【文章內(nèi)容簡介】 安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進(jìn)行安全防護。如下圖所示：圖 當(dāng)然，從上面的安全域劃分結(jié)果可以看到，相對于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng)來講，云平臺由于采用了虛擬化技術(shù)，在計算服務(wù)層、資源層的安全域劃分與傳統(tǒng)IT系統(tǒng)有所不同，這主要體現(xiàn)在虛擬化部分，即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務(wù)區(qū)、堡壘區(qū)、DMZ區(qū)等。下面在對這些采用了虛擬化技術(shù)的區(qū)域進(jìn)行重點設(shè)計。當(dāng)然，對于不同的區(qū)域，選擇、落實適用的安全控制措施，下面重點說明。生產(chǎn)區(qū)生產(chǎn)區(qū)部署了虛擬化主機、軟件平臺、應(yīng)用層，應(yīng)基于虛擬化技術(shù)實現(xiàn)，因此其安全防護應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。虛擬化安全虛擬化安全主要涉及虛擬化組件及其管理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機、虛擬主機、虛擬存儲及虛擬化安全管理系統(tǒng)的安全。對于虛擬化安全主要采用的是安全配置和加固、虛擬化映像防護等。詳細(xì)內(nèi)容參見第七章介紹。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測和清洗、網(wǎng)絡(luò)入侵檢測、惡意代碼防護、VPN接入、安全審計等內(nèi)容。防火墻及邊界防護安全域需要隔離，并需要采取訪問控制措施對安全域內(nèi)外的通信進(jìn)行有效管控。通?？刹捎玫拇胧┯蠽LAN、網(wǎng)絡(luò)設(shè)備ACL、防火墻、IPS設(shè)備等，這里主要對防火墻的功能、部署進(jìn)行說明功能訪問控制系統(tǒng)的安全目標(biāo)是將云計算中心與不可信任域進(jìn)行有效地隔離與訪問授權(quán)。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點或者安全域的邊界，根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。產(chǎn)品形態(tài)對于云計算環(huán)境的邊界隔離，主要采用傳統(tǒng)防火墻、虛擬化防火墻。部署對于云平臺，防火墻需要實現(xiàn)對傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的安全域的隔離，也需要實現(xiàn)對虛擬化環(huán)境中的安全域（如生產(chǎn)域及其子區(qū)、生產(chǎn)域及其子區(qū)、支撐服務(wù)域及其子區(qū)、管理域及其子區(qū)、DMZ域及其子區(qū)等）的隔離。對于傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的安全域可采用傳統(tǒng)防火墻、傳統(tǒng)的部署方式即可，而對于虛擬化環(huán)境中的安全域可采用虛擬化防火墻實現(xiàn)。以VMWare ESXi虛擬化平臺為例，虛擬化防護墻的部署方式如下圖所示：圖 網(wǎng)絡(luò)異常流量監(jiān)測與分析云計算中心部署的應(yīng)用和業(yè)務(wù)非常豐富，如基于流媒體的音視頻服務(wù)， VPN業(yè)務(wù)等等，必然會受到各種網(wǎng)絡(luò)攻擊，如DDOS，進(jìn)而出現(xiàn)大量異常流量。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)的情況下，對網(wǎng)絡(luò)流量進(jìn)行實時監(jiān)測和分析，從而全面了解流量的各種分布以及變化趨勢就顯得十分必要了。功能網(wǎng)絡(luò)流量分析系統(tǒng)在云計算中心運營維護中的作用體現(xiàn)在兩個方面：異常流量監(jiān)測分析和流量統(tǒng)計分析。由于互聯(lián)網(wǎng)上存在大量的異常流量，尤其是大流量的抗拒絕服務(wù)（DDoS）攻擊經(jīng)常造成鏈路擁塞，以至于網(wǎng)絡(luò)無法正常提供服務(wù)甚至造成整個網(wǎng)絡(luò)環(huán)境完全癱瘓。因此異常流量監(jiān)測分析是網(wǎng)絡(luò)流量分析系統(tǒng)的首要任務(wù)，下面詳細(xì)闡述流量統(tǒng)計分析和異常流量檢測分析的功能。? 流量統(tǒng)計分析 流量統(tǒng)計分析的任務(wù)是實時監(jiān)控進(jìn)出云計算中心流量的地域分布，應(yīng)用組成分布、變化趨勢，并生成相應(yīng)的統(tǒng)計報表。統(tǒng)計對象的粒度可以為IP地址、IP地址段、用戶（用IP地址或地址段的組合來定義）。流量的地域分布顯示對某個主機（或地址段、用戶）的訪問流量來自哪些地域。流量統(tǒng)計結(jié)果對流量工程具有很重要的參考價值。應(yīng)用組成分布顯示云計算中心內(nèi)部各種業(yè)務(wù)的開展情況，結(jié)合地域分布的信息，也可以指導(dǎo)流量工程。流量的變化趨勢顯示流量隨時間的變化規(guī)律以及峰值時段對帶寬的占用情況，這些數(shù)據(jù)有助于進(jìn)行云計算中心容量規(guī)劃。? 異常流量監(jiān)測分析? 雙向異常流量監(jiān)測 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的由內(nèi)至外、由外至內(nèi)的流量進(jìn)行雙向監(jiān)測，即可監(jiān)測外發(fā)異常流量，也可監(jiān)測外來異常流量；? 異常流量定位 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的流量進(jìn)行持續(xù)監(jiān)控和實時分析，并對異常流量進(jìn)行及時的發(fā)現(xiàn)、告警和定位，使網(wǎng)管人員能夠準(zhǔn)確的發(fā)現(xiàn)異常流量進(jìn)入網(wǎng)絡(luò)的端口和攻擊目標(biāo)；? 異常流量分析 異常網(wǎng)絡(luò)流量分析系統(tǒng)對異常流量進(jìn)行詳細(xì)的分析，對異常流量的行為進(jìn)行記錄和分析，使網(wǎng)管人員能夠準(zhǔn)確的了解異常流量的行為特征；? 異常流量防范 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠針對網(wǎng)絡(luò)中的異常流量提供防范方法和建議，使網(wǎng)管人員能夠快速應(yīng)對網(wǎng)絡(luò)中的異常流量，將異常流量對網(wǎng)絡(luò)和用戶的影響減少到最低；? 異常流量記錄 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中發(fā)生的異常流量進(jìn)行記錄，網(wǎng)管人員可以查詢系統(tǒng)的歷史記錄，分析網(wǎng)絡(luò)異常流量的類型、特點和趨勢，總結(jié)長期預(yù)防異常流量的手段和方法；? 異常流量過濾 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠根據(jù)異常流量的特點、方向，通知其他安全設(shè)備對異常流量進(jìn)行過濾、清洗或壓制?；蛘咄ㄖ\維人員進(jìn)行手動處理，以防止或減少云計算中心受異常流量的影響目前業(yè)界的通常解決方案是異常流量檢測分析系統(tǒng)與抗拒絕服務(wù)攻擊系統(tǒng)聯(lián)動部署實現(xiàn)異常流量分析和過濾，異常流量檢測分析系統(tǒng)將異常告警信息實時通告給抗拒絕服務(wù)攻擊系統(tǒng)，由抗拒絕服務(wù)攻擊系統(tǒng)實施異常流量過濾凈化，將凈化后的流量回注?？咕芙^服務(wù)攻擊系統(tǒng)的在后面的章節(jié)詳細(xì)闡述。產(chǎn)品技術(shù)選型目前網(wǎng)絡(luò)流量分析產(chǎn)品主要有兩大類型：? 類型一：基于流（FLOW）信息的流量分析產(chǎn)品，流（FLOW）信息由網(wǎng)絡(luò)中的路由器和交換機產(chǎn)生，流量分析設(shè)備根據(jù)流（FLOW）信息進(jìn)行流量分析；? 類型二：基于應(yīng)用層分析的深度包檢測產(chǎn)品（DPI），采用端口鏡向或分光方式將需要分析的數(shù)據(jù)流轉(zhuǎn)發(fā)給流量分析設(shè)備基于流（FLOW）信息的流量分析產(chǎn)品具有如下特性，1）采用旁路方式進(jìn)行部署，不會影響業(yè)務(wù)；2）能夠支持大流量大范圍網(wǎng)絡(luò)的分析需求，由于流（FLOW）數(shù)據(jù)是對網(wǎng)絡(luò)實際轉(zhuǎn)發(fā)數(shù)據(jù)流的聚合與抽象，相對于DPI設(shè)備投資較少；3）對于大流量監(jiān)測來講，%。對于云平臺，其數(shù)據(jù)流量較大，且內(nèi)置的虛擬交換機可以直接輸出Netflow數(shù)據(jù)流，因此建議在云計算中心采用基于流（FLOW）信息的流量分析產(chǎn)品。系統(tǒng)組成和形態(tài)基于Netflow技術(shù)安全檢測與分析系統(tǒng)主要包括異常流量檢測系統(tǒng)和綜合分析平臺。對于異常網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)?？紤]的設(shè)備的性能以及與流量清洗設(shè)備聯(lián)動的要求，可同時采用兩種形態(tài)。部署建議綜合分析云計算中心的實際情況，其異常流量主要來自互聯(lián)網(wǎng)、第三方網(wǎng)絡(luò)、企業(yè)廣域網(wǎng)，還包括虛擬機之間互相攻擊的異常流量。因此需要在云平臺的互聯(lián)網(wǎng)出口、外聯(lián)網(wǎng)出口、廣域網(wǎng)出口，以及生產(chǎn)區(qū)域邊界、DMZ區(qū)域邊界上部署異常流量監(jiān)測系統(tǒng)（旁路部署Netflow流量采樣檢測模塊），實現(xiàn)流量統(tǒng)計分析、路由分析、異常流量檢測。它既可以作為流量監(jiān)控分析產(chǎn)品對網(wǎng)絡(luò)流量進(jìn)行深入分析，從而全面了解各類流量的分布以及變化趨勢；也可分析諸如DDoS攻擊、網(wǎng)絡(luò)濫用誤用、P2P流量等異常流量。異常流量檢測系統(tǒng)基于Netflow數(shù)據(jù)，其采集點是主要物理/虛擬交換機上，可根據(jù)需要靈活部署。以VMWare ESXi虛擬化平臺為例，一般部署情況如下圖所示：圖 網(wǎng)絡(luò)入侵檢測云計算對外提供服務(wù)，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無限放大，在云計算中心網(wǎng)絡(luò)出口采用入侵檢測機制，收集各種信息，由內(nèi)置的專家系統(tǒng)進(jìn)行分析，發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡(luò)入侵檢測系統(tǒng)捕獲分析網(wǎng)絡(luò)中的所有報文，發(fā)現(xiàn)其中的攻擊企圖，根據(jù)事先制定的策略通知管理員或自行采取保護措施。功能入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到更高的重視。入侵檢測系統(tǒng)可實時監(jiān)控云計算中心網(wǎng)絡(luò)中的數(shù)據(jù)訪問和系統(tǒng)事件，及時發(fā)現(xiàn)攻擊行為并作為分析證據(jù)并對可疑的訪問行為進(jìn)行自動響應(yīng)。利用入侵檢測系統(tǒng)的攻擊結(jié)果判定功能重點關(guān)注攻擊成功的安全事件。針對某些特定的安全規(guī)則單獨設(shè)定安全策略，針對云計算中心業(yè)務(wù)特點過濾一些低風(fēng)險或者不可能成功的攻擊行為，從而減少管理員關(guān)注日志告警的工作量，也使得重要攻擊行為能夠得到重點體現(xiàn)。同時，可以針對業(yè)務(wù)特點自定義某些特定的安全規(guī)則。如敏感內(nèi)容信息過濾，設(shè)置自定義的關(guān)鍵字過濾檢測規(guī)則，通過與防火墻的聯(lián)動或自身發(fā)送的TCP Killer數(shù)據(jù)包，將涉及敏感信息的TCP會話阻斷，防止信息泄露或者一些非法的網(wǎng)絡(luò)信息傳遞。產(chǎn)品組成和形態(tài)網(wǎng)絡(luò)入侵檢測系統(tǒng)一般包括網(wǎng)絡(luò)入侵檢測設(shè)備和綜合分析平臺。網(wǎng)絡(luò)入侵檢測設(shè)備主要有傳統(tǒng)硬件網(wǎng)絡(luò)入侵檢測設(shè)備（NIDS）和虛擬化網(wǎng)絡(luò)入侵檢測設(shè)備（vNIDS）兩種產(chǎn)品形態(tài)。部署建議入侵檢測系統(tǒng)應(yīng)部署在已被入侵的高危區(qū)域或者關(guān)鍵區(qū)域。包括互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，以及關(guān)鍵的計算服務(wù)域。對于互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，可采用傳統(tǒng)的IDS，而對于位于虛擬化平臺上的關(guān)鍵計算服務(wù)域可以用虛擬化入侵檢測系統(tǒng)，并可部署一套綜合分析系統(tǒng)，對系統(tǒng)所有入侵檢測日志進(jìn)行統(tǒng)一存儲、分析和呈現(xiàn)。以VMWare ESXi虛擬化平臺為例，一般部署情況如下圖所示：圖 主機安全主機安全與傳統(tǒng)安全相同，這里不再贅述。應(yīng)用安全Web應(yīng)用防護云計算中心一般都是采用Web的方式來對外提供各類服務(wù)，特別是在Web ，75%以上的攻擊都瞄準(zhǔn)了網(wǎng)站（Web）。這些攻擊可能導(dǎo)致云計算服務(wù)提供商遭受聲譽和經(jīng)濟損失，可能造成惡劣的社會影響。Web應(yīng)用防護技術(shù)通過深入分析和解析HTTP的有效性、提供安全模型只允許已知流量通過、應(yīng)用層規(guī)則、基于會話的保護，可檢測應(yīng)用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護云計算平臺的Web服務(wù)器，確保云計算平臺Web應(yīng)用和服務(wù)免受侵害。Web防護技術(shù)與傳統(tǒng)防火墻/IPS系統(tǒng)相比較，Web應(yīng)用防護技術(shù)將提供一種安全運維控制手段，基于對HTTP/HTTPS流量的雙向分析，為WEB應(yīng)用提供實時的防護。? 對HTTP有本質(zhì)的理解：能完整地解析HTTP，包括報文頭部、參數(shù)及載荷。支持各種HTTP 編碼（如chunked encoding）；提供嚴(yán)格的HTTP協(xié)議驗證；提供HTML限制；支持各類字符集編碼；具備response過濾能力；? 提供應(yīng)用層規(guī)則：WEB應(yīng)用通常是定制化的，傳統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應(yīng)用層規(guī)則，且具備檢測變形攻擊的能力，如檢測SSL加密流量中混雜的攻擊；? 提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過，為WEB應(yīng)用提供了一個外部的輸入驗證機制，安全性更為可靠；? 提供會話防護機制：HTTP協(xié)議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進(jìn)行有效補充，防護基于會話的攻擊類型，如cookie篡改及會話劫持攻擊Web應(yīng)用防護技術(shù)將以一個可閉環(huán)又可循環(huán)的方式去降低潛在的威脅，對于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事后的彌補，形成環(huán)環(huán)相扣的動態(tài)安全防護。事前是用掃描方式主動檢查網(wǎng)站并把結(jié)果形成新的防護規(guī)則增加到事中的防護策略中，而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此，不能進(jìn)一步修改和損壞網(wǎng)站文件，對于要求信譽高和完整性的用戶來說，這是尤為重要的環(huán)節(jié)。產(chǎn)品形態(tài)對于網(wǎng)絡(luò)應(yīng)用防火墻，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。在虛擬化的環(huán)境中，應(yīng)選擇虛擬化產(chǎn)品形態(tài)，并可以實現(xiàn)和網(wǎng)站安全檢測系統(tǒng)、Web安全掃描系統(tǒng)進(jìn)行聯(lián)動。產(chǎn)品部署Web應(yīng)用防火墻應(yīng)部署在Web服務(wù)器之前，并邏輯串聯(lián)。根據(jù)需要可選擇透明模式、路由模式或者反向代理模式。以VMWare ESXi虛擬化平臺為例，其部署方式如下圖所示：圖 網(wǎng)頁防篡改網(wǎng)頁防篡改系統(tǒng)可以仍舊部署在Web服務(wù)上，實現(xiàn)防篡改功能，其功能、技術(shù)實現(xiàn)與部署與傳統(tǒng)方式相同，這里不再贅述。網(wǎng)站安全監(jiān)測技術(shù)見安全管理區(qū)的描述。數(shù)據(jù)安全對于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、遷移、銷毀以及備份和恢復(fù)的全生命周期，并在數(shù)據(jù)的不同生周期階段采用數(shù)據(jù)分類分級、標(biāo)識、加密、審計、擦除等手段。另外，在采用了這些基礎(chǔ)防護技術(shù)措施之外，還應(yīng)考慮