數(shù)據(jù)中心云安全建設(shè)方案

數(shù)據(jù)中心云安全建設(shè)方案年4月19日數(shù)據(jù)中心云安全建設(shè)方案數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第1頁。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第1頁。[文檔標(biāo)題]2017-3-232017-3-23數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第2頁。

數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第2頁。目錄1 項目建設(shè)背景 22 云數(shù)據(jù)中心潛在安全風(fēng)險分析 22.1 從南北到東西的安全 22.2 數(shù)據(jù)傳輸安全 22.3 數(shù)據(jù)存儲安全 32.4 數(shù)據(jù)審計安全 32.5 云數(shù)據(jù)中心的安全風(fēng)險控制策略 33 數(shù)據(jù)中心云安全平臺建設(shè)的原則 33.1 標(biāo)準(zhǔn)性原則 33.2 成熟性原則 43.3 先進性原則 43.4 擴展性原則 43.5 可用性原則 43.6 安全性原則 44 數(shù)據(jù)中心云安全防護建設(shè)目標(biāo) 54.1 建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體的目標(biāo) 54.2 建設(shè)以虛擬化為技術(shù)支撐的目標(biāo) 54.3 以集中的安全服務(wù)中心應(yīng)對無邊界的目標(biāo) 54.4 滿足安全防護與等保合規(guī)的目標(biāo) 65 云安全防護平臺建設(shè)應(yīng)具備的功能模塊 65.1 防火墻功能 65.2 入侵防御功能 75.3 負(fù)載均衡功能 75.4 病毒防護功能 85.5 安全審計 86 結(jié)束語 8數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第3頁。

數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第3頁。項目建設(shè)背景云數(shù)據(jù)中心潛在安全風(fēng)險分析云數(shù)據(jù)中心在效率、業(yè)務(wù)敏捷性上有明顯的優(yōu)勢。然而，應(yīng)用、服務(wù)和邊界都是動態(tài)的，而不是固定和預(yù)定義的，因此實現(xiàn)高效的安全十分具有挑戰(zhàn)性。傳統(tǒng)安全解決方案和策略還沒有足夠的準(zhǔn)備和定位來為新型虛擬化數(shù)據(jù)中心提供高效的安全層，這是有很多原因的，總結(jié)起來，云數(shù)據(jù)中心主要的安全風(fēng)險面臨以下幾方面：從南北到東西的安全在傳統(tǒng)數(shù)據(jù)中心里，防火墻、入侵防御，以及防病毒等安全解決方案主要聚焦在內(nèi)外網(wǎng)之間邊界上經(jīng)過的流量，一般叫做南北向流量或客戶端服務(wù)器流量。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第4頁。在云數(shù)據(jù)中心里，像南北向流量一樣，交互式數(shù)據(jù)中心服務(wù)和分布式應(yīng)用組件之間產(chǎn)生的東西向流量也對訪問控制和深度報文檢測有剛性的需求。多租戶云環(huán)境也需要租戶隔離和向不同的租戶應(yīng)用不同的安全策略，這些租戶的虛擬機往往是裝在同一臺物理服務(wù)器里的。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第4頁。傳統(tǒng)安全解決方案是專為物理環(huán)境設(shè)計的，不能將自己有效地插入東西向流量的環(huán)境中，因此它們往往需要東西向流量被重定向到防火墻、深度報文檢測、入侵防御，以及防病毒等服務(wù)鏈中去。這種流量重定向和靜態(tài)安全服務(wù)鏈的方案對于保護東西向流量是效率很低的，因為它會增加網(wǎng)絡(luò)的延遲和制造性能瓶頸，從而導(dǎo)致應(yīng)用響應(yīng)時間的緩慢和網(wǎng)絡(luò)掉線。數(shù)據(jù)傳輸安全一般情況下，數(shù)據(jù)中心保存有大量的租戶私密數(shù)據(jù)，這些數(shù)據(jù)往往代表了租戶的核心競爭力，如租戶的客戶信息、財務(wù)信息、關(guān)鍵業(yè)務(wù)流程等等。在云數(shù)據(jù)中心模式下，租戶將數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)傳遞到云數(shù)據(jù)中心服務(wù)商進行處理時，面臨著幾個方面的問題：一是如何確保租戶的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中嚴(yán)格加密不被竊??；二是如何保證云數(shù)據(jù)中心服務(wù)商在得到數(shù)據(jù)時不將租戶絕密數(shù)據(jù)泄露出去；三是在云數(shù)據(jù)中心服務(wù)商處存儲時，如何保證訪問用戶經(jīng)過嚴(yán)格的權(quán)限認(rèn)證而且是合法的數(shù)據(jù)訪問，并保證租戶在任何時候都能夠安全訪問到自身的數(shù)據(jù)。數(shù)據(jù)存儲安全數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第5頁。數(shù)據(jù)存儲是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云數(shù)據(jù)中心模式下，云數(shù)據(jù)中心在高度整合的大容量存儲空間上，開辟出一部分存儲空間提供給租戶使用。但客戶并不清楚自己的數(shù)據(jù)被放置在哪臺服務(wù)器上；云數(shù)據(jù)中心服務(wù)商在存儲資源所在國是否會存在信息安全等問題，能否確保租戶數(shù)據(jù)不被泄露；同時，在這種數(shù)據(jù)存儲資源共享的環(huán)境下，即使采用了安全隔離與安全資源按需部署的方式，實現(xiàn)云數(shù)據(jù)中心各個租戶之間的有限隔離。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第5頁。數(shù)據(jù)審計安全在云數(shù)據(jù)中心環(huán)境下，云數(shù)據(jù)中心服務(wù)商如何在確保不對其它租戶的數(shù)據(jù)計算帶來風(fēng)險的同時，又提供必要的信息支持，以便協(xié)助第三方機構(gòu)對數(shù)據(jù)的產(chǎn)生進行安全性和準(zhǔn)確性的審計，實現(xiàn)租戶的合規(guī)性要求，也是安全建設(shè)方面需要考慮的維度。云數(shù)據(jù)中心的安全風(fēng)險控制策略為了更好的消除潛在的安全風(fēng)險，讓更多用戶享受到云數(shù)據(jù)中心服務(wù)的優(yōu)點，在云環(huán)境中，如果某虛機由于某種原因中了病毒，從內(nèi)部向其它虛機和外部網(wǎng)絡(luò)發(fā)起端口掃描和DoS等攻擊，缺少安全控制策略的的情況下，只能將有問題的虛機從網(wǎng)絡(luò)中移除，讓問題虛機的管理員線下解決問題后，才允許連接回網(wǎng)絡(luò)，這樣的處理方案簡單粗暴，雖然隔離了攻擊，但也同時斷掉了問題虛機的對外服務(wù)。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第6頁。對于云環(huán)境，雖然外部可能部署入侵防御設(shè)施，但可能存在這樣的情況，某虛機由于弱口令之類的漏洞被遠(yuǎn)程控制，然后黑客以此虛機為跳板，再對其它虛機進行漏洞掃描和利用入侵，DoS攻擊會產(chǎn)生大量的會話，可能經(jīng)過云管理平臺發(fā)現(xiàn)，然而從內(nèi)部發(fā)起的漏洞入侵的過程在網(wǎng)絡(luò)層面上與正常訪問無異，無法被發(fā)現(xiàn)，因此對于虛擬之間的安全防護一定要做到安全風(fēng)險與安全事件的可控、可視、可溯源。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第6頁。數(shù)據(jù)中心云安全平臺建設(shè)的原則標(biāo)準(zhǔn)性原則云數(shù)據(jù)中心的云安全建設(shè)必須符合安全建設(shè)的標(biāo)準(zhǔn)，做到安全風(fēng)險可控的效果，能夠提供防火墻、入侵防御、防病毒、抗DDOS、負(fù)載均衡、審計、流量分析等安全資源模塊，對安全資源可進行模塊化選擇，基于不同的租戶選擇不同的安全策略服務(wù)；對有安全管理需求的，必須提供獨立的安全策略管理界面，方便租戶進行按需的安全策略部署。成熟性原則應(yīng)支持主流的虛擬化技術(shù)且安全可控，可根據(jù)業(yè)務(wù)需要進行靈活定制開發(fā)與功能擴展，在選擇云安全建設(shè)的提供方，需具備相關(guān)的云安全應(yīng)用案例與成熟配套的解決方案。先進性原則數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第7頁。在實用和安全的基礎(chǔ)上，平臺設(shè)計要有一定的前瞻性，必須考慮應(yīng)用和需求的發(fā)展以及技術(shù)的進步，從而確保系統(tǒng)具備可持續(xù)發(fā)展能力。云安全平臺需支持虛擬化技術(shù)，能夠?qū)踩Y源模塊，進行虛擬化部署，形成安全資源池，將安全資源與數(shù)據(jù)中心的虛機業(yè)務(wù)深度融合，實現(xiàn)東西向的流量防護，主要安全設(shè)備需支持TRILL、VxLAN、OpenFlow等標(biāo)準(zhǔn)化協(xié)議，具備國際標(biāo)準(zhǔn)的SDN功能，兼容第三方標(biāo)準(zhǔn)的SDN控制系統(tǒng)，能夠與其它軟硬件系統(tǒng)配合使用。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第7頁。擴展性原則考慮到未來發(fā)展的需要，云安全平臺必須具備高擴展性，能在不影響現(xiàn)有業(yè)務(wù)正常使用的情況下平滑擴展。本次建設(shè)完成后，隨著業(yè)務(wù)需求的增長，后期可單獨擴展對應(yīng)的安全資源，使得性能與容量都呈線性上升，并保證設(shè)備能夠充分利舊?？捎眯栽瓌t需經(jīng)過對安全資源，例如防火墻、入侵防御、防病毒、VPN、負(fù)載均衡、流量分析、審計等安全資源模塊，實現(xiàn)簡化管理、高效運維的目的。云安全平臺能提供豐富的監(jiān)控管理界面與工具，實現(xiàn)統(tǒng)一管理，所有的安全日志統(tǒng)一收集、展示、存儲。安全性原則數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第8頁。云安全設(shè)備選型需符合國家分保技術(shù)要求，系統(tǒng)安全可靠，建立完善的冗余備份和安全防范體系，保障平臺高可靠和端到端的安全，具有多重安全防護，無單一崩潰點，應(yīng)急手段豐富。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第8頁。數(shù)據(jù)中心云安全防護建設(shè)目標(biāo)建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體的目標(biāo)為了應(yīng)對云數(shù)據(jù)中心環(huán)境下的流量模型變化，安全防護體系的部署需要朝著高性能的方向調(diào)整。在現(xiàn)階段多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設(shè)備必然要具備對高密度的10GE甚至100G接口的處理能力；無論是獨立的機架式安全設(shè)備，還是配合數(shù)據(jù)中心高端交換機的各種安全業(yè)務(wù)引擎，都能夠根據(jù)用戶的云規(guī)模和建設(shè)思路進行合理配置；同時，考慮到云數(shù)據(jù)中心的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護。建設(shè)以虛擬化為技術(shù)支撐的目標(biāo)數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第9頁。當(dāng)前，虛擬化已經(jīng)成為云數(shù)據(jù)中心服務(wù)商提供“按需服務(wù)”的關(guān)鍵技術(shù)手段，包括基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲資源、計算資源以及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進了一大步，只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個性化的存儲計算及應(yīng)用資源的合理分配，并利用虛擬化實例間的邏輯隔離實現(xiàn)不同用戶之間的數(shù)據(jù)安全。安全無論是作為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，還是基于安全即服務(wù)的理念，都需要支持虛擬化，這樣才能實現(xiàn)端到端的虛擬化計算。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第9頁。從網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的角度（如狀態(tài)防火墻的安全隔離和訪問控制），需要考慮支持虛擬化的防火墻，不同用戶能夠基于VLAN等映射到不同的虛擬化實例中，每個虛擬化實例具備獨立的安全控制策略，以及獨立的管理職能。以集中的安全服務(wù)中心應(yīng)對無邊界的目標(biāo)數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第10頁。和傳統(tǒng)的安全建設(shè)模型強調(diào)邊界防護不同，存儲計算等資源的高度整合，使得不同的租戶用戶在申請云數(shù)據(jù)中心服務(wù)時，只能實現(xiàn)基于邏輯的劃分隔離，不存在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于每個或每類型用戶進行流量的匯聚并部署獨立的安全系統(tǒng)。因此安全服務(wù)部署應(yīng)該從原來的基于各子系統(tǒng)的安全防護，轉(zhuǎn)移到基于整個云數(shù)據(jù)中心網(wǎng)絡(luò)的安全防護，建設(shè)集中的安全服務(wù)中心，以適應(yīng)這種邏輯隔離的物理模型。云數(shù)據(jù)中心服務(wù)商或租戶私有云管理員能夠?qū)⑿枰M行安全服務(wù)的用戶流量，經(jīng)過合理的技術(shù)手段引入到集中的安全服務(wù)中心，完成安全服務(wù)后再返回到原有的轉(zhuǎn)發(fā)路徑。這種集中的安全服務(wù)中心，既能夠?qū)崿F(xiàn)用戶安全服務(wù)的單獨配置提供，又能有效的節(jié)約建設(shè)投資，考慮在一定收斂比的基礎(chǔ)上提供安全服務(wù)能力。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第10頁。

滿足安全防護與等保合規(guī)的目標(biāo)云數(shù)據(jù)中心的應(yīng)用帶來了極大的便利，在降低采購、運維等成本的同時，極大的提升了系統(tǒng)的效率，簡化了管理，并使得應(yīng)用具有了非常簡便的彈性擴展的能力?？墒?，云計算也模糊了安全的邊界，使得傳統(tǒng)的信息安全防護手段不再適用。事實上，信息安全問題已經(jīng)成為企業(yè)用戶使用云資源的主要障礙，因此安全防護應(yīng)為云建設(shè)的重中之重。安全防護需求又能夠細(xì)分為云基礎(chǔ)架構(gòu)的安全防護以及租戶自身的安全防護。同時信息安全等級保護制度作為中國信息安全建設(shè)的基本國策，是必須要滿足的。按照等保定級指南進行評估，一般的云數(shù)據(jù)中心至少應(yīng)該達到等保三級的要求。云安全防護平臺建設(shè)應(yīng)具備的功能模塊數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第11頁。云安全系統(tǒng)平臺需支持按需提供各種安全服務(wù)，并支持安全管理模塊的虛擬化功能，能夠為不同的業(yè)務(wù)及租戶之間提供獨立的管理操作界面。各項安全服務(wù)應(yīng)全部支持安全虛擬化功能，可提供定制化的業(yè)務(wù)處理流程，各虛擬系統(tǒng)之間轉(zhuǎn)發(fā)平面隔離，一個虛擬系統(tǒng)資源耗盡不影響其它虛擬系統(tǒng)正常運行，且邏輯隔離，確保各虛擬系統(tǒng)內(nèi)部業(yè)務(wù)的數(shù)據(jù)安全。虛擬化安全設(shè)備應(yīng)具有以下的安全功能：數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第11頁。防火墻功能需提供基于物理硬件的防火墻和安全隔離與訪問控制功能，實現(xiàn)按照租戶和各類業(yè)務(wù)的重要性、應(yīng)用對象的不同，在基礎(chǔ)資源虛擬化平臺內(nèi)部不同業(yè)務(wù)之間進行安全隔離管控。1）端口級訪問控制：可對不同安全域間的數(shù)據(jù)包進行管控，可實時監(jiān)控數(shù)據(jù)包的狀態(tài)，可制定基于IP、端口、出入接口、數(shù)據(jù)流方向的控制策略，實現(xiàn)經(jīng)過防火墻的數(shù)據(jù)流的安全控制。2）支持安全域劃分、訪問隔離、攻擊防范、NAT、IPSec/SSL/PPTP/L2TPVPN等功能；支持靜態(tài)路由、RIP、OSPF、BGP、ISIS、MPLS、PBR等IPv4單播路由協(xié)議，支持IGMP、PIM、MSDP等IPv4組播路由協(xié)議。3）內(nèi)容過濾策略：設(shè)置基于HTTP、SMTP、FTP、TELNET、SMTP、POP3等協(xié)議的過濾，控制級別到命令級別，針對郵件進行主題、正文、收發(fā)件人、附件名等的過濾。4）會話連接控制：針對某一端口或設(shè)備進行連接數(shù)限制，以此控制網(wǎng)絡(luò)流量，以及部分DOS、DDOS攻擊。5）帶寬管理策略：根據(jù)業(yè)務(wù)優(yōu)先級進行帶寬管理設(shè)置，保證重要業(yè)務(wù)的帶寬使用，保證業(yè)務(wù)的可用性。6）流量分析：能以圖表方式顯示實時流量、當(dāng)日流量、歷史流量、常見協(xié)議流量和自定義協(xié)議流量，支持主機流量排名及協(xié)議流量排名功能數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第12頁。7）IP/MAC綁定策略：進行IP與MAC地址綁定，防止地址欺騙。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第12頁。8）身份認(rèn)證策略：采用防火墻本地認(rèn)證，進行用戶級別的訪問控制，經(jīng)過身份控制與授權(quán)管理共同確保信息資源的機密性。9）管理權(quán)限策略：防火墻的設(shè)備管理員權(quán)限分級管理，不同管理員權(quán)限不同，例如可經(jīng)過權(quán)限控制撥號訪問的用戶數(shù)量等。入侵防御功能需提供入侵防御功能，采用細(xì)粒度檢測技術(shù)，協(xié)議分析技術(shù)，誤用檢測技術(shù)，協(xié)議異常檢測，防止各種攻擊和欺騙，能夠?qū)χ匾踩录峁┒喾N報警機制。1）針對端口掃描類、木馬后門、緩沖區(qū)溢出、IP碎片攻擊等進行監(jiān)視和報警。2）深層攻擊檢測：支持對會話狀態(tài)檢測、應(yīng)用層協(xié)議完全解析、誤用檢測、異常檢測等多種檢測技術(shù)，并支持自定義協(xié)議和檢測事件。3）碎片攻擊防范：支持IP碎片重組、TCP流重組、引擎級的事件歸并、報警縮略再分析、規(guī)則閾值修改、多網(wǎng)段定義檢測等功能。4）能夠應(yīng)付各種SNA類型和應(yīng)用層的強力攻擊行為，包括消耗目的端的各種資源如網(wǎng)絡(luò)帶寬、系統(tǒng)性能等攻擊。數(shù)據(jù)中心云安全建設(shè)方案全文共15頁，當(dāng)前為第13頁。5）安全狀態(tài)監(jiān)控：要求攻擊事件監(jiān)控功能顯示每一條事件的威脅程度、流行程度、事件名稱、源IP、目的IP、發(fā)生時間、最近24小時發(fā)生次數(shù)、最近十分鐘發(fā)