云计算数据中心等保2.0解决方案.docx
《云计算数据中心等保2.0解决方案.docx》由会员分享,可在线阅读,更多相关《云计算数据中心等保2.0解决方案.docx(27页珍藏版)》请在冰点文库上搜索。
云计算数据中心等保2.0解决方案V3.0
云计算数据中心等保2.0
解决方案
目录
1建设原则 3
2等保相关要求 3
3安全架构 6
4云平台安全 7
5网络安全 7
6WEB应用安全 18
7主机安全 20
8数据安全 23
9安全系统间联动要求 25
云计算数据中心等保2.0解决方案V3.0
1建设原则
云平台按网络安全等级保护第三级要求进行建设。
根据云平台数据中心不同业务功能区域之间的隔离需求,将数据中心的网络按照功能的不同分成多个业务区域,各业务区域之间实现网络的不同程度隔离。
考虑整体的安全防护时,整体安全策略需要遵循下列原则:
(1)最小授权原则依据“缺省拒绝”的方式制定防护策略。
防护策略在身份鉴别的基础上,只授权开放必要的访问权限,并保证数据安全的完整性、机密性、可用性。
(2)业务相关性原则在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。
(3)策略最大化原则当存在多项不同安全策略时,安全域防护策略包含这些策略的合集,并选取最严格的防护策略,安全域的防护必须遵循策略最大化原则。
在云平台总体安全架构建设方面,按纵深防御思想进行设计:
第一层防护:
外部单位至云数据中心的物理边界防护,即云平台南北向的安 全防护;
第二层防护:
数据中心不同业务区之间的安全防护;
第三层防护:
数据中心内部,不同租户间的东西向防护采用VPC中虚拟防火墙
进行访问控制,同一租户内的业务隔离采用安全组的方式进行控制;
第四层防护:
在数据中心,部署安全资源池,各租户根据其需求调用安全资 源池中的防护能力,用于满足租户的安全需求。
2等保相关要求
根据等保2.0相关要求,本期部署相应的安全产品,具体等保重点要求内容 如下表:
第13页
基本要求 分类
内容
应保证网络设备的业务处理能力满足业务高峰期需要
应保证网络各个部分的带宽满足业务高峰期需要应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性
应采用校验码技术或加解密技术保证通信过程中数据的完整性
应采用密码技术保证通信过程中数据的保密性应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信
应能够对内部用户非授权联到外部网络的行为进行限制或检查
应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络
对应产品
网管系统网管系统
网络
架构
网络设计、交换机
安全通信
网络
网络设计
网络设计
通信
传输
防火墙VPN
(IPSec/L2TP/SSL)
/安全认证网关
防火墙
安全边界
边界
防护
终端准入系统
防火墙
基本要求 分类 内容 对应产品应在网络边界或区域之间根据访问控制策略设置
访问控制规则,默认情况下除允许通信外受控接口拒
绝所有通信
应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化
访问
控制
入侵防范
恶意代码防范
�应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力
应对进出网络的数据流实现基于应用协议和应用内容的访问控制
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
应在关键网络节点处检测和限制从内部发起的网络攻击行为
应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应供提报警
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
�防火墙
入侵防御、抗DDOS
防火墙
安全 审计记录应包括事件的日期和时间、用户、事件类网络审计、上网行为管
审计 型、事件是否成功及其他与审计相关的信息
应对审计记录进行保护,定期备份,避免受到未预
期的删除、修改或覆盖等
�理、堡垒机
安全计算环境
�应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退等出
身份 相关措施
鉴别 当进行远程管理时,应采取必要措施,防止鉴别信
息在网络传输过程中被窃听
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别且,其中一种鉴别技术至少应使用密码技术来实现
应启用安全审计功能,审计覆盖到每个用户,对重
要的用户行为和重要安全事件进行审计
审计记录应包括事件的日期和时间、用户、事件类安全 型、事件是否成功及其他与审计相关的信息
审计 应对审计记录进行保护,定期备份,避免受到未预
期的删除、修改或覆盖等
�
账号管理、身份认证系统
日志审计系统
基本要求 分类 内容 对应产品
系统应遵循最小安装的原则,仅安装需要的组件和应用程序
应关闭不需要的系统服务、默认共享和高危端口
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
入侵
防范
恶意代码防范
数据完整性
数据保密性
数据备份恢复
�应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为并,将其有效阻断
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要务业数据、重要审计数据、重要配置数据、重要视数频据和重要个人信息等
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和要重个人信息等
应提供重要数据的本地数据备份与恢复功能
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
应提供重要数据处理系统的热冗余,保证系统的高可用性
应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作并,对这些操作
�漏洞扫描
终端杀毒
VPN
VPN
异地备份
审计 进行审计 数据库审计、堡垒机、
管理
安全管理
中心
应通过审计管理员对审计记录进行分析,并根据分
析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等
日志审计系统
集中
管控
应对分散在各个设备上的审计数据进行收集汇总
和集中分析,并保证审计记录的留存时间符合法律法规要求
日志审计系统
3安全架构
(4)计算存储区安全资源池本身是将多种安全设备、安全功能及安全服务统一起来,提供灵活的应用接口,为租户提供安全资源服务。
安全资源池既可以为物理上一个独立的计算区域(安全资源独立部署),也可以在普通计算区域中逻辑划分出来的一个资源组合(应用与安全资源混合部署)。
通过安全资源池的建设,一方面通过传统物理设备满足了数据中心网络环境下南北向的流量防护问题,一方面通过虚拟化安全资源池,在云计算数据中心内部,保障虚拟机之间东西向流量的安全防护,通过引流、分流的方式,将虚拟机的流量接入安全节点,进行处置后在被发送到目的地;并且可以实现对云平台内虚拟化层流量检测、过滤的要求。
本期建设2台单独的物理服务器,用于部署安全资源池,每台服务器通过2*10GE链路上联至计算存储区的接入交换机。
安全资源池内部署漏洞扫描系统和数据库审计系统,保证云平台整体的安全合规性。
租户可通过选择安全资源池内的安全服务,用于对自身业务系统的防护。
4云平台安全
云平台安全主要涉及用户管理,是通过云平台内部管理平台实现,跟资源创 建和维护有很大关系,主要包括:
l角色访问的管理,通过管控平台下发工单信息,创建相关资源,并提供相应模块接口,使得每个用户对应相应资源,并于云平台内部进行访问管理。
l特权用户访问管理审计,通过管控平台下发工单信息,创建相关特权用户资源,并提供相应模块接口,能监控用户的接入和自身运维数据。
l双因素强认证,由于网络接入口统一在云数据中心,所以接入网络会进行
相关的认证,到了云平台资源,在系统上设置安全策略,这是第二重认证管理手段,能确保用户的安全。
5网络安全
网络云化以后,网络安全问题凸显在几个方面:
网络云化对网络安全可靠性要求大大提升;网络云化对网络安全高性能的要求大幅提升;网络云化要求安全管理自动化部署;网络云化要求安全弹性部署,按需扩展。
3.5.5.1边界防火墙(含链路负载均衡和IPS功能)
边界防火墙用于控制外部用户、分支机构、协同部门向互联网的数据访问控
制,保护内部的网络安全环境,并确定访问的时间、权限,服务类型和质量等,达到抵挡外部入侵和防止内部信息泄密的目的。
在互联网出口区部署 2台边界防火墙(含LB和IPS功能),保证出口的可靠性。
(1)LB(链路负载均衡)
传统的控制流量走向的方法是通过路由实现选路,而路由只能根据目的地址提供转发服务,考虑到当今网络业务的繁杂和数据流量的瞬息万变,仅依靠路由显然无法满足用户的实际需求。
下一代防火墙根据不同的应用场景提供
了多种选路策略,通过分析流量的属性或链路的实时状态选择最佳的出接口,提高链路资源的利用率,提升用户的上网体验。
防火墙的出方向负载均衡特性由智能 DNS、DNS透明代理和策略路由等功能模块组成:
智能DNS
智能DNS是指在企业内网存在DNS服务器的情况下,出口防火墙对于来自不同ISP用户的DNS请求进行智能回复,使用户能够获得最适合的解析地址,即与 用户属于同一ISP网络的地址。
用户发起访问时会以此地址为目的地址,访 问企业为该ISP网络专门提供服务的Web服务器。
由于无需绕道其他ISP网络,因此确保了用户的Web访问延迟最小,业务体验最优。
DNS透明代理
DNS透明代理可以修改部分内网用户的DNS请求报文的目的地址,将其修改为其他ISP内的DNS服务器地址。
由于DNS请求被转发到不同的ISP,因此解析后的Web
服务器地址也就属于不同的ISP,上网流量将通过不同的ISP链路转发,这样就
不会造成一个链路拥塞、其他链路却闲置的情况,充分利用了所 有链路资源。
策略路由
策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而 是
根据用户制定的策略进行路由选择的机制,从更多的维度(应用、服务、
用户、入接口、源安全区域、源/目的IP地址、时间段)来决定报文如何转 发,
增加了在报文转发控制上的灵活度。
策略路由支持单出口和多出口,当策略路由为多出口时,可以基于链路带宽、 链路权重、链路质量或链路优先级进行智能选路。
全局选路策略
全局选路策略基于等价路由,当防火墙到达目的地址有多条链路可选时,可以基于链路带宽、链路权重、链路质量或链路优先级进行智能选路,相关原理和策略路由智能选路相同。
ISP选路
ISP选路可以实现按照运营商转发流量,使目的地址在不同运营商网络内的流量从对应出接口转发,无需绕道其他运营商网络,从而减小内网用户的网络 访问延迟。
(2)IPS(入侵防御系统)
入侵防御提供动态的、深度的、主动的、实时的防护,能够准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,网络入侵防御是通过直接串联到网络链路中而实现这一功能的,当网络入侵防御设备接收到来自互联网数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,保护公共服务网数据安全。
通过IPS检测引擎和签名库,可以对系统漏洞、未授权自动下载、欺骗类应用软件、间谍/广告类软件、异常协议、P2P异常等多种威胁进行防护。
同时,IPS基于“漏洞”的签名规则,单条规格可以覆盖上千种攻击;实时捕获最新 的攻击、蠕虫、木马等威胁,提供零日攻击的防御能力。
IPS体系架构包括三个主要组件:
网络引擎、管理模块、安全响应模块。
图3.5-1入侵防御系统体系架构
IPS高度融合高性能、高安全性、高可靠性和易操作性等特性,同时具备深度入侵防护、高级威胁防护、精细流量控制等多项功能。
3.5.5.2网管防火墙
网管防火墙通过逻辑隔离,监视、控制在区域之间流动的网络通信;并确定访问的时间、权限,服务类型和质量等,检查内部数据信息,避免信息向外流出,达到控制内部安全域间的数据访问目的。
3.5.5.3VPN接入网关
虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。
VPN通过IKEv2协议,强化用户认证、报文认证、NAT穿越等功能,消除了中间人攻击和拒绝服务攻击隐患。
同时,通过扩展支持EAP-SIM、EAP-AKA等无线鉴定协议,从而更高效地对无线网络链路提供更高的安全保护。
本期在互联网出口区部署2台VPN接入网关,用于外部用户、分支机构的安
全接入,实施严格的内外部接入访问控制策略。
VPN网关基本功能如下:
(1)丰富的认证方式
VPN网关支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信认证(短信猫和短信网关)、硬件特征码、动态令牌多种安全认证方式,最大限度地保证了接入用户的合法性。
(2)混合认证保护机制单一的认证方式易被窃取,为了进一步提高身份认证的安
全性,提出了混合 认证,针对上面提到的用户名和密码、CA数字证书、LDAP/AD、
Radius、Dkey、硬件特征码、短信认证、动态令牌认证方式可以进行五个因素以上的捆绑认 证,这几种认证方式必须同时满足才能够接入 VPN系统。
如果需要几种接入方式做备份接入选择,那么创新性提出或组合,对于以上几种认
证方式进行或组合,只要通过一种主认证方式即可接入到 SSLVPN系统中。
(3)动态身份认证提供多重保证当前间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成数据的安全隐患。
可采用多种动态身份认证系统来消除该隐患,保证用户使用VPN访问总部资源时的安全性。
lDKEY认证
VPN网关采用SSL协议加密建立安全的专用加密通道,除了使用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。
这种USBDKEY可以同时支持两套VPN(IPSec和SSL)系统,安全方便。
l免驱动USBDKey
针对一般的USBDKEY在使用的过程中跟U盘一样需要安装该USBKey的驱动,但是往往驱动的兼容性问题导致无法正常登录SSLVPN,导致业务无法开展。
针对这样的情况,可采用免驱动DKey认证,当首次使用DKey进行登录的时候,不需要安装DKey也能够正常登录SSLVPN,提高业务访问效率。
l短信认证
无线技术的突飞猛进给网络世界又带来一次巨大的革命,其灵活可靠的特点
吸引了所有人的视线,因此,依靠无线通讯技术的短信认证技术也应运而生。
短信认证技术是一种革新型认证解决方案,此认证系统分为手机短信终端和 短信认证服务器两部分。
终端用户在既有移动电话和 PAD的基础上,通过手 机短信获得双因素用户认证访问代码,就能够安全地访问网络资源。
支持与 短信猫进行互动来进行短信认证。
l短信网关
除了通过短信猫方式进行短信发送外,还支持运营商的短信网关,如果网络 中已经部署了短信网关(移动、联通或电信的短信网关),可以和短信网关结合,实现短信认证。
由于网络的延时或者网络运营商的问题导致短信未及时发出,完全影响了使用者的使用,导致业务无法正常使用,针对这样的情况,可通过短信重发功能,能够方便快捷使用短信认证。
(4)终端安全检查
在用户通过计算机浏览器打开SSL登录界面时,VPN网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证VPN接入安全,避免客户端计算机的不安全因素通过SSLVPN传输到企业内部网络产生的安全隐患。
3.5.5.4堡垒主机
本期在云管理区部署2台堡垒机,拦截部分非法访问和恶意攻击。
堡垒主机是一种被加固的可以防御进攻的计算机,具备很强的安全防护能力。
所有对网络设备和服务器的请求都要经过堡垒主机。
因此堡垒主机能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
(1)账号管理
帐号管理包含对所有服务器、网络设备帐号以及所有使用运维安全管理系统 自然人的账号实行集中管理。
账号的集中管理是集中授权、认证和审计的基 础。
图3.5-2集中账号管理
(2)授权管理
运维安全管理系统通过灵活的授权管理和细粒度的访问控制管理可以对用户对各种资源的访问进行控制和审计。
(3)认证管理
l认证方式多样性
为用户提供统一的认证接口。
采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
运维安全管理系统自身是经过加固的可防御进攻的安全设备,支持静态口令、动态口令、USB-KEY、数字证书、动态令牌、生物特征等多种组合认证方式,并且传输过程加密。
l单点登录
提供了基于B/S的单点登录,在数据中心具有多帐号的用户提供了方便快捷
的访问途径,运维人员通过一次登录运维安全管理系统,就可以访问被授权的多个设备资源,无需再次手动输入设备账号和密码信息,而且访问不同系
云计算数据中心等保2.0解决方案V3.0
统不用重复登录,提高了运维的效率,改善用户体验。
(4)访问控制
•实时监控与阻断
能够实现对运维人员在线操作的实时监控功能,审计员可以以图像方式实时地监视运维人员的运维操作,如果发现运维人员存在不合规的操作,审计员有权限实现对当前会话的实时阻断。
•访问控制策略
能够制定基于黑白名单的访问控制策略,用以限制用户访问目标设备的访问 命令,该策略支持正则表达式。
(5)审计管理
•详尽的操作审计
提供详尽的操作审计功能,主要审计操作人员的帐号使用(登录、资源访问) 情况、资源使用情况等。
•完备的审计报表
提供完备的审计报表。
运维安全管理系统管理员可以按照用户定义条件,以及系统自定义的报表模板制定综合报表;系统可按照访问者、被保护对象、行为方式、操作内容等自动生成统计报表,并能按照用户的要求添加、修改报表数量、格式及内容,以满足审计的要求。
•内部审计
提供完备的内部审计记录,可完整记录运维安全管理系统管理员的管理行为,如主/从账号管理、策略修改、登入、登出等内容。
3.5.5.5日志审计系统
日志审计系统针对大量分散设备的异构日志进行集中采集、统一管理、存储、统计分
26
析的一体化产品,可满足等保合规要求、高效统一管理资产日志并为
安全事件的事后取证提供依据。
日志审计系统包含日志采集、日志管理、资产管理、事件告警、统计管理、报表管理、系统管理以及用户管理等八大核心功能。
图3.5-3日志审计系统功能示意图
通过内置的日志采集功能可实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息,然后经过统一的日志管理过程,如日志范式化处理等,将采集来的海量的异构的日志信息进行集中化的解析和存储,结合资产管理模块、事件告警模块的相关规则以及配置,形成事件告警信息,用户可基于这些进行进行原始日志、范式化日志以及事件、告警等信息的查询,并可通过丰富灵活的日志报表功能进行可视化的查看,实现对日志的全生命周期管理。
(1)首页仪表盘提供丰富的内置仪表盘图表,支持查看数据源、资产、最新时间、系统资源、日志总量、日志分类统计、最新告警以及资产时间等的可视化统计图表;
提供灵活的自定义仪表盘功能,可灵活按需自定义符合业务场景的可视化统 计图标。
(2)日志采集
提供全面的日志采集能力:
支持绿盟设备、第三方安全设备、网络设备、数
据库、windows/linux主机日志、web服务器日志、虚拟化平台日志以及自定 义等日志;
提供强大的数据源管理功能:
支持数据源的信息展示与管理、采集器的信息 展示与管理以及agent的信息展示与管理;
提供分布式外置采集器、Agent等多种日志采集方式; 支持IPv4、IPv6日志采集、分析以及检索查询。
(3)日志存储
提供原始日志、范式化日志的存储,可自定义存储周期;
支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式。
(4)日志检索
提供丰富灵活的日志查询方式,支持全文、key-value、多kv布尔组合、括弧、正则、模糊等检索;
提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等。
(5)日志分析
提供便捷的日志分析操作,支持对日志进行分组、分组查询以及从叶子节点 可直接查询分析日志。
(6)日志转发
支持原始日志、范式化日志转发。
(7)可视化统计
丰富的内置统计项,支持280+内置统计项,支持保存统计项、支持自定义分类,支持趋势图、折线图、柱状图、饼图、表格等统计项图标的自定义展示。
(8)事件告警
内置丰富的事件规则,支持自定义事件规则,可按照日志、字段布尔逻辑关 系等方式自定义规则;
支持时间的查询、查询结果统计以及统计结果的展示等; 支持对告警规则的自定义,可设置针对事件的各种筛选规则、告警等级等。
(9)报表管
升级会员 