【正文】 .. . . ..深信服云安全解決方案深信服電子科技有限公司2015年11月7日目錄第一章 建設(shè)背景 4 4 4第二章 需求分析 5 需求概述 5 平臺側(cè)需求 7 7 8 9 租戶側(cè)需求 10 租戶間隔離需求分析 10 租戶虛擬機需求分析 11 租戶互聯(lián)網(wǎng)業(yè)務(wù)需求分析 11 租戶外網(wǎng)業(yè)務(wù)需求分析 12 管理運維需求 13第三章 設(shè)計原則 14第四章 解決方案 15 解決方案綜述 15 平臺側(cè)設(shè)計方案 17 18. 平臺分區(qū)分域 18. 防網(wǎng)絡(luò)病毒 18. 應(yīng)用安全防護 19. 防止漏洞攻擊 19. 多業(yè)務(wù)數(shù)據(jù)隔離和交換 20 20 21 22 23. 防拒絕服務(wù)攻擊 23. 鏈路/全局負載均衡 23 租戶側(cè)設(shè)計方案 25 25 26 26 27 29 NFV安全組件部署方式 31 管理運維設(shè)計方案 32 平臺運維 32 租戶運維 33 平臺服務(wù)商合作運維 34第五章 解決方案價值 35 高安全：提供專業(yè)、可靠的服務(wù) 36 高性價比：降低IT建設(shè)成本 36 高效率：業(yè)務(wù)系統(tǒng)部署速度快 37 高協(xié)同：降低信息共享和業(yè)務(wù)協(xié)同難度 37第一章 建設(shè)背景云計算的興起，給人們的工作方式以及商業(yè)模式帶來根本性變化，甚至可能掀起信息技術(shù)的第三次“浪潮”。目前，云計算在電信、互聯(lián)網(wǎng)、IT行業(yè)以及金融等方面都扮演著舉足輕重的角色。正如業(yè)界虛擬化領(lǐng)域的一位資深專家所言：“以前大家對于云計算可謂眾說紛紜，都有各自不同的見解和看法，而現(xiàn)在業(yè)界已逐漸形成共識：云計算就是下一代運算模式的演變。每家單位都要建立自己的云計算模式，其第一步要做的就是完成內(nèi)部云或私有云的建制。內(nèi)部云建制的科技基礎(chǔ)就是虛擬化云平臺，這也將成為拉動整個虛擬化云平臺市場持續(xù)走高的成長動力。”在大企業(yè)，虛擬化云平臺能幫助單位在業(yè)務(wù)層面實現(xiàn)彈性架構(gòu)和資源池化，一方面可以大幅提升存儲計算等各種硬件資源的利用效率，另一方面還可明顯提升辦公、對外服務(wù)的開通時間、可用性以及災(zāi)難恢復(fù)等能力。著名咨詢公司Gartner將虛擬化云平臺技術(shù)列為2009年十大戰(zhàn)略技術(shù)第一位，而在2010年初發(fā)布預(yù)測中，更是大膽斷言到2012年20%的單位將不再擁有IT資產(chǎn)。尤其在大企業(yè)，因為多個內(nèi)在關(guān)聯(lián)的趨勢正在推動大企業(yè)逐步減少IT硬件資產(chǎn)，這些趨勢主要是虛擬化云平臺、云計算服務(wù)、虛擬化的桌面交付等。而虛擬化云平臺技術(shù)，作為云計算的一個支撐技術(shù)，必將成為未來最重要的最值得研究的IT技術(shù)之一。云平臺的搭建將有助于IT系統(tǒng)從粗放式、離散化的建設(shè)模式向集約化、整體化的可持續(xù)發(fā)展模式轉(zhuǎn)變，使IT管理服務(wù)從各自為政、相互封閉的運作方式向跨部門跨區(qū)域的協(xié)同互動和資源共享轉(zhuǎn)變。云計算能夠降低信息化成本在云環(huán)境下，可以將信息技術(shù)資源交給專業(yè)的第三方云服務(wù)商管理，由云服務(wù)商提供需要的信息技術(shù)基礎(chǔ)架構(gòu)、軟硬件資源和信息服務(wù)等，各子公司、集團根據(jù)按需付費的原則定制需要的信息服務(wù)。這帶來了兩大好處：一是不需要投資建立大量的數(shù)據(jù)中心和大型機房，購買服務(wù)器和存儲設(shè)備等，從而節(jié)省建設(shè)費用；二是信息軟硬件資源交給專業(yè)的云服務(wù)商管理，集團不再負擔(dān)信息系統(tǒng)維護和升級，節(jié)省了運維費用。云計算提高業(yè)務(wù)系統(tǒng)的部署效率云平臺具有較高的靈活性，集團實施新的應(yīng)用系統(tǒng)時，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高應(yīng)用部署速度。開發(fā)者在一個平臺上構(gòu)建和部署應(yīng)用程序，大大提高了信息系統(tǒng)部署效率。云計算降低信息共享和業(yè)務(wù)協(xié)同難度長期以來，各應(yīng)用系統(tǒng)普遍存在各自為政、資源分散等問題。盡管信息難以共享的根源在于業(yè)務(wù)系統(tǒng)機制問題，但云計算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。通過云平臺，多個部門/集團子公司可以共用相應(yīng)的基礎(chǔ)架構(gòu)，實現(xiàn)各業(yè)務(wù)系統(tǒng)之間的軟硬件共享，提高信息共享的效率，擴大信息共享范圍；軟硬件資源和信息資源的共享將有利于促進各部門內(nèi)部與部門之間的業(yè)務(wù)系統(tǒng)的整合，為各部門業(yè)務(wù)協(xié)同創(chuàng)造條件。云計算有助于提高服務(wù)效率通過云平臺實現(xiàn)軟硬件資源所有權(quán)與使用權(quán)的分離，各子公司將在不擁有軟硬件資源的情況下享受信息服務(wù)。因此，集團的IT部門能夠集中人力物力進行本部門的業(yè)務(wù)運轉(zhuǎn)，從而減輕行政負擔(dān)，能有更多的精力專注于面向公眾的公共服務(wù)，提高效率。同時，在部署了以云計算為技術(shù)支撐的云平臺以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實現(xiàn)業(yè)務(wù)數(shù)據(jù)的統(tǒng)一共享，這對前臺服務(wù)界面的統(tǒng)一打通有著重要意義，將使得業(yè)務(wù)系統(tǒng)的統(tǒng)一化不再停留在前臺展示層面，而切切實實的實現(xiàn)服務(wù)的高效與統(tǒng)一。第二章 需求分析集團的云平臺一般為專有云架構(gòu)，專有云平臺承擔(dān)集團內(nèi)部服務(wù)的內(nèi)容如業(yè)務(wù)應(yīng)用系統(tǒng)等，為各分公司、集團子公司的應(yīng)用系統(tǒng)提供基礎(chǔ)設(shè)施支撐。云資源共享專區(qū)通過安全隔離措施訪問公有云（互聯(lián)網(wǎng)）、公眾服務(wù)專區(qū)；各子公司需要對互聯(lián)發(fā)布的業(yè)務(wù)系統(tǒng)應(yīng)根據(jù)服務(wù)對象逐步遷移至云平臺上，實現(xiàn)集中集約部署。 需求概述從整個云平臺整體安全角度來看，我們需要考慮三個方面的設(shè)計：云平臺安全、租戶側(cè)安全、安全運維管理和便捷性。云計算平臺和傳統(tǒng)計算平臺的最大區(qū)別在于計算環(huán)境，云平臺的計算環(huán)境比傳統(tǒng)意義上的計算環(huán)境要更加復(fù)雜。對云平臺的計算環(huán)境的保護也是云平臺下信息安全整體保護體系的重中之重。除了平臺的安全問題，租戶側(cè)也面臨一些安全問題，比如接入環(huán)境是否滿足安全要求、業(yè)務(wù)系統(tǒng)是否安全、用戶訪問或接入業(yè)務(wù)的安全風(fēng)險、虛機之間信息交換是否安全、業(yè)務(wù)系統(tǒng)服務(wù)可靠性等需求。整個云平臺安全運維也成了一大難題，首先平臺本身以及平臺中的業(yè)務(wù)系統(tǒng)的安全現(xiàn)狀難以實時監(jiān)測，因此無法做到有效審計，不能追溯安全問題；其次，對于資源池中的安全服務(wù)，如何做到動態(tài)靈活的統(tǒng)一管理、智能分配，滿足云環(huán)境下動態(tài)高效的需求；再次，租戶業(yè)務(wù)系統(tǒng)遷入后，如何快速的獲得所需的安全配額，實現(xiàn)針對性的策略配置和自主運維。歸納起來，云平臺整體安全需求如下圖所示： 平臺側(cè)需求對于云來說，平臺無疑是對外提供服務(wù)的基礎(chǔ)，無論是建設(shè)運營方，還是租戶，對于平臺自身的可靠性、安全性都是極為關(guān)注的。因此平臺層的安全建設(shè)需要從平臺安全防護，平臺的接入安全，以及平臺服務(wù)可靠性方面來建設(shè)，保證云平臺業(yè)務(wù)系統(tǒng)安全可靠運行。平臺需要直接連接互聯(lián)網(wǎng)，面臨著非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、web應(yīng)用保護、僵尸木馬、DDoS攻擊等各種安全問題，并且其底層和其上的系統(tǒng)軟件可能存在的安全漏洞將影響到整個平臺系統(tǒng)的安全，攻擊者在利用漏洞入侵到平臺之后，可以對整個平臺內(nèi)部的資源進行各種破壞，從而導(dǎo)致系統(tǒng)不可用，或者數(shù)據(jù)丟失、數(shù)據(jù)泄露，其潛在的威脅將無法估量。分區(qū)分域需求在安全設(shè)計方案中，我們需要將省級部門的業(yè)務(wù)通過邏輯隔離劃分不同的安全域，首先云平臺建設(shè)時需考慮將基礎(chǔ)設(shè)施資源劃分為兩個獨立的區(qū)域，分別為互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、公用網(wǎng)絡(luò)區(qū)，兩個區(qū)域間不能直接訪問，僅能通過跨網(wǎng)數(shù)據(jù)交換區(qū)進行數(shù)據(jù)交換。每個等保區(qū)域內(nèi)不同租戶應(yīng)用間通過VLAN/VxLAN網(wǎng)絡(luò)隔離，租戶間通過訪問控制設(shè)備進行訪問控制，禁止非授權(quán)訪問。云平臺支持虛擬私有云，可以在一個云數(shù)據(jù)中心里靈活設(shè)定多個虛擬私有云，多個私有云之間使用VPN技術(shù)或VXLAN技術(shù)，達到端到端的隔離效果。防網(wǎng)絡(luò)病毒需求云平臺的核心是計算和數(shù)據(jù)資源，因此也是網(wǎng)絡(luò)入侵者最主要的目標(biāo)。病毒、蠕蟲、木馬等惡意代碼一旦感染云平臺系統(tǒng)或應(yīng)用，就可能在平臺內(nèi)部快速傳播，消耗網(wǎng)絡(luò)資源，劫持平臺應(yīng)用，竊取敏感信息，發(fā)送垃圾信息，甚至重定向用戶到惡意網(wǎng)頁。所以云平臺安全建設(shè)需要包含檢測和清除病毒蠕蟲木馬等惡意內(nèi)容的機制。云應(yīng)用安全需求云環(huán)境的隨需部署和動態(tài)遷移，使安全策略的部署變得復(fù)雜，需要一個靈活動態(tài)安全機制來適配虛擬化網(wǎng)絡(luò)安全防護。因為應(yīng)用只與虛擬層交互，而與真正的硬件隔離，導(dǎo)致應(yīng)用層的安全威脅缺乏監(jiān)管而泛濫，安全管理人員看不到設(shè)備背后的安全風(fēng)險，服務(wù)器變得更加不固定和不穩(wěn)定。云環(huán)境中B/S架構(gòu)的業(yè)務(wù)普遍存在，大量的Web業(yè)務(wù)應(yīng)用引入各種各樣的漏洞，給了入侵者可乘之機。黑客能夠利用這些漏洞發(fā)起對云應(yīng)用的攻擊，比如SQL注入、跨站腳本攻擊等，進而實現(xiàn)對內(nèi)部敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的設(shè)備來識別并防護針對業(yè)務(wù)系統(tǒng)漏洞的攻擊。防止漏洞攻擊云平臺內(nèi)部有大量業(yè)務(wù)服務(wù)器，其底層和業(yè)務(wù)應(yīng)用系統(tǒng)會不斷產(chǎn)生新的安全漏洞，給了入侵者可乘之機。黑客能夠利用這些漏洞發(fā)起對云平臺的攻擊，比如mail漏洞、后門漏洞、操作系統(tǒng)漏洞、ftp漏洞、數(shù)據(jù)庫漏洞，實現(xiàn)對網(wǎng)站敏感信息監(jiān)控、竊取、篡改等目的。因此需要有效的手段來識別并防護針對系統(tǒng)漏洞的攻擊。云平臺接入安全首先要考慮租戶的安全接入，租戶接入的目的主要是對托管的業(yè)務(wù)、租賃的服務(wù)進行運維管理，因此需要對接入平臺的租戶身份進行有效的認證，避免非法用戶接入帶來的危害；而對于普通用戶來說，平臺內(nèi)部哪些資源是對其開放的，哪些資源不能訪問需要界定；在整個大平臺內(nèi)部，不同的云業(yè)務(wù)及虛擬私有云之間會有大量的信息交互，因此需要考慮如何保障云間業(yè)務(wù)的安全互聯(lián)，避免信息泄露和越權(quán)訪問。云間安全互聯(lián)云平臺里面可能包含了多個部門數(shù)據(jù)中心或虛擬私有云，跨部門或跨級別之間也會進行信息的流轉(zhuǎn)，傳統(tǒng)數(shù)據(jù)中心和云平臺系統(tǒng)進行信息交互，這些信息往往涉及到機密等級的問題，應(yīng)予以嚴格保密。因此，在信息傳遞過程中，必須采取適當(dāng)?shù)募用芊椒▽π畔⑦M行加密。基于IPsec的加密方式被廣泛采用，其優(yōu)點顯而易見：IPSEC對應(yīng)用系統(tǒng)透明且具有極強的安全性，同時也易于部署和維護，這對于龐大的云平臺來說，顯得極有好處。 租戶安全接入集團子公司（租戶）業(yè)務(wù)系統(tǒng)上線后，面臨著用戶遠程接入訪問的問題，不管是運維人員的運維接入，還是集團子公司用戶的接入，都是需要慎重考慮接入安全的問題，尤其是使用BYOD接入訪問，更應(yīng)該對其接入進行嚴格的身份認證和安全核查，同時對用戶訪問行為進行合理的權(quán)限劃分，避免安全問題從遠端傳遞過來并在云平臺蔓延。用戶訪問安全一些集團子公司部門通過云平臺對外發(fā)布的業(yè)務(wù)應(yīng)用，平臺用戶可以直接使用互聯(lián)網(wǎng)進行訪問，用戶能夠訪問的資源，需要靠訪問控制的安全策略來核查，避免非授權(quán)的數(shù)據(jù)泄漏問題。訪問控制系統(tǒng)的安全目標(biāo)是將云計算中心與不可信任域進行有效地隔離與訪問授權(quán)。訪問控制系統(tǒng)應(yīng)根據(jù)各業(yè)務(wù)的安全級別要求和全網(wǎng)安全策略控制出入網(wǎng)絡(luò)的信息流，并且系統(tǒng)本身具有較強的抗攻擊能力。訪問控