數(shù)據(jù)中心云安全建設(shè)實(shí)施計(jì)劃方案

1、-. z. - w -數(shù)據(jù)中心云安全建設(shè)方案2017-3-23目錄 TOC o 1-3 h z u HYPERLINK l _Toc4780601161項(xiàng)目建設(shè)背景 PAGEREF _Toc478060116 h 2HYPERLINK l _Toc4780601172云數(shù)據(jù)中心潛在安全風(fēng)險(xiǎn)分析 PAGEREF _Toc478060117 h 2HYPERLINK l _Toc4780601202.1從南北到東西的安全 PAGEREF _Toc478060120 h 2HYPERLINK l _Toc4780601212.2數(shù)據(jù)傳輸安全 PAGEREF _Toc478060121 h 2HYPE

2、RLINK l _Toc4780601222.3數(shù)據(jù)存儲(chǔ)安全 PAGEREF _Toc478060122 h 2HYPERLINK l _Toc4780601232.4數(shù)據(jù)審計(jì)安全 PAGEREF _Toc478060123 h 2HYPERLINK l _Toc4780601242.5云數(shù)據(jù)中心的安全風(fēng)險(xiǎn)控制策略 PAGEREF _Toc478060124 h 2HYPERLINK l _Toc4780601253數(shù)據(jù)中心云安全平臺(tái)建設(shè)的原則 PAGEREF _Toc478060125 h 2HYPERLINK l _Toc4780601273.1標(biāo)準(zhǔn)性原則 PAGEREF _Toc4780

3、60127 h 2HYPERLINK l _Toc4780601283.2成熟性原則 PAGEREF _Toc478060128 h 2HYPERLINK l _Toc4780601293.3先進(jìn)性原則 PAGEREF _Toc478060129 h 2HYPERLINK l _Toc4780601303.4擴(kuò)展性原則 PAGEREF _Toc478060130 h 2HYPERLINK l _Toc4780601313.5可用性原則 PAGEREF _Toc478060131 h 2HYPERLINK l _Toc4780601323.6安全性原則 PAGEREF _Toc478060132

4、 h 2HYPERLINK l _Toc4780601334數(shù)據(jù)中心云安全防護(hù)建設(shè)目標(biāo) PAGEREF _Toc478060133 h 2HYPERLINK l _Toc4780601354.1建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體的目標(biāo) PAGEREF _Toc478060135 h 2HYPERLINK l _Toc4780601364.2建設(shè)以虛擬化為技術(shù)支撐的目標(biāo) PAGEREF _Toc478060136 h 2HYPERLINK l _Toc4780601374.3以集中的安全服務(wù)中心應(yīng)對(duì)無邊界的目標(biāo) PAGEREF _Toc478060137 h 2HYPERLINK l _Toc478

5、0601384.4滿足安全防護(hù)與等保合規(guī)的目標(biāo) PAGEREF _Toc478060138 h 2HYPERLINK l _Toc4780601395云安全防護(hù)平臺(tái)建設(shè)應(yīng)具備的功能模塊 PAGEREF _Toc478060139 h 2HYPERLINK l _Toc4780601405.1防火墻功能 PAGEREF _Toc478060140 h 2HYPERLINK l _Toc4780601415.2入侵防御功能 PAGEREF _Toc478060141 h 2HYPERLINK l _Toc4780601425.3負(fù)載均衡功能 PAGEREF _Toc478060142 h 2HYP

6、ERLINK l _Toc4780601435.4病毒防護(hù)功能 PAGEREF _Toc478060143 h 2HYPERLINK l _Toc4780601445.5安全審計(jì) PAGEREF _Toc478060144 h 2HYPERLINK l _Toc4780601456結(jié)束語 PAGEREF _Toc478060145 h 2項(xiàng)目建設(shè)背景云數(shù)據(jù)中心潛在安全風(fēng)險(xiǎn)分析云數(shù)據(jù)中心在效率、業(yè)務(wù)敏捷性上有明顯的優(yōu)勢(shì)。然而，應(yīng)用、服務(wù)和邊界都是動(dòng)態(tài)的，而不是固定和預(yù)定義的，因此實(shí)現(xiàn)高效的安全十分具有挑戰(zhàn)性。傳統(tǒng)安全解決方案和策略還沒有足夠的準(zhǔn)備和定位來為新型虛擬化數(shù)據(jù)中心提供高效的安全層，這是

7、有很多原因的，總結(jié)起來，云數(shù)據(jù)中心主要的安全風(fēng)險(xiǎn)面臨以下幾方面：從南北到東西的安全在傳統(tǒng)數(shù)據(jù)中心里，防火墻、入侵防御，以及防病毒等安全解決方案主要聚焦在外網(wǎng)之間邊界上通過的流量，一般叫做南北向流量或客戶端服務(wù)器流量。在云數(shù)據(jù)中心里，像南北向流量一樣，交互式數(shù)據(jù)中心服務(wù)和分布式應(yīng)用組件之間產(chǎn)生的東西向流量也對(duì)訪問控制和深度報(bào)文檢測(cè)有剛性的需求。多租戶云環(huán)境也需要租戶隔離和向不同的租戶應(yīng)用不同的安全策略，這些租戶的虛擬機(jī)往往是裝在同一臺(tái)物理服務(wù)器里的。傳統(tǒng)安全解決方案是專為物理環(huán)境設(shè)計(jì)的，不能將自己有效地插入東西向流量的環(huán)境中，所以它們往往需要東西向流量被重定向到防火墻、深度報(bào)文檢測(cè)、入侵防御，以

8、及防病毒等服務(wù)鏈中去。這種流量重定向和靜態(tài)安全服務(wù)鏈的方案對(duì)于保護(hù)東西向流量是效率很低的，因?yàn)樗鼤?huì)增加網(wǎng)絡(luò)的延遲和制造性能瓶頸，從而導(dǎo)致應(yīng)用響應(yīng)時(shí)間的緩慢和網(wǎng)絡(luò)掉線。數(shù)據(jù)傳輸安全通常情況下，數(shù)據(jù)中心保存有大量的租戶私密數(shù)據(jù)，這些數(shù)據(jù)往往代表了租戶的核心競(jìng)爭(zhēng)力，如租戶的客戶信息、財(cái)務(wù)信息、關(guān)鍵業(yè)務(wù)流程等等。在云數(shù)據(jù)中心模式下，租戶將數(shù)據(jù)通過網(wǎng)絡(luò)傳遞到云數(shù)據(jù)中心服務(wù)商進(jìn)行處理時(shí)，面臨著幾個(gè)方面的問題：一是如何確保租戶的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中嚴(yán)格加密不被竊?。欢侨绾伪ＷC云數(shù)據(jù)中心服務(wù)商在得到數(shù)據(jù)時(shí)不將租戶絕密數(shù)據(jù)泄露出去；三是在云數(shù)據(jù)中心服務(wù)商處存儲(chǔ)時(shí)，如何保證訪問用戶經(jīng)過嚴(yán)格的權(quán)限認(rèn)證并且是合法的

9、數(shù)據(jù)訪問，并保證租戶在任何時(shí)候都可以安全訪問到自身的數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)存儲(chǔ)是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云數(shù)據(jù)中心模式下，云數(shù)據(jù)中心在高度整合的大容量存儲(chǔ)空間上，開辟出一部分存儲(chǔ)空間提供給租戶使用。但客戶并不清楚自己的數(shù)據(jù)被放置在哪臺(tái)服務(wù)器上；云數(shù)據(jù)中心服務(wù)商在存儲(chǔ)資源所在國是否會(huì)存在信息安全等問題，能否確保租戶數(shù)據(jù)不被泄露；同時(shí)，在這種數(shù)據(jù)存儲(chǔ)資源共享的環(huán)境下，即使采用了安全隔離與安全資源按需部署的方式，實(shí)現(xiàn)云數(shù)據(jù)中心各個(gè)租戶之間的有限隔離。數(shù)據(jù)審計(jì)安全在云數(shù)據(jù)中心環(huán)境下，云數(shù)據(jù)中心服務(wù)商如何在確保不對(duì)其他租戶的數(shù)據(jù)計(jì)算帶來風(fēng)險(xiǎn)的同時(shí)，又提

10、供必要的信息支持，以便協(xié)助第三方機(jī)構(gòu)對(duì)數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性的審計(jì)，實(shí)現(xiàn)租戶的合規(guī)性要求，也是安全建設(shè)方面需要考慮的維度。云數(shù)據(jù)中心的安全風(fēng)險(xiǎn)控制策略為了更好的消除潛在的安全風(fēng)險(xiǎn)，讓更多用戶享受到云數(shù)據(jù)中心服務(wù)的優(yōu)點(diǎn)，在云環(huán)境中，如果*虛機(jī)由于*種原因中了病毒，從部向其它虛機(jī)和外部網(wǎng)絡(luò)發(fā)起端口掃描和DoS等攻擊，缺少安全控制策略的的情況下，只能將有問題的虛機(jī)從網(wǎng)絡(luò)中移除，讓問題虛機(jī)的管理員線下解決問題后，才允許連接回網(wǎng)絡(luò)，這樣的處理方案簡(jiǎn)單粗暴，雖然隔離了攻擊，但也同時(shí)斷掉了問題虛機(jī)的對(duì)外服務(wù)。對(duì)于云環(huán)境，雖然外部可能部署入侵防御設(shè)施，但可能存在這樣的情況，*虛機(jī)由于弱口令之類的漏洞被遠(yuǎn)

11、程控制，然后黑客以此虛機(jī)為跳板，再對(duì)其它虛機(jī)進(jìn)行漏洞掃描和利用入侵，DoS攻擊會(huì)產(chǎn)生大量的會(huì)話，可能通過云管理平臺(tái)發(fā)現(xiàn)，然而從部發(fā)起的漏洞入侵的過程在網(wǎng)絡(luò)層面上與正常訪問無異，無法被發(fā)現(xiàn)，因此對(duì)于虛擬之間的安全防護(hù)一定要做到安全風(fēng)險(xiǎn)與安全事件的可控、可視、可溯源。數(shù)據(jù)中心云安全平臺(tái)建設(shè)的原則標(biāo)準(zhǔn)性原則云數(shù)據(jù)中心的云安全建設(shè)必須符合安全建設(shè)的標(biāo)準(zhǔn)，做到安全風(fēng)險(xiǎn)可控的效果，能夠提供防火墻、入侵防御、防病毒、抗DDOS、負(fù)載均衡、審計(jì)、流量分析等安全資源模塊，對(duì)安全資源可進(jìn)行模塊化選擇，基于不同的租戶選擇不同的安全策略服務(wù)；對(duì)有安全管理需求的，必須提供獨(dú)立的安全策略管理界面，方便租戶進(jìn)行按需的安全策

12、略部署。成熟性原則應(yīng)支持主流的虛擬化技術(shù)且安全可控，可根據(jù)業(yè)務(wù)需要進(jìn)行靈活定制開發(fā)與功能擴(kuò)展，在選擇云安全建設(shè)的提供方，需具備相關(guān)的云安全應(yīng)用案例與成熟配套的解決方案。先進(jìn)性原則在實(shí)用和安全的基礎(chǔ)上，平臺(tái)設(shè)計(jì)要有一定的前瞻性，必須考慮應(yīng)用和需求的發(fā)展以及技術(shù)的進(jìn)步，從而確保系統(tǒng)具備可持續(xù)發(fā)展能力。云安全平臺(tái)需支持虛擬化技術(shù)，能夠?qū)踩Y源模塊，進(jìn)行虛擬化部署，形成安全資源池，將安全資源與數(shù)據(jù)中心的虛機(jī)業(yè)務(wù)深度融合，實(shí)現(xiàn)東西向的流量防護(hù)，主要安全設(shè)備需支持TRILL、V*LAN、OpenFlow等標(biāo)準(zhǔn)化協(xié)議，具備國際標(biāo)準(zhǔn)的SDN功能，兼容第三方標(biāo)準(zhǔn)的SDN控制系統(tǒng)，能夠與其他軟硬件系統(tǒng)配合使用。

13、擴(kuò)展性原則考慮到未來發(fā)展的需要，云安全平臺(tái)必須具備高擴(kuò)展性，能在不影響現(xiàn)有業(yè)務(wù)正常使用的情況下平滑擴(kuò)展。本次建設(shè)完成后，隨著業(yè)務(wù)需求的增長(zhǎng)，后期可單獨(dú)擴(kuò)展對(duì)應(yīng)的安全資源，使得性能與容量都呈線性上升，并保證設(shè)備可以充分利舊?？捎眯栽瓌t需通過對(duì)安全資源，例如防火墻、入侵防御、防病毒、VPN、負(fù)載均衡、流量分析、審計(jì)等安全資源模塊，實(shí)現(xiàn)簡(jiǎn)化管理、高效運(yùn)維的目的。云安全平臺(tái)能提供豐富的監(jiān)控管理界面與工具，實(shí)現(xiàn)統(tǒng)一管理，所有的安全日志統(tǒng)一收集、展示、存儲(chǔ)。安全性原則云安全設(shè)備選型需符合國家分保技術(shù)要求，系統(tǒng)安全可靠，建立完善的冗余備份和安全防體系，保障平臺(tái)高可靠和端到端的安全，具有多重安全防護(hù)，無單一崩

14、潰點(diǎn)，應(yīng)急手段豐富。數(shù)據(jù)中心云安全防護(hù)建設(shè)目標(biāo)建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體的目標(biāo)為了應(yīng)對(duì)云數(shù)據(jù)中心環(huán)境下的流量模型變化，安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整。在現(xiàn)階段多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設(shè)備必然要具備對(duì)高密度的10GE甚至100G接口的處理能力；無論是獨(dú)立的機(jī)架式安全設(shè)備，還是配合數(shù)據(jù)中心高端交換機(jī)的各種安全業(yè)務(wù)引擎，都可以根據(jù)用戶的云規(guī)模和建設(shè)思路進(jìn)行合理配置；同時(shí)，考慮到云數(shù)據(jù)中心的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防

15、護(hù)。建設(shè)以虛擬化為技術(shù)支撐的目標(biāo)目前，虛擬化已經(jīng)成為云數(shù)據(jù)中心服務(wù)商提供按需服務(wù)”的關(guān)鍵技術(shù)手段，包括基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲(chǔ)資源、計(jì)算資源以及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進(jìn)了一大步，只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個(gè)性化的存儲(chǔ)計(jì)算及應(yīng)用資源的合理分配，并利用虛擬化實(shí)例間的邏輯隔離實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)安全。安全無論是作為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，還是基于安全即服務(wù)的理念，都需要支持虛擬化，這樣才能實(shí)現(xiàn)端到端的虛擬化計(jì)算。從網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的角度（如狀態(tài)防火墻的安全隔離和訪問控制），需要考慮支持虛擬化的防火墻，不同用戶可以基于VLAN等映射到不同的虛擬化實(shí)例中，每個(gè)虛擬化實(shí)例具備獨(dú)立

16、的安全控制策略，以及獨(dú)立的管理職能。以集中的安全服務(wù)中心應(yīng)對(duì)無邊界的目標(biāo)和傳統(tǒng)的安全建設(shè)模型強(qiáng)調(diào)邊界防護(hù)不同，存儲(chǔ)計(jì)算等資源的高度整合，使得不同的租戶用戶在申請(qǐng)?jiān)茢?shù)據(jù)中心服務(wù)時(shí)，只能實(shí)現(xiàn)基于邏輯的劃分隔離，不存在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于每個(gè)或每類型用戶進(jìn)行流量的匯聚并部署獨(dú)立的安全系統(tǒng)。因此安全服務(wù)部署應(yīng)該從原來的基于各子系統(tǒng)的安全防護(hù)，轉(zhuǎn)移到基于整個(gè)云數(shù)據(jù)中心網(wǎng)絡(luò)的安全防護(hù)，建設(shè)集中的安全服務(wù)中心，以適應(yīng)這種邏輯隔離的物理模型。云數(shù)據(jù)中心服務(wù)商或租戶私有云管理員可以將需要進(jìn)行安全服務(wù)的用戶流量，通過合理的技術(shù)手段引入到集中的安全服務(wù)中心，完成安全服務(wù)后再返回到原有的轉(zhuǎn)發(fā)

17、路徑。這種集中的安全服務(wù)中心，既可以實(shí)現(xiàn)用戶安全服務(wù)的單獨(dú)配置提供，又能有效的節(jié)約建設(shè)投資，考慮在一定收斂比的基礎(chǔ)上提供安全服務(wù)能力。滿足安全防護(hù)與等保合規(guī)的目標(biāo)云數(shù)據(jù)中心的應(yīng)用帶來了極大的便利，在降低采購、運(yùn)維等成本的同時(shí)，極大的提升了系統(tǒng)的效率，簡(jiǎn)化了管理，并使得應(yīng)用具有了非常簡(jiǎn)便的彈性擴(kuò)展的能力。但是，云計(jì)算也模糊了安全的邊界，使得傳統(tǒng)的信息安全防護(hù)手段不再適用。事實(shí)上，信息安全問題已經(jīng)成為企業(yè)用戶使用云資源的主要障礙，因此安全防護(hù)應(yīng)為云建設(shè)的重中之重。安全防護(hù)需求又可以細(xì)分為云基礎(chǔ)架構(gòu)的安全防護(hù)以及租戶自身的安全防護(hù)。同時(shí)信息安全等級(jí)保護(hù)制度作為我國信息安全建設(shè)的基本國策，是必須要滿足

18、的。按照等級(jí)指南進(jìn)行評(píng)估，一般的云數(shù)據(jù)中心至少應(yīng)該達(dá)到等保三級(jí)的要求。云安全防護(hù)平臺(tái)建設(shè)應(yīng)具備的功能模塊云安全系統(tǒng)平臺(tái)需支持按需提供各種安全服務(wù)，并支持安全管理模塊的虛擬化功能，能夠?yàn)椴煌臉I(yè)務(wù)及租戶之間提供獨(dú)立的管理操作界面。各項(xiàng)安全服務(wù)應(yīng)全部支持安全虛擬化功能，可提供定制化的業(yè)務(wù)處理流程，各虛擬系統(tǒng)之間轉(zhuǎn)發(fā)平面隔離，一個(gè)虛擬系統(tǒng)資源耗盡不影響其他虛擬系統(tǒng)正常運(yùn)行，且邏輯隔離，確保各虛擬系統(tǒng)部業(yè)務(wù)的數(shù)據(jù)安全。虛擬化安全設(shè)備應(yīng)具有以下的安全功能：防火墻功能需提供基于物理硬件的防火墻和安全隔離與訪問控制功能，實(shí)現(xiàn)按照租戶和各類業(yè)務(wù)的重要性、應(yīng)用對(duì)象的不同，在基礎(chǔ)資源虛擬化平臺(tái)部不同業(yè)務(wù)之間進(jìn)行安

19、全隔離管控。1）端口級(jí)訪問控制：可對(duì)不同安全域間的數(shù)據(jù)包進(jìn)行管控，可實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)包的狀態(tài)，可制定基于IP、端口、出入接口、數(shù)據(jù)流方向的控制策略，實(shí)現(xiàn)通過防火墻的數(shù)據(jù)流的安全控制。2）支持安全域劃分、訪問隔離、攻擊防、NAT、IPSec/SSL/PPTP/L2TP VPN等功能；支持靜態(tài)路由、RIP、OSPF、BGP、ISIS、MPLS、PBR等IPv4單播路由協(xié)議，支持IGMP、PIM、MSDP等IPv4組播路由協(xié)議。3）容過濾策略：設(shè)置基于HTTP、SMTP、FTP、TELNET、SMTP、POP3等協(xié)議的過濾，控制級(jí)別到命令級(jí)別，針對(duì)進(jìn)行主題、正文、收發(fā)件人、附件名等的過濾。4）會(huì)話連接控

20、制：針對(duì)*一端口或設(shè)備進(jìn)行連接數(shù)限制，以此控制網(wǎng)絡(luò)流量，以及部分DOS、DDOS攻擊。5）帶寬管理策略：根據(jù)業(yè)務(wù)優(yōu)先級(jí)進(jìn)行帶寬管理設(shè)置，保證重要業(yè)務(wù)的帶寬使用，保證業(yè)務(wù)的可用性。6）流量分析：能以圖表方式顯示實(shí)時(shí)流量、當(dāng)日流量、歷史流量、常見協(xié)議流量和自定義協(xié)議流量，支持主機(jī)流量排名及協(xié)議流量排名功能7）IP/MAC綁定策略：進(jìn)行IP與MAC地址綁定，防止地址欺騙。8）身份認(rèn)證策略：采用防火墻本地認(rèn)證，進(jìn)行用戶級(jí)別的訪問控制，通過身份控制與授權(quán)管理共同確保信息資源的性。9）管理權(quán)限策略：防火墻的設(shè)備管理員權(quán)限分級(jí)管理，不同管理員權(quán)限不同，例如可通過權(quán)限控制撥號(hào)訪問的用戶數(shù)量等。入侵防御功能需提

21、供入侵防御功能，采用細(xì)粒度檢測(cè)技術(shù)，協(xié)議分析技術(shù)，誤用檢測(cè)技術(shù)，協(xié)議異常檢測(cè)，防止各種攻擊和欺騙，能夠?qū)χ匾踩录峁┒喾N報(bào)警機(jī)制。1）針對(duì)端口掃描類、木馬后門、緩沖區(qū)溢出、IP碎片攻擊等進(jìn)行監(jiān)視和報(bào)警。2）深層攻擊檢測(cè)：支持對(duì)會(huì)話狀態(tài)檢測(cè)、應(yīng)用層協(xié)議完全解析、誤用檢測(cè)、異常檢測(cè)等多種檢測(cè)技術(shù)，并支持自定義協(xié)議和檢測(cè)事件。3）碎片攻擊防：支持IP碎片重組、TCP流重組、引擎級(jí)的事件歸并、報(bào)警縮略再分析、規(guī)則閾值修改、多網(wǎng)段定義檢測(cè)等功能。4）能夠應(yīng)付各種SNA類型和應(yīng)用層的強(qiáng)力攻擊行為，包括消耗目的端的各種資源如網(wǎng)絡(luò)帶寬、系統(tǒng)性能等攻擊。5）安全狀態(tài)監(jiān)控：要求攻擊事件監(jiān)控功能顯示每一條事件的威脅程度、流行程度、事件