云计算安全等级保护解决方案 

 

1概述


1.1背景


本方案针对有云计算等级保护项目需求的客户,我们根据信息安全业内发布的权威报告和启明星辰集团多年的信息安全实践积累,从技术视角和管理策略视角总结云计算面临的信息安全威胁挑战。


1.1.1云计算面临的安全威胁


CSA(Cloud Security Alliance)云安全联盟作为业界权威组织,致力于在云计算环境下为业界提供最佳安全解决方案,其列出的《2016年十二大云安全威胁》,我们可以根据这份CSA发布的报告来了解云计算所面临的相关重要安全威胁,制定解决方案,调整防御策略。


1.1.1.1数据泄露


由于有大量数据存储在云计算平台上,云服务商很容易成为众多攻击者的目标。一旦某个云平台受到攻击或设置错误而引发数据泄露,其损失和影响将是不可估量的。通常有三种基本威胁会导致云计算服务发生数据泄漏:第一,云计算软件的配置错误或者软件中的瑕疵。第二,黑客窃取数据。第三,员工处理数据的疏忽。


1.1.1.2身份验证和凭证被盗


任何单一或松散的身份验证、弱密码、不安全的密钥或证书管理对云计算平台所造成的安全影响也是致命的。


1.1.1.3界面和API安全


目前,云服务和应用程序均提供API接口。IT人员利用API对云服务进行配置、管理、协调和监控,也在这些接口的基础上进行开发,并提供附加服务。因此,不安全的API或没有合适的安全措施,就会成为攻击者的一扇门。可能存在的API攻击类型包括越权访问、注入攻击和跨站请求伪造攻击。


1.1.1.4系统漏洞问题


云服务商提供的基础资源属于共享设施,所以其共有的系统安全漏洞可能会存在于所有使用者的云资源当中。这给攻击者提供了便利的攻击途径,并节省了大量的研究成本,一个业务被攻陷后,同一个云中的其它业务很可能会被同一种攻击类型攻击成功。


1.1.1.5帐户劫持


如果攻击者获取了远程管理云计算平台资源的帐户登录信息,就很容易对业务运行数据进行窃取与破坏。同时,攻击者还可以利用云平台的资源优势对其它业务系统发起攻击。


1.1.1.6恶意内部人员


人们在部署各式安全防护设备的同时,往往会忽略来自内部人员的恶意危害,这些人可能会是云服务商及客户在职或离职人员。而对于云服务商来说,其员工因与客户没有直接关系,更有可能在某些情况下对客户存储在云环境当中的数据不怀好意,所以其破坏面广、力度大,可辐射其整个云环境。


1.1.1.7APT高级持续威胁攻击


高级持续性威胁(APT)通常隐蔽性很强,很难捕获。而一旦APT渗透进云平台,建立起桥头堡,然后在相当长一段时间内,源源不断地、悄悄地偷走大量数据,形同寄生虫,危害极大。


1.1.1.8永久的数据丢失


虽然随着云服务的成熟,因云服务商失误而导致的永久数据丢失已经极少见了,但恶意攻击者已经可以永久删除云端数据,而且云数据中心跟其他任何设施一样对自然灾害无能为力。


1.1.1.9缺乏尽职调查


如果在没有完全理解云环境及其相关风险的情况下就投入云服务,必然会面临众多的商业、技术、法律和合规等风险。因此是否将业务和数据迁移到云环境,是否与云服务商进行合作,都需要进行详细地调查。


1.1.1.10云服务滥用


云服务可能被用于攻击活动,如利用云计算资源破解密钥、发起分布式拒绝服务(DDoS)攻击、发送垃圾邮件和钓鱼邮件、托管恶意内容等,这些滥用可能会导致服务的可用性问题和数据丢失。


1.1.1.11拒绝服务攻击


一直以来,分布式拒绝服务(DDoS)一直都是互联网环境下的一大威胁。而在云计算时代,许多用户会需要一项或多项服务保持7×24小时的可用性,在这种情况下这个威胁显得尤为严重。分布式拒绝服务(DDoS)被列为云计算平台面临的第十一大安全威胁。


1.1.1.12共享技术危险


共享技术的漏洞对云计算构成了重大威胁。云服务商共享基础设施、平台和应用程序,如果一个漏洞出现在任何这些层中,其会影响到每个云服务的租户。或许一个单一的漏洞或错误,会导致整个供应商的云服务被攻击。


如果一个服务组件被破坏泄露,如某个系统管理程序、一个共享的功能组件,或应用程序被攻击,则极有可能使整个云环境被攻击和破坏。

1.1.1.13过度依赖


由于缺乏统一的标准和接口,不同云计算平台上的云租户数据和应用系统难以相互迁移,同样也难以从云计算平台迁移回云租户的数据中心。另外,云服务方出于自身利益考虑,往往不愿意为云租户的数据和应用系统提供可移植能力。这种对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而受到影响,也可能导致数据和应用系统迁移到其他云服务方的代价过高。


1.1.1.14数据残留


云租户的大量数据存放在云计算平台上的存储空间中,如果存储空间回收后剩余信息没有完全清除,存储空间再分配给其他云租户使用容易造成数据泄露。


当云租户退出云服务时,由于云服务方没有完全删除云租户的数据,包括备份数据等,带来数据安全风险。

 

1.1.2云计算带来的安全问题


在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得比较突出,如多个虚拟机租户间并行业务的安全运行,海量数据的安全存储等。云计算主要面临如下几个方面的安全问题:


1.1.2.1信任边界重叠问题


如果云中物理IT资源是由不同的云服务用户共享的,那么这些云服务用户的信任边界是重叠的。云计算的底层架构是通过虚拟化技术实现资源共享调用,优点是资源利用率高的优点,但是共享会引入新的安全问题,一方面需要保证用户资源间的隔离,另一方面需要面向虚拟机、虚拟交换机、虚拟存储等虚拟对象的安全保护策略,这与传统的硬件上的安全策略完全不同。


1.1.2.2虚拟机逃逸问题


虚拟化提供了多个云用户可以访问的IT资源,这些资源共享底层硬件,但逻辑上互相独立。攻击者利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。


虚拟机逃逸主要是因为漏洞引起,可通过主动的安全检查、加固及通信过程的安全措施进行虚拟机保护。


1.1.2.3病毒引起的安全问题


根据最近报道,流行的大多数虚拟化平台存在VENOM(毒液)漏洞,该漏洞存在于虚拟主机中的模拟软驱中,使用该漏洞能让攻击者越过虚拟化技术的限制,访问并监视控制宿主机,并通过宿主机的权限来访问控制其他虚拟主机。该病毒的流行充分体现了病毒的破坏性,应加强病毒的安全防范措施。


1.1.2.4流量窃听问题


当数据在传输到云中或云内部传输时被恶意的服务作用者截获,用于以非法为目的信息收集,消息被恶意的截获、篡改,破坏消息的保密性和完整性。


1.1.2.5用户身份安全问题


云计算通过网络提供弹性可变的IT服务,用户需要登录到云端来使用应用与服务,系统需要确保使用者身份的合法性,才能为其提供服务。如果非法用户取得了用户身份,则会危及合法用户的数据和业务。


1.1.2.6用户数据安全问题


数据的安全性是用户最为关注的问题,广义的数据不仅包括客户的业务数据,还包括用户的应用程序和用户的整个业务系统。数据安全问题包括数据丢失、泄漏、篡改等。传统的 IT 架构中,数据是离用户很“近”的,数据离用户越“近”则越安全。而云计算架构下数据常常存储在离用户很“远”的数据中心中,需要对数据采用有效的保护措施,如多份拷贝,数据存储加密,以确保数据的安全。


1.1.2.7其他安全问题


除了以上提到的安全问题外,还有其他安全问题,如:安全管理问题、云计算资源监管问题、云计算配置问题、云计算运营安全问题、云计算运维问题和安全边界问题等。


1.1.3云计算等级保护标准合规性


近年来随着国内外网络安全形势发展,网际空间已经成为继海、陆、空、天之后的第五空间,成为新形势下国家安全的重要领域之一。随着“棱镜门”事件的曝光,国与国之间的信息安全对抗日益公开化,网际空间的安全威胁正逐渐呈组织化、复杂化和国际化的发展趋势。与此同时,随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势。


由公安部信息安全等级保护评估中心主导起草的《网络安全等级保护基本要求 第2部分 云计算安全扩展要求》、《网络安全等级保护安全设计技术要求 第2部分 云计算安全扩展要求》、《网络安全等级保护测评要求 第2部分 云计算安全扩展要求》(简称:云等保标准)即将颁布执行,这是我国信息安全总体战略部署的重要一步。


“云等保标准”在安全通用要求的基础上针对云计算的特点,提出了部署在云计算环境下的重要信息系统安全等级保护的安全要求,其中包括技术要求和管理要求,适用于指导分等级的云计算环境信息系统的安全建设和监督管理,同时也提出了相应的云等保标准合规性要求,因此云等保建设也是云等保标准合规性建设过程。


1.1.4项目背景


略。


1.2目的


按照《网络安全等级保护基本要求 第1部分 安全通用要求》(GB/T 22239.1)和《网络安全等级保护基本要求 第2部分 云计算安全扩展要求》(GB/T 22239.2)第三级的安全保护能力,结合系统的业务安全需求特点,使云计算平台和某信息系统不仅达到网络安全等级保护“第三级基本要求”和“第三级安全保护能力”,而且符合其自身业务特点。

 

2现状和需求分析


2.1安全技术现状和需求分析


根据等级保护第三级安全保护能力要求,进行安全技术体系现状和需求分析。


2.1.1物理和环境安全分析


物理和环境安全现状和需求分析涉及11个工作单元,具体如下表所示:


表格 1 物理和环境现状和需求分析表

 


2.1.2网络和通信安全分析


网络与通信安全现状和需求分析对象为机房的网络设备、安全设备和网络拓扑结构和虚拟网络设备、虚拟安全设备和虚拟网络拓扑结构。


网络与通信安全现状和需求分析涉及9个工作单元,具体如下表所示:


表格 2 网络和通信现状和需求分析表

 


2.1.3设备和计算安全分析


设备和计算安全现状和需求分析涉及7个工作单元,具体如下表所示:


表格 3 设备和计算现状分析表

 


2.1.4应用和数据安全分析


应用和数据安全现状和需求分析涉及11个工作单元,具体如下表所示:


表格 4 应用和数据系统现状和需求分析表

 


2.2安全管理现状分析


根据等级保护第三级安全保护能力要求,进行安全管理体系现状和需求分析。


2.2.1安全策略和管理制度分析


安全策略和管理制度现状和需求分析涉及4个工作单元,具体如下表所示:


表格 5 安全策略和管理制度现状和需求分析表

 


2.2.2安全管理机构和人员分析


安全机构和人员现状和需求分析涉及9个工作单元,具体如下表所示:


表格 6 安全管理机构和人员现状分析表

 

 

2.2.3安全建设管理


安全建设管理现状和需求涉及12个工作单元,具体如下表所示:


表格 7 安全建设管理现状和需求分析表

 


2.2.4安全运维管理


安全运维管理现状和需求分析涉及15个工作单元,具体如下表所示:


表格 8 安全运维管理现状和需求分析表

 


3安全体系总体设计


3.1设计目标


参考网络安全等级保护基本要求,结合保护对象的业务安全需求特点,遵循适度安全为核心,以重点保护、分类防护、保障关键业务、技术、管理、服务并重、标准化和成熟性为原则,从多个层面进行建设,构建以安全管理体系和安全技术体系为支撑的信息安全体系,使受保护对象在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理安全各个层面不仅达到“第三级安全等级要求”,而且符合受保护对象的业务特点,为云计算平台和租户业务应用系统的运行提供安全保障。


3.2设计依据


本方案设计主要参考国家、行业信息安全指导政策、标准方法与最佳实践,包括但不局限于:


1)国内标准


●中办[2003]27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》)


●公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)


●国信办[2005]25号文件(关于印发《电子政务信息安全等级保护实施指南》的通知)


●公信安〔2009〕1429号文件 《关于开展信息安全等级保护安全建设整改工作的指导意见》


●GB/T 2887-2000 《电子计算机场地通用规范》


●GB 17859-1999 《计算机信息系统安全保护等级划分准则》


●GB/T 20270-2006 《信息安全技术 网络基础安全技术要求》


●GB/T 20271-2006 《信息安全技术 信息系统通用安全技术要求》


●GB/T 20272-2006 《信息安全技术 操作系统安全技术要求》


●GB/T 20273-2006 《信息安全技术 数据库管理系统通用安全技术要求》


●GB/T 20984-2007 《信息安全风险评估规范》


●GB/T 22239.1-201X 《网络安全等级保护基本要求 第1部分 安全通用要求》


●GB/T 22239.2-201X 《网络安全等级保护基本要求 第2部分 云计算安全扩展要求》


●GB/T 22240-2008 《信息系统安全保护等级定级指南》


●GB/T 25058-2010《信息安全等级保护实施指南》


●GB/T 25070-2010 《信息系统等级保护安全设计技术要求》


●GB/T 28448.1-201X《网络安全等级保护测评要求 第1部分 安全通用要求》


●GB/T 28448.2-201X《网络安全等级保护测评要求 第2部分 云计算安全扩展要求》


●GB 50173-1993 《电子计算机机房设计指南》


●GB 50174-1993 《电子计算机机房设计规范》


●《信息系统安全等级保护测评要求》


2)行业标准及政策法规


根据行业特点补充行业标准及政策法规


3)国际标准


●IATF:《信息保障技术框架》


●ISO/IEC 13335 《信息技术安全管理指南》


●ISO/IEC 15408 《信息技术安全评估准则》


●ISO/IEC 27001 《信息安全管理体系要求》


●ISO/IEC 27002 《信息安全管理实用规则》

 

3.3设计原则


云计算等级保护建设应参照国家等级保护、ISO17799和IATF等国际国内标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面因素,在信息安全设计过程中应遵循下列原则:


3.3.1整体性原则


应用系统工程的观点、方法分析网络系统安全防护、监测和应急恢复。进行安全规划设计时应充分考虑各种安全配套措施的整体一致性。


3.3.2符合性原则


信息安全体系建设要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合有关国家技术标准,以及行业的技术标准和规范。


3.3.3均衡性原则


安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相融,寻找安全风险与实际需求之间的一个均衡点。


3.3.4有效性与实用性原则


信息安全系统不能影响业务系统正常运行和合法用户的操作。在进行网络安全策略设计时,要综合考虑实际安全等级需求与项目经费承受能力的因素。


3.3.5等级性原则


对业务系统的不同单元进行信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统结构分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足各不同层次的实际需求。


3.3.6统筹规划、分步实施原则


信息安全防护策略的部署既要考虑满足当前网络系统及信息安全的基本需求,也要统筹考虑后续系统的建设及网络应用的复杂程度的变化,做到可适应性的扩充和调整。


3.3.7动态化原则


随环境、条件、时间的变化,安全防护策略不可能一步到位,信息安全系统应能适应变化,采取更先进的检测和防御措施,增强安全冗余设备,提高安全系统的可用性。


3.4安全体系框架


云安全防护框架由技术体系与管理体系两部分组成,其中:安全管理体系包括人员与组织、安全策略、系统安全建设和系统安全运维四部分。安全技术体系包括计算环境安全、接入边界安全、通信网络安全和安全管理中心四部分。安全管理中心支持下的云计算平台安全设计框架如下图所示,该图指出了云计算平台的三层架构和三种主要的安全区域划分方式,以及安全计算环境、安全区域边界(即下图中纵向虚线所示)、安全通信网络(即下图中的双向箭头)在云计算平台中的位置。


云安全防护框架如下图所示:

 

图 1 云安全总体防护框架


云计算平台中典型的安全区域边界划分包括了云计算平台的接入边界、计算环境以及安全管理中心,区域间或区域内的数据交互均由安全通信网络负责完成,而安全计算环境则由硬件设施层、资源层和服务层三部分组成。分别与云计算平台架构中的云用户层、云访问层、云服务层、云资源层、硬件设施层和云管理层相对应。


外部用户通过终端设备采用互联网或专网等方式访问云计算平台的接入边界区域,实现对云计算平台中提供服务的相关业务系统的浏览访问或远程管理,访问或管理的内容及层次由用户所具备的权限决定。内部用户则通过安全管理中心对硬件设施层、资源层和服务层进行日常管控。

4安全技术体系详细设计


4.1计算环境安全


4.1.1虚拟化安全


虚拟化安全需要从基础设施层、资源层和服务层三个层级考虑。具体如下:


4.1.1.1设施层安全设计


在基础设施层中,需要实现云平台管理网络与租户业务网络,以及不同租户之间存储数据的逻辑隔离。通常由云平台的VPC方式实现。


4.1.1.2资源层安全设计


首先,需要实现相同物理资源池内的不同虚拟化实例间不会出现资源争用。该需求由云平台的虚拟化实例资源调度机制完成。

 

其次,需要实现对不同租户虚拟化实例所使用的CPU、内存、I/O等资源进行隔离。该需求由云平台的资源调度机制完成。
第三,需要实现虚拟资源拓扑结构管理,包括虚拟资源的部署、虚拟资源和实体资源的对应关系,并对主要虚拟资源拓扑进行监控和更新。该需求由云平台的资源管理与监控机制完成。


第四,需要实现检测虚拟机对宿主机的异常访问、虚拟化实例之间隔离失效、非授权新建虚拟机或启用虚拟机等情况,并进行告警。该需求应由云平台权限管理机制、网络访问检测与审计功能共同完成。


第五,需要实现虚拟机镜像、快照完整性的校验管理,防止虚拟机镜像被恶意篡改。该需求应由云平台的资源创建与管理机制完成。


第六,需要能够实现虚拟机所使用的内存和存储空间回收时得到完全清除。该需求应由云平台的资源创建、管理、回收机制完成,或专业剩余信息清除工具完成,且该工具能够具备虚拟化环境的适配能力。


第七,对于重要的业务系统,应提供经过安全加固后的操作系统镜像。该需求应通过专业系统漏洞扫描检测,及安全加固服务实现。


最后,还需要根据承载业务系统的安全保护等级划分资源池,不同等级的资源池之间应逻辑隔离。该需求应由云平台的虚拟化实例资源调度机制完成。


4.1.1.3服务层安全设计


首先,需要实现不同租户的云服务虚拟化实例的安全隔离与防护。该需求应由防火墙功能完成,且防火墙应能够支持VMware、KVM、Hyper-V等主流虚拟化平台下的部署与实施。


其次,还需要依照SLA协议和云租户业务系统的重要次序来指定虚拟资源分配优先级别。该需求应由云平台的资源调度机制完成。


4.1.2身份认证和授权


身份认证与授权需要考虑租户操作系统及其承载的重要业务系统、云平台自身管理及云平台中网络设备的身份认证与授权等几个层面。


首先,在租户操作系统及其承载的重要业务系统层面,需要采用两种或两种以上组合的鉴别技术对用户进行身份鉴别;在网络策略控制器和网络设备(或设备代理)之间则应建立双向身份验证机制。该需求可通过运维堡垒机实现,且运维堡垒机应能够具备VMware、KVM、Hyper-V等主流虚拟化平台的适配能力。


其次,在云平台自身管理层面,其管理用户权限须采取分离机制,为网络管理员、系统管理员建立不同账户并分配相应的权限,且远程管理终端与云计算平台边界设备之间应建立双向身份验证机制。该需求应由云平台自身的认证管理和授权机制实现。


4.1.3恶意代码防范


恶意代码防范应能够实现云平台中租户重要业务系统、操作系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。该需求应网络防病毒软件实现,且网络防病毒软件必须支持VMware、KVM、Hyper-V等业界主流的虚拟化平台。


4.1.4安全审计


安全审计包括云平台自身系统、网络设备的运维操作审计和系统运行审计,以及租户操作系统、重要业务系统、数据库系统等资产的运维审计和系统运行事件审计两大层面。


该需求应通过第三方专业的安全审计系统实现,且该安全审计系统应能够支持业界主流虚拟化和云计算平台,并能够在云服务方开放安全审计数据汇集接口的前提下集中采集和审计云平台自身的日志、事件信息。


4.1.5漏洞扫描


漏洞扫描检测中,除了要考虑租户操作系统及其重要业务系统、中间件、数据库系统的系统脆弱性扫描检测层面,还应重点考虑虚拟化平台、云计算平台及网络设备的安全漏洞检测。该需求应通过专业脆弱性扫描与管理系统实现,且必须能够支持和检测业界主流虚拟化和云计算平台自身安全漏洞的能力。


4.1.6数据完整性与保密性保护


数据完整性与保密性保护首先要实现租户重要业务系统之间、网络策略控制器和网络设备(或设备代理)之间数据通信和传输的保密性和完整性。该需求应由业务系统或网络设备内部通过数据加解密和校验码等技术开发实现,也可以通过部署第三方密钥管理解决方案,由租户自行实现数据通信的加解密和完整性校验,且该方案必须具备与主流虚拟化和云平台的适配和集成能力。


其次,还要确保虚拟机迁移过程中重要数据的完整性和保密性,防止在迁移过程中的重要数据泄露,并在检测到完整性受到破坏时采取必要的恢复措施。该需求应由云平台的资源管理和监控机制实现。


4.1.7接口安全


接口安全应重点保证云平台服务对外接口的安全性。该需求可以通过服务接口安全编程,以及第三方代码审计、系统漏洞扫描检测、渗透测试等专业安全服务实现。

 

4.2区域边界安全


本章节出现的“区域边界”包括但不限于“4.2.1章节”的四种区域边界类型。


4.2.1区域边界结构安全


区域边界安全是包括以下类型:计算环境内部与外部区域边界,云计算平台上不同租户之间的区域边界,同一租户不同等级业务系统之间的区域边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。区域边界安全的防护手段是部署访问控制机制。


访问控制是一种安全手段,它控制用户和系统如何与其他系统和资源进行通信和交互。访问控制能够保护系统和资源免受未经授权的访问,并在身份验证过程成功结束后确定授权访问等级。


各区域网络边界安全通常由边界拒绝攻击防护、访问控制、入侵检测、入侵防御、WAF、防病毒、VPN和边界隔离(按需)构成。


4.2.1.1云计算环境内部与外部区域边界安全

 

 

图 2 计算环境内部与外部区域边界


4.2.1.2云计算平台上不同租户之间的区域边界


使用VXLAN或VLAN逻辑隔离的方式,并采用硬件虚拟化方式实现云计算平台上不同租户之间的区域边界隔离。防火墙接入的方式可采用串行接入或旁路资源池接入方式,方案中采用串行接入方,旁路接入方式请参见下文。

 

 

图 3 云计算平台内部不同租户之间的边界


4.2.1.3同一租户不同等级业务系统之间的区域边界


同一租户不同等级业务系统之间的区域边界安全需要面向多租户的信息安全能力。由纯虚拟化安全服务或安全资源池承担,安全资源池基于SDN或NFV技术可将安全能力自动编排,形成安全服务链,为租户提供动态、可扩展、可持续的安全服务能力。

 

 

图 4 同一租户不同等级业务系统的边界


4.2.1.4租户区域内部与外部区域边界


租户不同等级业务区域边界与Internet或其他外部互联,同样需要面向多租户的信息安全能力。其安全能力可由纯虚拟化安全服务或安全资源池承担,如下图:

 

 

图 5 租户内部与外部区域边界


4.2.2区域边界访问控制


区域边界访问控制可采用规则访问控制、限制性用户接口、访问控制矩阵、内容相关访问控制、上下文相关访问控制等控制策略和技术方法实现对区域边界网络的访问控制。


当安全区域基于虚拟网络划分时,应根据安全风险基于适当的虚拟网络设备或技术实施区域边界访问控制并适应云计算环境。


4.2.3区域边界拒绝服务防护


区域边界拒绝服务可采用旁路部署方式、串行部署方式、单臂模式、检测与清洗混合模式,通过统计学方法、DFI、DPI等技术,对DOS(Denial of Servie Attack拒绝服务攻击)、DDOS(Distributed Denial of Servie Attack分布式拒绝服务攻击)、DRDOS(Distributed Reflection Denial of Servie Attack分布式反射拒绝服务攻击)等拒绝服务型攻击进行防护。

4.2.4区域边界入侵检测


区域边界入侵检测设备在不影响网络性能的情况下,监测网络或通信基础设施,通过DFI(Deep FlowInspection深度流检测)、DPI(Deep Packet Inspection深度包检测)等技术对2—7层的信息深度分析,实现对各类型攻击行为的有效检测与防护。


入侵检测设备应提供合适的形态或技术适配物理边界、虚拟边界需求。


Vetirx


4.2.5区域边界入侵防御


区域边界入侵防御设备采用串行部署的方式,监测网络或通信基础设施,通过DFI(Deep FlowInspection深度流检测)、DPI(Deep Packet Inspection 深度包检测)等技术对2—7层的信息深度分析,禁止恶意流量访问它的攻击目标。应提供合适的形态或技术适配物理边界、虚拟边界需求。


4.2.6区域边界恶意代码防范


在适当的WEB应用服务区域边界建立恶意代码防范机制,部署恶意代码防范设备或启用设备的恶意代码防范功能。应具备WEB应用防护能力,如:挂马、SQL注入、应用层DDOS防御等功能。应提供合适的形态或技术适配物理边界、虚拟边界需求。


IPS、WAF、AV、APT等有以上功能的边界防护设备,边界检测设备。


4.2.7区域边界设备防护


在区域边界进行设备防护可采用限定管理员地址、通信协议加密、用户身份认证、设置相应强度的认证口令等方式进行对各区域边界内的网络资源、计算资源、系统资源等实施防护,同时提供合适的形态或技术适配物理边界、虚拟边界需求。


4.2.8区域边界安全审计


区域边界部署安全防护设备,应具备安全事件记录功能,对确认的安全违规行为及时报警,支持对事件记录进行独立审计或集中审计功能,并对审计结果进行关联分析。

 

4.3通信网络安全


云计算平台的通信网络安全包括了通信网络的物理安全和虚拟网络安全。物理安全是对计算环境内部与外部区域边界网络通信的保护措施,虚拟网络安全则对云租户之间、不同安全区域之间、虚拟机之间的通信进行保护。从防护层面分为对数据传输完整性、数据保密性、网络可用性、安全隔离、可信接入、设备防护、安全审计,共计7个方面。


4.3.1通信网络数据传输完整性安全


通信网络数据传输完整性校验机制的核心是密码技术。云计算平台各组成部分与云边界外网络等安全不可控网络进行通信时,需使用VPN等技术实现数据传输的完整性保护。在云接入边界部署VPN综合网关,支持IPSec VPN和SSL VPN,通过内置的身份认证网关功能:包含简单CA(可生成密钥,签发证书),支持第三方认证,支持多因素认证,支持在线证书认证等功能,对各种类型云接入用户或终端提供类型丰富的数据传输完整性保护和接入身份认证能力。


在跨不同云计算平台的虚拟机之间进行通信时,可根据需要使用密码技术,从而实现数据传输的完整性保护。云计算平台内部通信网络互相通信时,可通过校验码技术,对数据完整性进行校验。对于物理网络或虚拟网络中的路由控制和云管理平台中的资源管理等控制信息需做完整性校验,如发现完整性被破坏时使用重传等机制进行恢复或数据修复。

 

4.3.2通信网络数据保密性保护


采用由密码等技术支持的保密性保护机制,以实现云计算平台通信网络数据传输保密性保护。当云计算平台各组成部分通过不可控网络进行通信时,应使用VPN等技术实现数据传输的保密性保护。VPN综合安全网关集成IPSecVPN、SSLVPN、防火墙和身份认证等功能,与第三方认证设备兼容性好,性能突出,支持最新版本国密协议和算法。可充分保障数据传输的保密性保护。


当跨不同云计算平台的虚拟机之间进行通信时,可根据需要使用密码技术实现数据传输的保密性保护。通过外部通信网络管理云资源时,要采取安全的技术手段(如VPN、HTTPS)管理云资源。应采用密码技术实现物理或虚拟网络中的路由控制和虚拟化系统资源管理等控制信息保密性。


4.3.3通信网络的可用性保护


云计算平台应采用软硬件冗余、扩容等必要的技术手段,保护云计算平台通信网络的正常工作,保护数据的可用性,具体要求包括:


1) 应采用冗余技术手段保证主要物理网络设备、虚拟网络设备的业务处理能力满足业务高峰期的需求。


2) 在网络出口连接多个运营商的接入网络,在网络实际消耗带宽达到或超过预设上限时,及时选择通畅的线路。部署具备带宽管理功能IPS设备,可针对核心服务器设置单独的带宽通道,提供带宽保障。


3) 部署具备异常流量检测和流量清洗的IPS设备,配合云计算平台自身的流量调度(如服务链实现流定义)的能力,为用户和租户提供实时安全流量清洗,清洗范围包括网络层、传输层、应用层的拒绝服务攻击(DDoS)。


4) 按照业务需求合理配置通信网络中核心、汇聚等各层交换设备的处理能力。在虚拟化环境中根据虚拟机的处理能力和数量,合理分配虚拟交换设备的处理能力,保证物理交换设备处理能力大于所连接虚拟交换设备的处理能力。

5) 应针对租户、主机和应用的业务重要程度,划分对应的网络带宽使用优先级,当网络拥塞时优先保证重要业务可用。


4.3.4虚拟网络的安全隔离保护


应通过必要的技术手段保护云计算平台中多租户通信网络的安全隔离,具体要求包括:


1) 内部通信网络可采用Vxlan协议对用户数据包做隧道封装,保证内部通信网络实现二层隔离,虚拟机接收不到目的地址不是自己的非广播报文。


2) 虚拟机接入虚拟网络时,可通过在数据链路层的安全隔离机制,隔离由虚拟机向外发起的异常协议访问,保证其发出的数据包源地址为其真实地址。


3) 可通过安全沙箱机制,限制由虚拟机非法访问内部通信网络(基础网络)。


4) 应能够检测云用户通过虚拟机访问宿主机资源,并进行告警。


4.3.5通信网络可信接入保护


应保证虚拟机和物理机接入网络的信息真实可信,重要网络应防止地址欺骗,具体要求包括:


1) 在虚拟网络设备上建立安全规则,保证虚拟机接入虚拟网络时,其发出的数据包源地址为其真实地址。


2) 内部通信网络(虚拟网络)与外部网络通信时,可通过密码技术实现远程接入授权。


3) 在内部通信网络(基础网络)可通过IP\MAC\端口绑定技术,限制未授权人员接入物理网络设备。


4) 可通过访问控制技术,限制外部通信网络直接访问内部通信网络(基础网络)。


5) 内部通信网络(虚拟网络)需提供开放接口,允许接入可信的第三方安全产品。


6) 需要认证的各类设备、资源需预先配置可接受的管理机构或人员的公钥等必要信息。


4.3.6网络设备防护


应对所有网络设备的访问(用户、访问协议和认证方式等因素)进行限制和防护,针对基础架构层,用户指云平台系统管理员及安全管理员。针对资源层及服务层,用户指云租户管理员及虚拟网络安全管理员。具体要求包括:


1) 应对登录网络设备、安全设备、虚拟化设备等区域边界设备的管理员地址进行限制,并使用云运维安全网关加强管理员权限分配和操作审计。


2) 应采用SSH等安全协议登录区域边界设备。


3) 应对登录区域边界设备的用户身份进行认证。


4) 应对登录区域边界设备的用户身份进行双因素认证,并实现认证方式的统一。


5) 区域边界安全设备应实现特权用户的分离。


6) 应建立安全可信的接入认证方式,保证用户对虚拟资源访问的安全性。


4.3.7通信网络安全审计


安全通信网络应设立审计机制,由云安全管理中心集中管理,对确认的违规行为进行报警。针对基础架构层,要针对云平台系统管理员及安全管理员进行审计。针对资源层及服务层,要针对云租户管理员及虚拟网络安全管理员进行审计。针对应用层,要针对最终云用户进行审计。具体要求包括:


1) 通信网络的网络设备、安全设备以及虚拟化形态的设备应通过syslog等协议将运行情况、网络流量、用户行为等日志信息集中到云安全管理中心。


2) 通信网络的网络设备、安全设备以及虚拟化形态的设备应对违规行为在云安全管理中心进行集中、及时报警。


3) 安全通信网络的审计对象应包括:与云计算平台有通信的外部通信链路(互联网、广域网、局域网),内部通信网络(基础网络)中的网络设备、安全设备,以及内部通信网络(虚拟网络)的网络控制器。


4) 审计记录应包括:事件的日期和时间、事件类型、事件是否成功及其他与审计相关的信息。


5) 安全通信网络审计内容至少需要记录:运行状况、网络流量、用户行为、管理行为等信息。


4.4安全管理中心


安全管理中心定位于云安全体系中的上层管理平台系统,可以整合云中各类安全监控资源、采集环境中全量的安全监测信息,形成面向云计算集中安全监测、综合安全分析和统一运维支撑的安全运维管理,承担云上态势感知的功能。


安全管理中心提供面向云资源池综合监测的云环境安全,通过安全管理、资源监控及审计管理实现云安全的集中监测和运维管理。同时,安全管理中心也面向租户提供租户资源的安全及监控能力。


安全管理能力分为安全事件管理、统一身份认证及统一权限管理。


资源管理能力分为资源监控能力及资源分配能力,主要功能数据从云管平台获取。


审计管理则对云平台的运维及资源访问提供全方位的审计数据收集并提供给包括云服务商及云租户的多种审计层次。


4.4.1安全事件管理


4.4.1.1资产管理


安全管理中心提供云上虚拟设施信息的集中收集与展示,为划定安全管理中心分析范围、计算业务安全风险、区分租户权限以及有针对性的进行重点虚拟设施监测提供依据。


资产信息提供自动及手动两种导入方式,自动方式提供与云管平台或其它虚拟资产管理系统的接口对接,能够按需进行周期性或实时性的资产数据导入。手动方式提供人工的数据批量导入及资产数据维护,手动维护可能会导致出现与云管平台不相符的情况,此时会以安全管理中心资产管理系统为准。


手动方式可参考用户整理的资产资料,也可导入相应安全服务提供的资产梳理交付物。


4.4.1.2攻击威胁事件管理


通过收集云安全池中的入侵检测、主机防病毒等安全设备的日志数据,可对云环境内的病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、虚拟机间异常流量、网络异常流量、隐蔽信道、AET逃逸攻击等恶性攻击行为进行检测。将检测结果报送安全管理中心进行综合威胁分析,实现对于威胁事件线索挖掘,为云环境运营提供安全支撑,从而对威胁进行有效处理。


安全管理中心提供基于大数据分析的海量安全事件的关联分析能力,通过可视化的关联规则配置界面可以灵活配置攻击分析场景,同时安全管理中心通过结合对历史数据的关联分析和溯源,帮助安全分析人员从海量的历史数据中发现问题,并进行攻击回溯。


安全管理中心在收集主机防病毒系统上报的病毒告警日志,及时发现云上资源的恶意代码感染、爆发及清除情况的同时,还可以根据收集到的日志分析恶意代码感染及在虚拟机间蔓延的情况,并进行告警。


4.4.1.3云资源脆弱性管理


为了减少各项云资源的被攻击薄弱点,可在安全管理中心加入脆弱性管理模块针对云资源的配置失误及系统漏洞两方面进行探测、核查。


安全配置核查功能组件可使安全检查过程达到自动化、标准化、持续化、可视化。它可以大大提高检查结果的准确性和合规性,用以在云环境中的远程安全检查、第三方入云安全检查、合规安全检查(上级检查)、日常安全检查和安全服务任务中,协助查找设备在安全配置中存在的差距,并与安全整改与安全建设相结合,提升云环境中各类业务系统的安全防护能力以达到整体合规要求。


系统漏洞扫描功能组件综合运用多种探测引擎及手段(主机存活探测,智能端口检测,操作系统指纹识别等),全面、快速、准确的对被扫描网络中的存活主机进行漏洞扫描。系统漏洞扫描作为脆弱性风险评估的基础部分可周期性的对云环境内的资产进行扫描,扫描结果上报数据分析中心进行与其他采集信息整合。


脆弱性管理功能实现对扫描引擎的自动与人工调度、脆弱性问题预警、漏洞处理进程跟踪、配置基线问题整改报告及建议等能力。是实现对云平台中脆弱性相关问题全生命周期管理及预警的管理模块。


4.4.1.4威胁情报管理


平台将综合发现的威胁信息、外部安全社区发布的威胁信息、人工分析的威胁信息,以及组织内部的用户身份信息同操作行为规则等形成相关的预警进行匹配、关联,实现智能威胁信息的充分利用。这些信息可以为应对威胁的不同设备和系统的安全知识,如针对该威胁的IDS/IPS特征码、SIEM的关联分析规则、防火墙/UTM的访问控制策略、流量牵引策略、应急响应处置规则和组织的安全管理条例等。


威胁情报信息包括黑白名单库、攻击特征库、安全配置基线库、病毒特征库、关联规则库、安全漏洞库、恶意URL/IP地址库、恶意DNS库和用户身份信息等。


4.4.2身份认证与权限管理


可以在安全管理中心中加入4A等相关类型的统一权限管理模块,或与云堡垒机结合实现对云环境中的安全资源、网络资源、主机资源等的帐号进行集中管理、统一身份认证、集中授权和综合审计的功能。


系统使用多因素认证的方式,实现管理终端和云平台边界之间的双向身份认证;同时提供权限分离,实现云服务商、云租户权限及网络管理员、系统管理员的权限分离及认证。


最终以严格的账号生命周期管理来减少账号漏洞带来的风险;减少业务系统核心信息资产的破坏和泄漏;发现问题后追踪溯源,便于事后追查原因与界定责任;实现独立审计与三权分立,有效控制业务运行风险,直观掌握业务系统安全状况。


4.4.3资源管理


4.4.3.1资源性能监控


由云管系统自身功能即可实现实时收集云资源性能数据,集中监测传统主机、虚拟机、宿主机、网络设备及虚拟网络设备、安全设备、网络链路等的运行状态(包括CPU、内存、流量等);监控数据库、应用系统、中间件等重要业务组件的服务状态。


4.4.3.2资源日志监控


通过使用syslog、snmp或其它协议采集各资源层安全资源、网络资源、主机资源的日志及告警信息,能够对各项资源的运行状态进行被动监控,同时也可与安全事件进行结合分析,并以报表的形式输出、展示;支持对日志及告警信息进行分析和统计,支持根据预设的告警规则使用多种方式通知系统管理员。


4.4.4审计管理


整个云上环境一般由大量的实体设备和各种虚拟化对象组成,这些对象从主机、网络、存储等层面形成了承载云中业务系统和租户所需资源服务的云架构。可以说云安全管理的目标是保证云中各类资产、业务对象的运行运营安全。因此需要对包括云边界防护、攻击威胁监测、数据安全以及人员租户访问、业务安全等信息日志进行审计。


4.4.4.1行为审计


为了应对云上的复杂访问环境及公有云的多租户管理机制,安全管理中心可以针对区域边界部署的访问控制设备;区域边界部署的安全防护设备;云环境脆弱性数据等进行收集及存储,并配合分析功能达成针对违规访问进行审计并告警加强云环境防范网络入侵和恶意代码等网络攻击破坏行为的检测及关联分析的能力,同时防止非正常的审计数据丢失。


4.4.4.2流量审计


通过SDN、物理镜像、虚拟导流等方式获取云环境中的流量,对云环境内核心且关键流量中存在的异常进行检测。采集检测可以获取的威胁数据包括:信息收集行为、权限获取、远程控制、数据盗取、系统破坏、木马/病毒/僵尸网络;入侵攻击与病毒泛滥造成的网络流量异常;黑客或黑客组织攻击行为、针对特定目标的入侵行为。


系统的部署由三部分组成,控制中心、数据中心与检测引擎。系统部署从虚拟安全资源池弹性调取,威胁检测引擎通过虚拟导流器、SDN等技术获取虚拟交换机的镜像流量。


4.4.5云租户安全门户


安全管理中心为云租户提供云安全门户,租户可以获得相应租户范围的安全总览、安全脆弱性隐患信息、安全预警功能、基于安全事件信息的安全监测、租户业务系统的安全监控。云安全门户快捷、直观,无需租户进行复杂管理配置,登陆后即可通过各监控页面总览安全态势、聚焦安全隐患、钻取检索安全威胁信息,实现高效的租户集中安全监控。