数据中心整体安全解决方案V1.docx
《数据中心整体安全解决方案V1.docx》由会员分享,可在线阅读,更多相关《数据中心整体安全解决方案V1.docx(21页珍藏版)》请在冰点文库上搜索。
数据中心整体安全解决方案V1
数据中心整体安全解决方案
图索引
1.概述
随着企业信息化的成熟发展和新技术的广泛引用,政府机构、金融、教育、IT、能源等等各个行业的企业都因需求不断扩大而正在规划和建设各自的数据中心。
一方面随着信息爆炸,出于管理集约化、精细化的必然要求,进行数据集中已经成为国内电子政务、企业信息化建设的发展趋势。
另一方面数据中心不再是简单的基础通信网络,更是集通信服务、IT服务、管理应用和专业信息化服务于一体的综合性信息服务中心。
随着云计算和大数据的高速发展,技术进步推动了生活、生产方式的改变,网络数据中心的定义也发生了改变,传统的数据中心将形成提供各种数据业务的新一代IDC数据中心。
数据中心作为数据处理、存储和交换的中心,是网络中数据交换最频繁、资源最密集的地方,更是存储数据的安全局,它要保证所有数据的安全和完备。
相比过去的传统数据中心,云时代的数据中心面临着更巨大的挑战,如新业务模式带来的数据保护风险、虚拟化等新技术引入的新型风险、攻击者不断演进的新型攻击手法等。
因此,对于数据中心的安全建设,要考虑多方面因素,任何防护上的疏漏必将会导致不可估量的损失,因此构筑一道安全的防御体系将是这座数字城堡首先面对的问题。
1.1.方案目标
本方案着眼于数据中心面临的传统风险和新型风险,从全局考虑,为数据中心整体安全规划和建设提供具备实际意义的安全建议。
1.2.参考依据
◆中办[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》
◆公通字[2004]66号《信息安全等级保护工作的实施意见》
◆公通字43号《信息安全等级保护管理办法》
◆GB/T20269-2006《信息安全技术信息系统安全等级保护管理要求》
◆GB/T20271-2006《信息安全技术信息系统通用安全技术要求》
◆GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
◆GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》
◆《信息安全技术信息系统安全等级保护实施指南》
◆《信息安全技术信息系统安全等级保护第二分册云计算安全要求》
◆《ISO13335信息系统管理指南》
◆IATF信息保障技术框架
2.数据中心面临的安全挑战
随着Internet应用日益深化,数据中心运行环境正从传统客户机/服务器向网络连接的中央服务器转型,受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。
这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。
尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。
以下是当前数据中心面对的一些主要安全挑战。
:
2.1.网络边界接入风险
网络边界接入风险主要包括路由破坏、未授权访问、信息窃听、拒绝服务攻击、针对路由器和交换机等边界网络设备的攻击,以及病毒、蠕虫的传播等。
在互联网上尤其是拒绝服务攻击现在呈多发趋势,而且中国是攻击发生的重灾区,在世界范围内仅次于美国排名第二。
海量的SYNFlood、ACKFlooding、UDPFlood、ICMPFlood、(M)StreamFlood等攻击产生的大量垃圾数据包,一方面大量占用网络带宽,另一方面会造成边界路由器和核心交换机等网络设备的有效数据转发能力下降,甚至会出现核心路由器和交换机因负荷过载而造成转发延迟增大和数据包丢包率上升等问题。
同时,针对服务器区域的HTTPGetFlood、UDPDNSQueryFlood、CC等攻击会造成业务服务器和关键设备的服务质量下降甚至业务中断。
2.2.面向应用层的攻击
应用层的攻击之所以存在,通常是因为程序员是在严格的期限压力下发布的代码,他们并没有足够的时间来发现并解决将会导致安全漏洞的错误。
此外,许多程序员未考虑到使用某些特定语言结构将会导致应用程序暴露在隐式攻击下。
最后,许多应用程序有着复杂的配置,缺乏经验的用户可能会在部署应用程序时启用了危险的选项,从而导致应用程序的安全性降低。
应用层攻击的类型可以分为如下3种:
利用编程错误——应用程序的开发是一个复杂的过程,它不可避免地会产生编程错误。
在某些情况下,这些错误可能会导致严重的漏洞,使得攻击者可以通过网络远程利用这些漏洞。
这样的例子有:
缓冲区溢出漏洞,它来自对不安全的C库函数的使用;以Web为中心的漏洞,如将未经清理的查询传递给后端数据库的Web服务器(这将导致SQL注入攻击),以及将直接来自客户端未经过滤的内容写入页面的站点(这将导致跨站脚本或XSS攻击)。
利用信任关系——有些攻击利用的是信任关系而不是应用程序的错误。
对与应用程序本身交互而言,这类攻击看上去是完全合法的,但它们的目标是信任这些应用程序的用户。
钓鱼式攻击就是一个这样的例子,它的目标并不是Web应用程序或邮件服务器,而是访问钓鱼网站或电子邮件信息的用户。
耗尽资源——像网络层或传输层的DoS攻击一样,应用程序有时候也会遭受到大量数据输入的攻击。
这类攻击将使得应用程序不可使用。
2.3.虚拟化安全风险
随着云计算的迅速发展,传统的数据中心也在向“云”迈近,首先的一步便是虚拟化技术的应用。
虚拟化技术是生成一个和真实系统行为一样的虚拟机器,虚拟机像真实操作系统一样,同样存在软件漏洞与系统漏洞,也会遭到病毒木马的侵害。
而且宿主机的安全问题同样需要得到重视。
一直以来无论虚拟化厂商或安全厂商都将安全的关注点放在虚拟机系统和应用层面,直到“毒液”安全漏洞的出现,才将人们的目光转移到宿主机,由于宿主机系统本身也都是基于Windows或Linux系统进行底层重建,因此宿主机不可避免的会面对此类漏洞和风险问题,一旦宿主机的安全防护被忽略,黑客可以直接攻破虚拟机,从而造成虚拟机逃逸。
所以,宿主机的安全问题是虚拟化安全的根基。
另外虚拟化技术带来了弹性扩展这一优秀特性,是通过虚拟机漂移技术来实现,当宿主机资源消耗过高或者出现故障时,为了保证虚拟机上的业务稳定,虚拟机会漂移到其他的宿主机上。
企业的数据中心在虚拟化后,一旦发生虚拟机漂移,原有安全管理员配置好的安全域将被完全打破,甚至会出现部分物理服务器和虚拟机服务器处于同一个安全域这样的情况,而依靠传统防火墙和VLAN的方式将没有办法维持原来的安全域稳定,使得安全域混乱,安全管理出现风险
因此基于虚拟化环境自身的特性,数据中心需要充分考虑虚拟化的引入为企业带来的相应的风险,根据各个风险点带来的问题及威胁建设针对性的防护方案,以保障企业数据的安全及业务系统的平稳运行。
2.4.APT攻击风险
传统的防病毒软件可以一定程度的解决已知病毒、木马的威胁,但对于越来越多的APT攻击却束手无策。
APT很多攻击行为都会利用0day漏洞进行网络渗透和攻击,且具有持续性及隐蔽性。
此种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。
更加危险的是,这些新型的攻击和威胁主要针对大型企业、国家重要的基础设施或者具有核心利益的网络基础设施。
由于APT特种木马的免疫行为,所以传统的防病毒软件以及安全控管措施和理念很难有效应对APT攻击。
2.5.数据泄露风险
数据泄漏是数据中心最为广泛的担忧之一。
尤其是对公众提供服务的数据中心,涉及大量用户敏感信息等关键数据库的存储,并开放多方接口供不同平台、机构调用,很多威胁场景都可能会导致敏感数据的丢失和泄漏。
近年来各种机构被“拖库”事件频繁发生,数据中心关键数据的高密度聚合对潜在的攻击者具有极大的诱惑力,数据安全面临巨大的挑战。
2.6.安全运维的挑战
随着技术和应用的演进,让今天的IT环境和过去相比,已经发生了巨大的变迁,而相应的安全运维管理重点,也从过去的“设备监控、告警程序”,转变为对企业业务发展的关注和支撑。
传统的“安全运维”存在着诸多的问题需要解决。
⏹多种安全设备,不同的报警,如何整合?
在大中型企业的网络系统中,为了确保系统的稳健运行,通常会采用多种安全技术手段和安全产品,比如防火墙系统、入侵检测系统、防病毒系统等,都是安全基础设施。
在实际的运维过程中,这些不同种类、不同厂家的安全产品会给技术人员带来不小的麻烦--各个安全系统相对孤立,报警信息互不关联,策略和配置难于协调。
当一个报警事件产生时,不知道该如何处理。
⏹海量的事件、海量的日志,如何分析存储?
对于数据中心的规模来说,各类网络设备、安全设备、服务器都会产生海量的日志。
从海量数据中对日志进行快速分析,这要求本地具备海量的数据存储能力、检索能力和多维度关联能力,而传统的数据存储和检索技术很难达到这样的要求。
例如:
在一个中型规模的企业中记录全年的网络出口流量,大约有2000亿条日志,需要约300多TB的存储空间,如果使用传统的检索技术进行一次条件检索,大概需要几个小时的时间。
这种效率明显不能满足攻击行为分析的需求。
⏹如何体现安全运维的价值?
安全运维是很枯燥的工作,运维人员整天面对滚动的监控屏幕,各种碎片化的告警,复杂的报表,责任重大,压力巨大,但工作成果却很难体现。
究其原因还是缺少自动化、结构化、可视化的管理工具,导致安全运维效率低下,难以快速感知整体的安全态势。
3.方案思路
3.1.总体思路
基于数据中心的业务需求,以及数据中心面临的安全问题,很难通过一次安全建设将数据中心面临的所有风险解决;同时,安全风险也是动态发展变化的,因此我们的解决方案也需要随着数据中心的安全需求变化不断完善和发展。
从云提供商的角度来看,传统模式下的网络安全需求并没有什么变化,无论从信息安全的保密性、完整性、可用性,还是根据网络层次划分的从物理层到应用层安全,仍然是需要解决的问题。
在云计算时代数据中心信息安全架构时,不能像传统IDC系统集成或者安全集成那样,头痛医头,脚痛医脚,而应该充分结合虚拟化的特点来系统地进行规划,考虑数据中心外围物理实体以及虚拟化平台环境的各类安全需求和特性,从而达到各类安全产品、安全管理、整体安全策略的统一,发挥最大的效率。
在设计数据中心安全建议方案时,充分利用现有国内和国际安全标准和成熟的安全体系,结合系统的实际需求,利用在安全领域的成熟经验,设计出一个有针对性的安全设计方案。
解决思路如下:
1)对数据中心进行安全域划分,根据各区域的业务特性、技术特性以及安全需求进行对应的安全防护设计;
2)要充分考虑网络层、操作系统层、虚拟化层、应用层以及数据层的安全防护需求,特别是虚拟化等新技术带来的问题。
3)强调安全运营的价值,实现预警、检测、响应、溯源的闭环流程;
3.2.设计原则
⏹业务保障原则:
安全体系的设计目标是能够更好的保障网络上承载的业务。
在保证安全的同时,还要保障业务的正常运行和运行效率。
⏹结构简化原则:
安全架构规划的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。
比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难。
⏹立体协防原则:
应避免形成各个安全产品独立割裂的安全体系,充分利用威胁情报和大数据等新技术,实现网络、终端、边界的立体协防机制。
⏹等级保护原则:
根据业务系统的重要程度以及考虑风险威胁、安全需求、安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术、管理措施。
⏹可扩展性原则:
当有新的业务系统需要接入数据中心时,可按照等级保护、对端可信度等原则将其分别划分至不同安全等级域的各个子域。
⏹可管理性原则:
应当采用集中化、自动化、智能化的安全管理手段,减轻安全的负担,同时减小因为管理上的疏漏而对系统安全造成的威胁。
4.方案设计
4.1.安全域划分
安全域划分的目的是从信息安全的角度来对企业信息系统进行拆分。
以业务系统为核心,从业务特性、技术特性方面分析各业务系统的安全需求和防护等级,进行适当的安全防护体系设计。
4.1.1.边界接入区
⏹互联网接入区
承载组织与互联网的连接,组织向公共用户提供对外业务服务的通道。
⏹外联接入区
承载组织与外部第三方机构的信息交换,如电子政务专网、监管机构、合作机构等。
⏹内部接入区
承载组织内部的分支机构、灾备中心之间的信息交换,以及组织内人员从外部接入的通道。
4.1.2.网络基础设施区
⏹核心汇聚区
数据中心的网络汇聚中心,各个区域之间的数据流传都会经过核心汇聚区。
通常在此区域进行网络流量的安全监控。
⏹区域接入区
主要是各个安全区内部接入的路由交换设备,通常在此区域部署网络接入控制等措施。
4.1.3.业务接入区
⏹一般服务区
用于存放防护级别较低,需直接对外提供服务的信息资产,如Web应用、业务前置机、办公服务器等,一般服务区与外界有直接连接,同时不能够访问核心数据区(避免被作为攻击核心数据区的跳板)。
⏹重要服务区
用于存放级别较高,不需要直接对外提供服务的信息资产,如生产应用服务器等,重要服务区一般通过一般服务区与外界连接,并可以直接访问核心数据区。
⏹核心数据区
用于存放级别非常高的信息资产,如核心数据库等,外部对核心区的访问需要通过重要服务区跳转。
4.1.4.运维管理区
运维管理区通常承载网络管理、安全管理和业务运维等应用,运维人员通过本区域的管理平台对网络设备、服务器、安全产品进行管理。
如各类设备的日志存储、安全管理平台、各类监控系统等。
4.2.整体设计
根据上述的安全域划分架构,对数据中心进行整体安全设计,如下图所示:
图41数据中心整体安全设计
4.3.各安全域安全架构设计
4.3.1.互联网接入区
互联网接入区主要面临来自互联网的安全威胁,对于互联网接入区的安全设计主要从以下两方面考虑:
1.防范DDoS攻击(分布式拒绝服务攻击)。
DDOS攻击分为带宽消耗型攻击(大流量攻击)和主机资源消耗型攻击,带宽消耗型攻击会对数据出口造成流量压力,极大浪费宝贵的带宽资源,严重增加核心设备的工作负荷,造成关键业务的中断或网络服务质量的大幅降低。
主机资源消耗型攻击使服务器处理大量并发攻击请求,严重影响服务器内存、数据库、CPU的处理性能。
DDoS攻击会造成门户网站、网络设备、虚拟服务器等性能均急剧下降,可能导致无法正常处理用户的正常访问请求,造成客户访问失败。
2.未知威胁检测与响应。
互联网边界是威胁的重要入口之一,同时也是数据泄露的主要出口之一。
尤其是当前APT攻击盛行,各类未知威胁对核心数据安全造成巨大的危害。
网关层面应当具备对未知威胁的检测能力,并能实现联动响应机制,拦截掉威胁进出的路径。
本区域安全设计如下图所示:
图42互联网接入区安全设计
⏹在互联网边界部署抗DDoS系统,对来自外部的DDoS攻击进行实时的阻断。
⏹部署360网神下一代智慧防火墙,实现高性能的应用层安全防护,以及与安全运营平台进行联动,实现网关处的未知威胁处置。
4.3.2.外联接入区
外联接入区主要面临的威胁来自于外联机构,通常外联机构使用专线或者VPN连接到数据中心,访问特定的业务系统。
对于外联接入区的安全设计主要从访问控制方面重点考虑。
本区域安全设计如下图所示:
图43外联接入区安全设计
⏹部署360网神下一代智慧防火墙,实现端口级的访问控制,并开启应用层防护功能,对来自外部机构的恶意代码、高级威胁等进行检测和拦截。
4.3.3.内部接入区
内部接入区主要面临的威胁来自于远程接入带来的风险,如传输过程的信道监听、员工远程接入后的权限滥用等。
内部接入区的安全设计主要考虑远程安全接入中的访问控制、权限管理、传输加密等方面。
本区域安全设计如下图所示:
图44内部接入区安全设计
⏹部署VPN接入网关,实现对分支机构接入的访问控制、权限管理,并且采用链路加密技术保证敏感信息的传输安全。
⏹部署360网神下一代智慧防火墙,支持对穿过防火墙的SSL协议进行解密,并对解密后的数据提供防护过滤,如攻击防护、入侵检测、病毒防护、内容过滤等。
4.3.4.核心汇聚区
核心汇聚区的安全设计主要考虑从全网流量中对各类威胁进行识别检测,及时发现攻击行为并向安全运营中心进行告警。
本区域安全设计如下图所示:
图45核心汇聚区安全设计
⏹在核心交换机上旁路部署360天眼网络威胁传感器。
通过流量镜像接收全网的通信数据流,对各类网络行为进行还原,从中识别各类已知威胁生成告警;还可以通过与360威胁情报中心下发到本地的威胁情报进行比对,识别未知威胁;同时全量网络数据存储在本地大数据分析平台,可以对威胁进行溯源。
⏹部署360天眼文件威胁鉴定器。
网络威胁传感器识别到网络流量中的文件传输行为后,会将文件还原并发送至文件威胁鉴定器,进行深度分析。
文件威胁鉴定器会对PE文件、脚本文件等进行模拟运行,通过文件运行过程中执行的操作行为进一步识别潜在的威胁。
4.3.5.一般服务区
一般服务区通常承载了对外的Web类应用,主要面临的威胁有以下两方面:
1.应用安全风险,主要由于应用软件的漏洞造成。
任何一种软件或多或少存在一定脆弱性,安全漏洞可视作已知系统脆弱性。
这种安全漏洞可分为两种:
一种是由于操作系统本身设计缺陷带来的漏洞,它将被运行在这个系统上的应用程序所继承,另一种是应用软件程序安全漏洞,很常见,更要引起广泛关注。
2.主机安全风险。
包括两方面:
一是物理机与虚拟机操作系统的恶意代码防范。
二是由于服务器虚拟化技术带来的新型风险,如东西向流量的访问控制、虚拟机逃逸漏洞、虚拟机漂移导致安全策略失效等。
本区域安全设计如下图所示:
图46一般服务区安全设计
⏹在一般服务区边界部署Web应用防火墙,用于对应用层的攻击行为进行实时防护。
⏹在一般服务区的接入交换机旁路部署Web漏洞智能监测系统,一方面能够从进出站流量中识别出应用系统存在的漏洞和针对Web应用的攻击行为;另一方面能够对站点中存在的暗链、后门的访问行为进行识别,发现潜在的安全风险。
⏹在物理机和虚拟机操作系统上部署天擎虚拟化安全客户端,主要功能包括恶意代码防护、主机防火墙、主机入侵防御,并可以对虚拟机与物理机操作系统进行统一管理。
客户端与部署在运维管理区的虚拟化安全控制中心进行通信,进行病毒库更新、安全策略更新、日志告警上传等。
⏹在服务器虚拟化管理层部署宿主机防护代理客户端,用于防范利用虚拟机逃逸漏洞对宿主机进行穿透攻击的行为,保证宿主机上所有虚拟机的安全运行。
4.3.6.重要服务区
重要服务区主要面临的威胁来自于主机操作系统层,包括两方面:
一是物理机与虚拟机操作系统的恶意代码防范。
二是由于服务器虚拟化技术带来的新型风险,如东西向流量的访问控制、虚拟机逃逸漏洞、虚拟机漂移导致安全策略失效等。
本区域安全设计如下图所示:
图47重要服务区安全设计
⏹在物理机和虚拟机操作系统上部署天擎虚拟化安全客户端,主要功能包括恶意代码防护、主机防火墙、主机入侵防御,并可以对虚拟机与物理机操作系统进行统一管理。
客户端与部署在运维管理区的虚拟化安全控制中心进行通信,进行病毒库更新、安全策略更新、日志告警上传等。
⏹在服务器虚拟化管理层部署宿主机防护代理客户端,用于防范利用虚拟机逃逸漏洞对宿主机进行穿透攻击的行为,保证宿主机上所有虚拟机的安全运行。
4.3.7.核心数据区
核心数据区主要面临的威胁来自于对数据安全方面,如敏感数据泄露、对数据库的越权访问、数据库配置缺陷等。
本区域安全设计如下图所示:
图48核心数据区安全设计
⏹在核心数据区旁路部署数据库审计系统,监视并记录对数据库服务器的各类操作行为,并可以支持操作回放。
还可以通过建立行为模型来发现违规的数据库访问行为,并能够进行溯源,定位到责任人。
4.3.8.运维管理区
安全运维是整个安全体系的重中之重,过去安全运维的价值难以得到体现,主要有以下原因:
如安全管理割裂、学习成本高、对运维人员水平要求较高、安全管理成果缺少可视化呈现手段等。
本方案要做到的不仅仅是实现安全防护目标,同时要尽可能的提升安全运维的效率和体验,降低人为错误带来的风险。
通过集中化、自动化、智能化的管理工具,实现覆盖威胁检测、响应、溯源,形成安全运营闭环。
本区域安全设计如下图所示:
图49运维管理区安全设计
⏹部署态势感知及安全运营平台。
基于360威胁情报和本地大数据技术的对用户本地的安全数据进行快速、自动化的关联分析,及时发现本地的威胁和异常,同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势展现给用户。
同时平台可以导入云端高价值的威胁情报,对未知威胁和APT攻击进行有效检测,并且可以通过与360下一代智慧防火墙进行联动,在网关处进行未知威胁的拦截。
⏹部署虚拟化安全控制中心。
对所有的服务器及终端进行统一管理、病毒库更新、安全策略下发。
支持物理机与虚拟机的统一管理。
⏹部署运维审计系统(堡垒机)。
对所有的运维操作进行统一的账户授权管理、身份认证、操作行为审计,降低组织内部的运维安全风险。
⏹将数据中心内的网站,通过360网站云监测平台进行集中监控,监控指标包括网站可用性、网站漏洞、篡改、挂马、暗链、钓鱼网站等。
5.方案组成及产品介绍
5.1.方案清单
产品/服务
组件
形态
说明
下一代智慧防火墙
硬件
SSLVPN安全接入网关
硬件
Web应用防火墙
硬件
虚拟化安全管理系统
控制中心
软件
主机客户端
软件
宿主机防护客户端
软件
鹰眼Web智能监控系统
硬件
天眼态势感知及安全运营平台
网络流量传感器
硬件
文件威胁鉴定器
硬件
日志采集器
硬件
分析平台
硬件
关联引擎
硬件
威胁情报服务
服务
运维审计系统(堡垒机)
硬件
数据库审计系统
硬件
网站云监测
服务
企业安全服务
安全规划咨询服务
服务
补天众测服务
服务
应急响应服务
服务
5.2.下一代智慧防火墙
5.3.SSLVPN安全接入网关
5.4.Web应用防火墙
5.5.虚拟化安全管理系统
5.6.鹰眼Web智能监控系统
5.7.天眼态势感知及安全运营平台
5.8.运维审计系统(堡垒机)
5.9.数据库审计系统
5.10.网站云监测
5.11.企业安全服务
6.方案价值
Ø云、管、端全面覆盖,安全防护系统间智能联动,共享威胁情报,有效阻断攻击链。
Ø针对云数据中心虚拟化安全的特殊需求定制的防护体系。
Ø通过本地+云端大数据分析的组合,提高系统识别安全威胁的准确性和及时性,有效应对日益复杂的网络空间安全环境。
Ø强化安全运营的闭环管理,安全态势的可视化。
Ø方案模块化,扩展性强,能有效匹配不同的系统规模,适应未来的变化。
升级会员 