【正文】 ，增強(qiáng)客戶訪問體驗(yàn)。產(chǎn)品形態(tài)對(duì)于安全評(píng)估系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。安全檢查/評(píng)估系統(tǒng)所有的IT組件都會(huì)有安全漏洞或者配置弱點(diǎn)，需要部署安全檢查/評(píng)估系統(tǒng)對(duì)系統(tǒng)進(jìn)行持續(xù)安全檢查、掃描，并自動(dòng)化分析系統(tǒng)存在的問題，給出應(yīng)對(duì)策略。管理區(qū)管理區(qū)可以細(xì)分為運(yùn)維管理子區(qū)、安全管理子區(qū)。部署云計(jì)算平臺(tái)的管理用戶類型主要包括：云平臺(tái)運(yùn)維管理人員、第三方管理人員以及云平臺(tái)租戶。堡壘機(jī)云平臺(tái)的管理運(yùn)維人員、第三方運(yùn)維人員以及租戶需要多云計(jì)算平臺(tái)的主機(jī)、應(yīng)用及網(wǎng)絡(luò)設(shè)備進(jìn)行管理、維護(hù)操作。對(duì)于DMZ區(qū)的安全防護(hù)可以借鑒生產(chǎn)區(qū)的防護(hù)方法，這里不再贅述。數(shù)據(jù)安全對(duì)于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)、使用、遷移、銷毀以及備份和恢復(fù)的全生命周期，并在數(shù)據(jù)的不同生周期階段采用數(shù)據(jù)分類分級(jí)、標(biāo)識(shí)、加密、審計(jì)、擦除等手段。產(chǎn)品部署Web應(yīng)用防火墻應(yīng)部署在Web服務(wù)器之前，并邏輯串聯(lián)。WAF為此進(jìn)行有效補(bǔ)充，防護(hù)基于會(huì)話的攻擊類型，如cookie篡改及會(huì)話劫持攻擊Web應(yīng)用防護(hù)技術(shù)將以一個(gè)可閉環(huán)又可循環(huán)的方式去降低潛在的威脅，對(duì)于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事后的彌補(bǔ)，形成環(huán)環(huán)相扣的動(dòng)態(tài)安全防護(hù)。Web防護(hù)技術(shù)與傳統(tǒng)防火墻/IPS系統(tǒng)相比較，Web應(yīng)用防護(hù)技術(shù)將提供一種安全運(yùn)維控制手段，基于對(duì)HTTP/HTTPS流量的雙向分析，為WEB應(yīng)用提供實(shí)時(shí)的防護(hù)。以VMWare ESXi虛擬化平臺(tái)為例，一般部署情況如下圖所示：圖 主機(jī)安全主機(jī)安全與傳統(tǒng)安全相同，這里不再贅述。網(wǎng)絡(luò)入侵檢測設(shè)備主要有傳統(tǒng)硬件網(wǎng)絡(luò)入侵檢測設(shè)備（NIDS）和虛擬化網(wǎng)絡(luò)入侵檢測設(shè)備（vNIDS）兩種產(chǎn)品形態(tài)。針對(duì)某些特定的安全規(guī)則單獨(dú)設(shè)定安全策略，針對(duì)云計(jì)算中心業(yè)務(wù)特點(diǎn)過濾一些低風(fēng)險(xiǎn)或者不可能成功的攻擊行為，從而減少管理員關(guān)注日志告警的工作量，也使得重要攻擊行為能夠得到重點(diǎn)體現(xiàn)。功能入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。它既可以作為流量監(jiān)控分析產(chǎn)品對(duì)網(wǎng)絡(luò)流量進(jìn)行深入分析，從而全面了解各類流量的分布以及變化趨勢；也可分析諸如DDoS攻擊、網(wǎng)絡(luò)濫用誤用、P2P流量等異常流量。對(duì)于異常網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。抗拒絕服務(wù)攻擊系統(tǒng)的在后面的章節(jié)詳細(xì)闡述。應(yīng)用組成分布顯示云計(jì)算中心內(nèi)部各種業(yè)務(wù)的開展情況，結(jié)合地域分布的信息，也可以指導(dǎo)流量工程。? 流量統(tǒng)計(jì)分析 流量統(tǒng)計(jì)分析的任務(wù)是實(shí)時(shí)監(jiān)控進(jìn)出云計(jì)算中心流量的地域分布，應(yīng)用組成分布、變化趨勢，并生成相應(yīng)的統(tǒng)計(jì)報(bào)表。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)的情況下，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測和分析，從而全面了解流量的各種分布以及變化趨勢就顯得十分必要了。產(chǎn)品形態(tài)對(duì)于云計(jì)算環(huán)境的邊界隔離，主要采用傳統(tǒng)防火墻、虛擬化防火墻。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測和清洗、網(wǎng)絡(luò)入侵檢測、惡意代碼防護(hù)、VPN接入、安全審計(jì)等內(nèi)容。生產(chǎn)區(qū)生產(chǎn)區(qū)部署了虛擬化主機(jī)、軟件平臺(tái)、應(yīng)用層，應(yīng)基于虛擬化技術(shù)實(shí)現(xiàn)，因此其安全防護(hù)應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。針對(duì)具體的應(yīng)用場景，也可以根據(jù)需要?jiǎng)澐制渌?dú)立的網(wǎng)絡(luò)，安全防護(hù)設(shè)計(jì)云計(jì)算系統(tǒng)具有傳統(tǒng)IT系統(tǒng)的一些特點(diǎn)，從上面的安全域劃分結(jié)果可以看到，其在外部接口層、核心交換層的安全域劃分是基本相同的，針對(duì)這些傳統(tǒng)的安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進(jìn)行安全防護(hù)。網(wǎng)絡(luò)隔離為了保障云平臺(tái)及其承載的業(yè)務(wù)安全，需要根據(jù)網(wǎng)絡(luò)所承載的數(shù)據(jù)種類及功能，進(jìn)行單獨(dú)組網(wǎng)。按照各種資源安全策略的不同，可以進(jìn)一步細(xì)分為生產(chǎn)資源、非生產(chǎn)資源、管理資源。例如：可以根據(jù)保護(hù)等級(jí)的不同，細(xì)分為四級(jí)保護(hù)子區(qū)、三級(jí)保護(hù)子區(qū)、二級(jí)保護(hù)子區(qū)。安全域的劃分示例根據(jù)某數(shù)據(jù)中心的實(shí)際情況及安全等級(jí)防護(hù)要求，安全域劃分如下圖所示：10云安全解決方案云平臺(tái)安全域劃分和防護(hù)設(shè)計(jì) 171。根據(jù)安全要求和策略的不同，每一層再分為不同的區(qū)域。對(duì)于云計(jì)算平臺(tái)的安全防護(hù)，需要根據(jù)云平臺(tái)安全防護(hù)技術(shù)實(shí)現(xiàn)架構(gòu)，選擇和部署合理的安全防護(hù)措施，并配置恰當(dāng)?shù)牟呗?，從而?shí)現(xiàn)多層、縱深防御，才能有效的保證云平臺(tái)資源及服務(wù)的安全。與云平臺(tái)體系架構(gòu)的無縫集成云平臺(tái)的安全防護(hù)措施可以與云平臺(tái)體系架構(gòu)有機(jī)的集成在一起，對(duì)云平臺(tái)及云租戶提供按需的安全能力。可以設(shè)立一個(gè)綜合的安全管理平臺(tái)，或者分立的安全管理平臺(tái)，如安全評(píng)估平臺(tái)、異常流量檢測平臺(tái)等；? 安全服務(wù)：提供給云平臺(tái)租戶使用的各種安全服務(wù)，提供安全策略配置、狀態(tài)監(jiān)測、統(tǒng)計(jì)分析和報(bào)表等功能，是租戶管理其安全服務(wù)的門戶通過此技術(shù)實(shí)現(xiàn)架構(gòu)，可以實(shí)現(xiàn)安全服務(wù)/能力的按需分配和彈性調(diào)度。需要說明的是這里的網(wǎng)絡(luò)包括了實(shí)體網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)，通過整體防御保障網(wǎng)絡(luò)通信的安全；? 主機(jī)安全：通過對(duì)服務(wù)主機(jī)/設(shè)備進(jìn)行安全配置和加固，部屬主機(jī)防火墻、主機(jī)IDS，以及惡意代碼的防護(hù)、訪問控制等技術(shù)手段對(duì)虛擬主機(jī)進(jìn)行保護(hù)，確保主機(jī)能夠持續(xù)的提供穩(wěn)定的服務(wù)；? 應(yīng)用安全：通過PKI基礎(chǔ)設(shè)施對(duì)用戶身份進(jìn)行標(biāo)識(shí)和鑒別，部署嚴(yán)格的訪問控制策略，關(guān)鍵操作的多重授權(quán)等措施保證應(yīng)用層安全，同時(shí)采用電子郵件防護(hù)、Web應(yīng)用防火墻、Web網(wǎng)頁防篡改、網(wǎng)站安全監(jiān)控等應(yīng)用安全防護(hù)措施保證特定應(yīng)用的安全；? 數(shù)據(jù)保護(hù)：從數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)防泄露、剩余數(shù)據(jù)防護(hù)、文檔權(quán)限管理、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計(jì)方面加強(qiáng)數(shù)據(jù)保護(hù)，以及離線、備份數(shù)據(jù)的安全；? 安全管理：根據(jù)ISO2700COBIT、ITIL等標(biāo)準(zhǔn)及相關(guān)要求，制定覆蓋安全設(shè)計(jì)與獲取、安全開發(fā)和集成、安全風(fēng)險(xiǎn)管理、安全運(yùn)維管理、安全事件管理、業(yè)務(wù)連續(xù)性管理等方面安全管理制度、規(guī)范和流程，并配置相應(yīng)的安全管理組織和人員，并建議相應(yīng)的技術(shù)支撐平臺(tái)，保證系統(tǒng)得到有效的管理上述安全保障內(nèi)容和目標(biāo)的實(shí)現(xiàn)，需要基于PKI、身份管理等安全基礎(chǔ)支撐設(shè)施，綜合利用安全成熟的安全控制措施，并構(gòu)建良好的安全實(shí)現(xiàn)機(jī)制，保障系統(tǒng)的良好運(yùn)轉(zhuǎn)，以提供滿足各層面需求的安全能力。安全保障目標(biāo)通過人員、技術(shù)和流程要素，構(gòu)建安全監(jiān)測、識(shí)別、防護(hù)、審計(jì)和響應(yīng)的綜合能力，有效抵御相關(guān)威脅，將云平臺(tái)的風(fēng)險(xiǎn)降低到企業(yè)可接受的程度，并滿足法律、監(jiān)管和合規(guī)性要求，保障云計(jì)算資源/服務(wù)的安全。? 充分利用現(xiàn)有安全控制措施及最新技術(shù)? 在云計(jì)算環(huán)境中，還存在的傳統(tǒng)的網(wǎng)絡(luò)、主機(jī)等，同時(shí)，虛擬化主機(jī)中也有相應(yīng)的操作系統(tǒng)、應(yīng)用和數(shù)據(jù)，傳統(tǒng)的安全控制措施仍舊可以部署、應(yīng)用和配置，充分發(fā)揮防護(hù)作用。? 基于安全域的縱深防護(hù)體系設(shè)計(jì)? 對(duì)于云計(jì)算系統(tǒng)，仍可以根據(jù)威脅、安全需求和策略的不同，劃分為不同的安全域，并基于安全域設(shè)計(jì)相應(yīng)的邊界防護(hù)策略、內(nèi)部防護(hù)策略，部署相應(yīng)的防護(hù)措施，從而構(gòu)造起縱深的防護(hù)體系。綜合考慮云計(jì)算所帶來的變化、風(fēng)險(xiǎn)，從保障系統(tǒng)整體安全出發(fā)，其面臨的主要挑戰(zhàn)和需求如下：? 法律和合規(guī)? 動(dòng)態(tài)、虛擬化網(wǎng)絡(luò)邊界安全? 虛擬化安全? 流量可視化? 數(shù)據(jù)保密和防泄露? 安全運(yùn)維和管理針對(duì)云計(jì)算所面臨的安全威脅及來自各方面的安全需求，需要對(duì)科學(xué)設(shè)計(jì)云計(jì)算平臺(tái)的安全防護(hù)架構(gòu)，選擇安全措施，并進(jìn)行持續(xù)管理，滿足云計(jì)算平臺(tái)的全生命周期的安全。當(dāng)然，從安全保障的角度講，還需要兼顧其他方面的安全需求。但云計(jì)算在帶來方便快捷的同時(shí)也帶來新的挑戰(zhàn)?？梢酝ㄟ^網(wǎng)絡(luò)向用戶交付相應(yīng)的應(yīng)用服務(wù)；? 云管理平臺(tái)：負(fù)責(zé)云計(jì)算服務(wù)的運(yùn)營，并對(duì)云計(jì)算資源池系統(tǒng)及其中的各類資源進(jìn)行集中管理，主要功能包括云服務(wù)開通、用戶管理、計(jì)價(jià)管理等功能。? 具有帶外網(wǎng)管系統(tǒng)，實(shí)現(xiàn)對(duì)整個(gè)云的運(yùn)維管理。? 都有大量的刀片式服務(wù)器，并通過虛擬化軟件，實(shí)現(xiàn)對(duì)計(jì)算資源的抽象和池化。圖 云計(jì)算系統(tǒng)通常具有以下特征：? 核心交換機(jī)一般采用高性能數(shù)據(jù)中心級(jí)交換機(jī)搭建，支持虛擬化技術(shù)，并提供Internet、內(nèi)部網(wǎng)絡(luò)、外部專用網(wǎng)絡(luò)的接入。云計(jì)算系統(tǒng)所采用虛擬化技術(shù)的不同，對(duì)安全防護(hù)設(shè)計(jì)和部署具有一定影響。目前，計(jì)算虛擬化已經(jīng)成熟，并為組織所廣泛采用，如VMware vSphere、Citrix Xen等。本方案基于綠盟科技長期對(duì)云計(jì)算安全的探索和研究，借鑒行業(yè)最佳實(shí)踐，結(jié)合綠盟科技近期云計(jì)算安全建設(shè)經(jīng)驗(yàn)，提出了云計(jì)算安全保障框架和方法。這必將推動(dòng)云計(jì)算技術(shù)的更加普及和完善。“隨著云計(jì)算技術(shù)的不斷完善和發(fā)展，云計(jì)算已經(jīng)得到了廣泛的認(rèn)可和接收，許多組織已經(jīng)或即將進(jìn)行云計(jì)算系統(tǒng)建設(shè)。其中關(guān)于軟件定義安全體系架構(gòu)，在之前發(fā)布的《2015綠盟科技軟件定義安全SDS白皮書》中有詳述。例如軟件定義網(wǎng)絡(luò)（簡稱SDN）技術(shù)、NFV（網(wǎng)絡(luò)功能虛擬化）等新技術(shù)。根據(jù)調(diào)研數(shù)據(jù)，信息安全風(fēng)險(xiǎn)是客戶采用云計(jì)算所考慮重大問題之一，且國家和行業(yè)安全監(jiān)管愈加嚴(yán)格，安全已經(jīng)成為組織規(guī)劃、設(shè)計(jì)、建設(shè)和使用云計(jì)算系統(tǒng)而急需解決的重大問題之一，尤其是不斷出現(xiàn)的與云計(jì)算系統(tǒng)相關(guān)事件讓組織更加擔(dān)心自身的云計(jì)算系統(tǒng)安全保障問題。云計(jì)算平臺(tái)的實(shí)現(xiàn)主要包括兩個(gè)方式：虛擬化構(gòu)成的云和應(yīng)用程序/服務(wù)器構(gòu)成的云，其中后者的安全防護(hù)與傳統(tǒng)方式基本相同，不再贅言，這里主要對(duì)虛擬化構(gòu)成的云進(jìn)行討論。為了便于說明，以下內(nèi)容將主要以私有云為例進(jìn)行說明。云計(jì)算系統(tǒng)典型物理架構(gòu)下圖給出了一個(gè)典型的云計(jì)算系統(tǒng)的典型架構(gòu)。? 與內(nèi)部網(wǎng)絡(luò)相同，可以提供內(nèi)部用戶對(duì)云的訪問，以及和內(nèi)部其他系統(tǒng)進(jìn)行信息交互。? 具有獨(dú)立的綜合管理平臺(tái)，實(shí)現(xiàn)對(duì)云的運(yùn)營管理?？梢曰诖藢訉?duì)外提供虛擬主機(jī)服務(wù)；? 平臺(tái)即服務(wù)層（PaaS）：包括了各種系統(tǒng)、平臺(tái)、應(yīng)用軟件，可以提供應(yīng)用軟件的開發(fā)、測試、部署和運(yùn)營環(huán)境；? 軟件即服務(wù)（SaaS）：包括各一系列的應(yīng)用軟件，以及提供各客戶/用戶使用的交互展示程序。由于數(shù)據(jù)的集中，使得安全審計(jì)、安全評(píng)估、安全運(yùn)維等行為更加簡單易行，同時(shí)更容易實(shí)現(xiàn)系統(tǒng)容錯(cuò)、高可用性和冗余及災(zāi)備恢復(fù)。把云計(jì)算環(huán)境下的安全威脅細(xì)化，并按云計(jì)算環(huán)境下等級(jí)保護(hù)的基本要求進(jìn)行對(duì)應(yīng)，可得到如下的云計(jì)算環(huán)境下的具體安全威脅：? 網(wǎng)絡(luò)安全部分? 業(yè)務(wù)高峰時(shí)段或遭遇DDoS攻擊時(shí)的大流量導(dǎo)致網(wǎng)絡(luò)擁堵或網(wǎng)絡(luò)癱瘓? 重要網(wǎng)段暴露導(dǎo)致來自外部的非法訪問和入侵? 單臺(tái)虛擬機(jī)被入侵后對(duì)整片虛擬機(jī)進(jìn)行的滲透攻擊，并導(dǎo)致病毒等惡意行為在網(wǎng)絡(luò)內(nèi)傳播蔓延? 虛擬機(jī)之間進(jìn)行的ARP攻擊、嗅探? 云內(nèi)網(wǎng)絡(luò)帶寬的非法搶占? 重要的網(wǎng)段、服務(wù)器被非法訪問、端口掃描、入侵攻擊? 云平臺(tái)管理員因賬號(hào)被盜等原因?qū)е碌膹幕ヂ?lián)網(wǎng)直接非法訪問云資源? 虛擬化網(wǎng)絡(luò)環(huán)境中流量的審計(jì)和監(jiān)控? 內(nèi)部用戶或內(nèi)部網(wǎng)絡(luò)的非法外聯(lián)行為的檢查和阻斷? 內(nèi)部用戶之間或者虛擬機(jī)之間的端口掃描、暴力破解、入侵攻擊等行為? 主機(jī)安全部分：? 服務(wù)器、宿主機(jī)、虛擬機(jī)的操作系統(tǒng)和數(shù)據(jù)庫被暴力破解、非法訪問的行為? 對(duì)服務(wù)器、宿主機(jī)、虛擬機(jī)等進(jìn)行操作管理時(shí)被竊聽? 同一個(gè)邏輯卷被多個(gè)虛擬機(jī)掛載導(dǎo)致邏輯卷上的敏感信息泄露? 對(duì)服務(wù)器的Web應(yīng)用入侵、上傳木馬、上傳webshell等攻擊行為? 服務(wù)器、宿主機(jī)、虛擬機(jī)的補(bǔ)丁更新不及時(shí)導(dǎo)致的漏洞利用以及不安全的配置和非必要端口的開放導(dǎo)致的非法訪問和入侵? 虛擬機(jī)因異常原因產(chǎn)生的資源占用過高而導(dǎo)致宿主機(jī)或宿主機(jī)下的其它虛擬機(jī)的資源不足? 資源抽象安全部分? 虛擬機(jī)之間的資源爭搶或資源不足導(dǎo)致的正常業(yè)務(wù)異常或不可用? 虛擬資源不足導(dǎo)致非重要業(yè)務(wù)正常運(yùn)作但重要業(yè)務(wù)受損? 缺乏身份鑒別導(dǎo)致的非法登錄hypervisor后進(jìn)入虛擬機(jī)? 通過虛擬機(jī)漏洞逃逸到hypervisor，獲得物理主機(jī)的控制權(quán)限? 攻破虛擬系統(tǒng)后進(jìn)行任易破壞行為、網(wǎng)絡(luò)行為、對(duì)其它賬戶的猜解，和長期潛伏? 通過hypervisor漏洞訪問其它虛擬機(jī)? 虛擬機(jī)的內(nèi)存和存儲(chǔ)空間被釋放或再分配后被惡意攻擊者竊取? 虛擬機(jī)和備份信息在遷移或刪除后被竊取? hypervisor、虛擬系統(tǒng)、云平臺(tái)不及時(shí)更新或系統(tǒng)漏洞導(dǎo)致的攻擊入侵? 虛擬機(jī)