【正文】 障用戶訪問請求的及時(shí)快速處理。 租戶側(cè)需求 租戶間隔離需求分析 在設(shè)計(jì)方案中我們看到，要求將各部門的業(yè)務(wù)通過邏輯隔離劃分不同的安全域，首先云平臺建設(shè)時(shí)需考慮將基礎(chǔ)設(shè)施資源劃分為兩個(gè)獨(dú)立的區(qū)域，兩個(gè)區(qū)域間不能直接訪問，僅能通過跨網(wǎng)數(shù)據(jù)交換區(qū)進(jìn)行數(shù)據(jù)交換。黑客控制著大量的僵尸“肉機(jī)”，從而發(fā)起向云平臺的大量異常請求，這種攻擊行為使得Web等系統(tǒng)充斥大量需要響應(yīng)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致外聯(lián)服務(wù)平臺無法對外正常提供服務(wù)，影響云平臺和各集團(tuán)子公司部門正常的業(yè)務(wù)開展。同時(shí)會對租戶的公信力產(chǎn)生非常不利的影響。訪問控制系統(tǒng)應(yīng)根據(jù)各業(yè)務(wù)的安全級別要求和全網(wǎng)安全策略控制出入網(wǎng)絡(luò)的信息流，并且系統(tǒng)本身具有較強(qiáng)的抗攻擊能力?；贗Psec的加密方式被廣泛采用，其優(yōu)點(diǎn)顯而易見：IPSEC對應(yīng)用系統(tǒng)透明且具有極強(qiáng)的安全性，同時(shí)也易于部署和維護(hù)，這對于龐大的云平臺來說，顯得極有好處。因此需要有效的手段來識別并防護(hù)針對系統(tǒng)漏洞的攻擊。黑客能夠利用這些漏洞發(fā)起對云應(yīng)用的攻擊，比如SQL注入、跨站腳本攻擊等，進(jìn)而實(shí)現(xiàn)對內(nèi)部敏感信息監(jiān)控、竊取、篡改等目的。所以云平臺安全建設(shè)需要包含檢測和清除病毒蠕蟲木馬等惡意內(nèi)容的機(jī)制。每個(gè)等保區(qū)域內(nèi)不同租戶應(yīng)用間通過VLAN/VxLAN網(wǎng)絡(luò)隔離，租戶間通過訪問控制設(shè)備進(jìn)行訪問控制，禁止非授權(quán)訪問。歸納起來，云平臺整體安全需求如下圖所示： 平臺側(cè)需求對于云來說，平臺無疑是對外提供服務(wù)的基礎(chǔ)，無論是建設(shè)運(yùn)營方，還是租戶，對于平臺自身的可靠性、安全性都是極為關(guān)注的。云計(jì)算平臺和傳統(tǒng)計(jì)算平臺的最大區(qū)別在于計(jì)算環(huán)境，云平臺的計(jì)算環(huán)境比傳統(tǒng)意義上的計(jì)算環(huán)境要更加復(fù)雜。同時(shí)，在部署了以云計(jì)算為技術(shù)支撐的云平臺以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的統(tǒng)一共享，這對前臺服務(wù)界面的統(tǒng)一打通有著重要意義，將使得業(yè)務(wù)系統(tǒng)的統(tǒng)一化不再停留在前臺展示層面，而切切實(shí)實(shí)的實(shí)現(xiàn)服務(wù)的高效與統(tǒng)一。盡管信息難以共享的根源在于業(yè)務(wù)系統(tǒng)機(jī)制問題，但云計(jì)算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。這帶來了兩大好處：一是不需要投資建立大量的數(shù)據(jù)中心和大型機(jī)房，購買服務(wù)器和存儲設(shè)備等，從而節(jié)省建設(shè)費(fèi)用；二是信息軟硬件資源交給專業(yè)的云服務(wù)商管理，集團(tuán)不再負(fù)擔(dān)信息系統(tǒng)維護(hù)和升級，節(jié)省了運(yùn)維費(fèi)用。尤其在大企業(yè)，因?yàn)槎鄠€(gè)內(nèi)在關(guān)聯(lián)的趨勢正在推動大企業(yè)逐步減少IT硬件資產(chǎn)，這些趨勢主要是虛擬化云平臺、云計(jì)算服務(wù)、虛擬化的桌面交付等。每家單位都要建立自己的云計(jì)算模式，其第一步要做的就是完成內(nèi)部云或私有云的建制。.. . . ..深信服云安全解決方案深信服電子科技有限公司2015年11月7日目錄第一章 建設(shè)背景 4 4 4第二章 需求分析 5 需求概述 5 平臺側(cè)需求 7 7 8 9 租戶側(cè)需求 10 租戶間隔離需求分析 10 租戶虛擬機(jī)需求分析 11 租戶互聯(lián)網(wǎng)業(yè)務(wù)需求分析 11 租戶外網(wǎng)業(yè)務(wù)需求分析 12 管理運(yùn)維需求 13第三章 設(shè)計(jì)原則 14第四章 解決方案 15 解決方案綜述 15 平臺側(cè)設(shè)計(jì)方案 17 18. 平臺分區(qū)分域 18. 防網(wǎng)絡(luò)病毒 18. 應(yīng)用安全防護(hù) 19. 防止漏洞攻擊 19. 多業(yè)務(wù)數(shù)據(jù)隔離和交換 20 20 21 22 23. 防拒絕服務(wù)攻擊 23. 鏈路/全局負(fù)載均衡 23 租戶側(cè)設(shè)計(jì)方案 25 25 26 26 27 29 NFV安全組件部署方式 31 管理運(yùn)維設(shè)計(jì)方案 32 平臺運(yùn)維 32 租戶運(yùn)維 33 平臺服務(wù)商合作運(yùn)維 34第五章 解決方案價(jià)值 35 高安全：提供專業(yè)、可靠的服務(wù) 36 高性價(jià)比：降低IT建設(shè)成本 36 高效率：業(yè)務(wù)系統(tǒng)部署速度快 37 高協(xié)同：降低信息共享和業(yè)務(wù)協(xié)同難度 37第一章 建設(shè)背景云計(jì)算的興起，給人們的工作方式以及商業(yè)模式帶來根本性變化，甚至可能掀起信息技術(shù)的第三次“浪潮”。內(nèi)部云建制的科技基礎(chǔ)就是虛擬化云平臺，這也將成為拉動整個(gè)虛擬化云平臺市場持續(xù)走高的成長動力。而虛擬化云平臺技術(shù)，作為云計(jì)算的一個(gè)支撐技術(shù)，必將成為未來最重要的最值得研究的IT技術(shù)之一。云計(jì)算提高業(yè)務(wù)系統(tǒng)的部署效率云平臺具有較高的靈活性，集團(tuán)實(shí)施新的應(yīng)用系統(tǒng)時(shí)，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高應(yīng)用部署速度。通過云平臺，多個(gè)部門/集團(tuán)子公司可以共用相應(yīng)的基礎(chǔ)架構(gòu)，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間的軟硬件共享，提高信息共享的效率，擴(kuò)大信息共享范圍；軟硬件資源和信息資源的共享將有利于促進(jìn)各部門內(nèi)部與部門之間的業(yè)務(wù)系統(tǒng)的整合，為各部門業(yè)務(wù)協(xié)同創(chuàng)造條件。第二章 需求分析集團(tuán)的云平臺一般為專有云架構(gòu)，專有云平臺承擔(dān)集團(tuán)內(nèi)部服務(wù)的內(nèi)容如業(yè)務(wù)應(yīng)用系統(tǒng)等，為各分公司、集團(tuán)子公司的應(yīng)用系統(tǒng)提供基礎(chǔ)設(shè)施支撐。對云平臺的計(jì)算環(huán)境的保護(hù)也是云平臺下信息安全整體保護(hù)體系的重中之重。因此平臺層的安全建設(shè)需要從平臺安全防護(hù)，平臺的接入安全，以及平臺服務(wù)可靠性方面來建設(shè)，保證云平臺業(yè)務(wù)系統(tǒng)安全可靠運(yùn)行。云平臺支持虛擬私有云，可以在一個(gè)云數(shù)據(jù)中心里靈活設(shè)定多個(gè)虛擬私有云，多個(gè)私有云之間使用VPN技術(shù)或VXLAN技術(shù)，達(dá)到端到端的隔離效果。云應(yīng)用安全需求云環(huán)境的隨需部署和動態(tài)遷移，使安全策略的部署變得復(fù)雜，需要一個(gè)靈活動態(tài)安全機(jī)制來適配虛擬化網(wǎng)絡(luò)安全防護(hù)。因此需要有效的設(shè)備來識別并防護(hù)針對業(yè)務(wù)系統(tǒng)漏洞的攻擊。云平臺接入安全首先要考慮租戶的安全接入，租戶接入的目的主要是對托管的業(yè)務(wù)、租賃的服務(wù)進(jìn)行運(yùn)維管理，因此需要對接入平臺的租戶身份進(jìn)行有效的認(rèn)證，避免非法用戶接入帶來的危害；而對于普通用戶來說，平臺內(nèi)部哪些資源是對其開放的，哪些資源不能訪問需要界定；在整個(gè)大平臺內(nèi)部，不同的云業(yè)務(wù)及虛擬私有云之間會有大量的信息交互，因此需要考慮如何保障云間業(yè)務(wù)的安全互聯(lián)，避免信息泄露和越權(quán)訪問。 租戶安全接入集團(tuán)子公司（租戶）業(yè)務(wù)系統(tǒng)上線后，面臨著用戶遠(yuǎn)程接入訪問的問題，不管是運(yùn)維人員的運(yùn)維接入，還是集團(tuán)子公司用戶的接入，都是需要慎重考慮接入安全的問題，尤其是使用BYOD接入訪問，更應(yīng)該對其接入進(jìn)行嚴(yán)格的身份認(rèn)證和安全核查，同時(shí)對用戶訪問行為進(jìn)行合理的權(quán)限劃分，避免安全問題從遠(yuǎn)端傳遞過來并在云平臺蔓延。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點(diǎn)根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。不可抗拒性的中斷建議采用冗余數(shù)據(jù)中心的方式來解決。鏈路負(fù)載均衡云平臺接入往往多條運(yùn)營商鏈路，從而保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點(diǎn)故障，減少停機(jī)時(shí)間。其次為滿足等保合規(guī)需求，每個(gè)業(yè)務(wù)區(qū)內(nèi)還需要劃分二級等保區(qū)和三級等保區(qū)兩個(gè)區(qū)域，兩者的計(jì)算資源不允許共享。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來避免資源的浪費(fèi)，實(shí)現(xiàn)資源的動態(tài)調(diào)整。 ：在云平臺中，同樣存在Web攻擊，黑客通常會采用Web攻擊的方式來入侵Web服務(wù)器，一旦獲取了權(quán)限，將造成信息泄露、網(wǎng)頁篡改等風(fēng)險(xiǎn)，因此對于云平臺同樣需要做到Web的安全防護(hù)。 ：當(dāng)訪問量過多，業(yè)務(wù)量太大時(shí)，用戶的訪問速度變慢，如何在不改變用戶的使用習(xí)慣的情況下，通過合理調(diào)配鏈路、虛擬機(jī)等資源來實(shí)現(xiàn)訪問速度的提升？ 租戶外網(wǎng)業(yè)務(wù)需求分析 租戶的外網(wǎng)業(yè)務(wù)主要是用于各集團(tuán)子公司單位人員接入訪問或者移動辦公、出差人員的訪問，流量經(jīng)過互聯(lián)網(wǎng)或者廣域網(wǎng)，該區(qū)域存在的需求如下：1. 安全接入：訪問的人員需要經(jīng)過認(rèn)證授權(quán)，防止非法訪問，同時(shí)流量流經(jīng)城/廣域網(wǎng)，需要進(jìn)行加密傳輸，防止數(shù)據(jù)泄密的風(fēng)險(xiǎn)。4. 安全防護(hù)：與傳統(tǒng)數(shù)據(jù)中心類似，云平臺中的安全需求也是不僅能夠防護(hù)傳統(tǒng)網(wǎng)絡(luò)層的風(fēng)險(xiǎn)，還能識別并防護(hù)應(yīng)用層的威脅，防止漏洞攻擊，實(shí)現(xiàn)雙向內(nèi)容檢測，防止敏感信息泄露。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來避免資源的浪費(fèi)。在管理運(yùn)維角度，我們從以下幾個(gè)方面進(jìn)行重點(diǎn)關(guān)注：l 租戶運(yùn)維：需要將租戶管理賬號與云基礎(chǔ)設(shè)施管理賬號的權(quán)限分離，防止租戶主機(jī)非授權(quán)訪問。l 云平臺運(yùn)維：管理平臺（網(wǎng)管平臺、安全管理平臺、云管理平臺）僅允許通過管理區(qū)域內(nèi)的管理終端本地訪問，避免遠(yuǎn)程管理可能引入的系統(tǒng)風(fēng)險(xiǎn)。l 平臺服務(wù)商合作運(yùn)維：具備通過統(tǒng)一的接口實(shí)現(xiàn)云監(jiān)管平臺的相關(guān)管理功能要求（OpenStack），能夠和平臺服務(wù)商進(jìn)行合作開發(fā)，從而實(shí)現(xiàn)更加高效、完整易用的管理。l 開放適用由于云計(jì)算平臺為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標(biāo)準(zhǔn)接口，供開發(fā)者、用戶使用。本次方案設(shè)計(jì)中參考的依據(jù)如下：216。 GB/T 250582010 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南216。 國務(wù)院辦公廳關(guān)于加強(qiáng)政府網(wǎng)站建設(shè)和管理工作的意見(國辦發(fā)〔2006）104號）；216。運(yùn)維管理網(wǎng)邊界：下一代防火墻、一套集中管理系統(tǒng)SC 平臺側(cè)設(shè)計(jì)方案云平臺安全部署框架如上圖所示，在云平臺物理網(wǎng)絡(luò)邊界部署安全、應(yīng)用交付類產(chǎn)品，如下一代防火墻NGAF、安全網(wǎng)關(guān)SSL VPN、應(yīng)用交付AD等產(chǎn)品，形成安全硬件資源池，在物理網(wǎng)絡(luò)出口提供平臺級的整體安全保護(hù)，實(shí)現(xiàn)如區(qū)域劃分、接入控制、病毒防護(hù)、入侵防護(hù)、漏洞檢測、DDoS攻擊防護(hù)、WEB安全防護(hù)、接入安全、服務(wù)器負(fù)載均衡等功能，實(shí)現(xiàn)2到7層安全防護(hù)和應(yīng)用、鏈路的負(fù)載優(yōu)化，實(shí)現(xiàn)精細(xì)的區(qū)域劃分與可視化的權(quán)限訪問控制，保證云平臺和內(nèi)部業(yè)務(wù)系統(tǒng)具備更高的安全性、可用性、持續(xù)性，以及快速性。 一.1.2.3.4..... 平臺分區(qū)分域平臺層整體安全架構(gòu)如上圖所示，依照云平臺的建設(shè)需求，本次云平臺利用NGAF實(shí)現(xiàn)了公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)區(qū)域邊界劃分，其中公用網(wǎng)絡(luò)區(qū)主要是部門系統(tǒng)內(nèi)和系統(tǒng)間的互訪，互聯(lián)網(wǎng)用戶不能直接訪問這個(gè)區(qū)域的數(shù)據(jù)和信息系統(tǒng)；互聯(lián)網(wǎng)區(qū)部署的是集團(tuán)的WEB等托管服務(wù)，完成信息互聯(lián)網(wǎng)發(fā)布和數(shù)據(jù)填報(bào)。NGAF的APT檢測功能主要解決的問題：針對平臺內(nèi)部的主機(jī)感染了病毒、木馬的機(jī)器，其病毒、木馬試圖與外部網(wǎng)絡(luò)通信時(shí)，AF識別出該流量，并根據(jù)策略進(jìn)行阻斷和記錄日志。NGAF具備專業(yè)的web應(yīng)用安全防御功能，能夠解決常見的web應(yīng)用安全問題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請求偽造，網(wǎng)站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風(fēng)險(xiǎn)發(fā)現(xiàn)。NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及