云方案安全能力及服務(wù)

PC與局域網(wǎng)智能終端與互聯(lián)網(wǎng)大型機云計算虛擬化技術(shù)出現(xiàn)于20世紀(jì)60年代According

to

the

designers

(1961):

"

the

Supervisor

extracode

routines

(S.E.R.'s)

formed

theprincipal

'branches'

of

the

supervisor

program.

They

are

activated

either

by

interrupt

routinesor

by

extracode

instructions

occurring

in

an

object

program."

A

"virtual

machine"

was

used

bythe

Atlas

supervisor,

and

another

was

used

to

run

user

programs.第一個X86處理器出現(xiàn)于1978年1978，In introduce

his X86

chip,

8086microprocessor..云計算概念出現(xiàn)2006年，谷歌首席執(zhí)行官埃里克·施密特在搜索引擎大會首次提出“云計算”（Cloud

Computing）的概念。云計算市場服務(wù)始于2006年2006年亞馬遜正式向社會提供AWS服務(wù)。20世紀(jì)50年代20世紀(jì)80年代21世紀(jì)初21世紀(jì)10年代l

IT資源云化ü

服務(wù)器虛擬化：建設(shè)模式成本、集約成本、邊際成本，可調(diào)度性ü

桌面虛擬化：把PC安裝到服務(wù)器中；安全及運維是關(guān)鍵l

分布式技術(shù)ü

分布式計算：大數(shù)據(jù)高性能、高時效性低成本處理，跨域協(xié)同ü

分布式

：大數(shù)據(jù)低成本高可用性“采用云計算帶來的最明顯的價值是什么？”70%業(yè)務(wù)靈活性★★★55%提高IT資源動態(tài)伸縮能力以滿足業(yè)務(wù)的需求★★29%降低IT成本★云計算——把IT能力從硬件設(shè)備抽象出來，并通過網(wǎng)絡(luò)按需租用提供3543種交付模式SaaS

(Software-as-a-Service)

即服務(wù)PaaS

(Platform-as-a-

Service)平臺即服務(wù)(Infrastructure

as

a

Service)

基礎(chǔ)設(shè)施即服務(wù)4種部署模式公共云：即面向廣泛客戶群的互聯(lián)網(wǎng)接入服務(wù)；私有云：針對單個機構(gòu)進行配置；社區(qū)云：針對供應(yīng)鏈這類有限數(shù)量的，彼此相關(guān)的組織設(shè)計；混合云：以上三種配置模式的任意組合。5個基本特征按需自助式服務(wù)寬帶接入虛擬化的資源池快速彈性架構(gòu)可測量的服務(wù)5國家中心（CNCERT）報告

：全球云市場持續(xù)高速增長虛擬化技術(shù)的引入，云數(shù)據(jù)中心出現(xiàn)了新的安全需求和問題。防護：傳統(tǒng)的以物理服務(wù)器為單位劃分安全域的供虛擬機鏡像的邏輯

（hyperviser)和

的邏輯網(wǎng)絡(luò)層安全防護體系的

問題。。虛擬主機安全防護：必須提供對于虛擬主機的安全

、控制方法將不再適用，對于虛擬機而言，只提。如何實現(xiàn)虛擬安全域的

和

控制將是設(shè)計控制、安全

、安全

加固和自身安全防護能力。數(shù)據(jù)安全防護：提供數(shù)據(jù)安全傳輸、數(shù)據(jù)保護、數(shù)據(jù)冗余備份和容災(zāi)能力78p

2015年5月，潛伏了11年的“毒液（VENOM，CVE-2015-3456）”高危 被發(fā)現(xiàn)， 存在于QEMU的虛擬軟盤設(shè)備中（FDC），存在 的FDC代碼在許多虛擬化平臺和產(chǎn)品中被應(yīng)用，Xen、KVM、VirtualBox等均受影響。p

此允許

者在受影響的虛擬機（VM）中進行逃逸，有可能在宿主機上導(dǎo)致代碼執(zhí)行，也可以本地網(wǎng)絡(luò)以及其他的虛擬機，相當(dāng)于整個云層被控制，產(chǎn)生數(shù)據(jù)中心級的業(yè)務(wù)影響。虛擬化高危漏洞9?云計算管理平臺是整個云計算平臺運維和運營中心，管理著所有的物理和虛擬資源管理平臺穩(wěn)定性和安全性非常關(guān)鍵?

云計算平臺管理員具有創(chuàng)建、運行、遷移和刪除運行在云平臺上的虛擬

機的超級權(quán)限如果管理權(quán)限被

，

設(shè)想p

2015年9月，某云服務(wù)商的bug導(dǎo)致權(quán)限I（信息）P（防護）D（檢測）R（響應(yīng)）R（恢復(fù)）應(yīng)用安全安全評估WAF傳輸加密Web事件響應(yīng)故障恢復(fù)滲透測試DPI抗DDOS主機/端口掃描系統(tǒng)安全安全評估ACL防數(shù)據(jù)安全DLP數(shù)據(jù)加密審計敏感信息過濾安全管理堡壘機4A/配置/事件管理10分層的IPD2R模型掃描次數(shù)平均353次/天/IP源地址數(shù)量506（去重后）掃描端口數(shù)量457個，其中TOP22的端口占據(jù)70%的掃描量TOPN端被掃描次數(shù)端口協(xié)議意圖11433847SQL

server獲取權(quán)限23389214桌面獲取權(quán)限33128108squidDDOS4190081SSDPDDOS流量放大5330660mysql獲取權(quán)限6812346polipo默認端口DDOS7489936Radmin獲取權(quán)限8172332PPTP（

）默認端口DDOS流量放大93756432KCV

端口DDOS10590030VNC默認端口獲取權(quán)限112229SSH默認端口獲取權(quán)限12808829PPS愛奇藝

端口DDOS135341328Netcore路由器后門端口獲取權(quán)限1412324NTP端口DDOS流量放大155533624常見

端口DDOS1616117SNMP端口獲取權(quán)限未知未知880017未知未知1913516RPC獲取權(quán)限203547915未知未知215315DNSDDOS流量放大221913chargen協(xié)議DDOS流量放大總計1730(70%)高頻掃描端口統(tǒng)計結(jié)果進程；隱藏自身到其p

現(xiàn)象某客戶windows主機，上線約4小時在C盤的根

出現(xiàn)可疑程序y.exep

y.exe分析結(jié)果木馬程序，

行為包括：結(jié)束指定他

；調(diào)用taskkill結(jié)束殺軟進程；運行后刪除自身；篡改系統(tǒng)文件；

注入其他進程；啟動指定服務(wù)；拷貝自身到其他

；查找殺軟進程；添加Windows

規(guī)則；在其他進程中申請內(nèi)存p

自動化途徑過程，利用mysql數(shù)據(jù)庫3306端口root弱口令+UDF提權(quán)批?

通過抓包還原量自動化抓取肉雞?一臺主機從探測發(fā)現(xiàn)3306端口到植入木馬只需15秒鐘（208個數(shù)據(jù)報文）p

解決措施ü

mysql默認只能本地localhost

（限制后觀察沒有被植入木馬）ü

其他加固：更新補丁、操作系統(tǒng)和FTP等服務(wù)按照基線進行加固、刪除phpinfo頁面、

限制tomcat管理頁面、端口最小化

、確保

為

版本租戶安全監(jiān)測-東西南北流量p

某資源池一個月

情況13外部對客戶

流量4440GB，

峰值14.14G?

生3743次?

88.7%的

類型為：?

TCP

Flag

Attack?

ICMP

BandwidthOverflow?

Other

Bandwidth

Overflow14p現(xiàn)無法登陸，上午11點，

某大型

出最初說法是“

部分服務(wù)器遭到不明 ”

，然而“緊急恢復(fù)”遲遲不成功。

5月29日凌晨恢復(fù)服務(wù)后，

稱是“

員工錯誤操作導(dǎo)致”

，網(wǎng)上

的猜測是運維

在正常的批量操作時出現(xiàn)了誤操作，運維過程中無意中寫錯了刪除命令的對象，發(fā)生了無差別的全局刪除或其它全局操作，所有的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器都受到了影響。由于該

涉及的業(yè)務(wù)、應(yīng)用及服務(wù)繁多，驗證應(yīng)用與服務(wù)之間的功能是否正常運行，花了較長時間，導(dǎo)致整個系統(tǒng)恢復(fù)用了13個小時。15日志流量p

要先知先覺，避免后知后覺、不知不覺891011121314151617控制意識與培訓(xùn)審計與問責(zé)評估與配置管理異常響應(yīng)方案標(biāo)識與認證事件響應(yīng)運維介質(zhì)保護物理與環(huán)境保護規(guī)劃安全風(fēng)險評估系統(tǒng)與服務(wù)獲取系統(tǒng)和通訊保護系統(tǒng)與信息完整性1系統(tǒng)開發(fā)與供應(yīng)鏈安全2系統(tǒng)與通信保護3用戶表示與鑒別4配置管理5?6應(yīng)急響應(yīng)與災(zāi)備7審計8風(fēng)險評估與持續(xù)9安全組織與10物理環(huán)境與安全《CSA云安全矩陣》16項云計算安全控制點《FedRAMP安全基線標(biāo)準(zhǔn)》17個安全基線《GBT31168-2014云計算服務(wù)安全能力要求》10項云安全功能要求12345678910111213141516應(yīng)用與接口安全審計保證與合規(guī)業(yè)務(wù)連續(xù)性管理及運營變更控制和配置管理數(shù)據(jù)安全和信息生命周期數(shù)據(jù)中心安全加密和密鑰管理風(fēng)險管理人力資源與

管理基礎(chǔ)設(shè)施與虛擬化安全互操作性和可移植性移動安全安全事件管理供應(yīng)鏈管理和

管理傳統(tǒng)的安全模型認證行為鑒別權(quán)限控制應(yīng)用安全審計安

應(yīng)全

用安管

全理監(jiān)控與審計加密備份數(shù)據(jù)安全防護清除基礎(chǔ)

設(shè)設(shè)

備備

安安

全全環(huán)境安全介質(zhì)安全系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全網(wǎng)絡(luò)安全訪攻網(wǎng)問擊絡(luò)控防審制范計云計算安全管理與審計基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)備安全基本防護冗余備份隔離系統(tǒng)安全云操

客戶作系

端安統(tǒng)

全控制防范網(wǎng)絡(luò)審計虛擬化安全虛擬化安全設(shè)備虛擬機安全、虛擬機安全監(jiān)測、審計查補、安全配置應(yīng)用服務(wù)安全身權(quán)行安份限為全認控鑒審證制別計加密數(shù)據(jù)安全泄露防護備份清除云代碼云接口安全分析開發(fā)環(huán)境安全監(jiān)測安全管控保障安全增值服務(wù)邏輯安全基礎(chǔ)安全保障控制背景安全培訓(xùn)網(wǎng)絡(luò)層計算層層管理層虛擬支持第

安全設(shè)備接入安全的連接生命周期管理變更管理GuestOS安全物理安全機房位置

物理

控制

防火、雷、靜電等云計算安全管控平臺網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)

控制審計網(wǎng)絡(luò)

防護主機安全鑒別主機

控制主機安全審計主機安全應(yīng)用安全應(yīng)用

識別和會話管理應(yīng)用安全

和

防護數(shù)據(jù)安全數(shù)據(jù)安全虛擬安全域虛擬虛擬安全域劃分VMM安全VMM安全VMM

控制VMM

鑒別數(shù)據(jù)鏡像文件

殘余數(shù)據(jù)保護

處理數(shù)據(jù)傳輸

數(shù)據(jù)備份安全

和恢復(fù)云計算安全管控平臺、虛擬安全域、虛擬主機安全、數(shù)據(jù)安全是云計算安全體系建設(shè)的重點General冗余項目級安全賬戶安全操作系

統(tǒng)控制控制數(shù)據(jù)中心安全23資源池檢測能力能力云堤防護20G超過資源出口帶寬20G出口帶寬池能內(nèi)40G出口帶寬力的聯(lián)動大網(wǎng)云堤防護20G出口帶寬20G出口帶寬p

已建資源池防護能p新建資源池根據(jù)“安全三同步”原則（同步規(guī)劃、建設(shè)、運行），同步建設(shè)防護能力p

單資源池

組網(wǎng)p

多點

集中管理24ChinaNet骨干網(wǎng)節(jié)點

FlowSNMP節(jié)點云平臺內(nèi)蒙節(jié)點節(jié)點廣州節(jié)點節(jié)點溯源分析系統(tǒng)p

Netflow數(shù)據(jù)內(nèi)容起始時間、持續(xù)時間路由器入、出端口索引源、目的IP地址協(xié)議類型（TCP/UDP/ICMP…）源、目的協(xié)議端口（80/22/443…）TCP

Flag（SYN/FIN/RST/ACK）QoS包數(shù)字節(jié)數(shù)25p云SOC安全管理平臺采用大數(shù)據(jù)思維方式，以業(yè)務(wù)為

，重新構(gòu)建傳統(tǒng)SOC安全管理平臺。實現(xiàn)了海量安全事件集中

、動態(tài)安全策略、全方位實時

、端到端關(guān)聯(lián)分析、實時查詢與統(tǒng)計、深度探索與挖掘、靈活的界面定制與可視化等功能。和傳統(tǒng)SOC安全管理平臺相比，實現(xiàn)了安全與云業(yè)務(wù)融合，真正從客戶業(yè)務(wù)價值的角度去進行安全體系的建設(shè)，同時，采用分布式和大數(shù)據(jù)的技術(shù)手段，解決了平臺性能和擴展性等諸多問題。?

門戶展現(xiàn)層（運維門戶、客戶門戶）：具有直接與用戶交互的所有功能，是系統(tǒng)的使用界面和視圖，可以快速靈活定制界面，可以自適應(yīng)終端展示。?

安全事件處理層：SOC安全管理平臺的

業(yè)務(wù)邏輯層，實現(xiàn)了安全運維、事件分析、風(fēng)險

、服務(wù)保障等功能的業(yè)務(wù)邏輯，最后供界面

呈現(xiàn)；?、集中管理和集中應(yīng)用，支撐企業(yè)決策層集中掌握全網(wǎng)整體安全運行情況。和轉(zhuǎn)換能力，以及對安全專業(yè)子系統(tǒng)和外部系統(tǒng)的接

互能力，可分布式部署，具備靈活的?

安全數(shù)據(jù)中心：實現(xiàn)海量安全事件的集中適配層：實現(xiàn)對安全對象的擴展能力，是安全管理的基礎(chǔ)。?

安全資源層：SOC基礎(chǔ)管理平臺所管理的資產(chǎn)，包含安全對象、安全專業(yè)子系統(tǒng)、及多個安全對象所構(gòu)成的安全域等?

外部系統(tǒng)：通過接口方式與外部其它管理系統(tǒng)之間進行數(shù)據(jù)交互，實現(xiàn)與各種外部系統(tǒng)的整合和協(xié)同。外部系統(tǒng)主要包括與電子工單系統(tǒng)、

系統(tǒng)等。?

系統(tǒng)管理：實現(xiàn)SOC基礎(chǔ)管理平臺自身的配置管理、任務(wù)調(diào)度管理、用戶和權(quán)限管理、系統(tǒng)

等功能。26文檔集中管理建立面向系統(tǒng)資源和業(yè)務(wù)應(yīng)用的

文件管理系統(tǒng)，通過對操作過程中生成的文件進行集中管理，保障數(shù)據(jù)安全單點登錄與認證通過

進行登錄控制集中控制

和外部維c)護

it資源通過文本或方式對的操作行為進行記錄，為日志審計提供依據(jù)d)

按照管理要求和業(yè)務(wù)審計需要輸出報表，可按照具體需求定制賬號集中管理實現(xiàn)IT資源賬號集中管理、自動、創(chuàng)建、分配、同步實現(xiàn)公司用戶中用戶

的規(guī)范化，與公司人力資源等實現(xiàn)數(shù)據(jù)同步將資源賬號和使用

真實對應(yīng)的主賬號進行組從關(guān)聯(lián)，建立主從賬號關(guān)聯(lián)關(guān)系視圖強制口令修改。輸出需要的報表，可根據(jù)需求自動化定制限的自動

或手動管理管理實現(xiàn)系統(tǒng)資源和應(yīng)用資源實體級別的權(quán)限控制和管理，基于集中安全管控策略的實體級控制和實現(xiàn)系統(tǒng)資源和應(yīng)用資源權(quán)c)對所有系統(tǒng)資源、應(yīng)用資源，支持角色定義，支持基于角色的日志集中管理與審計集和

格式標(biāo)準(zhǔn)化a)

支持多種系統(tǒng)、

日志收b)將系統(tǒng)側(cè)

的日志和在同一用戶接入點的文本或進行日志關(guān)聯(lián)實現(xiàn)將日志關(guān)聯(lián)到用戶主賬號且對應(yīng)到自然人的登錄過程、關(guān)鍵操作進行審計快速檢索日志，支持安全事件責(zé)任能夠?qū)徲嫲l(fā)現(xiàn)繞開4A系統(tǒng)直接登錄資源的行為根據(jù)預(yù)先定義規(guī)則發(fā)現(xiàn)高危操作，及時告警?？筛鶕?jù)需要定制報表4A安全管控平臺被管系統(tǒng)1（主機、網(wǎng)絡(luò)設(shè)備）被管系統(tǒng)2（云管平臺）被管系統(tǒng)3（vcenter）終端通過讓之前分散的登錄實現(xiàn)對

和廠家操作行為通過4A平臺建設(shè)之后集中到一點，以此來對應(yīng)用資源、系統(tǒng)資源操作的集中管控。運維Portal管理員Portal業(yè)務(wù)數(shù)據(jù)庫審計數(shù)據(jù)庫賬號管理管理綜合審計日志日志范化關(guān)聯(lián)分析審計回放審計告警審計報表與查詢資源管理資源分組控制命令認證管理強認證服務(wù)認證組合認證轉(zhuǎn)發(fā)SSO登錄主從賬號管理賬號雙向同步生命周期管理賬號屬性管理賬號組管理策略管理主賬號認證二次登錄認證角色管理帳號管理接口認證接口審計接口外部管理接口系統(tǒng)資源應(yīng)用資源接口業(yè)務(wù)管理功能平臺自管理用戶自服務(wù)組件管理分級管理狀態(tài)工單管理資源關(guān)系組4A體系建設(shè)總體框架圖管控平臺本地接入門戶應(yīng)用資源系統(tǒng)資源數(shù)據(jù)庫

應(yīng)用服務(wù)器WEB服務(wù)器網(wǎng)絡(luò)設(shè)備堡壘機PL/SQLnetFtp等應(yīng)用SSH

SFTP

RDP

VNC等應(yīng)用B/S單點登錄SSH

SFTPRDP

VNCPL/SQL net

Ftp數(shù)據(jù)管控文件上下載

、內(nèi)容掃描權(quán)限控制SAN集中審計審計數(shù)據(jù)庫認證請求認證反饋從賬號管理帳號口令帳號

管理單點認證接口，從賬號管理認證認證服務(wù)器n

認證：

動態(tài)密碼認證CA數(shù)字證書認證n

關(guān)系-管控平臺將

關(guān)系同步到堡壘機n審計數(shù)據(jù)-接收來自三個方向的審計信息，一個是登入登出日志；第二個是堡壘機審計數(shù)據(jù)；第三個是收

源日志信息帳號開通用戶帳號

生命周期用戶離職l

刪除用戶ll

刪除權(quán)利吊銷l

同步刪除用戶l

口令重設(shè)l

權(quán)限新增l

新建資源用戶變更l

升職、調(diào)動l

組織變更l

權(quán)限變更新建主帳號l

創(chuàng)建、頒發(fā)、權(quán)限賦予帳號變更用戶離職主帳號創(chuàng)建，需關(guān)注相關(guān)組織機構(gòu)、崗位、角色、

標(biāo)準(zhǔn)化信息來源、所

管理資源及從帳號等信息帳號變更，主要關(guān)注權(quán)限的變化，去除冗余的

信息、以防系統(tǒng)中留下安全隱患，同時需要對權(quán)限變更進行記錄。用戶自身

，4A系統(tǒng)管控平臺主要提供用戶對

PIN碼的修改，委托或臨時

申請、以及升級工程預(yù)約等服務(wù)。用戶離職或外部

離場，重點關(guān)注用戶信息的邏輯刪除、登錄及操作信息的保留已備后續(xù)審核，管控

可進行主帳號

的吊銷工作。4A系統(tǒng)-賬號生命周期管理32同時積極跟進網(wǎng)信辦、工信部云計算

要求?

對于當(dāng)前安全要求日益擴增的情形下，使用云服務(wù)的用戶很難組建完善的安全團隊自行運營云安全，而且也很難投入大量

到安全運維上?這些用戶需要更全面的、專業(yè)的、定期的安全運維服務(wù)，并且控制安全方面的支出在可接收范圍16/4/6專業(yè)的安全團隊服務(wù)節(jié)省安全方面的支出定期的專業(yè)化服務(wù)一站式整體解決方案16/4/6當(dāng)下各大云服務(wù)提供商為用戶提供便捷的安全服務(wù)基礎(chǔ)服務(wù)：針對服務(wù)器的基本

，服務(wù)器

、流量

等可視性服務(wù)，基本的 、基本的DDoS防護等。增值服務(wù)：專業(yè)的DDoS防護，Web應(yīng)用防護（WAF等），木馬查殺、異常告警、防