深信服云安全解決方案

對云安全解決方案深信不疑沈心電子科技有限公司2015年11月7日目錄第一章建設(shè)背景41.1云平臺背景41.2云平臺建設(shè)的意義4第二章需求分析52.1要求概述52.2平臺側(cè)要求72.2.1平臺安全要求72.1.2訪問安全要求82.1.3業(yè)務(wù)可靠性要求92.3租戶方要求102.3.1租戶隔離的需求分析102.3.2租戶虛擬機(jī)需求分析112.3.3租戶的互聯(lián)網(wǎng)業(yè)務(wù)需求分析112.3.4租戶外部網(wǎng)絡(luò)業(yè)務(wù)需求分析122.5管理和運(yùn)行要求13第三章設(shè)計(jì)原則14第四章解決方案154.1解決方案概述154.2平臺側(cè)設(shè)計(jì)方案174.2.1平臺安全計(jì)劃。平臺分區(qū)子域。反網(wǎng)絡(luò)病毒。安全防護(hù)的應(yīng)用。防止漏洞攻擊。多服務(wù)數(shù)據(jù)隔離和交換204.2.2訪問安全方案云到云安全互聯(lián)租戶安全訪問224.2.3業(yè)務(wù)可靠性要求。反拒絕服務(wù)攻擊。鏈路/全局負(fù)載平衡234.3租戶方設(shè)計(jì)方案254.3.1租戶安全設(shè)計(jì)254.3.2業(yè)務(wù)系統(tǒng)安全性264.3.3穩(wěn)定可靠的業(yè)務(wù)264.3.4安全的業(yè)務(wù)訪問274.3.5租戶應(yīng)用場景294.3.6 NFV安全組件部署模式314.4管理運(yùn)行和維護(hù)設(shè)計(jì)方案324.4.1平臺運(yùn)營324.4.1租戶運(yùn)營334.4.1平臺服務(wù)提供商合作運(yùn)營和維護(hù)34第五章解決方案的價(jià)值355.1高安全性：提供專業(yè)可靠的服務(wù)365.2經(jīng)濟(jì)高效：降低信息技術(shù)建設(shè)成本365.3效率：業(yè)務(wù)系統(tǒng)的快速部署375.4高度協(xié)作：降低信息共享和業(yè)務(wù)協(xié)作的難度37第一章建設(shè)背景1.1云平臺背景云計(jì)算的興起給人們的工作方式和商業(yè)模式帶來了根本性的變化，甚至可能引發(fā)信息技術(shù)的第三次“浪潮”。目前，云計(jì)算在電信、互聯(lián)網(wǎng)、信息產(chǎn)業(yè)和金融領(lǐng)域發(fā)揮著重要作用。正如業(yè)內(nèi)虛擬化領(lǐng)域的一位資深專家所說，“以前，每個(gè)人對云計(jì)算都有不同的看法，他們都有不同的觀點(diǎn)和看法?，F(xiàn)在，業(yè)界已經(jīng)逐漸形成共識，云計(jì)算是下一代計(jì)算模式的進(jìn)化。每個(gè)組織都必須建立自己的云計(jì)算模型。第一步是完成內(nèi)部或私有云的建立。內(nèi)部云系統(tǒng)的技術(shù)基礎(chǔ)是虛擬化云平臺，這也將成為整個(gè)虛擬化云平臺市場持續(xù)增長的驅(qū)動力?！痹诖笮推髽I(yè)中，虛擬化云平臺可以幫助組織在業(yè)務(wù)層面實(shí)現(xiàn)靈活的架構(gòu)和資源池。一方面，它可以大大提高存儲和計(jì)算等各種硬件資源的利用效率，另一方面，它可以顯著提高辦公和外部服務(wù)的開放時(shí)間、可用性和災(zāi)難恢復(fù)能力。知名咨詢公司高德納(Gartner)將虛擬化云平臺技術(shù)列為2009年十大戰(zhàn)略技術(shù)。在2010年初發(fā)布的預(yù)測中，高德納大膽宣稱，到2012年，20%的部門將不再擁有信息技術(shù)資產(chǎn)。特別是在大型企業(yè)中，由于許多內(nèi)部相關(guān)趨勢正在推動大型企業(yè)逐步減少IT硬件資產(chǎn)，這些趨勢主要是虛擬化云平臺、云計(jì)算服務(wù)、虛擬化桌面交付等。虛擬化云平臺技術(shù)作為云計(jì)算的支撐技術(shù)，必將成為未來最值得研究的信息技術(shù)之一。1.2云平臺建設(shè)的意義云平臺的建設(shè)將有助于信息技術(shù)系統(tǒng)從粗放型和離散型建設(shè)模式向集約型和集成型可持續(xù)發(fā)展模式轉(zhuǎn)變，使信息技術(shù)管理服務(wù)從獨(dú)立封閉的運(yùn)行模式向跨部門、跨區(qū)域的協(xié)同互動和資源共享轉(zhuǎn)變。1、云計(jì)算可以降低信息成本在云環(huán)境中，信息技術(shù)資源可以移交給專業(yè)的第三方云服務(wù)提供商進(jìn)行管理。云服務(wù)提供商提供所需的信息技術(shù)基礎(chǔ)設(shè)施、軟件和硬件資源以及信息服務(wù)。每個(gè)子公司和集團(tuán)定制云平臺具有很高的靈活性。在實(shí)施新的應(yīng)用系統(tǒng)時(shí)，集團(tuán)不需要購買額外的軟件和硬件，而是使用現(xiàn)有的云基礎(chǔ)設(shè)施來快速部署系統(tǒng)并提高應(yīng)用的部署速度。開發(fā)人員在一個(gè)平臺上構(gòu)建和部署應(yīng)用程序，極大地提高了信息系統(tǒng)部署的效率。3.云計(jì)算降低了信息共享和業(yè)務(wù)協(xié)作的難度長期以來，各種應(yīng)用系統(tǒng)普遍存在諸如它們自己的策略和分散的資源等問題。盡管信息共享困難的根源在于業(yè)務(wù)系統(tǒng)的機(jī)制，但云計(jì)算可以從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)作的難度。通過云平臺，多個(gè)部門/集團(tuán)子公司可以共享相應(yīng)的基礎(chǔ)設(shè)施，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)間的軟硬件共享，提高信息共享效率，擴(kuò)大信息共享范圍。軟硬件資源和信息資源的共享將有助于促進(jìn)部門內(nèi)和部門間業(yè)務(wù)系統(tǒng)的集成，為部門間的業(yè)務(wù)協(xié)作創(chuàng)造條件。4.云計(jì)算有助于提高服務(wù)效率通過云平臺將軟硬件資源的所有權(quán)和使用權(quán)分離，各子公司將在沒有軟硬件資源的情況下享受信息服務(wù)。因此，本集團(tuán)的資訊科技部門可將其人力及物力集中于本部門的業(yè)務(wù)運(yùn)作，從而減輕行政負(fù)擔(dān)，將更多精力集中于為公眾提供公共服務(wù)及提高效率。同時(shí)，云計(jì)算支持的云平臺部署后，后臺信息煙囪部署模式的障礙將被打破，從而實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的統(tǒng)一共享，這對前臺服務(wù)界面的統(tǒng)一開放意義重大，將使業(yè)務(wù)系統(tǒng)的統(tǒng)一不再停留在前臺展示層面，而是真正實(shí)現(xiàn)高效統(tǒng)一的服務(wù)。第二章需求分析該集團(tuán)的云平臺通常是專有的云架構(gòu)。專有云平臺承擔(dān)集團(tuán)內(nèi)部服務(wù)的內(nèi)容，如業(yè)務(wù)應(yīng)用系統(tǒng)等。并為本集團(tuán)各分公司和子公司的應(yīng)用系統(tǒng)提供基礎(chǔ)設(shè)施支持。云資源共享區(qū)通過安全隔離措施訪問公共云(互聯(lián)網(wǎng))和公共服務(wù)區(qū)；各子公司需要在互聯(lián)網(wǎng)上發(fā)布的業(yè)務(wù)系統(tǒng)應(yīng)根據(jù)服務(wù)對象逐步遷移到云平臺，實(shí)現(xiàn)集中、集約化部署。2.1要求概述從整個(gè)云平臺的整體安全性來看，我們需要考慮三個(gè)方面的設(shè)計(jì)：云平臺安全性、租戶端安全性、安全運(yùn)維管理和便利性。圖2.1-2云平臺安全需求框架云計(jì)算平臺與傳統(tǒng)計(jì)算平臺的最大區(qū)別在于計(jì)算環(huán)境，它比傳統(tǒng)計(jì)算環(huán)境更復(fù)雜。云平臺計(jì)算環(huán)境的保護(hù)也是云平臺下整體信息安全保護(hù)系統(tǒng)的重中之重。除了平臺的安全問題外，租戶方還面臨一些安全問題，如訪問環(huán)境是否滿足安全要求、業(yè)務(wù)系統(tǒng)是否安全、用戶訪問業(yè)務(wù)的安全風(fēng)險(xiǎn)、虛擬機(jī)之間的信息交換是否安全、業(yè)務(wù)系統(tǒng)的服務(wù)可靠性等。整個(gè)云平臺的安全運(yùn)行和維護(hù)也成為一個(gè)大問題。首先，平臺本身和平臺中業(yè)務(wù)系統(tǒng)的安全狀態(tài)難以實(shí)時(shí)監(jiān)控，因此無法實(shí)現(xiàn)安全問題的有效審計(jì)和可追溯性。其次，對于資源池中的安全服務(wù)，如何實(shí)現(xiàn)動態(tài)靈活的統(tǒng)一管理和智能分配，以滿足云環(huán)境下動態(tài)高效的需求；第三，租戶業(yè)務(wù)系統(tǒng)遷入后，如何快速獲得所需的安全配額，實(shí)現(xiàn)有針對性的策略配置和獨(dú)立的運(yùn)行維護(hù)?？傊破脚_的整體安全需求如下圖所示：圖2.1-3云平臺整體安全要求2.2平臺端要求對于云來說，平臺是不可否認(rèn)的該平臺需要直接連接到互聯(lián)網(wǎng)，并面臨各種安全問題，如非法訪問、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、網(wǎng)絡(luò)應(yīng)用保護(hù)、僵尸木馬、DDoS攻擊等。此外，其底層和系統(tǒng)軟件中可能存在的安全漏洞會影響整個(gè)平臺系統(tǒng)的安全性。攻擊者利用漏洞入侵平臺后，會對整個(gè)平臺內(nèi)的資源造成各種損害，導(dǎo)致系統(tǒng)不可用，或者數(shù)據(jù)丟失、數(shù)據(jù)泄露，其潛在威脅將無法估量。分區(qū)和域要求在安全設(shè)計(jì)方案中，我們需要通過邏輯隔離將省級部門的服務(wù)劃分到不同的安全域中。首先，基礎(chǔ)設(shè)施資源應(yīng)劃分為兩個(gè)獨(dú)立的區(qū)域，即互聯(lián)網(wǎng)服務(wù)區(qū)和公共網(wǎng)絡(luò)區(qū)。這兩個(gè)區(qū)域不能直接訪問，只能通過跨網(wǎng)絡(luò)數(shù)據(jù)交換區(qū)交換數(shù)據(jù)。每個(gè)同等保護(hù)區(qū)域中的不同租戶應(yīng)用程序由VLAN/VxLAN網(wǎng)絡(luò)隔離。租戶由訪問控制設(shè)備控制，以禁止未經(jīng)授權(quán)的訪問。云平臺支持虛擬私有云，可以在云數(shù)據(jù)中心靈活設(shè)置多個(gè)虛擬私有云。在多個(gè)私有云之間使用虛擬專用網(wǎng)技術(shù)或虛擬專用網(wǎng)技術(shù)來實(shí)現(xiàn)端到端隔離效果。反網(wǎng)絡(luò)病毒要求云平臺的核心是計(jì)算和數(shù)據(jù)資源，因此也是網(wǎng)絡(luò)入侵者的主要目標(biāo)。一旦病毒、蠕蟲、特洛伊木馬和其他惡意代碼感染云平臺系統(tǒng)或應(yīng)用程序，它們可能會在平臺內(nèi)迅速傳播，消耗網(wǎng)絡(luò)資源，劫持平臺應(yīng)用程序，竊取敏感信息，發(fā)送垃圾郵件，甚至將用戶重定向到惡意網(wǎng)頁。因此，云平臺安全的構(gòu)建需要包括檢測和刪除惡意內(nèi)容(如病毒、蠕蟲和特洛伊木馬)的機(jī)制。云應(yīng)用安全要求云環(huán)境的按需部署和動態(tài)遷移使得安全策略的部署變得復(fù)雜。需要靈活的動態(tài)安全機(jī)制來適應(yīng)虛擬化網(wǎng)絡(luò)的安全保護(hù)。因?yàn)閼?yīng)用程序只與虛擬層交互，并且與真實(shí)硬件隔離，所以由于缺乏監(jiān)管，應(yīng)用層的安全威脅非常嚴(yán)重。安全管理人員看不到設(shè)備背后的安全風(fēng)險(xiǎn)，服務(wù)器變得更加不穩(wěn)定。在云環(huán)境中，業(yè)務(wù)的B/S架構(gòu)是很常見的。大量的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用引入了各種漏洞，給入侵者提供了機(jī)會。黑客可以利用這些漏洞對云應(yīng)用發(fā)起攻擊，如SQL注入、跨站點(diǎn)腳本攻擊等，從而達(dá)到監(jiān)控、竊取、篡改等內(nèi)部敏感信息的目的。因此，需要有效的設(shè)備來識別和保護(hù)針對業(yè)務(wù)系統(tǒng)漏洞的攻擊。防止漏洞攻擊云平臺中有大量的服務(wù)服務(wù)器，底層和服務(wù)應(yīng)用系統(tǒng)會不斷產(chǎn)生新的安全漏洞，給入侵者一個(gè)機(jī)會。黑客可以利用這些漏洞對云平臺發(fā)起攻擊，如郵件漏洞、后門漏洞、操作系統(tǒng)漏洞、ftp漏洞、數(shù)據(jù)庫漏洞等，達(dá)到監(jiān)控、竊取、篡改網(wǎng)站上其他敏感信息的目的。因此，需要有效的方法來識別和保護(hù)針對系統(tǒng)漏洞的攻擊。2.1.2訪問安全要求云平臺訪問的安全性應(yīng)該首先考慮租戶的安全訪問。租戶訪問的目的主要是管理托管服務(wù)和租賃服務(wù)的運(yùn)行和維護(hù)。因此，有必要對接入平臺的租戶身份進(jìn)行有效認(rèn)證，以避免非法用戶接入造成的危害。對于普通用戶，有必要定義哪些資源對他們開放，哪些資源不能訪問。在整個(gè)大型平臺中，不同云服務(wù)和虛擬私有云之間會有大量的信息交互。因此，有必要考慮如何確保云服務(wù)的安全互聯(lián)，以避免信息泄露和未經(jīng)授權(quán)的訪問。云之間的安全互聯(lián)云平臺可能包含多個(gè)部門數(shù)據(jù)中心或虛擬私有云，信息將跨部門或級別傳輸。傳統(tǒng)數(shù)據(jù)中心和云平臺系統(tǒng)將交換信息，這通常涉及機(jī)密級別的問題，應(yīng)嚴(yán)格保密。因此，在信息傳輸過程中，必須采用適當(dāng)?shù)募用芊椒▽π畔⑦M(jìn)行加密?；贗PSEC的加密被廣泛使用，其優(yōu)勢顯而易見：IPsec對應(yīng)用系統(tǒng)透明，安全性強(qiáng)，易于部署和維護(hù)，對巨大的云平臺非常有利。租戶安全訪問集團(tuán)子公司(租戶)業(yè)務(wù)系統(tǒng)上線后，面臨用戶遠(yuǎn)程訪問的問題。無論是運(yùn)維人員的運(yùn)維訪問，還是集團(tuán)下屬用戶的訪問，都需要認(rèn)真考慮訪問安全性。特別是如果使用BYOD接入，需要對其接入進(jìn)行嚴(yán)格的身份認(rèn)證和安全驗(yàn)證，同時(shí)合理劃分用戶的接入權(quán)限，防止安全問題從遠(yuǎn)端傳播到云平臺上。用戶訪問安全性集團(tuán)的一些子公司通過云平臺發(fā)布業(yè)務(wù)應(yīng)用。平臺用戶可以直接使用互聯(lián)網(wǎng)進(jìn)行訪問。用戶可以訪問的資源需要通過訪問控制安全策略進(jìn)行檢查，以避免未經(jīng)授權(quán)的數(shù)據(jù)泄漏。訪問控制系統(tǒng)的安全目標(biāo)是有效地將云計(jì)算中心與不可信域隔離開來，并授予訪問權(quán)限。門禁系統(tǒng)應(yīng)根據(jù)各業(yè)務(wù)的安全等級要求和整個(gè)網(wǎng)絡(luò)的安全策略來控制進(jìn)出網(wǎng)絡(luò)的信息流，系統(tǒng)本身具有很強(qiáng)的抗攻擊能力。門禁系統(tǒng)由防火墻系統(tǒng)組成。防火墻根據(jù)設(shè)置的安全規(guī)則檢查網(wǎng)絡(luò)入口點(diǎn)的流量。在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，防火墻根據(jù)一定的安全策略檢查兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接模式，以確定網(wǎng)絡(luò)之間是否允許通信。2.1.3業(yè)務(wù)可靠性要求云平臺需要確保服務(wù)的可靠性。任何中斷都會造成重大損失并影響集團(tuán)的形象。服務(wù)中斷有兩個(gè)來源：一方面，由于攻擊導(dǎo)致拒絕外部服務(wù)，服務(wù)器或帶寬資源耗盡，導(dǎo)致無法處理后續(xù)服務(wù)；另一方面，它是由停止外部服務(wù)的服務(wù)器故障、出口鏈路中斷、數(shù)據(jù)中心切換等引起的服務(wù)的軟中斷。此外，災(zāi)害、供電等不可抗力也會導(dǎo)致服務(wù)中斷。一旦發(fā)生此類事件，它們將對數(shù)據(jù)中心造成毀滅性的破壞。同時(shí)，這將對租戶的信譽(yù)產(chǎn)生非常不利的影響。建議通過冗余數(shù)據(jù)中心解決不可抗拒的中斷。然而，在云平臺內(nèi)部，每個(gè)業(yè)務(wù)系統(tǒng)將有多個(gè)服務(wù)器(虛擬機(jī))來承擔(dān)服務(wù)，并且出口網(wǎng)絡(luò)也將選擇多個(gè)互聯(lián)網(wǎng)服務(wù)，因此使用服務(wù)器負(fù)載和鏈路負(fù)載設(shè)備可以解決軟中斷問題。防止拒絕服務(wù)大量面向互聯(lián)網(wǎng)的服務(wù)托管在云平臺上，經(jīng)常成為拒絕服務(wù)攻擊的目標(biāo)。黑客控制了大量的僵尸“肉機(jī)”，從而向云平臺發(fā)起了大量的異常請求。這種攻擊行為使得網(wǎng)絡(luò)等系統(tǒng)充斥大量需要響應(yīng)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致外部服務(wù)平臺無法正常對外提供服務(wù)，影響云平臺及集團(tuán)各子公司的正常業(yè)務(wù)發(fā)展。鏈路負(fù)載平衡云平臺通常連接到多個(gè)運(yùn)營商鏈路，從而確保網(wǎng)絡(luò)服務(wù)質(zhì)量，消除單點(diǎn)故障并減少停機(jī)時(shí)間。為了提高外部用戶從外部訪問內(nèi)部網(wǎng)站和應(yīng)用系統(tǒng)的速度和性能，需要優(yōu)化多個(gè)鏈接的負(fù)載，實(shí)現(xiàn)多個(gè)鏈接的動態(tài)平衡分配，并在一個(gè)鏈接中斷時(shí)智能自動切換到另一個(gè)鏈接，以確保業(yè)務(wù)應(yīng)用不會中斷。全局服務(wù)器負(fù)載平衡當(dāng)有一個(gè)2.3租戶方要求2.3.1租戶隔離的需求分析在設(shè)計(jì)計(jì)劃中，我們看到需要通過邏輯隔離將每個(gè)部門的業(yè)務(wù)劃分為不同的安全域。首先，在構(gòu)建云平臺