【文章內(nèi)容簡(jiǎn)介】 安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進(jìn)行安全防護(hù)。如下圖所示：圖 當(dāng)然，從上面的安全域劃分結(jié)果可以看到，相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng)來(lái)講，云平臺(tái)由于采用了虛擬化技術(shù)，在計(jì)算服務(wù)層、資源層的安全域劃分與傳統(tǒng)IT系統(tǒng)有所不同，這主要體現(xiàn)在虛擬化部分，即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務(wù)區(qū)、堡壘區(qū)、DMZ區(qū)等。下面在對(duì)這些采用了虛擬化技術(shù)的區(qū)域進(jìn)行重點(diǎn)設(shè)計(jì)。當(dāng)然，對(duì)于不同的區(qū)域，選擇、落實(shí)適用的安全控制措施，下面重點(diǎn)說(shuō)明。生產(chǎn)區(qū)生產(chǎn)區(qū)部署了虛擬化主機(jī)、軟件平臺(tái)、應(yīng)用層，應(yīng)基于虛擬化技術(shù)實(shí)現(xiàn)，因此其安全防護(hù)應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。虛擬化安全虛擬化安全主要涉及虛擬化組件及其管理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機(jī)、虛擬主機(jī)、虛擬存儲(chǔ)及虛擬化安全管理系統(tǒng)的安全。對(duì)于虛擬化安全主要采用的是安全配置和加固、虛擬化映像防護(hù)等。詳細(xì)內(nèi)容參見(jiàn)第七章介紹。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測(cè)和清洗、網(wǎng)絡(luò)入侵檢測(cè)、惡意代碼防護(hù)、VPN接入、安全審計(jì)等內(nèi)容。防火墻及邊界防護(hù)安全域需要隔離，并需要采取訪問(wèn)控制措施對(duì)安全域內(nèi)外的通信進(jìn)行有效管控。通?？刹捎玫拇胧┯蠽LAN、網(wǎng)絡(luò)設(shè)備ACL、防火墻、IPS設(shè)備等，這里主要對(duì)防火墻的功能、部署進(jìn)行說(shuō)明功能訪問(wèn)控制系統(tǒng)的安全目標(biāo)是將云計(jì)算中心與不可信任域進(jìn)行有效地隔離與訪問(wèn)授權(quán)。訪問(wèn)控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點(diǎn)或者安全域的邊界，根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過(guò)的通信流量，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許。產(chǎn)品形態(tài)對(duì)于云計(jì)算環(huán)境的邊界隔離，主要采用傳統(tǒng)防火墻、虛擬化防火墻。部署對(duì)于云平臺(tái)，防火墻需要實(shí)現(xiàn)對(duì)傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的安全域的隔離，也需要實(shí)現(xiàn)對(duì)虛擬化環(huán)境中的安全域（如生產(chǎn)域及其子區(qū)、生產(chǎn)域及其子區(qū)、支撐服務(wù)域及其子區(qū)、管理域及其子區(qū)、DMZ域及其子區(qū)等）的隔離。對(duì)于傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的安全域可采用傳統(tǒng)防火墻、傳統(tǒng)的部署方式即可，而對(duì)于虛擬化環(huán)境中的安全域可采用虛擬化防火墻實(shí)現(xiàn)。以VMWare ESXi虛擬化平臺(tái)為例，虛擬化防護(hù)墻的部署方式如下圖所示：圖 網(wǎng)絡(luò)異常流量監(jiān)測(cè)與分析云計(jì)算中心部署的應(yīng)用和業(yè)務(wù)非常豐富，如基于流媒體的音視頻服務(wù)， VPN業(yè)務(wù)等等，必然會(huì)受到各種網(wǎng)絡(luò)攻擊，如DDOS，進(jìn)而出現(xiàn)大量異常流量。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)的情況下，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析，從而全面了解流量的各種分布以及變化趨勢(shì)就顯得十分必要了。功能網(wǎng)絡(luò)流量分析系統(tǒng)在云計(jì)算中心運(yùn)營(yíng)維護(hù)中的作用體現(xiàn)在兩個(gè)方面：異常流量監(jiān)測(cè)分析和流量統(tǒng)計(jì)分析。由于互聯(lián)網(wǎng)上存在大量的異常流量，尤其是大流量的抗拒絕服務(wù)（DDoS）攻擊經(jīng)常造成鏈路擁塞，以至于網(wǎng)絡(luò)無(wú)法正常提供服務(wù)甚至造成整個(gè)網(wǎng)絡(luò)環(huán)境完全癱瘓。因此異常流量監(jiān)測(cè)分析是網(wǎng)絡(luò)流量分析系統(tǒng)的首要任務(wù)，下面詳細(xì)闡述流量統(tǒng)計(jì)分析和異常流量檢測(cè)分析的功能。? 流量統(tǒng)計(jì)分析 流量統(tǒng)計(jì)分析的任務(wù)是實(shí)時(shí)監(jiān)控進(jìn)出云計(jì)算中心流量的地域分布，應(yīng)用組成分布、變化趨勢(shì)，并生成相應(yīng)的統(tǒng)計(jì)報(bào)表。統(tǒng)計(jì)對(duì)象的粒度可以為IP地址、IP地址段、用戶(hù)（用IP地址或地址段的組合來(lái)定義）。流量的地域分布顯示對(duì)某個(gè)主機(jī)（或地址段、用戶(hù)）的訪問(wèn)流量來(lái)自哪些地域。流量統(tǒng)計(jì)結(jié)果對(duì)流量工程具有很重要的參考價(jià)值。應(yīng)用組成分布顯示云計(jì)算中心內(nèi)部各種業(yè)務(wù)的開(kāi)展情況，結(jié)合地域分布的信息，也可以指導(dǎo)流量工程。流量的變化趨勢(shì)顯示流量隨時(shí)間的變化規(guī)律以及峰值時(shí)段對(duì)帶寬的占用情況，這些數(shù)據(jù)有助于進(jìn)行云計(jì)算中心容量規(guī)劃。? 異常流量監(jiān)測(cè)分析? 雙向異常流量監(jiān)測(cè) 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)中的由內(nèi)至外、由外至內(nèi)的流量進(jìn)行雙向監(jiān)測(cè)，即可監(jiān)測(cè)外發(fā)異常流量，也可監(jiān)測(cè)外來(lái)異常流量；? 異常流量定位 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)中的流量進(jìn)行持續(xù)監(jiān)控和實(shí)時(shí)分析，并對(duì)異常流量進(jìn)行及時(shí)的發(fā)現(xiàn)、告警和定位，使網(wǎng)管人員能夠準(zhǔn)確的發(fā)現(xiàn)異常流量進(jìn)入網(wǎng)絡(luò)的端口和攻擊目標(biāo)；? 異常流量分析 異常網(wǎng)絡(luò)流量分析系統(tǒng)對(duì)異常流量進(jìn)行詳細(xì)的分析，對(duì)異常流量的行為進(jìn)行記錄和分析，使網(wǎng)管人員能夠準(zhǔn)確的了解異常流量的行為特征；? 異常流量防范 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠針對(duì)網(wǎng)絡(luò)中的異常流量提供防范方法和建議，使網(wǎng)管人員能夠快速應(yīng)對(duì)網(wǎng)絡(luò)中的異常流量，將異常流量對(duì)網(wǎng)絡(luò)和用戶(hù)的影響減少到最低；? 異常流量記錄 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)中發(fā)生的異常流量進(jìn)行記錄，網(wǎng)管人員可以查詢(xún)系統(tǒng)的歷史記錄，分析網(wǎng)絡(luò)異常流量的類(lèi)型、特點(diǎn)和趨勢(shì)，總結(jié)長(zhǎng)期預(yù)防異常流量的手段和方法；? 異常流量過(guò)濾 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠根據(jù)異常流量的特點(diǎn)、方向，通知其他安全設(shè)備對(duì)異常流量進(jìn)行過(guò)濾、清洗或壓制?；蛘咄ㄖ\(yùn)維人員進(jìn)行手動(dòng)處理，以防止或減少云計(jì)算中心受異常流量的影響目前業(yè)界的通常解決方案是異常流量檢測(cè)分析系統(tǒng)與抗拒絕服務(wù)攻擊系統(tǒng)聯(lián)動(dòng)部署實(shí)現(xiàn)異常流量分析和過(guò)濾，異常流量檢測(cè)分析系統(tǒng)將異常告警信息實(shí)時(shí)通告給抗拒絕服務(wù)攻擊系統(tǒng)，由抗拒絕服務(wù)攻擊系統(tǒng)實(shí)施異常流量過(guò)濾凈化，將凈化后的流量回注?？咕芙^服務(wù)攻擊系統(tǒng)的在后面的章節(jié)詳細(xì)闡述。產(chǎn)品技術(shù)選型目前網(wǎng)絡(luò)流量分析產(chǎn)品主要有兩大類(lèi)型：? 類(lèi)型一：基于流（FLOW）信息的流量分析產(chǎn)品，流（FLOW）信息由網(wǎng)絡(luò)中的路由器和交換機(jī)產(chǎn)生，流量分析設(shè)備根據(jù)流（FLOW）信息進(jìn)行流量分析；? 類(lèi)型二：基于應(yīng)用層分析的深度包檢測(cè)產(chǎn)品（DPI），采用端口鏡向或分光方式將需要分析的數(shù)據(jù)流轉(zhuǎn)發(fā)給流量分析設(shè)備基于流（FLOW）信息的流量分析產(chǎn)品具有如下特性，1）采用旁路方式進(jìn)行部署，不會(huì)影響業(yè)務(wù)；2）能夠支持大流量大范圍網(wǎng)絡(luò)的分析需求，由于流（FLOW）數(shù)據(jù)是對(duì)網(wǎng)絡(luò)實(shí)際轉(zhuǎn)發(fā)數(shù)據(jù)流的聚合與抽象，相對(duì)于DPI設(shè)備投資較少；3）對(duì)于大流量監(jiān)測(cè)來(lái)講，%。對(duì)于云平臺(tái)，其數(shù)據(jù)流量較大，且內(nèi)置的虛擬交換機(jī)可以直接輸出Netflow數(shù)據(jù)流，因此建議在云計(jì)算中心采用基于流（FLOW）信息的流量分析產(chǎn)品。系統(tǒng)組成和形態(tài)基于Netflow技術(shù)安全檢測(cè)與分析系統(tǒng)主要包括異常流量檢測(cè)系統(tǒng)和綜合分析平臺(tái)。對(duì)于異常網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。考慮的設(shè)備的性能以及與流量清洗設(shè)備聯(lián)動(dòng)的要求，可同時(shí)采用兩種形態(tài)。部署建議綜合分析云計(jì)算中心的實(shí)際情況，其異常流量主要來(lái)自互聯(lián)網(wǎng)、第三方網(wǎng)絡(luò)、企業(yè)廣域網(wǎng)，還包括虛擬機(jī)之間互相攻擊的異常流量。因此需要在云平臺(tái)的互聯(lián)網(wǎng)出口、外聯(lián)網(wǎng)出口、廣域網(wǎng)出口，以及生產(chǎn)區(qū)域邊界、DMZ區(qū)域邊界上部署異常流量監(jiān)測(cè)系統(tǒng)（旁路部署Netflow流量采樣檢測(cè)模塊），實(shí)現(xiàn)流量統(tǒng)計(jì)分析、路由分析、異常流量檢測(cè)。它既可以作為流量監(jiān)控分析產(chǎn)品對(duì)網(wǎng)絡(luò)流量進(jìn)行深入分析，從而全面了解各類(lèi)流量的分布以及變化趨勢(shì)；也可分析諸如DDoS攻擊、網(wǎng)絡(luò)濫用誤用、P2P流量等異常流量。異常流量檢測(cè)系統(tǒng)基于Netflow數(shù)據(jù)，其采集點(diǎn)是主要物理/虛擬交換機(jī)上，可根據(jù)需要靈活部署。以VMWare ESXi虛擬化平臺(tái)為例，一般部署情況如下圖所示：圖 網(wǎng)絡(luò)入侵檢測(cè)云計(jì)算對(duì)外提供服務(wù)，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無(wú)限放大，在云計(jì)算中心網(wǎng)絡(luò)出口采用入侵檢測(cè)機(jī)制，收集各種信息，由內(nèi)置的專(zhuān)家系統(tǒng)進(jìn)行分析，發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)捕獲分析網(wǎng)絡(luò)中的所有報(bào)文，發(fā)現(xiàn)其中的攻擊企圖，根據(jù)事先制定的策略通知管理員或自行采取保護(hù)措施。功能入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到更高的重視。入侵檢測(cè)系統(tǒng)可實(shí)時(shí)監(jiān)控云計(jì)算中心網(wǎng)絡(luò)中的數(shù)據(jù)訪問(wèn)和系統(tǒng)事件，及時(shí)發(fā)現(xiàn)攻擊行為并作為分析證據(jù)并對(duì)可疑的訪問(wèn)行為進(jìn)行自動(dòng)響應(yīng)。利用入侵檢測(cè)系統(tǒng)的攻擊結(jié)果判定功能重點(diǎn)關(guān)注攻擊成功的安全事件。針對(duì)某些特定的安全規(guī)則單獨(dú)設(shè)定安全策略，針對(duì)云計(jì)算中心業(yè)務(wù)特點(diǎn)過(guò)濾一些低風(fēng)險(xiǎn)或者不可能成功的攻擊行為，從而減少管理員關(guān)注日志告警的工作量，也使得重要攻擊行為能夠得到重點(diǎn)體現(xiàn)。同時(shí)，可以針對(duì)業(yè)務(wù)特點(diǎn)自定義某些特定的安全規(guī)則。如敏感內(nèi)容信息過(guò)濾，設(shè)置自定義的關(guān)鍵字過(guò)濾檢測(cè)規(guī)則，通過(guò)與防火墻的聯(lián)動(dòng)或自身發(fā)送的TCP Killer數(shù)據(jù)包，將涉及敏感信息的TCP會(huì)話阻斷，防止信息泄露或者一些非法的網(wǎng)絡(luò)信息傳遞。產(chǎn)品組成和形態(tài)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一般包括網(wǎng)絡(luò)入侵檢測(cè)設(shè)備和綜合分析平臺(tái)。網(wǎng)絡(luò)入侵檢測(cè)設(shè)備主要有傳統(tǒng)硬件網(wǎng)絡(luò)入侵檢測(cè)設(shè)備（NIDS）和虛擬化網(wǎng)絡(luò)入侵檢測(cè)設(shè)備（vNIDS）兩種產(chǎn)品形態(tài)。部署建議入侵檢測(cè)系統(tǒng)應(yīng)部署在已被入侵的高危區(qū)域或者關(guān)鍵區(qū)域。包括互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，以及關(guān)鍵的計(jì)算服務(wù)域。對(duì)于互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，可采用傳統(tǒng)的IDS，而對(duì)于位于虛擬化平臺(tái)上的關(guān)鍵計(jì)算服務(wù)域可以用虛擬化入侵檢測(cè)系統(tǒng)，并可部署一套綜合分析系統(tǒng)，對(duì)系統(tǒng)所有入侵檢測(cè)日志進(jìn)行統(tǒng)一存儲(chǔ)、分析和呈現(xiàn)。以VMWare ESXi虛擬化平臺(tái)為例，一般部署情況如下圖所示：圖 主機(jī)安全主機(jī)安全與傳統(tǒng)安全相同，這里不再贅述。應(yīng)用安全Web應(yīng)用防護(hù)云計(jì)算中心一般都是采用Web的方式來(lái)對(duì)外提供各類(lèi)服務(wù)，特別是在Web ，75%以上的攻擊都瞄準(zhǔn)了網(wǎng)站（Web）。這些攻擊可能導(dǎo)致云計(jì)算服務(wù)提供商遭受聲譽(yù)和經(jīng)濟(jì)損失，可能造成惡劣的社會(huì)影響。Web應(yīng)用防護(hù)技術(shù)通過(guò)深入分析和解析HTTP的有效性、提供安全模型只允許已知流量通過(guò)、應(yīng)用層規(guī)則、基于會(huì)話的保護(hù)，可檢測(cè)應(yīng)用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號(hào)等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護(hù)云計(jì)算平臺(tái)的Web服務(wù)器，確保云計(jì)算平臺(tái)Web應(yīng)用和服務(wù)免受侵害。Web防護(hù)技術(shù)與傳統(tǒng)防火墻/IPS系統(tǒng)相比較，Web應(yīng)用防護(hù)技術(shù)將提供一種安全運(yùn)維控制手段，基于對(duì)HTTP/HTTPS流量的雙向分析，為WEB應(yīng)用提供實(shí)時(shí)的防護(hù)。? 對(duì)HTTP有本質(zhì)的理解：能完整地解析HTTP，包括報(bào)文頭部、參數(shù)及載荷。支持各種HTTP 編碼（如chunked encoding）；提供嚴(yán)格的HTTP協(xié)議驗(yàn)證；提供HTML限制；支持各類(lèi)字符集編碼；具備response過(guò)濾能力；? 提供應(yīng)用層規(guī)則：WEB應(yīng)用通常是定制化的，傳統(tǒng)的針對(duì)已知漏洞的規(guī)則往往不夠有效。WAF提供專(zhuān)用的應(yīng)用層規(guī)則，且具備檢測(cè)變形攻擊的能力，如檢測(cè)SSL加密流量中混雜的攻擊；? 提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過(guò)，為WEB應(yīng)用提供了一個(gè)外部的輸入驗(yàn)證機(jī)制，安全性更為可靠；? 提供會(huì)話防護(hù)機(jī)制：HTTP協(xié)議最大的弊端在于缺乏一個(gè)可靠的會(huì)話管理機(jī)制。WAF為此進(jìn)行有效補(bǔ)充，防護(hù)基于會(huì)話的攻擊類(lèi)型，如cookie篡改及會(huì)話劫持攻擊Web應(yīng)用防護(hù)技術(shù)將以一個(gè)可閉環(huán)又可循環(huán)的方式去降低潛在的威脅，對(duì)于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事后的彌補(bǔ)，形成環(huán)環(huán)相扣的動(dòng)態(tài)安全防護(hù)。事前是用掃描方式主動(dòng)檢查網(wǎng)站并把結(jié)果形成新的防護(hù)規(guī)則增加到事中的防護(hù)策略中，而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此，不能進(jìn)一步修改和損壞網(wǎng)站文件，對(duì)于要求信譽(yù)高和完整性的用戶(hù)來(lái)說(shuō)，這是尤為重要的環(huán)節(jié)。產(chǎn)品形態(tài)對(duì)于網(wǎng)絡(luò)應(yīng)用防火墻，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。在虛擬化的環(huán)境中，應(yīng)選擇虛擬化產(chǎn)品形態(tài)，并可以實(shí)現(xiàn)和網(wǎng)站安全檢測(cè)系統(tǒng)、Web安全掃描系統(tǒng)進(jìn)行聯(lián)動(dòng)。產(chǎn)品部署Web應(yīng)用防火墻應(yīng)部署在Web服務(wù)器之前，并邏輯串聯(lián)。根據(jù)需要可選擇透明模式、路由模式或者反向代理模式。以VMWare ESXi虛擬化平臺(tái)為例，其部署方式如下圖所示：圖 網(wǎng)頁(yè)防篡改網(wǎng)頁(yè)防篡改系統(tǒng)可以仍舊部署在Web服務(wù)上，實(shí)現(xiàn)防篡改功能，其功能、技術(shù)實(shí)現(xiàn)與部署與傳統(tǒng)方式相同，這里不再贅述。網(wǎng)站安全監(jiān)測(cè)技術(shù)見(jiàn)安全管理區(qū)的描述。數(shù)據(jù)安全對(duì)于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)、使用、遷移、銷(xiāo)毀以及備份和恢復(fù)的全生命周期，并在數(shù)據(jù)的不同生周期階段采用數(shù)據(jù)分類(lèi)分級(jí)、標(biāo)識(shí)、加密、審計(jì)、擦除等手段。另外，在采用了這些基礎(chǔ)防護(hù)技術(shù)措施之外，還應(yīng)考慮