方案描述
Scheme description
本方案主要针对公有云上租户提供一套整体安全解决方案,提供资源弹性、按需分配、自动化的安全服务,满足云计算基础安全保障要求。此方案实现从整体出发,保障云承载的各种业务、服务的安全。借鉴等级保护的思想,依据公安部、工信部关于等级保护的要求,对云平台和云租户等不同的保护对象实行不同级别的安全保护,满足合规要求。
云安全模式
Cloud security mode
物理与环境
物理与环境部分,依据相关标准规范,通过对整个项目的土建、机房工艺、电气智能化等建设满足要求,具体方案详见该部分设计。
根据中央网信办关于《加强党政部门云计算服务网络安全管理的意见》[2014]14号文,云服务方若在中国境内提供云服务时,必须确保其云计算基础设施位于中国境内。另外,为党政部门提供云服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。
网络与通信
(1)网络构架- 云计算平台的等级大于等于其承载的业务应用系统的等级;
- 云计算管理平台应支持虚拟化网络拓扑结构的展现,且应能在发生虚拟化网络资源变更时(新建虚拟机、虚拟机网络接口变化、虚拟机迁移等)提供实时更新和集中监控;
- 不同云租户的虚拟网络之间应使用隔离技术(例如、vFW、VPC等);
- 云计算管理平台应保证虚拟机只接收目的地址包括自己地址的报文,避免发生报文转发错误,造成信息泄漏;
- 通过使用不同的物理交换机来保证云平台管理流量与租户业务流量的分离;同时应能实现宿主机上业务口和管理口的分离;
- 能识别和监控虚拟机之间、虚拟机与物理机间的流量,尤其是同一台宿主机上多个虚拟机间通信,可以将流量从宿主机中引出到外部网络中来实现识别和监控目标;
- 云计算平台保持一定的开放性(例如主流的Openstack+KVM),支持开放接口接入第三方安全产品,实现租户安全服务的多样化,避免租户被绑定;
- 云服务方按需提供安全服务,而安全策略集的设置是由云租户根据自身业务需求进行自主操作,云服务方提供的安全服务应可以实现云租户安全的自服务;另外安全服务应该可编排,从而实现定义访问路径、选择安全组件、配置安全策略;
- 云计算管理平台禁止云租户虚拟机访问宿主机;
- 在云计算环境中,识别虚拟化网络边界,部署访问控制设备(vFW),并配置ACL;
- 在云环境中,安全及相关策略随虚拟机迁移,保证前后访问控制策略的一致;
- 云租户可以对自己的不同云主机之间配置访问策略;
- 不同安全等级业务系统使用不同的物理服务器来承载,同时其网络区域边界应部署访问控制设备(FW)
- 在云租户的网络边界部署入侵检测系统(IPS/IDS或NGFW),实现网络攻击的监测、告警和记录,同时保证入侵检测设备的特征库及时更新;
- 通过vIDS检测虚拟机到宿主机之间的异常流量,并进行告警;
- 云服务方应提供7*24小时的网站监测服务(websafe),全天候针对云租户互联网发布内容实时监测,发现违规有害信息及时通过短信、邮件等方式告知云租户
- 云计算安全管理平台提供权限设置功能,在保证安全的远程管理前提下,通过安全审计设备对远程用户的操作命令实时审计;
- 根据职责划分,云服务方和云租户收集各自控制部分的审计数据,相互之间不可交叉访问,云服务商和云租户的应使用各自的审计设备,数据分开存放;
- 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
- 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;
设备与计算
(1)身份鉴别- 网络策略控制器是云网络区别与传统网络的集中管理系统(一般包括网络和安全控制器),控制器端和被管设备端应支持双向身份验证机制,即控制器端验证主动接入的被管设备端,被管设备端在执行控制器端的策略时应先对其进行身份验证,目的都是防止恶意接入云网络;
- 远程管理时应首先保证传输信道的加密安全,使用VPN技术,同时远程管理终端和VPN服务端应建立双向身份验证机制;
- 根据中网办发文【2014】14号发文中“数据归属关系不变”的原则,云租户提供给云服务方或第三方的数据、设备等资源,以及在云计算平台上云租户业务系统运行过程中收集、产生、存储的数据和文档等资源属云租户所有,未经云租户授权(建议通过合同等手段进行约束),不得访问、修改、披露、利用、转让、销毁云租户数据,在服务合同终止时,应按照要求做好数据、文档等资源的移交和清楚工作;
- 云计算安全管理平台应具备精细灵活的权限划分机制,为不同的管理员分配不同不同账户并分配相应的权限,应遵循“最小权限”划分原则;
- 将云服务方对云租户系统和数据的操作审计发送给第三方审计,云租户通过第三方审计进行查看,防止云服务方的恶意删除;
- 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
- 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;
- 入侵防范系统若发现虚拟机之间的异常访问流量,应进行告警。
- 云管理平台应通过API将非授权新建虚拟机或着重启虚拟机等记录发送给入侵防范系统,且入侵防范系统发现问题及时告警;
- 云环境中应部署恶意代码防护措施(主机和网络杀毒),对监测到的恶意行为进行清除和告警,同时要保证病毒库的及时更新;
- 云计算平台应保证虚拟机之间、虚拟机与宿主机之间的安全隔离,当某一个虚拟机故障,不应影响虚拟机监视器和其他虚拟机;
- 云计算管理平台应提供统一的资源调度管理功能,并支持策略设置,将物理资源和虚拟资源统一管理调度和分配
- 云计算平台应能做到单一虚拟机仅能使用为其分配的计算资源,防止资源隔离实效,发生资源蔓延;
- 不同等级的虚拟机,安全防护能力不同,当虚拟机发生迁移,迁移前后的资源池等级必须相同,若虚拟机在不同等级的资源池间迁移,应具备网络访问控制或隔离措施,禁止迁移;
- 云计算管理平台应提供虚拟机内存独占模式,防止发生内存泄漏
- 云计算管理平台应支持对虚拟机的虚拟网卡、虚拟交换机的端口进行QoS设置,并应能将其监控信息发送给独立的流量分析系统
- 云计算管理平台应提供接口将其监控信息上送给专业的监控平台,实现集中监控(例如SOC平台)
- 在云环境中,虚拟机的部署一般都是通过虚拟机镜像模板部署的,其安全性非常重要,为防止虚拟机镜像被恶意篡改云计算平台应具备完整性校验功能(例如文件Hash),包括虚拟机快照;
- 针对虚拟机镜像和快照的访问,应至少设置密码,防止非授权访问。
- 可通过操作系统加固服务,按照“最小化软件部署+补丁最新+安全软件”的原则针对重要业务系统的操作系统镜像加固;
应用与数据
(1)安全审计- 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
- 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;
- 将云服务方对云租户系统和数据的操作审计发送给第三方审计,云租户通过第三方审计进行查看,防止云服务方的恶意删除;
- 部署监测平台(例如:态势感知平台),对应用系统运行状态监测,发现异常及时告警;
- 不同云租户的应用系统及开发平台之间应部署访问控制或隔离措施,保证资源隔离(互相不影响)、网络隔离(VPC网络)、主机隔离(不同计算资源池);
- 云服务方应通过安全技术评估服务,对云计算平台提供的对外接口进行安全性评估;
- 云计算平台应具备虚拟机迁移过程中数据完整性的保障机制(内存拷贝、虚拟机快照、HA等);
- 云租户敏感信息必须境内存储,未经批准不得在境外传输、处理、存储;
- 云计算平台运维过程中产生的数据(配置数据、日志信息等)不得出境;
- 虚拟机迁移网络应使用专有通道(视情况启用加密机制)保证迁移路径的安全;
- 为保障云租户云上的数据安全,云服务方应支持云租户在其平台上部署密钥管理解决方案,实现云租户自行针对其敏感数据进行加解密,同时建议密钥本地备份存储;
- 网络策略控制器与网络设备之间通信流量应使用加密技术,例如https或ssh等协议传输,防止被窃听和嗅探;
- 制定备份策略,云租户应将其云上的业务数据备份一份到自己的本地数据中心,避免云上数据丢失,造成损失;
- 云计算平台应提供查询云租户数据及备份存储位置的方式,同时做好账户和权限的分配,防止非授权访问;
- 不同云租户的审计数据建议存放于云租户自己的VPC内部;
- 现实的云计算服务过程中,往往是“上云容易下云难”,该项要求明确了云服务方在云租户退出服务应提供协助,包括不限于迁出时云计算平台的接口和方案,并按照合同约定,完成数据移交和删除工作;
对于采用PaaS服务模式的,云平台对中间件、数据库产品等进行策略的制定和规范管理,并且通过接口、协议与安全产品相结合,实现统一安全管理、监测、阻断。
(1)接口安全- 采用加密或签名等安全技术,保障资源访问的API接口安全;
- 云平台中间件需要对应用开发API接口,以便对应用进行安全测控和异常分析,以及对开发环境的安全检测;
- 云平台需要对开放的API端口提供漏洞检测、行为及数据异常情况的监控和告警,发现问题及时通知租户,并协助租户及时处置;
- 云平台提供给租户开发环境的数据库、中间件等服务进行实时的漏洞监测,并且及时执行补丁更新;
- 云平台需要提供Web漏洞监测手段,对应用系统代码漏洞或异常及时通知租户,并督促其及时整改;
- 云平台需要对开发环境中数据库/中间件服务的使用、端口的开放及使用过程进行实时监测和控制;
- 云平台需要给所提供的中间件安装所适用的安全补丁;
- 云平台需要依据安全策略控制租户对中间件服务的访问;
- 云平台需要对应用部署的中间件服务状态进行实时监控;
- 云平台需要对租户登录访问中间件服务的所有访问和操作行为进行审计。
- 云平台需要给所提供的数据库安装其适用的所有安全补丁;
- 云平台需要提供应用部署的数据库服务状态实时监控;
- 云平台需要提供数据库审计系统对所提供的数据库访问和操作行为进行审计;
- 云平台需要提供应用部署的数据库服务的状态实时监控;
- 云平台需要依据安全策略控制租户对数据库服务的访问;
- 云平台需要通过配置人员权限控制策略,保证各司其职。
(1)身份鉴别
- 云平台需要在应用系统中提供双因子认证,通过CA认证系统、身份认证网关具备身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查的能力;
- 云平台需要在应用系统中提供登录控制模块对登录用户进行身份标识和鉴别,以及开发登录失败处理模块;
- 云平台需要应用系统中提供访问控制能力,可实现用户对文件、数据库表等的访问控制功能,授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
- 云平台需要为应用系统提供网页防篡改系统和虚拟WEB防火墙能力,可达到对WEB应用的非法恶意访问行为进行有效控制。
- 云平台需要为应用系统和数据库提供用户操作行为的安全审计功能,实现对应用系统重要安全事件的审计,对审计记录数据的统计、查询、分析及生成审计报表的功能。
- 云平台需要所提供的安全审计功能,需具备收集云服务方和云租户各自控制的应用审计数据,保证审计数据的真实性和完整性,并能实现集中审计的能力;
- 云应用系统的安全审计功能具备审计数据接口,并可供第三方审计。
- 通过在应用系统中开发数据消除机制实现对系统内的文件、目录和数据库记录以及用户鉴别信息进行清除。
- 通过云综合管理平台实现对虚拟机所使用的内存和存储空间回收时完全清除。
- 通过密码技术保证通信过程中数据的完整性(详见密码和网络信任服务系统设计)。
- 通过VPN链路加密满足通信保密性的要求,具体为在通信之前进行初始化验证,并对通信过程中的整个报文或会话过程进行加密。
- 通过CA认证系统实现在访问请求的情况下为数据原发者或接收者提供数据原发证据、数据接收证据。
- 通过在应用系统中开发设置输入验证、错误信息处理、错误恢复功能满足软件容错要求。
- 通过在应用系统中开发设置资源控制功能实现服务优先级设定功能,对并发会话连接数、多重并发会话等进行限制。
- 通过VDC、VPC、VXLAN等网络技术实现不同云租户的应用系统及开发平台之间的隔离;
- 通过云平台对应用系统的运行状况进行监测,并在发现异常时进行告警;
- 部署虚拟负载设备实现云租户访问的优先级设置。
- 通过密码技术和信任服务系统对租户(用户)的隐私进行保护,防止租户内容泄漏。
方案技术架构
Scheme Technology Architecture
参照国家相关安全规范要求,结合云计算平台的建设需求和技术理念,从安全技术、安全管理两个维度出发,按照等级保护定级结果和安全防护策略思路,构建完整、有效、可信、特色的云平台安全保障体系架构,确保以云为基础的业务信息系统安全。
如图所示,按照等级保护要求分别对云平台和云租户提出定级要求,在实施阶段以运维门户、租户门户分离各自的安全需求,在云平台层面对接安全资源池,依托安全资源池提供的能力,从物理设备安全、虚拟网路安全、数据安全、应用安全、虚拟主机安全分别满足等保要求。同时通过运维门户对资源进行统一管理、调度;并对安全资源进行封装向云租户提供符合等级保护要求的安全服务。
方案业务场景
Scenario business scenario
- 一平台两门户设计同时满足云平台及云租户的等级保护合规要求。如图所示通过运维门户管理云平台安全资源,从网络、主机、应用、数据等方面全面保障云平台安全;通过租户门户将资源池安全能力包装成租户所需的安全服务提供给租户使用,以满足租户的合规需求。
-
- 运维门户
- 安全资源管理
- 安全服务资源管理主要包括当前节点业务域虚拟化安全服务资源(如虚拟WAF、虚拟NIDS等)的新增、停用、退服等管理功能,以及对安全服务资源的性能故障的监控功能。
- 安全事件展示
-
事件监控
提供对经过处理后的安全事件的展现界面,能够实时监控、显示安全事件,并以多种方式进行不同级别安全事件的呈现:
告警转发
需要将严重级别比较高的安全事件,转发给告警管理进行进一步的处理;
事件统计分析
对安全监控管理收集到的各种历史安全事件提供查询功能,并可以对安全事件进行统计分析和报表在输出。
安全告警响应
提供告警的确认和清除功能。
短信传递功能
在安全告警形成之后,安全事件管理由立即以预设规则向告警相关安全对象负责人发送短信通知,同一安全对象、同一类事件在24小时内只发送一次,支持不同级别告警、不同价值安全对象的告警以不同的形式、不同的优先级发送,支持在短信响应参数中进行设置。
短信告警正文不应超过70个字符,支持在响应规则中设置,告警正文必须包括的内容有:发生时间、事件类型、安全对象、告警编号。
安全告警集中呈现
通过在运维门户对告警信息进行集中呈现;
安全响应支持功能
安全运维响应管理中提供对安全运维人员的有力技术支持功能
安全态势感知
系统提供全面的网络威胁入侵检测分析功能,深入分析网络流量信息,对全网各节点进行实时监测,并支持多种图表的威胁告警方式。
多维度可视化
可视化展现要求支持多种常见图形,如折线图、饼状图、柱状图、条形图等。同时支持对于复杂展示方式,如热力图、散点图、图标叠加等。用户可选择使用。 - 安全运营管理
- 运营分析管理主要是对安全服务运维、经营过程进行量化管理,主要包括安全服务订购分析、安全信息统计分析、安全运维统计分析、客户行为分析等功能,以便可以进行安全服务优化升级、推进运维管理水平的提升。
- 服务订购分析
- 安全服务订购统计分析情况,不仅提供端的运营分析,同时也可向用户提供,以便用户进行差距分析对比。
- 安全信息统计
- 安全信息统计分析情况,不仅提供整体安全水平趋势等规划决策数据,同时也可向用户提供,以便向用户提供企业用户个体安全水平和整体安全水平在各个方面的差距。
- 运维统计分析
- 运维统计分析主要是对运维管理使用方面的数据进行分析,反映服务管理工作的质量和效率,从而评估流程管理的有效性和效率。
- 用户信息分析
- 用户分析主要包括针对云用户分析统计分析等功能。
- 租户门户
- 服务市场
-
得益于安全资源池横向的兼容能力,云平台可以通过租户门户向租户提供丰富的安全服务;覆盖检测、防护、扫描,形成安全闭环,并且可以通过在运维门户配置形成不同的安全服务组合包贴近租户业务;
服务市场除了安全服务的展示、购买;针对已购买的安全服务还提供服务续约。 - 整体视图
- 整体安全视图是给用户提供安全宏观态势的直观展现,也是用户登录安全控制台的第一视图。根据用户使用的安全服务产品所产生的信息进行综合统计,形成当前安全总体得分,近三天、近一周、近一月及用户自定义时间范围内趋势,总体得分应充分考虑安全服务产品类别及告警级别及数量等因素进行计算;提供用户使用的安全服务产品的单项当前的得分,近三天、近一周、近一月及用户自定义时间范围内趋势;提供可供用户进行实时查看和监控的安全告警列表及告警统计视图。
- 我的服务
-
在我的服务中,对已购买的服务进行服务生命周期管理,包含查看防护详情、下发防护策略、启动扫描任务等;
安全服务通过我的服务管理根据用户开通的不同安全服务产品,输出响应的报表。主要包括各项安全服务的安全统计报告和详细信息的展现视图以及报表下载功能。
安全服务提供从检测防护目标维度展现各个安全产品检测防护结果信息。
-
安全资源池支持传统硬件安全设备和虚拟安全设备等类型的安全资源,接受资源池控制器的管理,对外提供相应的安全能力。安全资源池包含了vNF、vIPS、vWvss、vWAF、vNIDS、vSAS、vRSAS和vBVS等安全组件。云数据中心部署的硬件安全设备也可以按照资源池的方式进行管理,接受资源池控制器的管理。
如图所示,通过将等级保护所需的安全能力纳入安全资源池,从等保要求的几个方面进行约束管理; -
- 网络和通信安全
- 通过安全资源池接入管理硬件设备实现云平台边界安全管控,包括网络结构安全、边界访问控制、权限控制、远程访问安全、入侵防范、恶意代码防范、网络安全审计等。
- 1) 网络架构安全
-
在互联网接入域部署NF(下一代防火墙),对来自互联网的访问进行控制、外部入侵进行防御。
在互联网接入域部署IDS,并采用IDS集群负载分担的方式进行全流量检测。
在核心交换域部署采用国密算法的VPN网关,为专线接入以外的终端接入云平台提供安全通道。 - 2) 边界访问控制
-
在各安全域之间部署NF(下一代防火墙),对云平台划分的各个安全域之间进行访问控制、入侵防御。
在管理域部署堡垒主机,配合审计和访问控制系统,对云平台的运维人员进行访问控制和运维审计。 - 3) 远程访问安全
-
通过VPN网关对远程连接进行实时监视,能够对未授权的连接进行阻断。
在进行远程管理时,通过部署的堡垒主机对访问人员的身份进行双向认证,并对操作行为进行审计。 - 4) 入侵和恶意代码防范
-
在互联网接入域部署IPS入侵防御,并通过与NF形成策略联动,对可能存在的安全威胁进行NF策略变更;
通过利用NF(下一代防火墙)上的防病毒模块,对病毒进行检测过滤。 - 5) 异常流量清洗
- 在互联网出口部署ADS+NTA进行异常流量监控,并对出现的异常大流量进行清洗。
- 6) 网络安全审计
- 部署网络行为审计系统,提供对访问云平台的网络行为的审计功能。
- 设备和计算安全
-
设备和计算安全主要包括云环境中南北向和东西向的安全防护。针对云计算内部安全特点,拟采用安全资源池方式实现南北向和东西向流量防护、虚拟资源的隔离。
安全资源池主要负责为租户提供多样的、合规性模版、组件化的安全服务,租户通过简单的自助服务申请、开通流程即快速获得对应的安全服务。
安全资源池采用虚拟化安全资源与云平台接入管理的硬件安全防护措施形成互补,通过安全资源池将个性化安全配置交付给租户自行分配,满足等级保护、云计算服务能力等相关标准要求,并且通过此项划分,更加清晰的界定了租户和云平台的安全责任。 - 1)南北向防护
-
针对云平台虚拟化资源南北向流量防护,安全资源池通过将防护流量牵引至安全资源池内的多种虚拟防护设备中,为虚拟化资源提供多种安全资源的防护。
安全资源池主要采用基于X86架构的服务器硬件资源,根据业务安全需要部署可弹性管理的虚拟化安全资源,包括虚拟防火墙、虚拟IPS/IDS、虚拟WAF、虚拟扫描器、虚拟堡垒机等,根据业务系统的安全需求进行个性化部署,实现部门之间、应用系统之间的弹性安全规划和安全隔离。 - 2)东西向防护
- 东西向防护对每一个虚拟机跟外部网络或内部其它虚拟机之间通信的精细监控。能够收集并分析虚机之间的数据通信,为用户描绘出流量模型,包括虚机之间以及不同端口组之间的流量情况。可以识别虚机流量信息,并在此基础上提供了流量与应用控制功能,可对虚机间的业务访问进行细粒度的权限控制,以过滤非法访问。
- 应用和数据安全
- 应用安全
-
通过虚拟化安全资源池部署Web应用防火墙、Web应用安全扫描、Web应用安全监测、安全审计实现对云平台上应用系统安全防护;
Web应用防火墙可以对常见的Web攻击(SQL注入、XSS跨站脚本攻击、文件上传等)进行防护;Web应用安全扫描和监测可以对Web应用系统存在的后门进行检测发现并且通过策略联动和告警进行处理。
安全审计系统负责对云平台各类应用系统的日志进行安全审计。 - 数据安全
- 通过虚拟化安全资源池部署数据库审计、接入第三方数据库入侵防护和防窃密设备达到对数据库的安全防护;
- 1) 数据防窃密
-
因接入第三方数据库防窃密不同,所以防护方式有所不同,这里举例已接入数据库安全网关为例:
采用数据库安全网关对关系型数据库的核心数据进行透明加密,防止核心数据窃密。
采用存储加密网关对存储空间的数据自动加密,为用户的重要数据提供多租户安全隔离。
采用数据交换平台的加解密算法,对各用户之间数据传输、交换提供加密防护。 - 2) 数据入侵防护
-
因接入第三方数据库防入侵不同,所以防护方式有所不同,这里举例已接入数据库安全网关为例:
采购数据库安全网关,为数据库提供多层次、多手段的安全防护、阻挡利用SQL注入、数据库漏洞攻击、拖库等黑客行为和内部违规使用数据资源的行为。 - 3) 数据审计
- 安全资源池部署虚拟化数据库审计,负责数据审计工作,对所有数据库操作进行完整审计,记录包括每个操作的用户、时间、操作命令、操作对象等,为安全事件的追溯、回放提供依据。
-
为了对安全资源池进行管理调度,还需要匹配安全资源池控制器。通过安全资源池控制器协调平台安全防护设备,并且可以将安全能力封装成安全服务;
通过日志管理系统接收安全资源池的日志信息,通过系统自带的过滤、归并、分析等功能,在运维门户和租户门户分别对目前的安全趋势和安全防护情况进行展示。 -
- 安全资源池控制器
-
安全资源池控制器提供南向北向接口,串接整个门户及安全资源。控制器组件可控制硬件和虚拟化的安全设备,提供安全策略管理、配置管理、安全能力管理等与特定安全密切相关的功能,根据应用场景的不同,可灵活配置和扩展;
资源池控制器还可以对接引流系统,把南北向或东西向流量牵引到安全资源池内做监测和防护。在云计算环境中,通常可以通过策略路由、云平台引流接口和部署代理组件来实现。 - 日志管理系统
- 日志管理系统可以收集设备日志,能够实现日志的统一管理,支持Syslog、SNMP Trap、FTP、SFTP等多种日志采集方式,能够采集、分类,过滤,强化和存储各种设备和系统日志,将设备用户行为记录下来,便于IT运维人员进行快速分析和查询。在日志管理的基础上,提供日志的管理分析和实时告警功能,能够对日志进行报表展现。
快速选配套餐
Quick selection package
| 等级保护二级服务包 | 等级保护二级基础版 | 等级保护二级增强版 |
|---|---|---|
| 防火墙 | 防火墙 | |
| 杀毒软件 | 杀毒软件 | |
| IDS | IDS | |
| 日志审计 | 日志审计 | |
| WAF | WAF | |
| 数据库审计 | ||
| 堡垒机 | ||
| 漏洞扫描 |
| 等级保护三级服务包 | 等级保护三级基础版 | 等级保护三级增强版 |
|---|---|---|
| 防火墙 | 防火墙 | |
| 杀毒软件 | 杀毒软件 | |
| IDS | IDS | |
| 日志审计 | 日志审计 | |
| WAF | WAF | |
| 数据库审计 | 数据库审计 | |
| 堡垒机 | 堡垒机 | |
| 防病毒网关 | 防病毒网关 | |
| SSL VPN | ||
| IPS | ||
| 漏洞扫描 | ||
| 抗DDOS | ||
| 态势感知 |
1、防火墙
针对业务专网、管理网、互联网之间会进行相互通信的场景,需要部署专用硬件防火墙设备,用于不同网络安全区域的逻辑隔离,保证各应用单位日常操作和管理相对独立和安全。
2、杀毒软件
通过部署终端安全管控,既可扩展云主机的防病毒能力,又可针对服务器的操作系统、数据库、应用类程序等进行整体安全管控。
3、IDS
针对租户的业务网络依照安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。;
4、日志审计
通过在政务云系统中部署网络审计系统,可以有效掌握系统的安全状态,预防敏感涉密信息外泄,实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位,为整体安全策略的制定提供权威可靠的支持。
5、WAF
目前大多数云平台业务都是基于B/S架构来运行和提供服务,且目前针对web的攻击形式也多种多样,应用层的防护需要专业的应用安全设备来进行防护,在云平台局域网交换机前端部署WEB应用防火墙(也可直接部署在Web服务器前端,视需求而定),对基于正常端口访问所发出的请求进行动态检测,及时发现并有效阻断WEB应用攻击/入侵行为,包括SQL注入攻击、跨站脚本攻击以及木马上传等。
6、数据库审计
通过在政务云系统中部署数据库审计系统,能够全方位掌握数据库访问情况、安全风险和执行效率,预防敏感信息泄露,实现对数据库安全事件的精准定位和溯源,为数据库资产的安全提供可靠保障。
7、堡垒机
在租户网络前设置堡垒机,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问;堡垒机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
8、防病毒网关
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。
9、SSL VPN
SSL VPN是解决远程用户访问敏感数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。
10、IPS
针对业务专网与公有云之间进行通信的业务场景,需要部署网络入侵防护系统,保证业务专网的数据相对安全,不会受到公有云以及外部互联网对其发起的网络层面的密码暴力破解攻击、病毒蠕虫木马攻击。
11、漏洞扫描
基于漏洞数据库,通过扫描等手段对客户网络信息系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
12、抗DDOS
针对目前流行的DDoS攻击以及未知的攻击形式,提供了自主研发的抗拒绝服务通过及时发现背景流量中的攻击行为,可以迅速对攻击流量进行过滤,确保正常业务的可用性。ADS产品可以在多种网络环境下轻松部署,有效避免单点故障,并保证整体网络性能和可靠性。
13、态势感知
态势感知可以收集租户网络各种安全数据,利用大数据技术结合威胁情报进行集中处理、关联分析,从网络入侵、异常流量、系统漏洞、网站安全、僵木蠕五大部分进行安全态势感知。
针对业务专网、管理网、互联网之间会进行相互通信的场景,需要部署专用硬件防火墙设备,用于不同网络安全区域的逻辑隔离,保证各应用单位日常操作和管理相对独立和安全。
2、杀毒软件
通过部署终端安全管控,既可扩展云主机的防病毒能力,又可针对服务器的操作系统、数据库、应用类程序等进行整体安全管控。
3、IDS
针对租户的业务网络依照安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。;
4、日志审计
通过在政务云系统中部署网络审计系统,可以有效掌握系统的安全状态,预防敏感涉密信息外泄,实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位,为整体安全策略的制定提供权威可靠的支持。
5、WAF
目前大多数云平台业务都是基于B/S架构来运行和提供服务,且目前针对web的攻击形式也多种多样,应用层的防护需要专业的应用安全设备来进行防护,在云平台局域网交换机前端部署WEB应用防火墙(也可直接部署在Web服务器前端,视需求而定),对基于正常端口访问所发出的请求进行动态检测,及时发现并有效阻断WEB应用攻击/入侵行为,包括SQL注入攻击、跨站脚本攻击以及木马上传等。
6、数据库审计
通过在政务云系统中部署数据库审计系统,能够全方位掌握数据库访问情况、安全风险和执行效率,预防敏感信息泄露,实现对数据库安全事件的精准定位和溯源,为数据库资产的安全提供可靠保障。
7、堡垒机
在租户网络前设置堡垒机,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问;堡垒机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
8、防病毒网关
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。
9、SSL VPN
SSL VPN是解决远程用户访问敏感数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。
10、IPS
针对业务专网与公有云之间进行通信的业务场景,需要部署网络入侵防护系统,保证业务专网的数据相对安全,不会受到公有云以及外部互联网对其发起的网络层面的密码暴力破解攻击、病毒蠕虫木马攻击。
11、漏洞扫描
基于漏洞数据库,通过扫描等手段对客户网络信息系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
12、抗DDOS
针对目前流行的DDoS攻击以及未知的攻击形式,提供了自主研发的抗拒绝服务通过及时发现背景流量中的攻击行为,可以迅速对攻击流量进行过滤,确保正常业务的可用性。ADS产品可以在多种网络环境下轻松部署,有效避免单点故障,并保证整体网络性能和可靠性。
13、态势感知
态势感知可以收集租户网络各种安全数据,利用大数据技术结合威胁情报进行集中处理、关联分析,从网络入侵、异常流量、系统漏洞、网站安全、僵木蠕五大部分进行安全态势感知。
方案优势
Scheme advantage
符合云计算的特性
云计算的特点是按需分配、资源弹性、自动化、重复模式,并以服务为中心的。因此,对于安全控制措施选择、部署、使用也需尽量满足上述特点,即提供资源弹性、按需分配、自动化的安全服务,满足云计算平台的安全保障要求。
合规性原则
云计算除了提供IaaS、PaaS、SaaS服务的基础平台外,还有配套的云管理平台、运维管理平台等。要保障云的安全,必须从整体出发,保障云承载的各种业务、服务的安全。借鉴等级保护的思想,依据公安部、工信部关于等级保护的要求,对云平台和云租户等不同的保护对象实行不同级别的安全保护,满足安全等级保护要求。
云平台安全管理
云平台安全管理通过统一的运维门户对安全资源池的资源进行管理、分配、服务编排;还可以掌握安全资源池的运行状态,使用率;配合虚拟化技术形成安全能力弹性扩展;可对资源池内物理安全设备、虚拟化安全设备提供丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络管理功能,从而实现了对云内所有分布的安全资源进行统一的管理,统一的运行监控。云平台安全管理作为平台系统还具备了对接其他平台的能力;可通过对接云资源管理平台实现云租户账号同步、云资源信息告警等,对接运维管理系统可实现运维工单流转、安全设备运行状态告警等;对接计费系统为提供用户可选的安全服务运营提供支撑;另外,还可以结合全流量分析、漏洞威胁预警、大数据安全感知等平台,实现对云平台安全态势的统计监控分析和预警处理,并可以通过自身展示某一阶段内安全运行状态和报告输出。
安全资源池化
在云计算环境下,计算、存储、网络都变成一个个资源池,并可以根据用户需要对外提供服务能力。那么我们也可以将安全变成一个资源池,利用现有的硬件设备资源、虚拟化安全设备资源,在这些设备的基础之上,构建一个个具有不同能力的安全资源池,并且可以利用这些池化能力,提供诸如入侵防护、访问控制、Web防护等安全功能;在云中心的出口部署一个安全资源池处理南北向流量,流量通过安全资源池的入口,可以对这些从外向内的流量进行如抗拒绝服务攻击、访问控制和Web防护等处理;
通过安全资源池还可以实现云平台内部东西向流量的安全防护,通过引流、分流的方式,将虚拟机的流量接入安全节点,进行处置后在被发送到目的地;
用户按需服务
对于购买云计算的用户,安全方面越来越受到重视;而且云租户在云环境下对于安全的了解和认识也有了新的变化,对于安全的需求和细粒度划分都有了自己的想法;传统的安全模式以及云上安全整合不再是用户所需的;用户需要的是按照自己业务定制的安全能力,可以按需选择并且一定条件下针对租户购买资源的使用人员进行二次分配的能力。用户可以对购买的服务进行一些简单的配置,在不影响云平台安全的情况下,云平台将影响用户的一些安全能力交由用户进行自主配置,通过这些用户可以查看自己业务运行的安全态势、漏洞信息、攻击事件、报表信息等。
合作伙伴
Recommended products
