还剩57页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
云平台安全防护解决方案目录
1、项目建设背景
32、***安全现状及痛点分析
52.1安全边界不可见,传统安全访问控制失效
62.2虚拟化内部的流量不可视73匹配业务扩张,安全弹性扩容84安全威胁的整体运维与运营8
三、云安全建设方案91总体安全设计架构92详细拓扑部署103方案详细说明
143.
3.1云平台安全设计
143.
3.2云主机安全设计
183.
3.3虚拟机安全设计23
四、云安全应用场景271云安全架构设计
274.2智能化运维管理283平台解耦,全面兼容4平台合规安全,服务化交付
4.5动态感知威胁及时预警
1、项目建设背景GB/T22239-2008《信息安全技术信息系统安全应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随着信息技术的发展GB/T22239-2008在时效性、易用性、可操作性上据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,对GB/T22239—2008进行了修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求网络安全等级保护制度
2.0标准正式对外发布,并将于2019年12月1日正式实施,把云计算平台、大数据平台、移动互联网、物联网和工业控制系统等都纳入了等级保护对象范围,并针对这些新技术、新应用提出了特殊的安全扩******总土地面积
109.92亩,建设项目总建筑面积
20.5万平方米,开设床位数1500张,将建设成为国内一流的、现代化的集医疗、保健、教学、科研、康复五位一体的高端新院区***即将开业,医学中心将满足合肥现代化大都市及周边地区的妇女儿童医疗保健需求在医学中心的信息化建设过程中,信息安全的建设是一切基础设施和业务资源资源建设的根本和安全保障便捷、开放的网络环境,是***信息化建设的基础,在数据传递和共享的过程当中,数据的安全性要切实地得到保障,才能保障***信息化业务的正常运行然而,我们的数据却面临着越来越多的安全风险,时刻对业务的正常运行带来威胁为此,2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求卫生行业“全面开展信息安全等级保护工作”,《中华人民共和国网络安全法》(以下简称《网络安全法》)自2017年6月1日开始施行其中,《网络安全法》第21条明确规定了“国家实行网络安全等级保护制度《网络安全法》是从国家层面对等级保护工作的法律认可,简单点就是单位不做等级保护工作就是违法***信息系统的安全性直接关系到***医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给***和病人带来巨大的灾难和难以弥补的损失同时,***信息系统涉及大量***经营和患者医疗等私密信息,信息的泄露和传播将会给***、社会和患者带来安全风险业务系统包括HIS、PACS、LIS系统都在私有云上,所以在信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视为了***信息网络的安全稳定运行,确保***信息系统安全,根据***目前的计算机信息网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,进行***网络安全建设
2、***安全现状及痛点分析云计算模式通过将数据统一存储在云计算服务器中,加强对核心数据的集中管控,比传统分布在大量硬件设备上的数据行为更安全由于数据的集中,使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾备恢复但云计算在带来方便快捷的同时也带来新的挑战从安全建设原则、安全保护对象和安全建设目标上来讲,云安全与传统的信息安全并无本质的区别同时,一些传统的、行之有效的信息安全技术和策略也将会继续应用在云计算平台及其终端设备的安全管理与防护上而云计算作为一种新型的计算模式,其安全建设必然与传统的信息安全建设存在区别,其安全性也必有其特殊的一面
2.1安全边界不可见,传统安全访问控制失效云计算平台与传统的IT组织架构上的差异导致其安全防护理念上存在差异在传统的安全防护中,很重要的一个原则就是基于边界的安全隔离和访问控制,并强调针对不同的安全区域设置差异化的安全防护策略,这依赖于各区域间清晰的边界划分,从而在各区域边界划分的基础之上,合理实施访问控制策但在云计算环境中,计算和存储资源高度整合基础网络架构统一化,传统的控制部署边界消失业体运行于哪台服务器,但云化后,同一套业务系统的WEB端和数据库服务器可能运行于不同的物理服务器之上,那传统的按照区域的访问控制已经失效所以在云化建设过程中,需要一套能够适配当前云化环境的解决方案,解决云化环境安全区域的动态划分和动态调整,重新构建云上安全边界
2.2虚拟化内部的流量不可视传统网络通过物理线缆将服务器、交换机、安全设备相连,物理服务器上承载的业务系统,也可以通量交互的控制、审计业务系统云化以后同一台物理机内部有多台虚拟机,虚拟机和虚拟机间的互访在大部分情况下是不会出虚拟化环境的,直接通过vswitch进行数据转发,这样部署于虚拟化环境外部的相关设备就无法对虚拟化环境内部流量的交互路径内部流量的不可视会带来众多安全问题:1内部业务访问关系不可视云环境内部流量错综复杂,各种角色的虚拟机承载的不同业务系统,不同业务系统的流程混杂在问逻辑,如云平台内部有10套业务系统,每套业务系统由2-3台VM组成,每个VM入站和出站的流量分别为lOOKo2内部威胁不可视内部爆发的横向攻击往往蔓延速度快,波及范围广,在虚拟化环境内部这种特性更甚,同一网段的虚下,内部威胁极易扩散
2.3匹配业务扩张,安全弹性扩容业务的扩展和扩容会引入新的安全需求,安全需求的交付一定不能够滞后于业务的交付,所以需要一套能够快速部署、交付的安全产品,能够匹配业务新建、扩容、迁移引入的安全需求外部的威胁是在不断升级的,应对外部威胁的手段也应该是在不断提升的,可以通过建立与之配套的安全团队,也可以通过快速的安全方案的匹配达到持续、快速对抗外部威胁的能力
2.4安全威胁的整体运维与运营一个安全体系的建立,需要依托于整体的安全管理框架和相关安全技术从而能够建立一套面向安全决策、安全事件应急响应的流程所以在云建设前期,必须健全与安全设备配套的运营,能够针对安全设备的安全事件,结合日常运维动作1威胁和日志的整体管理与运营;2)实现安全设备的统一管理,避免过去安全设备管理配置分散化的现象;3)安全需求的统一管理,面向各业务部门提出的安全需求,可以做到统一管理,资源统一回收
三、云安全建设方案
3.1总体安全设计架构通过对云安全威胁和实际需求的分析,按照云平台安全、云主机安全、虚拟机安全三个层次进行方案设计,对云安全进行分层次、体系化的建设,建设建设架构如图2-1所示虚拟机安全图2-1云安全建设总体框架图***云安全整体框架主要围绕层面建设,分别为:云平台安全从网络层面对云数据中心进行整体安全防护,实现云平台与互联网及内网其它业务区域的安全隔离,防范应用层攻击,保障云平台南北向流墨安全;同时在云平台边界网络构建“可视、检测、响应与一体的安全管理中心,对全网流量进行检测分析,对业务系统面临的高危攻击、潜伏威胁进行持续检测和快速响应云主机安全面向云内主机边界提供统一的安全威胁管理,打通威胁防护体系,建立一个面向云内主机间东西向威胁的快速服务平台,实现安全产品分虚拟机安全着眼虚拟机之间的横向流量,提供虚拟机之间安全可视、可控能力,围绕业务系统建立安全边界,从云内业务系统视角出发,构筑围绕云内业务系统的云内“动态边界”O
3.2详细拓扑部署在云数据中心边界的下一代防火墙,实现云平台与互联网及内网其它业务区域的安全隔离,防范应用层攻击,保障云平台南北向流量安全;在云平台边界网络部署构建一套集“可视、检测、响应”与一体的全网安全态势感知系统,对全网流量进行检测分析,对业务系统面临的高危攻击、潜伏威胁进行持续检测和快速响应为保障云内主机安全,在云数据中心汇聚交换机上旁路部署云安全资源池,云主机安全组件采用安全资源池统一部署,业务安全组件按需从安全资源池调用,方案设计拓扑如下:在虚拟机中安装轻量化Agent同时部署终端检测响应平台(EDR)系统,以资产为中心,对主机安全精准、持续的检测,并通过联动协同响应快速处置终端资产安全问题,构建终端检测响应平台云安全拓扑部署图由于云平台基础设施采用虚拟化云平台,核心路由交换机上,采用物理旁路,逻辑串联的方式,核心交换机采用策略路由的方式将云平台的业务流量引流到云安全资源池,通过安全资源池提供防火墙等安全返回给交换机到出口完成整个数据流的安全防护,实现了南北向和东西向纵深防护体系资源池整体流为了保证南北向防护产品的丰富性,安全资源池可以整合第三方的生态产品其中云安全资源池平台底层采用超融合架构,部署在X86服务器上,平台中计算资源、存储资源、网络资源、网络功能资源、安全功能等IT基础资源均实现虚拟化,第三方安全产品仅需提供标准的qcow
2、OVA文件即可完成安全产品的导入以上落实到实际效果主要体现在两个部分一部是为不同业务的个性化安全需求提供了灵活性的安全部署方式,一部分是实现了业务系统以及云平台的安全需求以服务化交付,具体如下0实现各个业务系统VPC边界防护,虚拟机间的边界防护,形成了纵深多维度防护体系;0通过安全需求服务化交付,实现了各个业务系统根据不同安全功能需求提供了按需服务,根据各个业务系统需求实现弹性扩展,提供WAF、IPS、FW、务系统不同等保级别的合规需求;0通过安全感知平台+检测探针构建安全运营中心,实现全网态势感知动态展示、策略下发、安全事件实时处置;0后期扩容,可以通过添加X86服务器实现性能扩容,并且支持分布式部署后的统一集中管理
3.3方案详细说明
3.
3.1云平台安全设计在云数据中心部署下一代防火墙,下一代防火墙功能模块全部开启后,实现云数据中心安全域边界的安全隔离和L2-L7层的安全防护通过发现资产进行风险评估,针对业务脆弱性形成对应的安全策略,融合访问控制、应用控制、入侵防御、WEB应用防护、断网络发现的威胁残留的威胁可通过风险发现和威胁情报提供一键防护功能和安全策略调优实时漏洞洞,帮助信息中心及时发现存在的安全问题并加以解流量进行持续检测,实现全网流量可视,及时发现潜安全态势感知系统主要由两部分组成监测预警管理系统(感知系统SIS)和监测采集系统(探针STA或者其他安全设备)组成其中安全感知系统将收集到的各个节点的数据进行分析,展示安全态势(整体安全态势、区域安全态势、重点网站安全态时告警等,同时可实现整改通知、资产管理、风险管理、预警管理、报表管理、系统管理等多方面的管理功能潜伏威胁探针通过采集、扫描、核查等方式进行各种数据源的采集输送到感知系统通过安全运营中心可以弥补边界防护措施在检测与响应能力方面的不足,实现以下功能:
(1)全网业务资产可视化主动识别资产通过潜伏威胁探针可主动识别业实现业务资产的有效识别;资产暴露面可视化将已识别的资产进行安全评估,将资产的暴露面进行呈现,包括开放的端口、可登录的web后台等;业务系将逻辑访问图进行可视化的呈现以识别非法的势分析全网访问关系可视化依托于可视化技术,通过信息中心服务器和用户访问关系展示用户、业务系统、互联网之间访问关系,能够识别访问关系的WhoWhatWhereWhenHow通过颜色区分不同危险等级用户、业务系统提供以下展示全网业务可视化基于全网业务对象的访问关系的图形化展示,包括用户对业务、业务对业务、业务与互联网三者关系的完全展示,并提供快捷的搜索供IT人员在业务迁移和梳理时直观的查看业务关系,是否有遗漏的业务未被防护、是否存在内部攻击、是否有业务外连、是否存在外部攻击等行为基于业务视角的可视化可呈现当前业务由内而外、由外而内两个方向所有可视化访问关系,包括是否被攻击、是否违规、是否被登陆、是否外发攻击等并用不同颜色图标标识访问源和目的是否已失陷供IT人员识别潜在风险如已被控制的用户不停的来攻击当前业务,那么可以很明显的在可视化关系图上看到这个横向攻击基于用户的可视化可呈现该用户已经通过哪些应用、协议和端口访问了哪些业务,这些访问是否是攻击、违规、远程登陆等行为可清晰的看出已对哪些业务存在影响,也能推导当前用户是否已失陷或可疑O安全风险告警和分析失陷业务/风险用户检测通过内网外发异常流统/资产是否已被攻击,并将资产存在的后门进行检测,并通过邮件告警等方式向管理员告知已失陷的安全事件;失陷业务和风险用户举证事件化、多维度的失陷主机检测,对风险业务、风险用户进行详细举证将目标资产发起的和遭受的攻击/异常活动进行汇聚整理成安全事件,而不再是大量的日志罗列,可直接什么;主机威胁活动链以攻击链的形式展示主机被入侵后发起的威胁活动情况,直观显示被入侵后主机是否被利用产生威胁,且威胁程度是否逐步升级的情况;有效攻击事件分析过旁路镜像的方式可将攻击回包状态进行完整的检测,结合业务系统的漏洞信息,可以识别攻击成功的有效安全事件
3.
3.2云主机安全设计云主机安全采用安全资源池方案,借助X86服务器集群与计算、存储、网络虚拟化技术,构建软件定义的安全能力中心软件定义安全能力由安全应用市场、安全自助编排、安全统一运维、各安全能力组件构成软件定义的安全架构安全应用吊•场统一安全运维安全应用市场安全应用市场是用户选用基于软件定义架构的安全防护体系,包括部署安全资源池中的应用商店APPStore以及部署于安全服务平台中各种实现安全业务的应用APPo如下一代防火墙安全应用、上网行为管理安全应用其中,云端的APPStore发布的安全应用,云平台用户可按需购买、下载和在全资源池之上的业务安全,负责安全设备的资源池安全APP的分配、各类安全信息源的收集和分析,以及过互联网从APPStore下载到安全资源池之中,然有很多,但逻辑上都会在安全控制平台的管理下,形成各类资源池,具备相应的安全能力安全应用市场主要包含:管理云端安全应用,如应用试用、下载、创建和删除等;应用统一更新,如版本更新和规则库的更新;支持应用编排的部署模式,即多种应用可以叠加执行等;安全资源自助编排从应用市场选购安全服务后,安全服务会自动完成下载和配置部署,同时安全资源池提供了业务区域划分,实现拖动和可视的自助编排界面安全区域划分依靠多年***信息安全工作实践,内置对外服务区域、运维管理区域、核心服务区域、内部办公区域与全规划手动定义可根据内部业务系统的划分,来规划不同业务系统/区域的安全防护能力所画即所得的安全能力部署定义安全区域后,可将该区域所需的安全能力按照安全规划,拖入所属区域待全部拖入后,整个云数据中心的防护网络即完成建设统一安全运维基于软件定义的安全架构,在实现了安全编排的基础之上,将所有安全设备的运维平面集中,实现安全能力的统一运维、管理基于单业务系统维度的安全视角:安全资源池能够将安全能力匹配于每个业务系统,统一安全运维界面可以查看基于业务系统维度的安全情况,并根据不同业务系统面临的安全问题及时处置统一的安全运营界面内置安全运营与运维界面,实现安全事件、安全日志的统一管理,对每个业务系统匹配的安全服务安全组件清单针对RDP、VNC、XII等图形终端操作的连接情况进行记录及亩计;记录发生时间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号、运维用户姓名、审批用户帐号、亩批用户姓名、服务器用户名等信息;以针对内部业务系统:同一业务系统不同角色VM的访问流量可视具体协议等);不同业务系统间流量可视,自动生成不同业务置访问控制策略,拒绝违规异常访问;全局安全威胁控制,根据云内安全监测功能绘制的虚拟拓扑图,可以在任意节点选择部署威胁控制策略,实现快速的威胁隔离;
(2)云内威胁防护虚拟机防护主要采用的是虚拟机安全agent安全测虚拟机的性能状态,检测虚拟机的风险状态,以可视化的方式展示虚拟机的态势感知,重点检测如下:0Webshe11检测0暴力破解检测0僵尸网络检测0微隔离
(3)常规部署方式服务端点安全由虚拟机端点agent、控制中心共同组成端点agent需要安装在所有的主机上,包括所有的物理主机以及虚拟机、云主机等管理平台部署在本地端点agent完成基本数据的采集以后,会将必要的数据发送到控制中心,然后由云资源池管理平台进行安全的分析和全局的汇总
(4)具体功能介绍
1.持续检测Web后门端点agent将在服务器上持续进行安全检测,我们会自动清点服务器的关键目录(例如Web服务器的站点目录),并对关键目录进行持续地监控过去检测web后门的主要手段是依赖IPS或者WAF设备,但是特征库的方式很容易绕过现成的库例如用户可以将web后门的代码进行各种混淆,这样传统的防御技术要在文件传输或请求的时刻判定文件是否为web后门将是非常困难的在服务器端点侧进行安全监测,将会获得传统防御不可替代的价值,因为无论用户是通过漏洞、爆破、上传等方式将web后门写入服务器,这样即会触发我们的监测程序我们将会通过文件库、静态分析、云端沙盒、运行行为分析等手段对文件进行判暴力破解检测与响应服务器的密码安全一直是数据中心一个突出的问题过去使用边界防护设备可以有效阻断外部对于内部的密码爆破尝试但是随着服务器边界的模糊,来自内部或服务器之间(横向移动)的密码爆破也逐渐Agent将会在服务器上持续监控密码的爆破行为,如果发现了有人进行密码的爆破,将可以设置对特定IP进行一段时间的自动封停,避免服务器被爆破成功性能实时查看在服务器上安装agent其中一个核心的保证就是不对服务器带来稳定性以及性能的影响稳定性方面,我们的整体方案都采取了无驱动的方式进行设计,即便是agent意外退出,也不会导致服务器蓝屏地管理平台上,所以agent上只会占用很少的CPU所以用户可以在管理平台上查看到所有agent目前对服务器的资源的消耗,包括CPU、内容等信息
4.僵尸网络检测通过对报文的会话分析,以及采集报文netflow信息分析,检测主机是否有被木马程序等控制,形成僵尸网络,并展现僵尸网络主机的的相关详细信息,如显示僵尸网络文件检测出来的事件日志,例如恶意文件名称、文件名称、操作动作、发现时间等,支持显示僵尸网络文件检测过程的详情内容,例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块、网络行为云安全应用场景
4.1云安全架构设计云安全方案架构设计采用软件定义安全的架构设计理念,从安全需求的角度设计匹配的云安全基础架构,确保云安全资源池架构的可扩展性、灵活性和可合,确保IT基础架构对安全多样性的支持和业务快速上线的支持云安全方案架构设计的优势主要体现在以下几点0成熟的软件定义安全设计方案云安全资源池验,经过SDL流程的严格开发,确保了云安全资源池方案的先进性和可靠性先进的安全合规方案云安全资源池方案设计覆盖网络和通信安全、应用和数据安全、设备和计算安全等多方位安全防护,满足云数据中心软件定义安全的需求2智能化运维管理云安全资源池方案在软件定义网络方面,舍弃了传统硬件厂商的复杂解决方案、采用更加灵活和简单的方式来实现SDDC中的整体IT基础服务,比如在实现Overlay的时候,用Vxlan实现不同业务系统之间的业务安全隔离,但对于运维人员为透明无感知,不通简单的通过所画即所得的方式,即可构建业务系统的完整逻辑,极大简化了云数据中心运维和管理工作3平台解耦,全面兼容目前传统的云安全解决方案采用的是硬件一虚多的方式,采用硬件平台虚拟安全功能软件,由于部署方式需要考虑与云平台的兼容性,不能满足所有云平术,提供了完整的一站式云安全解决方案,并部署简单,与云平台解耦合,兼容所有云平台厂商,不破坏
4.4平台合规安全,服务化交付云安全解决方案实现了云平台安全功能需求服务通过购买安全产品满足等保合规需求,现在通过安全资源池一样可以满足,且不需要购买更多安全专有设
4.5动态感知威胁及时预警云安全方案通过多种安全功能的统一整合,满足了等级保护
2.0中“安全管理中心〃的要求,实现了安全防护、安全检测、安全审计、安全运维的四位一体防护体系,结合云端的大数据分析平台,通过安全态感知云安全威胁,做到提前告警、提前预防、提前处置
五、预期效益******基于私有云环境的构建了从云内到云外、从安全设备到安全服务的多层次联动的安全机制在云内,构建安全资源池管理平台与虚拟安全组件之间的联动机制,发挥一体化优势,基于虚拟安全组件实现云内安全无死角监测,管理平台对所有监测数据进行智能分析,能够及时有效地发现外部攻击行为和云内失陷虚机,并通过可视化报表将分析结果和处置建议发送给云服务用户,方便用户申请相应的安全组安全资源池与态势感知平台之间的“云-网-端联动体系,实现一键处置除了安全设备之间的智能联动,安全设备与安全人工服务之间自动化、流程化的联动也已打通,形成了针对云环境的体系化安全运营管理平台,从而真正的实现安全闭环结合安全设备之间、安全设备和安全人工服务之间的智能联动,可构建安全事件快速响应机制与传统的应急响应流程相比,联动快速响应不仅能够缩短安全事件的处置时间,避免事件危害的进一步扩散而且还能提升安全设备的利用效率除此以外,依托人机共智的快速响应机制,在规避风险的基础上,还能实现攻击事件的溯源分析,并给出针对性的安全加固建议,防止同类事件再次发生云平台运营者通过为用户提供池化的安全资源服务,在推动用户上公,打造可信云业务的同时也避免了安全建设成为固定投入,而是将安全转化为了一种经济、可经营的产品,并获得持续产出源接入端点安全风险发现。