绿盟 2015绿盟科技云安全解决方案

2015 绿盟科技云安全解决方案 2015 NSFOCUS Cloud Security Solution h t i g b u m o c . 5 图表目录图一.1 云典型架构 ......................................................................................................................... 2 1 一云计算典型体系结构图一.2 云典型逻辑结构 ............................................................................................................. 3 图三.3 云平台安全保障体系框架 ....................................................................................... 6 云计算系统分类 1 云计算系统典型物理架构 1 图三.5 具有安全防护机制的云平台体系架构 ........................................................... 8 云计算系统逻辑结构 2 图四.6 云平台安全域逻辑划分 ............................................................................................ 9 3 二云计算安全威胁和需求分析安全威胁分析 4 安全需求和挑战 5 5 三云安全防护总体架构设计图三.4 云平台安全技术实现架构....................................................................................... 7 图四.7 安全域划分示例 .......................................................................................................... 11 图四.8 传统安全措施的部署 ............................................................................................... 13 图四.9 虚拟化防火墙部署 .................................................................................................... 14 图四.10 异常流量监测系统部署 ....................................................................................... 16 图四.11 网络入侵检测系统部署图 .................................................................................. 17 m o c . 5 图四.12 虚拟化 Web 应用防火墙部署....................................................................... 19 图四.13 堡垒机应用场景........................................................................................................ 21 设计思路 5 图四.14 堡垒机部署图 ............................................................................................................. 22 安全保障目标 6 图四.15 安全管理子区 ............................................................................................................. 22 安全保障体系框架 6 图五.16 SDN 典型架构 ........................................................................................................... 25 安全保障体系总体技术实现架构设计 7 图五.17 软件定义安全防护体系架构 ............................................................................ 25 b u 图五.18 使用 SDN 技术的安全设备部署图 ............................................................ 26 四云平台安全域划分和防护设计 8 图五.19 使用 SDN 技术实现流量牵引的原理图 ................................................. 27 图五.20 基于手工配置的 IPS 防护模式 ..................................................................... 28 9 安全域划分五云计算安全防护方案的演进虚拟化环境中的安全防护措施部署软件定义安全体系架构安全运营六云安全技术服务 ti h 13 安全防护设计 g 24 24 28 28 28 私有云平台安全设计咨询服务 29 33 作者和贡献者 33 关注云安全解决方案 34 八关于绿盟科技图六.22 云计算关键领域安全 ........................................................................................... 31 图六.23 安全咨询服务思路 ................................................................................................. 32 24 私有云安全评估和加固七云安全解决方案图六.21 服务提供者与客户之间的安全控制职责范围划分 ......................... 30 34 关键信息本方案首先研究了云计算系统的典型结构，分析了云计算系统面临的安全威胁、安全需求和挑战，进而对云安全防护总体架构，包括保障内容和实现机制、部署方法进行了设计和详细阐述，并介绍了云安全相关的安全技术服务内容和范围，最后给出了典型的云安全防护场景。其中关于软件定义安全体系架构，在之前发布的《2015 绿盟科技软件定义安全 SDS 白皮书》中有详述。 “ 随着云计算技术的不断完善和发展，云计算已经得到了广泛的认可和接收，许多组织已经或即将进行云计算系统建设。同时，以信息/服务为中心的模式深入人心，大量的应用正如雨后春笋般出现，组织也开始将传统的应用向云中迁移。同时，云计算技术仍处于不断发展和演进，系统更加开放和易用，功能更加强大和丰富，接口更加规范和开放。例如软件定义网络（简称 SDN）技术、NFV（网络功能虚拟化）等新技术。这必将推动云计算技术的更加普及和完善。 b u m o c . 5 h t i g 云计算技术给传统的 IT 基础设施、应用、数据以及 IT 运营管理都带来了革命性改变，对于安全管理来说，既是挑战，也是机遇。首先，作为新技术，云计算引入了新的威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系，如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等方面；其次，云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护，同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战，也推进了安全服务内容、实现机制和交付方式的创新和发展。根据调研数据，信息安全风险是客户采用云计算所考虑重大问题之一，且国家和行业安全监管愈加严格，安全已经成为组织规划、设计、建设和使用云计算系统而急需解决的重大问题之一，尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云计算系统安全保障问题。本方案基于绿盟科技长期对云计算安全的探索和研究，借鉴行业最佳实践，结合绿盟科技近期云计算安全建设经验，提出了云计算安全保障框架和方法。一云计算典型体系结构云计算主要是通过网络，将 IT 以抽象化的方式交付给客户，为基于 IT 的服务交付模式带来了巨大变革。云计算的一些独特优势，使其广为接受，包括：大规模资源池化、资源弹性、按需分配、自动化部署、高可靠性、高运营效率及技术和 IT 的高透明度。云计算平台的实现主要包括两个方式：虚拟化构成的云和应用程序/服务器构成的云，其中后者的安全防护与传统方式基本相同，不再赘言，这里主要对虚拟化构成的云进行讨论。目前，计算虚拟化已经成熟，并为组织所广泛采用，如 VMware vSphere、Citrix Xen 等。另外，一些用户开始尝试采用 SDN、 NFV 等新型技术，旨在通过软件控制方式解决现网中遇到的存储、网络不能自动部署和分权分域管理问题。云计算系统分类 m o c . 5 根据 NIST 发布的相关规范，云计算系统按照部署方法可分为私有云、公有云、社区云、混合云。为了便于说明，以下内容将主要以私有云为例进行说明。云计算系统所采用虚拟化技术的不同，对安全防护设计和部署具有一定影响。根据有无才采用 SDN、NFV 技术，可分为两类：原生虚拟化系统和基于 SDN 技术的虚拟化系统。如无特别说明，下述描述均指原生虚拟化系统。 b u 云计算系统典型物理架构 h t i g 下图给出了一个典型