云服務方和云租戶收集各自控制部分的審計數據,相互之間不可交叉訪問,云服務商和云租戶的應使用各自的審計設備,數據分開存放;
  • 云計算安全管理平臺應提供審計接口,將安全審計數據進行匯集,同時也應能通過標準接口將審計數據提供給第三方進行審計;
  • 云服務方和云租戶各自的審計系統應支持將各自的審計數據進行集中審計;

設備與計算

(1)身份鑒別
  • 網絡策略控制器是云網絡區別與傳統網絡的集中管理系統(一般包括網絡和安全控制器),控制器端和被管設備端應支持雙向身份驗證機制,即控制器端驗證主動接入的被管設備端,被管設備端在執行控制器端的策略時應先對其進行身份驗證,目的都是防止惡意接入云網絡;
  • 遠程管理時應首先保證傳輸信道的加密安全,使用VPN技術,同時遠程管理終端和VPN服務端應建立雙向身份驗證機制;
(2)訪問控制
  • 根據中網辦發文【2014】14號發文中“數據歸屬關系不變”的原則,云租戶提供給云服務方或第三方的數據、設備等資源,以及在云計算平臺上云租戶業務系統運行過程中收集、產生、存儲的數據和文檔等資源屬云租戶所有,未經云租戶授權(建議通過合同等手段進行約束),不得訪問、修改、披露、利用、轉讓、銷毀云租戶數據,在服務合同終止時,應按照要求做好數據、文檔等資源的移交和清楚工作;
  • 云計算安全管理平臺應具備精細靈活的權限劃分機制,為不同的管理員分配不同不同賬戶并分配相應的權限,應遵循“最小權限”劃分原則;
(3)安全審計
  • 將云服務方對云租戶系統和數據的操作審計發送給第三方審計,云租戶通過第三方審計進行查看,防止云服務方的惡意刪除;
  • 云計算安全管理平臺應提供審計接口,將安全審計數據進行匯集,同時也應能通過標準接口將審計數據提供給第三方進行審計;
  • 云服務方和云租戶各自的審計系統應支持將各自的審計數據進行集中審計;
(4)入侵防范
  • 入侵防范系統若發現虛擬機之間的異常訪問流量,應進行告警。
  • 云管理平臺應通過API將非授權新建虛擬機或著重啟虛擬機等記錄發送給入侵防范系統,且入侵防范系統發現問題及時告警;
(5)惡意代碼防范
  • 云環境中應部署惡意代碼防護措施(主機和網絡殺毒),對監測到的惡意行為進行清除和告警,同時要保證病毒庫的及時更新;
(6)資源控制
  • 云計算平臺應保證虛擬機之間、虛擬機與宿主機之間的安全隔離,當某一個虛擬機故障,不應影響虛擬機監視器和其他虛擬機;
  • 云計算管理平臺應提供統一的資源調度管理功能,并支持策略設置,將物理資源和虛擬資源統一管理調度和分配
  • 云計算平臺應能做到單一虛擬機僅能使用為其分配的計算資源,防止資源隔離實效,發生資源蔓延;
  • 不同等級的虛擬機,安全防護能力不同,當虛擬機發生遷移,遷移前后的資源池等級必須相同,若虛擬機在不同等級的資源池間遷移,應具備網絡訪問控制或隔離措施,禁止遷移;
  • 云計算管理平臺應提供虛擬機內存獨占模式,防止發生內存泄漏
  • 云計算管理平臺應支持對虛擬機的虛擬網卡、虛擬交換機的端口進行QoS設置,并應能將其監控信息發送給獨立的流量分析系統
  • 云計算管理平臺應提供接口將其監控信息上送給專業的監控平臺,實現集中監控(例如SOC平臺)
(7)鏡像和快照保護
  • 在云環境中,虛擬機的部署一般都是通過虛擬機鏡像模板部署的,其安全性非常重要,為防止虛擬機鏡像被惡意篡改云計算平臺應具備完整性校驗功能(例如文件Hash),包括虛擬機快照;
  • 針對虛擬機鏡像和快照的訪問,應至少設置密碼,防止非授權訪問。
  • 可通過操作系統加固服務,按照“最小化軟件部署+補丁最新+安全軟件”的原則針對重要業務系統的操作系統鏡像加固;

應用與數據

(1)安全審計
  • 云計算安全管理平臺應提供審計接口,將安全審計數據進行匯集,同時也應能通過標準接口將審計數據提供給第三方進行審計;
  • 云服務方和云租戶各自的審計系統應支持將各自的審計數據進行集中審計;
  • 將云服務方對云租戶系統和數據的操作審計發送給第三方審計,云租戶通過第三方審計進行查看,防止云服務方的惡意刪除;
(2)資源控制
  • 部署監測平臺(例如:態勢感知平臺),對應用系統運行狀態監測,發現異常及時告警;
  • 不同云租戶的應用系統及開發平臺之間應部署訪問控制或隔離措施,保證資源隔離(互相不影響)、網絡隔離(VPC網絡)、主機隔離(不同計算資源池);
(3)接口安全
  • 云服務方應通過安全技術評估服務,對云計算平臺提供的對外接口進行安全性評估;
(4)數據完整性
  • 云計算平臺應具備虛擬機遷移過程中數據完整性的保障機制(內存拷貝、虛擬機快照、HA等);
(5)數據保密性
  • 云租戶敏感信息必須境內存儲,未經批準不得在境外傳輸、處理、存儲;
  • 云計算平臺運維過程中產生的數據(配置數據、日志信息等)不得出境;
  • 虛擬機遷移網絡應使用專有通道(視情況啟用加密機制)保證遷移路徑的安全;
  • 為保障云租戶云上的數據安全,云服務方應支持云租戶在其平臺上部署密鑰管理解決方案,實現云租戶自行針對其敏感數據進行加解密,同時建議密鑰本地備份存儲;
  • 網絡策略控制器與網絡設備之間通信流量應使用加密技術,例如https或ssh等協議傳輸,防止被竊聽和嗅探;
(6)數據備份恢復
  • 制定備份策略,云租戶應將其云上的業務數據備份一份到自己的本地數據中心,避免云上數據丟失,造成損失;
  • 云計算平臺應提供查詢云租戶數據及備份存儲位置的方式,同時做好賬戶和權限的分配,防止非授權訪問;
  • 不同云租戶的審計數據建議存放于云租戶自己的VPC內部;
  • 現實的云計算服務過程中,往往是“上云容易下云難”,該項要求明確了云服務方在云租戶退出服務應提供協助,包括不限于遷出時云計算平臺的接口和方案,并按照合同約定,完成數據移交和刪除工作;

總體技術架構

Overall technical framework
參照國家相關安全規范要求,結合云計算平臺的建設需求和技術理念,從安全技術、安全管理兩個維度出發,按照等級保護定級結果和安全防護策略思路,構建完整、有效、可信、特色的云平臺安全保障體系架構,確保以云為基礎的業務信息系統安全。
如圖所示,按照等級保護要求分別對云平臺和云租戶提出定級要求,在實施階段以運維門戶、租戶門戶分離各自的安全需求,在云平臺層面對接安全資源池,依托安全資源池提供的能力,從物理設備安全、虛擬網路安全、數據安全、應用安全、虛擬主機安全分別滿足等保要求。同時通過運維門戶對資源進行統一管理、調度;并對安全資源進行封裝向云租戶提供符合等級保護要求的安全服務。

方案業務場景

Scenario business scenario
  • 一平臺兩門戶
  • 等級保護能力覆蓋
  • 其他關鍵組件
  • 一平臺兩門戶設計同時滿足云平臺及云租戶的等級保護合規要求。如圖所示通過運維門戶管理云平臺安全資源,從網絡、主機、應用、數據等方面全面保障云平臺安全;通過租戶門戶將資源池安全能力包裝成租戶所需的安全服務提供給租戶使用,以滿足租戶的合規需求。
  • 運維門戶
  • 安全資源管理
  • 安全服務資源管理主要包括當前節點業務域虛擬化安全服務資源(如虛擬WAF、虛擬NIDS等)的新增、停用、退服等管理功能,以及對安全服務資源的性能故障的監控功能。
  • 安全事件展示
  • 事件監控
    提供對經過處理后的安全事件的展現界面,能夠實時監控、顯示安全事件,并以多種方式進行不同級別安全事件的呈現:
    告警轉發
    需要將嚴重級別比較高的安全事件,轉發給告警管理進行進一步的處理;
    事件統計分析
    對安全監控管理收集到的各種歷史安全事件提供查詢功能,并可以對安全事件進行統計分析和報表在輸出。
    安全告警響應
    提供告警的確認和清除功能。
    短信傳遞功能
    在安全告警形成之后,安全事件管理由立即以預設規則向告警相關安全對象負責人發送短信通知,同一安全對象、同一類事件在24小時內只發送一次,支持不同級別告警、不同價值安全對象的告警以不同的形式、不同的優先級發送,支持在短信響應參數中進行設置。
    短信告警正文不應超過70個字符,支持在響應規則中設置,告警正文必須包括的內容有:發生時間、事件類型、安全對象、告警編號。
    安全告警集中呈現
    通過在運維門戶對告警信息進行集中呈現;
    安全響應支持功能
    安全運維響應管理中提供對安全運維人員的有力技術支持功能
    安全態勢感知
    系統提供全面的網絡威脅入侵檢測分析功能,深入分析網絡流量信息,對全網各節點進行實時監測,并支持多種圖表的威脅告警方式。
    多維度可視化
    可視化展現要求支持多種常見圖形,如折線圖、餅狀圖、柱狀圖、條形圖等。同時支持對于復雜展示方式,如熱力圖、散點圖、圖標疊加等。用戶可選擇使用。
  • 安全運營管理
  • 運營分析管理主要是對安全服務運維、經營過程進行量化管理,主要包括安全服務訂購分析、安全信息統計分析、安全運維統計分析、客戶行為分析等功能,以便可以進行安全服務優化升級、推進運維管理水平的提升。
  • 服務訂購分析
  • 安全服務訂購統計分析情況,不僅提供端的運營分析,同時也可向用戶提供,以便用戶進行差距分析對比。
  • 安全信息統計
  • 安全信息統計分析情況,不僅提供整體安全水平趨勢等規劃決策數據,同時也可向用戶提供,以便向用戶提供企業用戶個體安全水平和整體安全水平在各個方面的差距。
  • 運維統計分析
  • 運維統計分析主要是對運維管理使用方面的數據進行分析,反映服務管理工作的質量和效率,從而評估流程管理的有效性和效率。
  • 用戶信息分析
  • 用戶分析主要包括針對云用戶分析統計分析等功能。
  • 租戶門戶
  • 服務市場
  • 得益于安全資源池橫向的兼容能力,云平臺可以通過租戶門戶向租戶提供豐富的安全服務;覆蓋檢測、防護、掃描,形成安全閉環,并且可以通過在運維門戶配置形成不同的安全服務組合包貼近租戶業務;
    服務市場除了安全服務的展示、購買;針對已購買的安全服務還提供服務續約。
  • 整體視圖
  • 整體安全視圖是給用戶提供安全宏觀態勢的直觀展現,也是用戶登錄安全控制臺的第一視圖。根據用戶使用的安全服務產品所產生的信息進行綜合統計,形成當前安全總體得分,近三天、近一周、近一月及用戶自定義時間范圍內趨勢,總體得分應充分考慮安全服務產品類別及告警級別及數量等因素進行計算;提供用戶使用的安全服務產品的單項當前的得分,近三天、近一周、近一月及用戶自定義時間范圍內趨勢;提供可供用戶進行實時查看和監控的安全告警列表及告警統計視圖。
  • 我的服務
  • 在我的服務中,對已購買的服務進行服務生命周期管理,包含查看防護詳情、下發防護策略、啟動掃描任務等;
    安全服務通過我的服務管理根據用戶開通的不同安全服務產品,輸出響應的報表。主要包括各項安全服務的安全統計報告和詳細信息的展現視圖以及報表下載功能。
    安全服務提供從檢測防護目標維度展現各個安全產品檢測防護結果信息。

快速選配套餐

Quick selection package
等級保護二級服務包 等級保護二級基礎版 等級保護二級增強版
防火墻 防火墻
殺毒軟件 殺毒軟件
IDS IDS
日志審計 日志審計
WAF WAF
數據庫審計
堡壘機
漏洞掃描

方案優勢

Scheme advantage

符合云計算的特性

云計算的特點是按需分配、資源彈性、自動化、重復模式,并以服務為中心的。因此,對于安全控制措施選擇、部署、使用也需盡量滿足上述特點,即提供資源彈性、按需分配、自動化的安全服務,滿足云計算平臺的安全保障要求。

合規性原則

云計算除了提供IaaS、PaaS、SaaS服務的基礎平臺外,還有配套的云管理平臺、運維管理平臺等。要保障云的安全,必須從整體出發,保障云承載的各種業務、服務的安全。借鑒等級保護的思想,依據公安部、工信部關于等級保護的要求,對云平臺和云租戶等不同的保護對象實行不同級別的安全保護,滿足安全等級保護要求。

云平臺安全管理

云平臺安全管理通過統一的運維門戶對安全資源池的資源進行管理、分配、服務編排;還可以掌握安全資源池的運行狀態,使用率;配合虛擬化技術形成安全能力彈性擴展;可對資源池內物理安全設備、虛擬化安全設備提供豐富的拓撲、設備配置、故障告警、性能、安全、報表等網絡管理功能,從而實現了對云內所有分布的安全資源進行統一的管理,統一的運行監控。
云平臺安全管理作為平臺系統還具備了對接其他平臺的能力;可通過對接云資源管理平臺實現云租戶賬號同步、云資源信息告警等,對接運維管理系統可實現運維工單流轉、安全設備運行狀態告警等;對接計費系統為提供用戶可選的安全服務運營提供支撐;另外,還可以結合全流量分析、漏洞威脅預警、大數據安全感知等平臺,實現對云平臺安全態勢的統計監控分析和預警處理,并可以通過自身展示某一階段內安全運行狀態和報告輸出。

安全資源池化

在云計算環境下,計算、存儲、網絡都變成一個個資源池,并可以根據用戶需要對外提供服務能力。那么我們也可以將安全變成一個資源池,利用現有的硬件設備資源、虛擬化安全設備資源,在這些設備的基礎之上,構建一個個具有不同能力的安全資源池,并且可以利用這些池化能力,提供諸如入侵防護、訪問控制、Web防護等安全功能;
在云中心的出口部署一個安全資源池處理南北向流量,流量通過安全資源池的入口,可以對這些從外向內的流量進行如抗拒絕服務攻擊、訪問控制和Web防護等處理;
通過安全資源池還可以實現云平臺內部東西向流量的安全防護,通過引流、分流的方式,將虛擬機的流量接入安全節點,進行處置后在被發送到目的地;

用戶按需服務

對于購買云計算的用戶,安全方面越來越受到重視;而且云租戶在云環境下對于安全的了解和認識也有了新的變化,對于安全的需求和細粒度劃分都有了自己的想法;傳統的安全模式以及云上安全整合不再是用戶所需的;用戶需要的是按照自己業務定制的安全能力,可以按需選擇并且一定條件下針對租戶購買資源的使用人員進行二次分配的能力。
用戶可以對購買的服務進行一些簡單的配置,在不影響云平臺安全的情況下,云平臺將影響用戶的一些安全能力交由用戶進行自主配置,通過這些用戶可以查看自己業務運行的安全態勢、漏洞信息、攻擊事件、報表信息等。

合作伙伴

Recommended products
我可以為您提供哪些幫助?
  • 您需要什么幫助么?-

    立即咨詢 >

    請浪潮云聯系我 >

  • 電話咨詢

    售前:400-607-6657
    售后:400-619-2176(政府)
    售后:400-603-1123(企業)
       7*24小時服務

  • 聯系郵箱

    cloud@inspur.com

两个平台ag互刷流水,致富举手之劳-官方首页