免费注册
  • 基础安全解决方案

方案描述

Scheme description
本方案主要针对公有云上租户提供一套整体安全解决方案,提供资源弹性、按需分配、自动化的安全服务,满足云计算基础安全保障要求。此方案实现从整体出发,保障云承载的各种业务、服务的安全。借鉴等级保护的思想,依据公安部、工信部关于等级保护的要求,对云平台和云租户等不同的保护对象实行不同级别的安全保护,满足合规要求。

云安全模式

Cloud security mode
  • 云安全IaaS模式
  • 云安全PaaS模式
  • 云安全SaaS模式

物理与环境

物理与环境部分,依据相关标准规范,通过对整个项目的土建、机房工艺、电气智能化等建设满足要求,具体方案详见该部分设计。
根据中央网信办关于《加强党政部门云计算服务网络安全管理的意见》[2014]14号文,云服务方若在全球境内提供云服务时,必须确保其云计算基础设施位于全球境内。另外,为党政部门提供云服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。

网络与通信

(1)网络构架
  • 云计算平台的等级大于等于其承载的业务应用系统的等级;
  • 云计算管理平台应支持虚拟化网络拓扑结构的展现,且应能在发生虚拟化网络资源变更时(新建虚拟机、虚拟机网络接口变化、虚拟机迁移等)提供实时更新和集中监控;
  • 不同云租户的虚拟网络之间应使用隔离技术(例如、vFW、VPC等);
  • 云计算管理平台应保证虚拟机只接收目的地址包括自己地址的报文,避免发生报文转发错误,造成信息泄漏;
  • 通过使用不同的物理交换机来保证云平台管理流量与租户业务流量的分离;同时应能实现宿主机上业务口和管理口的分离;
  • 能识别和监控虚拟机之间、虚拟机与物理机间的流量,尤其是同一台宿主机上多个虚拟机间通信,可以将流量从宿主机中引出到外部网络中来实现识别和监控目标;
  • 云计算平台保持一定的开放性(例如主流的Openstack+KVM),支持开放接口接入第三方安全产品,实现租户安全服务的多样化,避免租户被绑定;
  • 云服务方按需提供安全服务,而安全策略集的设置是由云租户根据自身业务需求进行自主操作,云服务方提供的安全服务应可以实现云租户安全的自服务;另外安全服务应该可编排,从而实现定义访问路径、选择安全组件、配置安全策略;
(2)访问控制
  • 云计算管理平台禁止云租户虚拟机访问宿主机;
  • 在云计算环境中,识别虚拟化网络边界,部署访问控制设备(vFW),并配置ACL;
  • 在云环境中,安全及相关策略随虚拟机迁移,保证前后访问控制策略的一致;
  • 云租户可以对自己的不同云主机之间配置访问策略;
  • 不同安全等级业务系统使用不同的物理服务器来承载,同时其网络区域边界应部署访问控制设备(FW)
(3)入侵防范
  • 在云租户的网络边界部署入侵检测系统(IPS/IDS或NGFW),实现网络攻击的监测、告警和记录,同时保证入侵检测设备的特征库及时更新;
  • 通过vIDS检测虚拟机到宿主机之间的异常流量,并进行告警;
  • 云服务方应提供7*24小时的网站监测服务(websafe),全天候针对云租户互联网发布内容实时监测,发现违规有害信息及时通过短信、邮件等方式告知云租户
(4)安全审计
  • 云计算安全管理平台提供权限设置功能,在保证安全的远程管理前提下,通过安全审计设备对远程用户的操作命令实时审计;
  • 根据职责划分,云服务方和云租户收集各自控制部分的审计数据,相互之间不可交叉访问,云服务商和云租户的应使用各自的审计设备,数据分开存放;
  • 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
  • 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;

设备与计算

(1)身份鉴别
  • 网络策略控制器是云网络区别与传统网络的集中管理系统(一般包括网络和安全控制器),控制器端和被管设备端应支持双向身份验证机制,即控制器端验证主动接入的被管设备端,被管设备端在执行控制器端的策略时应先对其进行身份验证,目的都是防止恶意接入云网络;
  • 远程管理时应首先保证传输信道的加密安全,使用VPN技术,同时远程管理终端和VPN服务端应建立双向身份验证机制;
(2)访问控制
  • 根据中网办发文【2014】14号发文中“数据归属关系不变”的原则,云租户提供给云服务方或第三方的数据、设备等资源,以及在云计算平台上云租户业务系统运行过程中收集、产生、存储的数据和文档等资源属云租户所有,未经云租户授权(建议通过合同等手段进行约束),不得访问、修改、披露、利用、转让、销毁云租户数据,在服务合同终止时,应按照要求做好数据、文档等资源的移交和清楚工作;
  • 云计算安全管理平台应具备精细灵活的权限划分机制,为不同的管理员分配不同不同账户并分配相应的权限,应遵循“最小权限”划分原则;
(3)安全审计
  • 将云服务方对云租户系统和数据的操作审计发送给第三方审计,云租户通过第三方审计进行查看,防止云服务方的恶意删除;
  • 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
  • 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;
(4)入侵防范
  • 入侵防范系统若发现虚拟机之间的异常访问流量,应进行告警。
  • 云管理平台应通过API将非授权新建虚拟机或着重启虚拟机等记录发送给入侵防范系统,且入侵防范系统发现问题及时告警;
(5)恶意代码防范
  • 云环境中应部署恶意代码防护措施(主机和网络杀毒),对监测到的恶意行为进行清除和告警,同时要保证病毒库的及时更新;
(6)资源控制
  • 云计算平台应保证虚拟机之间、虚拟机与宿主机之间的安全隔离,当某一个虚拟机故障,不应影响虚拟机监视器和其他虚拟机;
  • 云计算管理平台应提供统一的资源调度管理功能,并支持策略设置,将物理资源和虚拟资源统一管理调度和分配
  • 云计算平台应能做到单一虚拟机仅能使用为其分配的计算资源,防止资源隔离实效,发生资源蔓延;
  • 不同等级的虚拟机,安全防护能力不同,当虚拟机发生迁移,迁移前后的资源池等级必须相同,若虚拟机在不同等级的资源池间迁移,应具备网络访问控制或隔离措施,禁止迁移;
  • 云计算管理平台应提供虚拟机内存独占模式,防止发生内存泄漏
  • 云计算管理平台应支持对虚拟机的虚拟网卡、虚拟交换机的端口进行QoS设置,并应能将其监控信息发送给独立的流量分析系统
  • 云计算管理平台应提供接口将其监控信息上送给专业的监控平台,实现集中监控(例如SOC平台)
(7)镜像和快照保护
  • 在云环境中,虚拟机的部署一般都是通过虚拟机镜像模板部署的,其安全性非常重要,为防止虚拟机镜像被恶意篡改云计算平台应具备完整性校验功能(例如文件Hash),包括虚拟机快照;
  • 针对虚拟机镜像和快照的访问,应至少设置密码,防止非授权访问。
  • 可通过操作系统加固服务,按照“最小化软件部署+补丁最新+安全软件”的原则针对重要业务系统的操作系统镜像加固;

应用与数据

(1)安全审计
  • 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
  • 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;
  • 将云服务方对云租户系统和数据的操作审计发送给第三方审计,云租户通过第三方审计进行查看,防止云服务方的恶意删除;
(2)资源控制
  • 部署监测平台(例如:态势感知平台),对应用系统运行状态监测,发现异常及时告警;
  • 不同云租户的应用系统及开发平台之间应部署访问控制或隔离措施,保证资源隔离(互相不影响)、网络隔离(VPC网络)、主机隔离(不同计算资源池);
(3)接口安全
  • 云服务方应通过安全技术评估服务,对云计算平台提供的对外接口进行安全性评估;
(4)数据完整性
  • 云计算平台应具备虚拟机迁移过程中数据完整性的保障机制(内存拷贝、虚拟机快照、HA等);
(5)数据保密性
  • 云租户敏感信息必须境内存储,未经批准不得在境外传输、处理、存储;
  • 云计算平台运维过程中产生的数据(配置数据、日志信息等)不得出境;
  • 虚拟机迁移网络应使用专有通道(视情况启用加密机制)保证迁移路径的安全;
  • 为保障云租户云上的数据安全,云服务方应支持云租户在其平台上部署密钥管理解决方案,实现云租户自行针对其敏感数据进行加解密,同时建议密钥本地备份存储;
  • 网络策略控制器与网络设备之间通信流量应使用加密技术,例如https或ssh等协议传输,防止被窃听和嗅探;
(6)数据备份恢复
  • 制定备份策略,云租户应将其云上的业务数据备份一份到自己的本地数据中心,避免云上数据丢失,造成损失;
  • 云计算平台应提供查询云租户数据及备份存储位置的方式,同时做好账户和权限的分配,防止非授权访问;
  • 不同云租户的审计数据建议存放于云租户自己的VPC内部;
  • 现实的云计算服务过程中,往往是“上云容易下云难”,该项要求明确了云服务方在云租户退出服务应提供协助,包括不限于迁出时云计算平台的接口和方案,并按照合同约定,完成数据移交和删除工作;

总体技术架构

Overall technical framework
参照国家相关安全规范要求,结合云计算平台的建设需求和技术理念,从安全技术、安全管理两个维度出发,按照等级保护定级结果和安全防护策略思路,构建完整、有效、可信、特色的云平台安全保障体系架构,确保以云为基础的业务信息系统安全。
如图所示,按照等级保护要求分别对云平台和云租户提出定级要求,在实施阶段以运维门户、租户门户分离各自的安全需求,在云平台层面对接安全资源池,依托安全资源池提供的能力,从物理设备安全、虚拟网路安全、数据安全、应用安全、虚拟主机安全分别满足等保要求。同时通过运维门户对资源进行统一管理、调度;并对安全资源进行封装向云租户提供符合等级保护要求的安全服务。

快速选配套餐

Quick selection package
等级保护二级服务包 等级保护二级基础版 等级保护二级增强版
防火墙 防火墙
杀毒软件 杀毒软件
IDS IDS
日志审计 日志审计
WAF WAF
数据库审计
堡垒机
漏洞扫描

方案优势

Scheme advantage

符合云计算的特性

云计算的特点是按需分配、资源弹性、自动化、重复模式,并以服务为中心的。因此,对于安全控制措施选择、部署、使用也需尽量满足上述特点,即提供资源弹性、按需分配、自动化的安全服务,满足云计算平台的安全保障要求。

合规性原则

云计算除了提供IaaS、PaaS、SaaS服务的基础平台外,还有配套的云管理平台、运维管理平台等。要保障云的安全,必须从整体出发,保障云承载的各种业务、服务的安全。借鉴等级保护的思想,依据公安部、工信部关于等级保护的要求,对云平台和云租户等不同的保护对象实行不同级别的安全保护,满足安全等级保护要求。

云平台安全管理

云平台安全管理通过统一的运维门户对安全资源池的资源进行管理、分配、服务编排;还可以掌握安全资源池的运行状态,使用率;配合虚拟化技术形成安全能力弹性扩展;可对资源池内物理安全设备、虚拟化安全设备提供丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络管理功能,从而实现了对云内所有分布的安全资源进行统一的管理,统一的运行监控。
云平台安全管理作为平台系统还具备了对接其他平台的能力;可通过对接云资源管理平台实现云租户账号同步、云资源信息告警等,对接运维管理系统可实现运维工单流转、安全设备运行状态告警等;对接计费系统为提供用户可选的安全服务运营提供支撑;另外,还可以结合全流量分析、漏洞威胁预警、大数据安全感知等平台,实现对云平台安全态势的统计监控分析和预警处理,并可以通过自身展示某一阶段内安全运行状态和报告输出。

安全资源池化

在云计算环境下,计算、存储、网络都变成一个个资源池,并可以根据用户需要对外提供服务能力。那么我们也可以将安全变成一个资源池,利用现有的硬件设备资源、虚拟化安全设备资源,在这些设备的基础之上,构建一个个具有不同能力的安全资源池,并且可以利用这些池化能力,提供诸如入侵防护、访问控制、Web防护等安全功能;
在云中心的出口部署一个安全资源池处理南北向流量,流量通过安全资源池的入口,可以对这些从外向内的流量进行如抗拒绝服务攻击、访问控制和Web防护等处理;
通过安全资源池还可以实现云平台内部东西向流量的安全防护,通过引流、分流的方式,将虚拟机的流量接入安全节点,进行处置后在被发送到目的地;

用户按需服务

对于购买云计算的用户,安全方面越来越受到重视;而且云租户在云环境下对于安全的了解和认识也有了新的变化,对于安全的需求和细粒度划分都有了自己的想法;传统的安全模式以及云上安全整合不再是用户所需的;用户需要的是按照自己业务定制的安全能力,可以按需选择并且一定条件下针对租户购买资源的使用人员进行二次分配的能力。
用户可以对购买的服务进行一些简单的配置,在不影响云平台安全的情况下,云平台将影响用户的一些安全能力交由用户进行自主配置,通过这些用户可以查看自己业务运行的安全态势、漏洞信息、攻击事件、报表信息等。

合作伙伴

Recommended products
我可以为您提供哪些帮助?
我可以为您提供哪些帮助?
  • 您需要什么帮助么?-

    立即咨询 >

  • 电话咨询

    售前:400-467-6677
    售后:400-699-6222(商务云)
       7*24小时服务

  • 联系邮箱

    [email protected]