WordWord專業(yè)資料WordWord專業(yè)資料夕E匚URITY)N5F口匚U號2015綠盟科技云安全解決案2015NSFOCUSCloudSecuritySolution禺茅和檢丟現(xiàn)形態(tài)懇§II=EJ國?蟲§hi^=1|:=|0曲云內(nèi)何絡/云內(nèi)網(wǎng)絡/1^卻1「云間網(wǎng)第_抵口垣堆*1理平臺云tt理平臺目錄目錄圖表WordWord專業(yè)資料WordWord專業(yè)資料WordWord專業(yè)資料TOC\o"1-5"\h\z一云計算典型體系結(jié)構(gòu)1云計算系統(tǒng)分類1云計算系統(tǒng)典型物理架構(gòu)1云計算系統(tǒng)邏輯結(jié)構(gòu)3二云計算安全威脅和需求分析4安全威脅分析4安全需求和挑戰(zhàn)7三云安全防護總體架構(gòu)設計7設計思路8安全保障目標9安全保障體系框架9安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設計11四云平臺安全域劃分和防護設計14安全域劃分14安全防護設計21五云計算安全防護案的演進39

圖一.1云典型架構(gòu)2圖一.2云典型邏輯結(jié)構(gòu)3圖三.3云平臺安全保障體系框架10圖三.4云平臺安全技術(shù)實現(xiàn)架構(gòu)12圖三.5具有安全防護機制的云平臺體系架構(gòu)13圖四.6云平臺安全域邏輯劃分15圖四.7安全域劃分示例18圖四.8傳統(tǒng)安全措施的部署21圖四.9虛擬化防火墻部署24圖四.10異常流量監(jiān)測系統(tǒng)部署27圖四.11網(wǎng)絡入侵檢測系統(tǒng)部署圖29圖四.12虛擬化Web應用防火墻部署31圖四.13堡壘機應用場景34圖四.14堡壘機部署圖35圖四.15安全管理子區(qū)36圖五.16SDN典型架構(gòu)41圖五.17軟件定義安全防護體系架構(gòu)41圖五.18使用SDN技術(shù)的安全設備部署圖42圖五.19使用SDN技術(shù)實現(xiàn)流量牽引的原理圖43圖五.20基于手工配置的IPS防護模式44圖六.21服務提供者與客戶之間的安全控制職責圍劃分47圖六.22云計算關(guān)鍵領(lǐng)域安全50圖六.23安全咨詢服務思路51虛擬化環(huán)境中的安全防護措施部署39軟件定義安全體系架構(gòu)40安全運營44六云安全技術(shù)服務45私有云安全評估和加固45私有云平臺安全設計咨詢服務46七云安全解決案53作者和貢獻者53關(guān)注云安全解決案54八關(guān)于綠盟科技54

關(guān)鍵信息本方案首先研究了云計算系統(tǒng)的典型結(jié)構(gòu)，分析了云計算系統(tǒng)面臨的安全威脅、安全需求和挑戰(zhàn)，進而對云安全防護總體架構(gòu)，包括保障內(nèi)容和實現(xiàn)機制、部署方法進行了設計和詳細闡述，并介紹了云安全相關(guān)的安全技術(shù)服務內(nèi)容和范圍/最后給出了典型的云安全防護場景。其中關(guān)于軟件定義安全體系架構(gòu)，在之前發(fā)布的《2015綠盟科技軟件定義安全SDS白皮書》中有詳述。隨著云計算技術(shù)的不斷完善和發(fā)展，云計算已經(jīng)得到了廣泛的認可和接收，多組織已經(jīng)或即將進行云計算系統(tǒng)建設。同時，以信息/服務為中心的模式深入人心，大量的應用正如雨后春筍般出現(xiàn)，組織也開始將傳統(tǒng)的應用向云中遷移。同時，云計算技術(shù)仍處于不斷發(fā)展和演進，系統(tǒng)更加開放和易用，功能更加強大和豐富，接口更加規(guī)和開放。例如軟件定義網(wǎng)絡（簡稱SDN）技術(shù)、NFV（網(wǎng)絡功能虛擬化）等新技術(shù)。這必將推動云計算技術(shù)的更加普及和完善。WordWord專業(yè)資料WordWord專業(yè)資料云計算技術(shù)給傳統(tǒng)的IT基礎(chǔ)設施、應用、數(shù)據(jù)以及IT運營管理都帶來了革命性改變，對于安全管理來說，既是挑戰(zhàn)，也是機遇。首先，作為新技術(shù)，云計算引入了新的威脅和風險，進而也影響和打破了傳統(tǒng)的信息安全保障體系設計、實現(xiàn)法和運維管理體系，如網(wǎng)絡與信息系統(tǒng)的安全邊界的劃分和防護、安全控制措施選擇和部署、安全評估和審計、安全監(jiān)測和安全運維等面；其次，云計算的資源彈性、按需調(diào)配、高可靠性及資源集中化等都間接增強或有利于安全防護，同時也給安全措施改進和升級、安全應用設計和實現(xiàn)、安全運維和管理等帶來了問題和挑戰(zhàn)，也推進了安全服務容、實現(xiàn)機制和交付式的創(chuàng)新和發(fā)展。根據(jù)調(diào)研數(shù)據(jù)，信息安全風險是客戶采用云計算所考慮重大問題之一，且和行業(yè)安全監(jiān)管愈加格，安全已經(jīng)成為組織規(guī)劃、設計、建設和使用云計算系統(tǒng)而急需解決的重大問題之一，尤其是不斷出現(xiàn)的與云計算系統(tǒng)相關(guān)事件讓組織更加擔心自身的云計算系統(tǒng)安全保障問題。本案基于綠盟科技長期對云計算安全的探索和研究，借鑒行業(yè)最佳實踐，結(jié)合綠盟科技近期云計算安全建設經(jīng)驗，提出了云計算安全保障框架和法。一云計算典型體系結(jié)構(gòu)云計算主要是通過網(wǎng)絡，將IT以抽象化的式交付給客戶為基于IT的服務交付模式帶來了巨大變革。云計算的一些獨特優(yōu)勢，使其廣為接受，包括：大規(guī)模資源池化、資源彈性、按需分配、自動化部署、高可靠性、高運營效率及技術(shù)和IT的高透明度。云計算平臺的實現(xiàn)主要包括兩個式：虛擬化構(gòu)成的云和應用程序/服務器構(gòu)成的云，其中后者的安全防護與傳統(tǒng)式基本相同，不再贅言，這里主要對虛擬化構(gòu)成的云進行討論。目前，計算虛擬化已經(jīng)成熟，并為組織所廣泛采用，如VMwarevSphere、CitrixXen等。另外，一些用戶開始嘗試采用SDN、NFV等新型技術(shù)，旨在通過軟件控制式解決現(xiàn)網(wǎng)中遇到的存儲、網(wǎng)絡不能自動部署和分權(quán)分域管理問題。云計算系統(tǒng)分類根據(jù)NIST發(fā)布的相關(guān)規(guī)，云計算系統(tǒng)按照部署法可分為私有云、公有云、社區(qū)云、混合云。為了便于說明，以下容將主要以私有云為例進行說明。云計算系統(tǒng)所采用虛擬化技術(shù)的不同，對安全防護設計和部署具有一定影響。根據(jù)有無才采用SDN、NFV技術(shù)，可分為兩類：原生虛擬化系統(tǒng)和基于SDN技術(shù)的虛擬化系統(tǒng)。如無特別說明，下述描述均指原生虛擬化系統(tǒng)。云計算系統(tǒng)典型物理架構(gòu)下圖給出了一個典型的云計算系統(tǒng)的典型架構(gòu)。WordWord專業(yè)資料WordWord專業(yè)資料圖一.1云典型架構(gòu)圖一.1云典型架構(gòu)云計算系統(tǒng)通常具有以下特征：?核心交換機一般采用高性能數(shù)據(jù)中心級交換機搭建，支持虛擬化技術(shù)，并提供Internet、部網(wǎng)絡、夕陪枚專用網(wǎng)絡的接入。通過匯聚交換機（支持虛擬化）提供x86服務器、小型機等服務器的接入。?與互聯(lián)網(wǎng)相關(guān)，可以提供VPN接入，外發(fā)訪問，以及公眾用戶對云的訪問。?與部網(wǎng)絡相同，可以提供部用戶對云的訪問，以及和部其他系統(tǒng)進行信息交互。?都有大量的刀片式服務器，并通過虛擬化軟件，實現(xiàn)對計算資源的抽象和池化。?具有SAN、NAS存儲系統(tǒng)。具有獨立的存儲網(wǎng)絡。?具有獨立的綜合管理平臺，實現(xiàn)對云的運營管理。?具有帶外網(wǎng)管系統(tǒng)，實現(xiàn)對整個云的運維管理。

云計算系統(tǒng)邏輯結(jié)構(gòu)云計算系統(tǒng)一般都包括三個層次兩個平臺：基礎(chǔ)設施即服務（IaaS）、平臺即服務（PaaS）、云軟件即服務（SaaS）、云管理平臺和運維管理平臺。如下圖所示：運維管

理平臺故障

管理；『:n'?C…二A:n丁：；：容戶程序軟件（satf）較件即冊翳性能

爸理管理管理（pa運維管

理平臺故障

管理；『:n'?C…二A:n丁：；：容戶程序軟件（satf）較件即冊翳性能

爸理管理管理（paas）

平臺

即磚事件管理指揮調(diào)度基于界面表現(xiàn)形態(tài)展示平臺數(shù)拐請求擺索應用支卿件通用平倆件&M用應用授權(quán)I交換服勞膽著￡于墓話設$￡?￡用垂￡基于9用平吿疽件的應用資管費理計數(shù)擄庫中閭件目錄日志平臺平臺.換作粟純（IMS）基磁謖施即JK裁云內(nèi)網(wǎng)貉1H挾勞器云間網(wǎng)絡圖一.2云典型邏輯結(jié)構(gòu)源理簡單說明如下：?基礎(chǔ)設施即服務層（IaaS）:包括了各種服務器、存儲、網(wǎng)絡設備、鏈路等各種物理資源，以及虛擬化管理程序和對外提供服務的接口。可以基于此層對外提供虛擬主機服務；?平臺即服務層（PaaS）:包括了各種系統(tǒng)、平臺、應用軟件，可以提供應用軟件的開發(fā)、測試、部署和運營環(huán)境；?軟件即服務（SaaS）:包括各一系列的應用軟件，以及提供各客戶/用戶使用的交互展示程序。可以通過網(wǎng)絡向用戶交付相應的應用服務；

?云管理平臺：負責云計算服務的運營，并對云計算資源池系統(tǒng)及其中的各類資源進行集中管理，主要功能包括云服務開通、用戶管理、計價管理等功能。通常云管理平臺通過與資源池系統(tǒng)之間的資源管理接口下發(fā)資源管理指令，并通過網(wǎng)管接口向云維管理平臺（網(wǎng)管系統(tǒng)）提供資源池系統(tǒng)各類設備的管理和監(jiān)控信息；?運維管理平臺：實現(xiàn)對虛擬設備、系統(tǒng)、網(wǎng)絡的技術(shù)維護和管理工作，包括容量、配置和事件管理等功能。一般通過帶外網(wǎng)絡與各種資源進行互聯(lián)二云計算安全威脅和需求分析云計算模式通過將數(shù)據(jù)統(tǒng)一存儲在云計算服務器中，加強對核心數(shù)據(jù)的集中管控，比傳統(tǒng)分布在大量終端上的數(shù)據(jù)行為更安全。由于數(shù)據(jù)的集中，使得安全審計、安全評估、安全運維等行為更加簡單易行，同時更容易實現(xiàn)系統(tǒng)容錯、高可用性和冗余及災備恢復。但云計算在帶來便快捷的同時也帶來新的挑戰(zhàn)。安全威脅分析豆sinCSA在2013年的報告中列出了九大安全威脅。依排序分別為1?數(shù)據(jù)泄露2?數(shù)據(jù)丟失3?帳戶劫持4.不安全的接口（API）5?拒絕服務攻擊（DDoS）6?部人員的惡意操作7?云計算服務的濫用8?云服務規(guī)劃不合理豆sin?網(wǎng)絡安全部分?業(yè)務高峰時段或遭遇DDoS攻擊時的大流量導致網(wǎng)絡擁堵或網(wǎng)絡癱瘓?重要網(wǎng)段暴露導致來自外部的非法訪問和入侵WordWord專業(yè)資料WordWord專業(yè)資料單臺虛擬機被入侵后對整片虛擬機進行的滲透攻擊，并導致病毒等惡意行為在網(wǎng)絡傳播蔓延?虛擬機之間進行的ARP攻擊、嗅探?云網(wǎng)絡帶寬的非法搶占?重要的網(wǎng)段、服務器被非法訪問、端口掃描、入侵攻擊?云平臺管理員因賬號被盜等原因?qū)е碌膹幕ヂ?lián)網(wǎng)直接非法訪問云資源?虛擬化網(wǎng)絡環(huán)境中流量的審計和監(jiān)控?部用戶或部網(wǎng)絡的非法外聯(lián)行為的檢查和阻斷?部用戶之間或者虛擬機之間的端口掃描、暴力破解、入侵攻擊等行為?主機安全部分：?服務器、宿主機、虛擬機的操作系統(tǒng)和數(shù)據(jù)庫被暴力破解、非法訪問的行為?對服務器、宿主機、虛擬機等進行操作管理時被竊聽?同一個邏輯卷被多個虛擬機掛載導致邏輯卷上的敏感信息泄露?對服務器的Web應用入侵、上傳木馬、上傳webshell等攻擊行為服務器、宿主機、虛擬機的補丁更新不及時導致的漏洞利用以及不安全的配置和非必要端口的開放導致的非法訪問和入侵虛擬機因異常原因產(chǎn)生的資源占用過高而導致宿主機或宿主機下的其它虛擬機的資源不足?資源抽象安全部分虛擬機之間的資源爭搶或資源不足導致的正常業(yè)務異常或不可用虛擬資源不足導致非重要業(yè)務正常運作但重要業(yè)務受損?缺乏身份鑒別導致的非法登錄hypervisor后進入虛擬機通過虛擬機漏洞逃逸到hypervisor，獲得物理主機的控制權(quán)限攻破虛擬系統(tǒng)后進行任易破壞行為、網(wǎng)絡行為、對其它賬戶的猜解，和長期潛伏通過hypervisor漏洞訪問其它虛擬機虛擬機的存和存儲空間被釋放或再分配后被惡意攻擊者竊取虛擬機和備份信息在遷移或刪除后被竊取?hypervisor、虛擬系統(tǒng)、云平臺不及時更新或系統(tǒng)漏洞導致的攻擊入侵虛擬機可能因運行環(huán)境異常或硬件設備異常等原因出錯而影響其他虛擬機無虛擬機快照導致系統(tǒng)出現(xiàn)問題后無法及時恢復虛擬機鏡像遭到惡意攻擊者篡改或非法讀取?數(shù)據(jù)安全及備份恢復數(shù)據(jù)在傳輸過程中受到破壞而無法恢復在虛擬環(huán)境傳輸?shù)奈募蛘邤?shù)據(jù)被監(jiān)聽云用戶從虛擬機逃逸后獲取鏡像文件或其他用戶的隱私數(shù)據(jù)因各種原因或故障導致的數(shù)據(jù)不可用敏感數(shù)據(jù)存儲漂移導致的不可控數(shù)據(jù)安全隔離不格導致惡意用戶可以訪問其他用戶數(shù)據(jù)為了保障云平臺的安全，必須有有效的抵御或消減這些威脅，或者采取補償性的措施降低這些威脅造成的潛在損失。當然，從安全保障的角度講，還需要兼顧其他面的安全需求。WordWord專業(yè)資料WordWord專業(yè)資料WordWord專業(yè)資料安全需求和挑戰(zhàn)從風險管理的角度講，主要就是管理資產(chǎn)、威脅、脆弱性和防護措施及其相關(guān)關(guān)系，最終保障云計算平臺的持續(xù)安全，以及其所支撐的業(yè)務的安全。云計算平臺是在傳統(tǒng)IT技術(shù)的基礎(chǔ)上，增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調(diào)配，高可靠等特點。因此，傳統(tǒng)的安全威脅種類依然存在，傳統(tǒng)的安全防護案依然可以發(fā)揮一定的作用。綜合考慮云計算所帶來的變化、風險，從保障系統(tǒng)整體安全出發(fā)，其面臨的主要挑戰(zhàn)和需求如下:?法律和合規(guī)?動態(tài)、虛擬化網(wǎng)絡邊界安全?虛擬化安全?流量可視化?數(shù)據(jù)保密和防泄露?安全運維和管理針對云計算所面臨的安全威脅及來自各面的安全需求，需要對科學設計云計算平臺的安全防護架構(gòu)，選擇安全措施，并進行持續(xù)管理，滿足云計算平臺的全生命期的安全。三云安全防護總體架構(gòu)設計云安全防護設計應充分考慮云計算的特點和要求，基于對安全威脅的分析，明確來各面的安全需求，充分利用現(xiàn)有的、成熟的安全控制措施，結(jié)合云計算的特點和最新技術(shù)進行綜合考慮和設計，以滿足風險管理要求、合規(guī)性的要求，保障和促進云計算業(yè)務的發(fā)展和運行。設計思路在進行案設計時，將遵循以下思路：?保障云平臺及其配套設施?云計算除了提供IaaS、PaaS、SaaS服務的基礎(chǔ)平臺外，還有配套的云管理平臺、運維管理平臺等。要保障云的安全，必須從整體出發(fā)，保障云承載的各種業(yè)務、服務的安全。?基于安全域的縱深防護體系設計?對于云計算系統(tǒng)，仍可以根據(jù)威脅、安全需求和策略的不同，劃分為不同的安全域，并基于安全域設計相應的邊界防護策略、部防護策略，部署相應的防護措施，從而構(gòu)造起縱深的防護體系。當然，在云平臺中，安全域的邊界可能是動態(tài)變化的，但通過相應的技術(shù)手段，可以做到動態(tài)邊界的安全策略跟隨，持續(xù)有效的保證系統(tǒng)的安全。?以安全服務為導向，并符合云計算的特點?云計算的特點是按需分配、資源彈性、自動化、重復模式，并以服務為中心的。因此，對于安全控制措施選擇、部署、使用來講必須滿足上述特點，即提供資源彈性、按需分配、自動化的安全服務，滿足云計算平臺的安全保障要求。?充分利用現(xiàn)有安全控制措施及最新技術(shù)?在云計算環(huán)境中，還存在的傳統(tǒng)的網(wǎng)絡、主機等，同時，虛擬化主機中也有相應的操作系統(tǒng)、應用和數(shù)據(jù)，傳統(tǒng)的安全控制措施仍舊可以部署、應用和配置，充分發(fā)揮防護作用。另外，部分安全控制措施已經(jīng)具有了虛擬化版本，也可以部署在虛擬化平臺上，進行虛擬化平臺中的東西向流量進行檢測、防護。?充分利用云計算等最新技術(shù)?信息安全措施/服務要保持安全資源彈性、按需分配的特點，也必須運用云計算的最新技術(shù)，如SDN、NFV等，從而實現(xiàn)按需、簡潔的安全防護案。?安全運營?隨著云平臺的運營，會出現(xiàn)大量虛擬化安全實例的增加和消失，需要對相關(guān)的網(wǎng)絡流量進行調(diào)度和監(jiān)測，對風險進行快速的監(jiān)測、發(fā)現(xiàn)、分析及相應管理，并不斷完善安全防護措施，提升安全防護能力。安全保障目標通過人員、技術(shù)和流程要素，構(gòu)建安全監(jiān)測、識別、防護、審計和響應的綜合能力，有效抵御相關(guān)威脅，將云平臺的風險降低到企業(yè)可接受的程度，并滿足法律、監(jiān)管和合規(guī)性要求，保障云計算資源/服務的安全。安全保障體系框架云平臺的安全保障可以分為管理和技術(shù)兩個層面。首先，在技術(shù)面，需要按照分層、縱深防御的思想，基于安全域的劃分，從物理基礎(chǔ)設施、虛擬化、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)等層面進行綜合防護；其次，在管理面，應對云平臺、云服務、云數(shù)據(jù)的整個生命期、安全事件、運行維護和監(jiān)測、度量和評價進行管理。云平臺的安全保障體系框架如下圖所示：WordWord專業(yè)資料WordWord專業(yè)資料與SSGl圖三與SSGl圖三.3云平臺安全保障體系框架簡單說明如下：?物理環(huán)境安全：在物理層面，通過門禁系統(tǒng)、視頻監(jiān)控、環(huán)境監(jiān)控、物理訪問控制等措施實現(xiàn)云運行的物理環(huán)境、環(huán)境設施等層面的安全；?虛擬化安全：在虛擬化層面，通過虛擬層加固、虛擬機映像加固、不同虛擬機的存存儲隔離、虛擬機安全檢測、虛擬化管理安全等措施實現(xiàn)虛擬化層的安全；?網(wǎng)絡安全：在網(wǎng)絡層，基于完全域劃分，通過防火墻、IPS、VLANACL手段進行邊界隔離和訪問控制，通過VPN技術(shù)保障網(wǎng)絡通信完全和用戶的認證接入，在網(wǎng)絡的重要區(qū)域部署入侵監(jiān)測系統(tǒng)（IDS）以實現(xiàn)對網(wǎng)絡攻擊的實時監(jiān)測和告警，部署流量監(jiān)測和清洗設備以抵御DDoS攻擊，部署惡意代碼監(jiān)測和防護系統(tǒng)以實現(xiàn)對惡意代碼的防。需要說明的是這里的網(wǎng)絡包括了實體網(wǎng)絡和虛擬網(wǎng)絡，通過整體防御保障網(wǎng)絡通信的安全；?主機安全：通過對服務主機/設備進行安全配置和加固，部屬主機防火墻、主機IDS，以及惡意代碼

的防護、訪問控制等技術(shù)手段對虛擬主機進行保護，確保主機能夠持續(xù)的提供穩(wěn)定的服務；?應用安全：通過PKI基礎(chǔ)設施對用戶身份進行標識和鑒別，部署格的訪問控制策略，關(guān)鍵操作的多重授權(quán)等措施保證應用層安全，同時采用電子防護、Web應用防火墻、Web網(wǎng)頁防篡改、安全監(jiān)控等應用安全防護措施保證特定應用的安全；數(shù)據(jù)保護：從數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)防泄露、剩余數(shù)據(jù)防護、文檔權(quán)限管理、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計面加強數(shù)據(jù)保護，以及離線、備份數(shù)據(jù)的安全；安全管理：根據(jù)ISO27001、COBIT、ITIL等標準及相關(guān)要求，制定覆蓋安全設計與獲取、安全開發(fā)和集成、安全風險管理、安全運維管理、安全事件管理、業(yè)務連續(xù)性管理等面安全管理制度、規(guī)和流程，并配置相應的安全管理組織和人員，并建議相應的技術(shù)支撐平臺，保證系統(tǒng)得到有效的管理上述安全保障容和目標的實現(xiàn)，需要基于PKI、身份管理等安全基礎(chǔ)支撐設施，綜合利用安全成熟的安全控制措施，并構(gòu)建良好的安全實現(xiàn)機制，保障系統(tǒng)的良好運轉(zhuǎn)，以提供滿足各層面需求的安全能力。由于云計算具有資源彈性、按需分配、自動化管理等特點，為了保障其安全性，就要求安全防護措施/能力也具有同樣的特點，滿足云計算安全防護的要求，這就需要進行良好的安全框架設計。安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設計云計算平臺的安全保障技術(shù)體系不同于傳統(tǒng)系統(tǒng)，它也必須實現(xiàn)和提供資源彈性、按需分配、全程自動化的能力，不僅僅為云平臺提供安全服務，還必須為租戶提供安全服務，因此需要在傳統(tǒng)的安全技術(shù)架構(gòu)基礎(chǔ)上，實現(xiàn)安全資源的抽象化、池化，提供彈性、按需和自動化部署能力。總體技術(shù)實現(xiàn)架構(gòu)充分考慮云計算的特點和優(yōu)勢，以及最新的安全防護技術(shù)發(fā)展情況，為了達成提供資源彈性、按需分配的安全能力，云平臺的安全技術(shù)實現(xiàn)架構(gòu)設計如下：

平臺安全IIa*|jas*平臺安全IIa*|jas*...平臺函87會扯會—■fim，s圖三.4云平臺安全技術(shù)實現(xiàn)架構(gòu)說明：?安全資源池：可以由傳統(tǒng)的物理安全防護組件、虛擬化安全防護組件組成，提供基礎(chǔ)的安全防護能力；?安全平臺：提供對基礎(chǔ)安全防護組件的注冊、調(diào)度和安全策略管理。可以設立一個綜合的安全管理平臺，或者分立的安全管理平臺，如安全評估平臺、異常流量檢測平臺等；?安全服務：提供給云平臺租戶使用的各種安全服務，提供安全策略配置、狀態(tài)監(jiān)測、統(tǒng)計分析和報表等功能，是租戶管理其安全服務的門戶通過此技術(shù)實現(xiàn)架構(gòu)，可以實現(xiàn)安全服務/能力的按需分酉湘彈性調(diào)度。當然，在進行安全防護措施具體部署時，仍可以采用傳統(tǒng)的安全域劃分法，明確安全措施的部署位置、安全策略和要求，做到有效的安全管控。對于安全域的劃分法詳見第五章。對于具體的安全控制措施來講，通常具有硬件盒子和虛擬化軟件兩種形式，可以根據(jù)云平臺的實際情況進行部署案選擇。WordWord專業(yè)資料WordWord專業(yè)資料平臺體系架構(gòu)的無縫集成云平臺的安全防護措施可以與云平臺體系架構(gòu)有機的集成在一起，對云平臺及云租戶提供按需的安全能力。運維管

理平臺故障

管理性能

管理容量

管理配置

管理事件管理指揮

調(diào)度客戶程序軟件(SaaS)

軟件

即服務(PaaS)

平臺

即服務(IaaS)基礎(chǔ)設

施即服

務界面表現(xiàn)形態(tài)I展示平臺服務和I財務11交易II郵件11運維管

理平臺故障

管理性能

管理容量

管理配置

管理事件管理指揮

調(diào)度客戶程序軟件(SaaS)

軟件

即服務(PaaS)

平臺

即服務(IaaS)基礎(chǔ)設

施即服

務界面表現(xiàn)形態(tài)I展示平臺服務和I財務11交易II郵件11......I數(shù)據(jù)L應創(chuàng)丨應用丨丨應用丨丨?…I應用支

撐組件通用平

臺組件應用■授權(quán)請求服務搜索服務數(shù)據(jù)交換數(shù)據(jù)庫.中間件目錄日志平臺平臺服務服務接口安全評估訪問…控制…流量清洗基于應用支撐組件的應用基于通用平臺組件的應用安全評估平臺安全態(tài)勢異常流量監(jiān)碼分析入侵監(jiān)

測/防護云內(nèi)存儲服務云間1防火1網(wǎng)絡器網(wǎng)絡墻虛擬化和平臺抗基于基礎(chǔ)設施的應用系統(tǒng)安全運

營平臺安全服

務管理安全平臺管理安全資

源管理安全事

務管理云管理

平臺云服務目錄管—理云服務開通用戶管理資源管理計費管綜合監(jiān)控物理資源Web應用防火墻安全策略管理圖三.5具有安全防護機制的云平臺體系架構(gòu)工程實現(xiàn)云平臺的安全保障體系最終落實和實現(xiàn)應借鑒工程化法，格落實“三同步”原則，在系統(tǒng)規(guī)劃、設計、實現(xiàn)、測試等階段把落實相應的安全控制，實現(xiàn)安全控制措施與云計算平臺的無縫集成，同時做好運營期的安全管理，保障虛擬主機/應用/服務實例創(chuàng)建的同時，同步部署相應的安全控制措施，并配置相應的安全策略。四云平臺安全域劃分和防護設計安全域是由一組具有相同安全保護需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，在同一安全域中的系統(tǒng)共享相同的安全策略，通過安全域的劃分把一個大規(guī)模復雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護問題，是實現(xiàn)大規(guī)模復雜信息系統(tǒng)安全保護的有效法。安全域劃分是按照安全域的思想，以保障云計算業(yè)務安全為出發(fā)點和立足點，把網(wǎng)絡系統(tǒng)劃分為不同安全區(qū)域，并進行縱深防護。對于云計算平臺的安全防護，需要根據(jù)云平臺安全防護技術(shù)實現(xiàn)架構(gòu)，選擇和部署合理的安全防護措施，并配置恰當?shù)牟呗裕瑥亩鴮崿F(xiàn)多層、縱深防御，才能有效的保證云平臺資源及服務的安全。安全域劃分安全域劃分的原則?業(yè)務保障原則：安全域法的根本目標是能夠更好的保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率；?結(jié)構(gòu)簡化原則：安全域劃分的直接目的和效果是要將整個網(wǎng)絡變得更加簡單，簡單的網(wǎng)絡結(jié)構(gòu)便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數(shù)量過多過雜可能導致安全域的管理過于復雜和困難；?等級保護原則：安全域劃分和邊界整合遵循業(yè)務系統(tǒng)等級防護要求，使具有相同等級保護要求的數(shù)據(jù)業(yè)務系統(tǒng)共享防護手段；?生命期原則：對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計，還要考慮云平臺擴容及因業(yè)務運營而帶來的變化，以及開發(fā)、測試及后期運維管理要求

安全域的邏輯劃分按照縱深防護、分等級保護的理念，基于云平臺的系統(tǒng)結(jié)構(gòu)，其安全域的邏輯劃分如下圖所示:【_理煲理屯m匹【_理煲理屯m匹_J'_夕卜暨建口旦_J〔_亙題因世□區(qū)外郡

接口層ITia*|ITiajs||ITia*|ITiajs||1111II<LI非生產(chǎn)區(qū)—計算服

務層賀源層子反b|-?Ba子Efe___：I：^_J：___J|管理區(qū)資源茁圖四.6云平臺安全域邏輯劃分按照防護的層次，從外向可分為外部接口層、核心交換層、計算服務層、資源層。根據(jù)安全要求和策略的不同，每一層再分為不同的區(qū)域。對于不同的區(qū)域，可以根據(jù)實際情況再細分為不同的區(qū)域。例如，根據(jù)安全等級保護的要求，對于生產(chǎn)區(qū)可以在細分為一級保護生產(chǎn)區(qū)、二級保護生產(chǎn)區(qū)、三級保護生產(chǎn)區(qū)、四級保護生產(chǎn)區(qū)，或者根據(jù)管理主體的不同，也可細分為集團業(yè)務生產(chǎn)區(qū)、分支業(yè)務生產(chǎn)區(qū)。對于實際的云計算系統(tǒng)，在進行安全域劃分時，需要根據(jù)系統(tǒng)的架構(gòu)、承載的業(yè)務和數(shù)據(jù)流、安全需求等情況，按照層次化、縱深防御的安全域劃分思想，進行科學、謹?shù)膭澐郑豢伤腊嵊蔡祝旅娼o出一個安全域劃分的示例，可參考。安全域的劃分示例根據(jù)某數(shù)據(jù)中心的實際情況及安全等級防護要求，安全域劃分如下圖所示：WordWord專業(yè)資料WordWord專業(yè)資料互咲剛接入X廣ifflib対aajs^b壘傾訂證、目錄BH労寫通用耐超oe用亠弋呷'訃T,迄莒瑕勞了區(qū)支攆盛務區(qū)資餘區(qū)WordWord專業(yè)資料WordWord專業(yè)資料說明如下：?互聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡安全設備等，負責實現(xiàn)與163、169、CMNET等互聯(lián)網(wǎng)的互聯(lián)；聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡安全設備等，負責實現(xiàn)與組織部網(wǎng)絡的互連；廣域網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡安全設備等，負責與本組織集團或其他分支網(wǎng)絡的接入；外聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡安全設備等，負責本組織第三合作伙伴網(wǎng)絡的接入，如銀行、合作網(wǎng)絡等；核心交換區(qū)：由支持虛擬交換的高性能交換機組成。負責整個云計算系統(tǒng)部之間、部與外部之間的通信交換；?生產(chǎn)區(qū)：主要包括一系列提供正常業(yè)務服務的虛擬主機、平臺及應用軟件,使提供IaaS、PaaS、SaaS服務的核心組件。根據(jù)業(yè)務主體、安全保護等級的不同，可以進行進一步細分。例如：可以根據(jù)保護等級的不同，細分為四級保護子區(qū)、三級保護子區(qū)、二級保護子區(qū)。另外，為了保證不同生產(chǎn)子區(qū)之間的通信，可以單獨劃分一個負責交換的數(shù)據(jù)交換子區(qū)；非生產(chǎn)區(qū)：非生產(chǎn)區(qū)主要為系統(tǒng)開發(fā)、測試、試運行等提供的邏輯區(qū)域。根據(jù)實際情況，一般可分為系統(tǒng)開發(fā)子區(qū)、系統(tǒng)測試子區(qū)、系統(tǒng)試運行子區(qū)；支撐服務區(qū)：該區(qū)域主要為云平臺及其組件提供共性的支撐服務，通常按照所提供的功能的不同，可以細分為：通用服務子區(qū)：一般包括數(shù)字證書服務、認證服務、目錄服務等；運營服務子區(qū)：一般包括用戶管理、業(yè)務服務管理、服務編排等；管理區(qū)：主要提供云平臺的運維管理、安全管理服務，一般可分為：運維管理子區(qū)：一般包括運維監(jiān)控平臺、網(wǎng)管平臺、網(wǎng)絡控制器等；?安全管理子區(qū)：一般包括安全審計、安全防病毒、補丁管理服務器、安全檢測管理服務器等。?資源區(qū)：主要包括各種虛擬化資源，涉及主機、網(wǎng)絡、數(shù)據(jù)、平臺和應用等各種虛擬化資源。按照各種資源安全策略的不同，可以進一步細分為生產(chǎn)資源、非生產(chǎn)資源、管理資源。不同的資源區(qū)對應不同的上層區(qū)域，如生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)等；?DMZ區(qū)：主要包括提供給Internet用戶、外部用戶訪問代理服務器、Web服務器組成。一般情況下Internet、Intranet用戶必須通過DMZ區(qū)服務器才能訪問部主機或服務；堡壘區(qū)：主要提供部運維管理人員、云平臺租戶的遠程安全接入以及對其授權(quán)、訪問控制和審計服務，一般包括VPN服務器、堡壘機等；運維終端接入?yún)^(qū)：負責云平臺的運行維護終端接入針對具體的云平臺，在完成安全域劃分之后，就需要基于安全域劃分結(jié)果，設計和部署相應的安全機制、措施，以進行有效防護。云平臺不同于一般的IT系統(tǒng)，會涉及多個網(wǎng)絡，下面對此進行簡要說明，再討論云平臺的安全防護。網(wǎng)絡隔離為了保障云平臺及其承載的業(yè)務安全，需要根據(jù)網(wǎng)絡所承載的數(shù)據(jù)種類及功能，進行單獨組網(wǎng)。管理網(wǎng)絡物理設備是承載虛擬機的基礎(chǔ)資源，其管理必須得到格控制，所以應采用獨立的帶外管理網(wǎng)絡來保障物理設備管理的安全性。同時各種虛擬資源的準備、分配、安全管理等也需要獨立的網(wǎng)絡，以避免與正常業(yè)務數(shù)據(jù)通信的相互影響，因此設立獨立的管理網(wǎng)絡來承載物理、虛擬資源的管理流量；?存儲網(wǎng)絡對于數(shù)據(jù)存儲，往往采用SAN、NAS等區(qū)域數(shù)據(jù)網(wǎng)絡來進行數(shù)據(jù)的傳輸，因此也將存儲網(wǎng)絡獨立出來，并于其他網(wǎng)絡進行隔離；WordWord專業(yè)資料WordWord專業(yè)資料WordWord專業(yè)資料?遷移網(wǎng)絡虛擬機可以在不同的云計算節(jié)點或主機間進行遷移，為了保障遷移的可靠性，需要將遷移網(wǎng)絡獨立出來；?控制網(wǎng)絡隨著SDN技術(shù)的出現(xiàn)，數(shù)據(jù)平面和數(shù)據(jù)平面數(shù)據(jù)出現(xiàn)了分離。控制平面非常重要，關(guān)于真?zhèn)€云平臺網(wǎng)絡服務的提供，因此建議組建獨立的控制網(wǎng)絡，保障網(wǎng)絡服務的可用性、可靠性和安全性上面適用于一般情況。針對具體的應用場景，也可以根據(jù)需要劃分其他獨立的網(wǎng)絡，安全防護設計云計算系統(tǒng)具有傳統(tǒng)IT系統(tǒng)的一些特點，從上面的安全域劃分結(jié)果可以看到，其在外部接口層、核心交換層的安全域劃分是基本相同的，針對這些傳統(tǒng)的安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和法進行安全防護。如下圖所示:接□區(qū)営理堆護醫(yī)且聯(lián)網(wǎng)FWWAFWAFWAF圖四.8傳統(tǒng)安全措施的部署豆宜in接□區(qū)営理堆護醫(yī)且聯(lián)網(wǎng)FWWAFWAFWAF圖四.8傳統(tǒng)安全措施的部署豆宜in當然，從上面的安全域劃分結(jié)果可以看到，相對于傳統(tǒng)的網(wǎng)絡與信息系統(tǒng)來講，云平臺由于采用了虛擬化技術(shù)，在計算服務層、資源層的安全域劃分與傳統(tǒng)IT系統(tǒng)有所不同，這主要體現(xiàn)在虛擬化部分，即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務區(qū)、堡壘區(qū)、DMZ區(qū)等。下面在對這些采用了虛擬化技術(shù)的區(qū)域進行重點設計。當然，對于不同的區(qū)域，應按照根據(jù)4.3節(jié)安全保障技術(shù)框架的要求，選擇、落實適用的安全控制措施，下面重點說明。生產(chǎn)區(qū)生產(chǎn)區(qū)部署了虛擬化主機、軟件平臺、應用層，應基于虛擬化技術(shù)實現(xiàn)，因此其安全防護應考慮虛擬化安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等容。虛擬化安全虛擬化安全主要涉及虛擬化組件及其管理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機、虛擬主機、虛擬存儲及虛擬化安全管理系統(tǒng)的安全。對于虛擬化安全主要采用的是安全配置和加固、虛擬化映像防護等。詳細容參見第七章介紹。網(wǎng)絡安全網(wǎng)絡安全主要涉及防火墻、異常流量檢測和清洗、網(wǎng)絡入侵檢測、惡意代碼防護、VPN接入、安全審計等容。防火墻及邊界防護安全域需要隔離，并需要采取訪問控制措施對安全域外的通信進行有效管控。通常可采用的措施有VLAN、網(wǎng)絡設備ACL、防火墻、IPS設備等，這里主要對防火墻的功能、部署進行說明功能訪問控制系統(tǒng)的安全目標是將云計算中心與不可信任域進行有效地隔離與訪問授權(quán)。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡入口點或者安全域的邊界，根據(jù)設定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護部網(wǎng)絡安全的前提下，對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接式按照一定的安全策略進行檢查，來決定網(wǎng)絡之間的通信是否被允。產(chǎn)品形態(tài)對于云計算環(huán)境的邊界隔離，主要采用傳統(tǒng)防火墻、虛擬化防火墻。部署對于云平臺，防火墻需要實現(xiàn)對傳統(tǒng)網(wǎng)絡環(huán)境中的安全域的隔離，也需要實現(xiàn)對虛擬化環(huán)境中的安全域（如生產(chǎn)域及其子區(qū)、生產(chǎn)域及其子區(qū)、支撐服務域及其子區(qū)、管理域及其子區(qū)、DMZ域及其子區(qū)等）的隔離。對于傳統(tǒng)網(wǎng)絡環(huán)境中的安全域可采用傳統(tǒng)防火墻、傳統(tǒng)的部署式即可，而對于虛擬化環(huán)境中的安全域可采用虛擬化防火墻實現(xiàn)。以VMWareESXi虛擬化平臺為例，虛擬化防護墻的部署式如下圖所示：WordWord專業(yè)資料WordWord專業(yè)資料WordWord專業(yè)資料ESX四圾保護區(qū)訓朮屜務器區(qū)心叩服務器區(qū)器區(qū)Mtei服努器區(qū)圖四.9虛擬化防火墻部署網(wǎng)絡異常流量監(jiān)測與分析云計算中心部署的應用和業(yè)務非常豐富，如基于流媒體的音視頻服務，VPN業(yè)務等等，必然會受到各種網(wǎng)絡攻擊，如DDOS，進而出現(xiàn)大量異常流量。在這種流量成分日益復雜，異常流量海量涌現(xiàn)的情況下，對網(wǎng)絡流量進行實時監(jiān)測和分析，從而全面了解流量的各種分布以及變化趨勢就顯得十分必要了。功能網(wǎng)絡流量分析系統(tǒng)在云計算中心運營維護中的作用體現(xiàn)在兩個面：異常流量監(jiān)測分析和流量統(tǒng)計分析。由于互聯(lián)網(wǎng)上存在大量的異常流量，尤其是大流量的抗拒絕服務（DDoS）攻擊經(jīng)常造成鏈路擁塞，以至于網(wǎng)絡無常提供服務甚至造成整個網(wǎng)絡環(huán)境完全癱瘓。因此異常流量監(jiān)測分析是網(wǎng)絡流量分析系統(tǒng)的首要任務，下面詳細闡述流量統(tǒng)計分析和異常流量檢測分析的功能。?流量統(tǒng)計分析?流量統(tǒng)計分析應用組成分布、變化趨勢，并生成相應的統(tǒng)計報表。統(tǒng)計對象的粒度可以為IP地址、IP地址段、用戶（用IP地址或地址段的組合來定義）。流量的地域分布顯示對某個主機（或地址段、用戶）的訪問流量來自哪些地域。流量統(tǒng)計結(jié)果對流量工程具有很重要的參考價值。應用組成分布顯示云計算中心部各種業(yè)務的開展情況，結(jié)合地域分布的信息，也可以指導流量工程。流量的變化趨勢顯示流量隨時間的變化規(guī)律以及峰值時段對帶寬的占用情況，這些數(shù)據(jù)有助于進行云計算中心容量規(guī)劃。?異常流量監(jiān)測分析雙向異常流量監(jiān)測異常網(wǎng)絡流量分析系統(tǒng)應對網(wǎng)絡中的由至外、由外至的流量進行雙向監(jiān)測，即可監(jiān)測外發(fā)異常流量，也可監(jiān)測外來異常流量；異常流量定位異常網(wǎng)絡流量分析系統(tǒng)應對網(wǎng)絡中的流量進行持續(xù)監(jiān)控和實時分析，并對異常流量進行及時的發(fā)現(xiàn)、告警和定位，使網(wǎng)管人員能夠準確的發(fā)現(xiàn)異常流量進入網(wǎng)絡的端口和攻擊目標；異常流量分析異常網(wǎng)絡流量分析系統(tǒng)對異常流量進行詳細的分析，對異常流量的行為進行記錄和分析，使網(wǎng)管人員能夠準確的了解異常流量的行為特征；異常流量防異常網(wǎng)絡流量分析系統(tǒng)能夠針對網(wǎng)絡中的異常流量提供防法和建議，使網(wǎng)管人員能夠快速應對網(wǎng)絡中的異常流量，將異常流量對網(wǎng)絡和用戶的影響減少到最低；異常流量記錄異常網(wǎng)絡流量分析系統(tǒng)應對網(wǎng)絡中發(fā)生的異常流量進行記錄，網(wǎng)管人員可以查詢系統(tǒng)的歷史記錄，分析網(wǎng)絡異常流量的類型、特點和趨勢，總結(jié)長期預防異常流量的手段和法；?異常流量過濾異常網(wǎng)絡流量分析系統(tǒng)能夠根據(jù)異常流量的特點、向，通知其他安全設備對異常流量進行過濾、清洗或壓制。或者通知運維人員進行手動處理，以防止或減少云計算中心受異常流量的影響目前業(yè)界的通常解決案是異常流量檢測分析系統(tǒng)與抗拒絕服務攻擊系統(tǒng)聯(lián)動部署實現(xiàn)異常流量分析和過濾，異常流量檢測分析系統(tǒng)將異常告警信息實時通告給抗拒絕服務攻擊系統(tǒng)，由抗拒絕服務攻擊系統(tǒng)實施異常流量過濾凈化，將凈化后的流量回注。抗拒絕服務攻擊系統(tǒng)的在后面的章節(jié)詳細闡述。產(chǎn)品技術(shù)選型目前網(wǎng)絡流量分析產(chǎn)品主要有兩大類型：?類型一：基于流（FLOW）信息的流量分析產(chǎn)品，流（FLOW）信息由網(wǎng)絡中的路由器和交換機產(chǎn)生，流量分析設備根據(jù)流（FLOW）信息進行流量分析；?類型二：基于應用層分析的深度包檢測產(chǎn)品（DPI），采用端口鏡向或分光式將需要分析的數(shù)據(jù)流轉(zhuǎn)發(fā)給流量分析設備基于流（FLOW）信息的流量分析產(chǎn)品具有如下特性，1）采用旁路式進行部署，不會影響業(yè)務；2）能夠支持大流量大圍網(wǎng)絡的分析需求，由于流（FLOW）數(shù)據(jù)是對網(wǎng)絡實際轉(zhuǎn)發(fā)數(shù)據(jù)流的聚合與抽象，相對于DPI設備投資較少；3）對于大流量監(jiān)測來講，其檢測準確率可以達到99.99%。對于云平臺，其數(shù)據(jù)流量較大，且置的虛擬交換機可以直接輸出Netflow數(shù)據(jù)流，因此建議在云計算中心采用基于流（FLOW）信息的流量分析產(chǎn)品。系統(tǒng)組成和形態(tài)基于Netflow技術(shù)安全檢測與分析系統(tǒng)主要包括異常流量檢測系統(tǒng)和綜合分析平臺。WordWord專業(yè)資料WordWord專業(yè)資料對于異常網(wǎng)絡流量監(jiān)測系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。考慮的設備的性能以及與流量清洗設備聯(lián)動的要求，可同時采用兩種形態(tài)。部署建議綜合分析云計算中心的實際情況，其異常流量主要來自互聯(lián)網(wǎng)、第三網(wǎng)絡、企業(yè)廣域網(wǎng)，還包括虛擬機之間互相攻擊的異常流量。因此需要在云平臺的互聯(lián)網(wǎng)出口、外聯(lián)網(wǎng)出口、廣域網(wǎng)出口，以及生產(chǎn)區(qū)域邊界、DMZ區(qū)域邊界上部署異常流量監(jiān)測系統(tǒng)（旁路部署Netflow流量采樣檢測模塊），實現(xiàn)流量統(tǒng)計分析、路由分析、異常流量檢測。它既可以作為流量監(jiān)控分析產(chǎn)品對網(wǎng)絡流量進行深入分析，從而全面了解各類流量的分布以及變化趨勢；也可分析諸如DDoS攻擊、網(wǎng)絡濫用誤用、P2P流量等異常流量。異常流量檢測系統(tǒng)基于Netflow數(shù)據(jù)，其采集點是主要物理/虛擬交換機上，可根據(jù)需要靈活部署。以VMWareESXi虛擬化平臺為例，一般部署情況如下圖所示:Netflow^1虛鮭異

常流量監(jiān)Di$trllXiUVirtualSwitchDistributeVirtualSwitchDistributeVirtualSwitch互麻網(wǎng)接入?yún)^(qū)Netflow^1虛鮭異

常流量監(jiān)Di$trllXiUVirtualSwitchDistributeVirtualSwitchDistributeVirtualSwitch互麻網(wǎng)接入?yún)^(qū)虛擬化物玦圖四.10異常流量監(jiān)測系統(tǒng)部署網(wǎng)絡入侵檢測云計算對外提供服務，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無限放大，在云計算中心網(wǎng)絡出口采用入侵檢測機制，收集各種信息，由置的專家系統(tǒng)進行分析，發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡入侵檢測系統(tǒng)捕獲分析網(wǎng)絡中的所有報文，發(fā)現(xiàn)其中的攻擊企圖，根據(jù)事先制定的策略通知管理員或自行采取保護措施。功能入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。從網(wǎng)絡安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到更高的重視。入侵檢測系統(tǒng)可實時監(jiān)控云計算中心網(wǎng)絡中的數(shù)據(jù)訪問和系統(tǒng)事件，及時發(fā)現(xiàn)攻擊行為并作為分析證據(jù)并對可疑的訪問行為進行自動響應。利用入侵檢測系統(tǒng)的攻擊結(jié)果判定功能重點關(guān)注攻擊成功的安全事件。針對某些特定的安全規(guī)則單獨設定安全策略，針對云計算中心業(yè)務特點過濾一些低風險或者不可能成功的攻擊行為，從而減少管理員關(guān)注日志告警的工作量，也使得重要攻擊行為能夠得到重點體現(xiàn)。同時，可以針對業(yè)務特點自定義某些特定的安全規(guī)則。如敏感容信息過濾，設置自定義的關(guān)鍵字過濾檢測規(guī)則，通過與防火墻的聯(lián)動或自身發(fā)送的TCPKiller數(shù)據(jù)包，將涉及敏感信息的TCP會話阻斷，防止信息泄露或者一些非法的網(wǎng)絡信息傳遞。產(chǎn)品組成和形態(tài)網(wǎng)絡入侵檢測系統(tǒng)一般包括網(wǎng)絡入侵檢測設備和綜合分析平臺。網(wǎng)絡入侵檢測設備主要有傳統(tǒng)硬件網(wǎng)絡入侵檢測設備（NIDS）和虛擬化網(wǎng)絡入侵檢測設備（vNIDS）兩種產(chǎn)品形態(tài)。

部署建議入侵檢測系統(tǒng)應部署在已被入侵的高危區(qū)域或者關(guān)鍵區(qū)域。包括互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，以及關(guān)鍵的計算服務域。對于互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，可采用傳統(tǒng)的IDS，而對于位于虛擬化平臺上的關(guān)鍵計算服務域可以用虛擬化入侵檢測系統(tǒng)，并可部署一套綜合分析系統(tǒng)，對系統(tǒng)所有入侵檢測日志進行統(tǒng)一存儲、分析和呈現(xiàn)。以VMWareESXi虛擬化平臺為例，一般部署情況如下圖所示:綜合分折■JDistributeVirtualSwitch■■DistributeVirtualSwitchESX綜合分折■JDistributeVirtualSwitch■■DistributeVirtualSwitchESX物理BM:******檢追姻進圖四.11網(wǎng)絡入侵檢測系統(tǒng)部署圖vNIDSDistributeVirtualSwitch主機安全主機安全與傳統(tǒng)安全相同，這里不再贅述。應用安全Web應用防護云計算中心一般都是采用Web的式來對外提供各類服務特別是在Web2.0的技術(shù)趨勢下,5%以上的攻擊都瞄準了（Web）。這些攻擊可能導致云計算服務提供商遭受聲譽和經(jīng)濟損失，可能造成惡劣的社會影響。Web應用防護技術(shù)通過深入分析和解析HTTP的有效性、提供安全模型只允已知流量通過、應用層規(guī)則、基于會話的保護，可檢測應用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護云計算平臺的Web服務器，確保云計算平臺Web應用和服務免受侵害。Web防護技術(shù)與傳統(tǒng)防火墻/IPS系統(tǒng)相比較，Web應用防護技術(shù)將提供一種安全運維控制手段，基于對HTTP/HTTPS流量的雙向分析，為WEB應用提供實時的防護。?對HTTP有本質(zhì)的理解:能完整地解析HTTP，包括報文頭部、參數(shù)及載荷。支持各種HTTP編碼（如chunkedencoding）;提供格的HTTP協(xié)議驗證；提供HTML限制；支持各類字符集編碼；具備response過濾能力；?提供應用層規(guī)則：WEB應用通常是定制化的，專統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應用層規(guī)則，且具備檢測變形攻擊的能力，如檢測SSL加密流量中混雜的攻擊；?提供正向安全模型（白模型）：僅允已知有效的輸入通過，為WEB應用提供了一個外部的輸入驗證機制，安全性更為可靠；?提供會話防護機制：HTTP協(xié)議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進行有效補充，防護基于會話的攻擊類型，如cookie篡改及會話劫持攻擊

Web應用防護技術(shù)將以一個可閉環(huán)又可循環(huán)的式去降低潛在的威脅，對于事中疏漏的攻擊，可用事前的預發(fā)現(xiàn)和事后的彌補，形成環(huán)環(huán)相扣的動態(tài)安全防護。事前是用掃描式主動檢查并把結(jié)果形成新的防護規(guī)則增加到事中的防護策略中，而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此，不能進一步修改和損壞文件，對于要求信譽高和完整性的用戶來說，這是尤為重要的環(huán)產(chǎn)品形態(tài)對于網(wǎng)絡應用防火墻，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。在虛擬化的環(huán)境中，應選擇虛擬化產(chǎn)品形態(tài)，并可以實現(xiàn)和安全檢測系統(tǒng)、Web安全掃描系統(tǒng)進行聯(lián)動。產(chǎn)品部署Web應用防火墻應部署在Web服務器之前，并邏輯串聯(lián)。根據(jù)需要可選擇透明模式、路由模式或者反向代理模式。以VMWareESXi虛擬化平臺為例，其部署式如下圖所示:ESXJ-WsbserverDistribute

vWAFDistributeVirtualSwitch圖四.12DistributeVirtualSwitch圖四.12虛擬化Web應用防火墻部署崗Mt物理網(wǎng)頁防篡改網(wǎng)頁防篡改系統(tǒng)可以仍舊部署在Web服務上，實現(xiàn)防篡改功能，其功能、技術(shù)實現(xiàn)與部署與傳統(tǒng)式相同，這里不再贅述。安全監(jiān)測技術(shù)見安全管理區(qū)的描述。數(shù)據(jù)安全對于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、遷移、銷毀以及備份和恢復的全生命期，并在數(shù)據(jù)的不同生期階段采用數(shù)據(jù)分類分級、標識、加密、審計、擦除等手段。另外，在采用了這些基礎(chǔ)防護技術(shù)措施之外，還應考慮數(shù)據(jù)庫審計、數(shù)據(jù)防泄露以及數(shù)據(jù)庫防火墻的手段，最大限度地保證云平臺中的數(shù)據(jù)安全。非生產(chǎn)區(qū)對于非生產(chǎn)區(qū)部署的主機、應用一般與生產(chǎn)區(qū)基本相同，因此，對于非生產(chǎn)區(qū)的安全防護可以借鑒生產(chǎn)區(qū)的防護法，這里不再贅述。DMZ區(qū)DMZ區(qū)主要部署了生產(chǎn)區(qū)核心應用的一些代理主機、web主機等，其直接面向來自互聯(lián)網(wǎng)的網(wǎng)絡訪問，受到的威脅程度高，應進行重點防護。對于DMZ區(qū)的安全防護可以借鑒生產(chǎn)區(qū)的防護法，這里不再贅述。需要說明是的：為了保證系統(tǒng)安全防護的可靠性，其安全防護措施，如防火墻，應與網(wǎng)絡接入?yún)^(qū)、生產(chǎn)區(qū)等防護措施形成多層異構(gòu)模式。WordWord專業(yè)資料WordWord專業(yè)資料堡壘區(qū)VPN接入VPN接入可以采用傳統(tǒng)VPN接入設備，也可以采用虛擬化的VPN接入設備。其實現(xiàn)式與傳統(tǒng)式基本相同，這里不再贅述。堡壘機云平臺的管理運維人員、第三運維人員以及租戶需要多云計算平臺的主機、應用及網(wǎng)絡設備進行管理、維護操作。為了發(fā)現(xiàn)和防止不當操作、越權(quán)操作的發(fā)生，需要對此類用戶進行認證、授權(quán)、訪問控制和審計。堡壘機就是完成上述功能的關(guān)鍵設備，典型應用場景如下圖所示：網(wǎng)絡設備和服務器區(qū)UNIX/LINUXServerWindows網(wǎng)絡設備安全設備DBserver■RDP//VNC/FTP/SFTP網(wǎng)絡設備和服務器區(qū)UNIX/LINUXServerWindows網(wǎng)絡設備安全設備DBserver■RDP//VNC/FTP/SFTPi審計控制臺WEB維護人員云平臺管理/運維人員第三方代維人員云平臺租戶圖四.13堡壘機應用場景功能堡壘機可以提供一套先進的運維安全管控與審計解決案，目標是幫助云計算中心運維人員轉(zhuǎn)變傳統(tǒng)IT安全運維被動響應的模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風險，滿足合規(guī)要求，保障企業(yè)效益，主要實現(xiàn)功能如下：集中賬號管理建立基于唯一身份標識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現(xiàn)與各服務器、網(wǎng)絡設備等無縫連接；集中訪問控制通過集中訪問控制和細粒度的命令級授權(quán)策略，基于最小權(quán)限原則，實現(xiàn)集中有序的運維操作管理，讓正確的人做正確的事；WordWord專業(yè)資料WordWord專業(yè)資料集中安全審計基于唯一身份標識，通過對用戶從登錄到退出的全程操作行為進行審計，監(jiān)控集中安全審計用戶對目標設備的所有敏感操作，聚焦關(guān)鍵事件，實現(xiàn)對安全事件地及時發(fā)現(xiàn)預警，及準確可查產(chǎn)品形態(tài)對于堡壘機，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應的產(chǎn)品形態(tài)。部署云計算平臺的管理用戶類型主要包括：云平臺運維管理人員、第三管理人員以及云平臺租戶。從網(wǎng)絡訪問途經(jīng)講，有部網(wǎng)絡訪問和來自互聯(lián)網(wǎng)的訪問。堡壘機部署在管理終端和被管理設備之間，并實現(xiàn)邏輯上的串聯(lián)部署，同時，堡壘機應部署在管理平面，實現(xiàn)和用戶數(shù)據(jù)的隔離。以VMWareESXi虛擬化平臺為例，一般部署情況如下圖所示:DistributeVirtualSwitctiDistributeDistribute

DistributeVirtualSwitctiDistributeDistribute

VirtualSwitch圖四.14堡壘機部署圖支撐服務區(qū)支撐服務區(qū)的安全防護與傳統(tǒng)IT系統(tǒng)的支撐服務區(qū)相同，主要部署防火墻、入侵檢測等防護、數(shù)據(jù)庫審計、信息防泄露等防護措施，這里不再贅述。管理區(qū)管理區(qū)可以細分為運維管理子區(qū)、安全管理子區(qū)。運維管理子區(qū)主要部署虛擬化管理平臺、云運維管理平臺、網(wǎng)絡管理平臺等，其防護與傳統(tǒng)的IT系統(tǒng)基本相同，不再贅述。對于安全管理子區(qū)，一般會集中化部署安全防護措施的管理服務器、提供通用安全服務的服務平臺，如綜合安全管理服務器、防病毒服務器、安全檢查評估系統(tǒng)、安全態(tài)勢監(jiān)測系統(tǒng)等，實現(xiàn)"大院式"防護，降低防護成本。虛恥虛恥對于云平臺來講，這里采用的安全防護措施可與虛擬化管理平臺、云管理平臺有機集成，如實現(xiàn)虛擬機配置/活動信息的獲取、租戶信息的獲取、虛擬機所部署應用的信息的獲取等，以實現(xiàn)全程自動化實現(xiàn)。WordWord專業(yè)資料WordWord專業(yè)資料安全檢查/評估系統(tǒng)所有的IT組件都會有安全漏洞或者配置弱點，需要部署安全檢查/評估系統(tǒng)對系統(tǒng)進行持續(xù)安全檢查、掃描，并自動化分析系統(tǒng)存在的問題，給出應對策略。功能安全掃描技術(shù)主要是用來評估計算機網(wǎng)絡系統(tǒng)的安全性能，是網(wǎng)絡安全防御中的一項重要技術(shù)，其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞/配置弱點進行逐項檢查。安全掃描系統(tǒng)可對云平臺主機/設備/應用進行定期掃描、評估，分析客戶業(yè)務系統(tǒng)當前的設置和防御，指出潛在的安全漏洞，以改進系統(tǒng)對入侵的防御能力。掃描的目標包括工作站、服務器、路由器、交換機、數(shù)據(jù)庫應用等各種對象，根據(jù)掃描結(jié)果向系統(tǒng)管理員提供安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。產(chǎn)品形態(tài)對于安全評估系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應的產(chǎn)品形態(tài)。部署建議在共享式工作模式下，只要將安全評估系統(tǒng)接入云平臺安全管理子區(qū)網(wǎng)絡并進行正確的配置即可正常使用，其工作圍可以覆蓋到云平臺網(wǎng)絡地址可達之處。運維人員可以從任意地址登錄安全評估系統(tǒng)并下達掃描任務。安全監(jiān)測技術(shù)云計算平臺所部署了大量，需要對這些進行持續(xù)、動態(tài)偵測，提早發(fā)現(xiàn)問題和漏洞，增強客戶訪問體驗。技術(shù)原理與功能傳統(tǒng)的安全監(jiān)管式通常是采用Web應用安全掃描工具期性的對進行安全掃描與評估，然后根據(jù)評估結(jié)果進行安全加固和風險管理。這種安全檢查工作是一種靜態(tài)的檢查工作，能夠反映站點被檢查那一時期站點的安全問題，但是缺少風險的持續(xù)監(jiān)測性。安全監(jiān)測技術(shù)根據(jù)系統(tǒng)監(jiān)管要求，通過對目標站點進行頁面爬取和分析，為用戶提供透明模式的遠程集中化安全監(jiān)測、風險檢查和安全事件的實時告警，并為用戶提供全局視圖的風險度量報告，非常適用于為租戶提供安全增值服務。安全監(jiān)測技術(shù)具體包括Web爬蟲與智能分析、Web頁面預處理與分級檢測、網(wǎng)頁木馬檢測與分析，實現(xiàn)漏洞掃描、網(wǎng)頁掛馬監(jiān)測、網(wǎng)頁敏感容監(jiān)測、網(wǎng)頁篡改監(jiān)測、平穩(wěn)度監(jiān)測、域名解析監(jiān)測等功能，能夠從站點的脆弱性、完整性、可用性三面全位的對站點的安全能力要求進行監(jiān)管，并且可為一個大型的站點群同時提供安全監(jiān)測的能力。產(chǎn)品形態(tài)對于安全檢測，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)