基于云架構(gòu)的系統(tǒng)安全設(shè)計(jì)

第頁共頁基于云架構(gòu)的系統(tǒng)平安設(shè)計(jì)基于云架構(gòu)的系統(tǒng)平安設(shè)計(jì)1平安框架簡(jiǎn)介本文認(rèn)為數(shù)據(jù)中心平安解決方案要從整體出發(fā)，作為平安根底設(shè)施，效勞于整體信息平安的需要。分析^p信息平安的開展趨勢(shì)，可以看到平安合規(guī)、平安管理、應(yīng)用與數(shù)據(jù)平安、云計(jì)算平安、無邊界的網(wǎng)絡(luò)平安、平安產(chǎn)品與效勞資質(zhì)是平安關(guān)注的重點(diǎn)，其中包含了平安效勞、物理設(shè)施平安、應(yīng)用平安、主機(jī)平安、網(wǎng)絡(luò)平安、虛擬化平安、數(shù)據(jù)保護(hù)、用戶管理、平安管理等九大平安子模塊。作為整體平安體系架構(gòu)的每一個(gè)平安子模塊是各種工具、系統(tǒng)及設(shè)備的集合，在技術(shù)層面提供平安控制。2系統(tǒng)網(wǎng)絡(luò)平安設(shè)計(jì)系統(tǒng)網(wǎng)絡(luò)平安設(shè)計(jì)主要就是平安域劃分，采用合理的平安域劃分，將數(shù)據(jù)中心的網(wǎng)絡(luò)功能分別劃分到各自平安區(qū)域內(nèi)。平安域是邏輯上的區(qū)域，同一個(gè)平安域內(nèi)的資產(chǎn)具有一樣或類似的平安屬性，如自身的平安級(jí)別、來自外部的平安威脅、平安弱點(diǎn)及平安風(fēng)險(xiǎn)等，同一平安域內(nèi)的系統(tǒng)互相信任。2.1劃分平安區(qū)域數(shù)據(jù)中心的網(wǎng)絡(luò)功能分區(qū)可劃分為公共區(qū)、過渡區(qū)、受限區(qū)和核心區(qū)四個(gè)平安區(qū)域。公共區(qū)是指公有網(wǎng)絡(luò)與數(shù)據(jù)中心直接連接的區(qū)域，其平安實(shí)體包括自身所擁有的互聯(lián)網(wǎng)接入設(shè)備。該區(qū)域?qū)⒉辉诰W(wǎng)絡(luò)直接控制范圍內(nèi)的實(shí)體和區(qū)域進(jìn)展連接，包括來自互聯(lián)網(wǎng)的用戶及線路資。此區(qū)域平安風(fēng)險(xiǎn)等級(jí)高，屬于非平安區(qū)域，需要進(jìn)展嚴(yán)格的數(shù)據(jù)流控制。過渡區(qū)用于分割公共區(qū)與受限區(qū)及核心區(qū)的直接聯(lián)絡(luò)，在邏輯上位于它們的中間地帶。設(shè)置過渡區(qū)是為了保護(hù)受限區(qū)及核心區(qū)的信息，使之不被外部掌握，防止直接的網(wǎng)絡(luò)數(shù)據(jù)流在這兩個(gè)分隔的區(qū)域間通過。所有能被非信任來直接訪問并提供效勞的系統(tǒng)和設(shè)備構(gòu)成了它平安實(shí)體，是易受攻擊的半信任區(qū)，機(jī)密數(shù)據(jù)應(yīng)盡量不放置于此。受限區(qū)是被信任區(qū)域，其在內(nèi)部網(wǎng)絡(luò)中的平安級(jí)別較高，僅次于核心區(qū)，平安實(shí)體由業(yè)務(wù)終端、辦公終端等內(nèi)部終端構(gòu)成，非核心的OA辦公應(yīng)用、開發(fā)測(cè)試效勞器區(qū)域也可以定義為受限區(qū)。數(shù)據(jù)流一般不允許從公共區(qū)到受限區(qū)直接通過，需使用代理效勞器或網(wǎng)關(guān)進(jìn)展中轉(zhuǎn)，否那么，必須進(jìn)展嚴(yán)格的平安控制。核心區(qū)是平安級(jí)別最高的網(wǎng)絡(luò)區(qū)域，包含了重要的應(yīng)用效勞器，提供關(guān)鍵的業(yè)務(wù)應(yīng)用;也包含核心的數(shù)據(jù)庫效勞器，保存有機(jī)密數(shù)據(jù);還包含管理控制臺(tái)和管理效勞器，具有管理所有系統(tǒng)的權(quán)限和功能。因此核心區(qū)應(yīng)該受到平安技術(shù)手段的保護(hù)，同時(shí)對(duì)其內(nèi)部系統(tǒng)和設(shè)備的訪問及操作都需要通過嚴(yán)格的平安管理流程。2.2劃分平安子域每個(gè)平安域類別內(nèi)部可定義平安子域。公共區(qū)為Inter平安域，數(shù)據(jù)中心網(wǎng)絡(luò)Inter接入?yún)^(qū)內(nèi)與Inter連接的接入設(shè)備歸屬該平安域。區(qū)為InterDMZ平安域，數(shù)據(jù)中心網(wǎng)絡(luò)中所定義的Inter接入?yún)^(qū)內(nèi)的DMZ區(qū)(部署外部效勞器)歸屬該平安域。受限區(qū)內(nèi)包含遠(yuǎn)程接入?yún)^(qū)，辦公網(wǎng)接入?yún)^(qū)和開發(fā)測(cè)試區(qū)三個(gè)受限區(qū)平安子域：(1)遠(yuǎn)程接入?yún)^(qū)包含消費(fèi)數(shù)據(jù)中心與合作單位、分支機(jī)構(gòu)和災(zāi)備數(shù)據(jù)中心相連接的網(wǎng)絡(luò)設(shè)備;(2)辦公網(wǎng)接入?yún)^(qū)包含消費(fèi)數(shù)據(jù)中心與辦公網(wǎng)相連接的網(wǎng)絡(luò)設(shè)備;(3)開發(fā)測(cè)試區(qū)包含數(shù)據(jù)中心中所提供的用于開發(fā)測(cè)試目的的各類設(shè)備，該區(qū)域可定義多個(gè)受限區(qū)平安域?qū)嵗愿舴珠_發(fā)、測(cè)試、或支撐多個(gè)并行進(jìn)展的開發(fā)測(cè)試工作。核心區(qū)包含OA區(qū)、一般業(yè)務(wù)消費(fèi)區(qū)、運(yùn)行管理區(qū)和高平安業(yè)務(wù)消費(fèi)區(qū)三個(gè)平安子域，其中高平安業(yè)務(wù)消費(fèi)區(qū)、運(yùn)行管理區(qū)在平安防護(hù)級(jí)別上應(yīng)高于一般業(yè)務(wù)消費(fèi)區(qū)和OA區(qū)。(1)OA辦公應(yīng)用區(qū)包含支撐各類OA應(yīng)用的效勞器和其他設(shè)備，對(duì)于有較高平安要求的OA類應(yīng)用也可以劃入到高平安業(yè)務(wù)消費(fèi)區(qū);(2)一般業(yè)務(wù)消費(fèi)區(qū)包含非關(guān)鍵的業(yè)務(wù)應(yīng)用，可以按照需求定義多個(gè)平安域?qū)嵗詫?shí)現(xiàn)業(yè)務(wù)應(yīng)用的隔離;(3)運(yùn)行管理區(qū)內(nèi)包含數(shù)據(jù)中心運(yùn)行管理系統(tǒng)的各類設(shè)備，包含網(wǎng)絡(luò)管理、系統(tǒng)管理、平安管理，可以按照需求定義多個(gè)平安域?qū)嵗?，隔離上述不同管理目的的系統(tǒng)應(yīng)用。(4)高平安業(yè)務(wù)消費(fèi)區(qū)包含平安要求最高的核心業(yè)務(wù)應(yīng)用、數(shù)據(jù)等資產(chǎn)，可以按照需求定義多個(gè)平安域?qū)嵗黝惒煌母咂桨矘I(yè)務(wù)。平安域劃分后，平安域間的信息流控制遵循如下原那么：(1)由邊界控制組件控制所有跨域經(jīng)過的數(shù)據(jù)流;(2)在邊界控制組件中，缺省情況下，除了明確被允許的流量，所有的流量都將被阻止;(3)邊界控制組件的故障將不會(huì)導(dǎo)致跨越平安域的非受權(quán)訪問;(4)嚴(yán)格控制和監(jiān)管外部流量，每個(gè)連接必須被受權(quán)和審計(jì)。2虛擬化平安設(shè)計(jì)2.1虛擬化平安威脅用戶在利用虛擬化技術(shù)帶來好處的同時(shí)，也帶來新的平安風(fēng)險(xiǎn)。首先是虛擬層能否真正把虛擬機(jī)和主機(jī)、虛擬機(jī)和虛擬機(jī)之間平安地隔分開來，這一點(diǎn)正是保障虛擬機(jī)平安性的根本。另預(yù)防云內(nèi)部虛擬機(jī)之間的惡意攻擊，傳統(tǒng)意義上的網(wǎng)絡(luò)平安防護(hù)設(shè)備對(duì)虛擬化層防護(hù)已經(jīng)不能完全滿足要求。數(shù)據(jù)中心消費(fèi)數(shù)據(jù)部署在虛擬化平臺(tái)，目前，針對(duì)虛擬化平臺(tái)的平安風(fēng)險(xiǎn)主要包括以下幾個(gè)方面：1)攻擊虛擬機(jī)Hypervisor;2)虛擬機(jī)與虛擬機(jī)的攻擊和嗅探;3)Hypervisor自身破綻產(chǎn)生的威脅;4)可以導(dǎo)致虛擬機(jī)無法提供正常效勞，數(shù)據(jù)的機(jī)密性、完好性和可用性被破壞;5)病毒蠕蟲帶來的數(shù)據(jù)完好性和可用性損失，以及虛擬化網(wǎng)絡(luò)可用性損失;6)系統(tǒng)自身存在平安缺陷，使攻擊、濫用、誤用等存在可能。2.2虛擬化平安設(shè)計(jì)綜上，虛擬機(jī)平安設(shè)計(jì)應(yīng)該包括：1)支持VLAN的網(wǎng)絡(luò)隔離，通過虛擬網(wǎng)橋?qū)崿F(xiàn)虛擬交換功能。2)支持平安組的網(wǎng)絡(luò)隔離：假設(shè)干虛擬機(jī)的集合構(gòu)成虛擬機(jī)平安組，也是平安組自身網(wǎng)絡(luò)平安規(guī)那么的集合。同一平安組中的虛擬機(jī)無須部署在同一位置，可在多個(gè)物理位置分散部署。因此，虛擬機(jī)平安組的作用是在一個(gè)物理網(wǎng)絡(luò)中，劃分出互相隔離的邏輯虛擬局域網(wǎng)，進(jìn)步網(wǎng)絡(luò)平安性。本功能允許最終用戶自行控制自己的虛擬機(jī)與自己的其他虛擬機(jī)，或與其別人員的虛擬機(jī)之間的互聯(lián)互通關(guān)系。虛擬機(jī)之間的互通限制是通過配置平安組組間互通規(guī)那么來實(shí)現(xiàn)的。一個(gè)用戶可以創(chuàng)立多個(gè)平安組，但一個(gè)平安組僅屬于一個(gè)用戶所有。用戶在創(chuàng)立虛擬機(jī)時(shí)，可以制定該虛擬機(jī)所在的平安組。屬于同一個(gè)平安組的虛擬機(jī)，是默認(rèn)全部互聯(lián)互通的`。屬于不同平安組的虛擬機(jī)，是默認(rèn)全部隔離的。平安組規(guī)那么屬于單向的白規(guī)那么。用戶可以設(shè)置允許自己的某個(gè)平安組內(nèi)的虛擬機(jī)接收來自其他平安組內(nèi)的虛擬機(jī)的懇求，或來自某個(gè)IP地址段的懇求。懇求類型也是可以配置的，比方TCP，ICMP等等。平安組規(guī)那么隨虛擬機(jī)啟動(dòng)而自動(dòng)生效，隨虛擬機(jī)的遷移在計(jì)算效勞器間遷移。用戶只需要設(shè)定規(guī)那么，無須關(guān)心虛擬機(jī)在哪里運(yùn)行。3)虛擬機(jī)防護(hù)：客戶在虛擬機(jī)中安裝的操作系統(tǒng)與實(shí)際物理系統(tǒng)同樣存在平安風(fēng)險(xiǎn)，無法通過虛擬化來躲避風(fēng)險(xiǎn)。但是，針對(duì)某獨(dú)立虛擬機(jī)平安風(fēng)險(xiǎn)的攻擊只會(huì)對(duì)該虛擬機(jī)自身造成危害，而不會(huì)它所在的虛擬化效勞器。虛擬機(jī)病毒防護(hù)系統(tǒng)由端點(diǎn)保護(hù)效勞器和虛擬化效勞器上的端點(diǎn)保護(hù)客戶端構(gòu)成，端點(diǎn)保護(hù)效勞器統(tǒng)一管控整個(gè)網(wǎng)絡(luò)的端點(diǎn)保護(hù)客戶端，包括主機(jī)防病毒、主機(jī)IPS、主機(jī)防火墻策略的設(shè)定和配置，日志的搜集，病毒碼、掃描引擎等組件的更新。通過在每一個(gè)運(yùn)行的虛擬機(jī)上部署防病毒客戶端，用于保護(hù)虛擬機(jī)的平安。4)虛擬機(jī)系統(tǒng)模型加固：通過制定根本系統(tǒng)模型，并對(duì)模型進(jìn)展必要的平安加固，不安裝其他未知應(yīng)用程序，供用戶創(chuàng)立虛擬機(jī)時(shí)使用，可以確保所有新建虛擬機(jī)都具有根本平安防護(hù)程度。其他特定應(yīng)用程序模型可以使用該模型進(jìn)展創(chuàng)立，并在虛擬機(jī)中部署，確保隨時(shí)更新模型中的修補(bǔ)程序和平安工具。5)虛擬機(jī)資管理：利用云平臺(tái)的資管理功能，虛擬化平臺(tái)可以準(zhǔn)確控制各虛擬主機(jī)的資分配。當(dāng)某臺(tái)虛擬機(jī)受到攻擊時(shí)，不會(huì)影響同一臺(tái)物理主機(jī)上的其他虛擬機(jī)的正常運(yùn)行。這一特點(diǎn)可用來防止回絕效勞攻擊，防止因此攻擊導(dǎo)致虛擬機(jī)資的大量消耗，致使同一臺(tái)主機(jī)上的其他虛擬機(jī)無法正常運(yùn)行。6)虛擬機(jī)與物理主機(jī)間的通信管理