1、云安全防護系統方案設計（信息安全建設整體規劃方案）目 錄 TOC o 1-4 h z u HYPERLINK l _Toc526956429 1. 項目背景 PAGEREF _Toc526956429 h 3 HYPERLINK l _Toc526956430 2. 功能框架 PAGEREF _Toc526956430 h 4 HYPERLINK l _Toc526956431 3. 云環境的多層安全防護體系 PAGEREF _Toc526956431 h 6 HYPERLINK l _Toc526956432 4. 安全域之間的防護設計 PAGEREF _Toc526956432 h 8 H

2、YPERLINK l _Toc526956433 5. 多租戶之間的安全防護 PAGEREF _Toc526956433 h 9 HYPERLINK l _Toc526956434 6. 虛擬機之間的安全防護 PAGEREF _Toc526956434 h 12 HYPERLINK l _Toc526956435 7. 統一管理 PAGEREF _Toc526956435 h 14 HYPERLINK l _Toc526956436 8. 部署模式 PAGEREF _Toc526956436 h 15項目背景雖然云計算給人們帶來了無盡的好處，但隨著網絡應用擴大網絡安全風險也變得更加嚴重和復雜。

3、原來由單個計算機安全事故引起的損害可能傳播到其他系統和主機，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對網絡安全政策及防護意識的認識不足，這些風險正日益加重。而這些風險與網絡系統結構和系統的應用等因素密切相關。為此，國家公安部、保密局、國家密碼管理局、國務院信息化領導小組辦公室于2007年聯合頒布了861號文件關于開展全國重要信息系統安全等級保護定級工作的通知和信息安全等級保護管理辦法，要求涉及國計民生的信息系統應達到一定的安全等級，根據文件精神和等級劃分的原則，電子政務信息系統構筑至少應達到二級或以上防護要求。所以，在云計算的信息化建設過程中，我們應當正視可能面臨的各種安全風險，對網

4、絡威脅給予充分的重視。為了云計算中心信息網絡的安全穩定運行，確保云平臺建設的順利實施，結合具體的網絡和應用系統情況，根據云計算中心目前的計算機信息網網絡特點及安全需求，本著切合實際、保護投資、著眼未來的原則，提出本技術方案。功能框架云計算數據中心安全架構設計中，需要解決幾個方面的問題：應用程序安全保護虛擬化系統安全云計算環境的安全域的規劃和保護(內部虛擬機之間的防護)主機安全整合使用虛擬化技術提供云安全網關物理環境安全防護虛擬系統內部的審計和合規性集中管理與傳統網絡通過安全設備做各個業務區域的隔離、流量的分析不同，云計算環境下同一個物理機當中的多個虛擬機中可能部署多個業務，而業務之間的流量直接

5、通過虛擬化操作系統的vSwitch進行轉發，不出物理機，無法進行有效的網絡隔離以及流量的分析。因此，需要一種軟件定義安全的方式，在每臺物理機上分配一臺單獨的虛擬機作為集中安全網關模塊，該網關模塊會與Hypervisor深度結合，對進出每一個虛擬機的所有流量進行捕獲、分析及控制，從而實現虛擬平臺內部東西向流量之間的防護。利用先進的云安全技術，可為虛擬數據中心提供以下安全防護功能：1）通過云安全網關保障云計算環境的安全域的規劃和保護（內部虛擬機之間的防護）。作為運行在云計算平臺管理上的云安全網關，可為云計算環境提供了全面的安全保護，為云計算環境的安全域劃分提供控制手段。與采用硬件安全設備不同，可以

6、根據用戶對虛擬主機的信任關系級別，把虛擬主機劃分為不同的安全域，并進行精細粒度的訪問控制。為云計算環境的安全域劃分和安全控制提供技術保障。可以有效隔離虛擬主機，并提供從網絡層到應用層的安全面安全保護。為虛擬網絡環境提供了深度的監控和審計能力，為云環境的合規性需求提供了強大的保證。能夠監控虛擬主機之間的數據通信，并提供詳細的日志記錄。能夠對云環境的安全狀態進行實時的監控，并提供詳細的報表，以備審核分析。部署簡單。由于將流量保持在虛擬裝置服務器內，因此不需要復雜地增加安全設備與交換機來確保云環境的安全。 會按照預設的內存分配與內核分配等選項進行安裝，確保系統的安全。也可以自定義所有的設置，包括網絡

7、接口與其它方面，對不同環境進行保護。2）通過云安全網關進行安全資源整合。云安全網關能夠將多個安全系統集成在一個單一的硬件平臺，節省成本。可為多個網絡系統提供同類最佳的防火墻、VPN（虛擬專用網絡）、URL過濾和入侵防御技術，使它們彼此安全地連接和共享資源。所有安全系統，無論是虛擬還是實體，都通過云安全網關或者多域管理器的控制臺進行集中管理。3）能夠實現集中管理以及分級分域管理，保障虛擬系統內部審計和合規性。滿足具有復雜安全策略需求的可擴展性要求。在支持集中管理多個安全管理域的同時，提高管理這些復雜安全部署的操作效率，也可以為云計算數據中心每個區域劃分獨有的管理域。基于角色的靈活管理，能夠集中管

8、理多個分布式系統。能夠指定可信賴的管理員，賦予他們不同的訪問權限，對不同的管理域，可以賦予同一個管理員不同的權限。云環境的多層安全防護體系云安全防護系統可提供對云計算平臺的立體威脅防御，包括：惡意代碼防護惡意代碼包括：病毒、蠕蟲、木馬后門等，包括實時掃描、預設掃描及手動掃描功能，處理措施包含清除、刪除、拒絕訪問或隔離惡意軟件。檢測到惡意軟件時，可以生成警報日志。防火墻可用于啟用正確的服務器運行所必需的端口和協議上的通信，并阻止其他所有端口和協議，降低對服務器進行未授權訪問的風險。其功能如下： 虛擬機隔離：需要對不同單位（租戶）的虛擬機業務系統進行隔離，且無需修改虛擬交換機配置即可提供虛擬分段。

9、細粒度過濾：通過實施有關 IP 地址、Mac 地址、端口及其他內容的防火墻規則過濾通信流。可為每個網絡接口配置不同的策略。覆蓋所有基于 IP 的協議：通過支持全數據包捕獲簡化了故障排除，并且可提供寶貴的分析見解，有助于了解增加的防火墻事件 TCP、UDP、ICMP 等。偵察檢測：檢測端口掃描等活動。還可限制非 IP 通信流，如 ARP 通信流。靈活的控制：狀態型防火墻較為靈活，可在適當時以一種受控制的方式完全繞過檢查。它可解決任何網絡上都會遇到的通信流特征不明確的問題，此問題可能出于正常情況，也可能是攻擊的一部分。預定義的防火墻配置文件：對常見企業服務器類型（包括 Web、LDAP、DHCP、

10、FTP 和數據庫）進行分組，確保即使在大型復雜的網絡中也可快速、輕松、一致地部署防火墻策略。可操作的報告：通過詳細的日志記錄、警報、儀表板和靈活的報告，Deep Security 防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內容及更改者），從而提供詳細的審計記錄。入侵檢測和防御 (IDS/IPS) 在操作系統和企業應用程序安裝補丁之前對其漏洞進行防護，以提供及時保護，使其免受已知攻擊和零日攻擊。基于模式匹配、異常檢測、統計分析等入侵檢測和協議分析技術，阻擋各種入侵攻擊，如蠕蟲、木馬、間諜軟件、廣告軟件、緩沖區溢出、掃描、非法連接、SQL注入、XSS跨站腳本等攻擊，攻擊特征庫可在線更新或離線更

11、新。異常流量清洗對畸形報文及分布式拒絕服務攻擊（DDOS）進行防御，將異常的流量進行清洗，放行正常流量。WEB應用防護Web 應用防護規則可防御 SQL 注入攻擊、跨站點腳本攻擊及其他 針對Web 應用程序漏洞攻擊，在代碼修復完成之前對這些漏洞提供防護，識別并阻止常見的 Web 應用程序攻擊，并可實現網頁防篡改功能。應用程序控制應用程序控制能夠識別網絡中的七層流量，可針對訪問網絡的應用程序提供更進一步的可見性控制能力。能夠阻止隱藏或封裝在正常四層數據報文中的惡意程序或者惡意軟件，并能夠對網絡中的非業務流量進行精確的限制。 日志審計對所有可疑或有害的網絡事件進行記錄，提供有效的行為審計、內容審計

12、、行為報警等功能。滿足分級保護對于安全的審計備案及安全保護措施的要求，提供完整的流量記錄，便于信息追蹤、系統安全管理和風險防范。安全域之間的防護設計安全域是由一組具有相同安全保護需求、并相互信任的系統組成的邏輯區域，在同一安全域中的系統共享相同的安全策略，通過安全域的劃分把一個大規模復雜系統的安全問題，化解為更小區域的安全保護問題，是實現大規模復雜信息系統安全保護的有效方法。安全域劃分是按照安全域的思想，以保障數據中心業務安全為出發點和立足點，把網絡系統劃分為不同安全區域，并進行縱深防護。對于云計算平臺的安全防護，根據云計算平臺安全防護技術實現架構，選擇和部署合理的安全防護措施，并配置恰當的策

13、略，從而實現多層、縱深防御，才能有效的保證云計算平臺資源及服務的安全。根據劃分不同的VLAN或者物理隔離實現對不同業務系統的隔離。多租戶之間的安全防護云計算數據中心的用戶包括xx、xx等部門組成。這些部門既有結合自身業務特點開發的專有應用系統，同時又有與其他部門共享的應用系統。該多個部門構成了云計算平臺下的多租戶，即需要在兩個域下的云計算數據中心中保障不同組成部門的虛擬主機安全，網絡安全，數據安全和應用安全。通過云管理平臺實現多租戶安全隔離，包括：租戶主機隔離、租戶網絡隔離、租戶數據隔離和租戶應用隔離。租戶虛機隔離利用基本安全隔離技術，可以設置租戶基于IP來進行簡單的訪問控制；通過云安全網關的

14、ACL訪問控制列表來實施控制，對每臺虛擬機進行基本安全隔離。租戶網絡隔離在云計算平臺Hypervisor層利用引流機制，凡是在同一個物理節點內部的虛機之間二層訪問流量，先引入到云安全網關中進行檢查。此時可以根據需求將不同的虛擬機劃分到不同的安全域，并配置各種安全域間隔離和互訪的策略。租戶內部的網絡多數情況下是跨節點的，同時大多是二層網絡結構（不排除也有三層網絡結構，但是考慮到跨數據中心的虛機遷移等問題，大多數情況下還是采用大二層網絡結構），所以租戶內部虛機之間訪問具有如下特點：同一租戶的虛機在不同的物理節點上，互訪的流量出物理節點；同一租戶的虛機都處于一個大的二層網絡，互訪流量要能夠穿越三層網

15、絡；同一租戶的內部網絡可能需要劃分不同的安全區域虛擬網絡，安全區域之間的安全策略不同。根據上面的特點，虛擬化管理平臺將構建如下所示的租戶內部的網絡部署邏輯結構：圖 租戶內部網絡安全防護通過對不同租戶的虛擬機劃分不同的VLAN可實現多租戶之間的網絡隔離。上面黃色和青色分別是一個租戶里面的兩個安全區域虛擬網絡（虛擬網絡），紅色代表服務節點。compute node 1同一個計算節點上的同一個虛擬虛擬網絡 a有兩個虛機VM，這兩個虛機VM之間網絡安全則屬于“東西向流量”防護的范疇。Compute node 1與compute node 2上黃色部分組成一個虛擬網絡虛擬網絡 a，compute nod

16、e 1上的虛機VM 1a訪問compute node 2上的虛機VM 2a的網絡安全則屬于“東西向流量”防護范疇。對于虛擬網絡虛擬網絡 a來說，與外部虛擬網絡虛擬網絡 b的網絡安全仍然屬于“東西向流量”防護范疇。對于虛擬網絡虛擬網絡 a或b與虛擬化環境外部internet的網絡安全則屬于“南北向流量”防護范疇。租戶數據隔離租戶內部數據隔離利用高級安全隔離技術，通過牽引流量到云安全網關進行檢查，對目標數據、關鍵字、自定義特征等內容進行匹配，如果放行數據就可以通過云安全網關，反之亦然。租戶應用隔離租戶內部數據隔離利用高級安全隔離技術，通過云安全網關的內嵌深度包檢測引擎，針對數據包進行深度過濾檢測，

17、并對租戶內部應用進行識別，通過內部應用特征庫匹配與應用安全策略匹配，基于應用制定安全策略，實現對特定用戶、用戶組、IP、IP組實現限制。通過應用數據進行數據流量的協議分析，實現數據進行安全隔離。虛擬機之間的安全防護現有云計算平臺無法實現東西向流量的威脅檢測與隔離機制，因此一旦某臺虛機被攻陷，整個云計算平臺都岌岌可危。云安全防護系統可提供“虛機微隔離”技術為每個虛機提供了“貼身保鏢”式的安全防護，通過與底層云計算平臺的聯動，將每個業務虛機的流量牽引至云安全網關，進行27 層的威脅檢測，從而發現并阻斷東西向流量的安全威脅，阻止攻擊在云計算平臺內橫向蔓延，避免虛擬機逃逸攻擊。通過在云計算平臺中部署云

18、安全防護系統可檢測并對東西向流量進行防護。云安全網關平均分布在數據中心里，要求每一個物理機提供額外的一個云安全網關虛擬機。如果一些東西向流量的源和目的在同一個物理機，流量就能被這個物理機上的云安全網關處理，而不是轉發出這個物理機。這種設計使得東西向流量在機頂交換機上就交換掉了，能夠節省上層的交換帶寬。云安全防護系統將自己深度插入到虛擬化環境中，能夠做到每一個虛擬機跟外部網絡或內部其它虛擬機之間通信的精細監控，可稱之為微隔離。這樣的方案才能夠完全云計算數據中心中東西向流量的安全問題，阻斷從內部向其它虛機和外部網絡發起的端口掃描和DoS 等攻擊，而仍然保持問題虛機的對外服務；監控到繞過外部防護、以被控制虛擬機為跳板的內部入侵，為每一臺業務虛擬機都提供最貼身的安全防護力度。云安全防護系統能夠對虛