【文章內(nèi)容簡介】 安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進行安全防護。如下圖所示：圖 當然，從上面的安全域劃分結果可以看到，相對于傳統(tǒng)的網(wǎng)絡與信息系統(tǒng)來講，云平臺由于采用了虛擬化技術，在計算服務層、資源層的安全域劃分與傳統(tǒng)IT系統(tǒng)有所不同，這主要體現(xiàn)在虛擬化部分，即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務區(qū)、堡壘區(qū)、DMZ區(qū)等。下面在對這些采用了虛擬化技術的區(qū)域進行重點設計。當然，對于不同的區(qū)域，選擇、落實適用的安全控制措施，下面重點說明。生產(chǎn)區(qū)生產(chǎn)區(qū)部署了虛擬化主機、軟件平臺、應用層，應基于虛擬化技術實現(xiàn)，因此其安全防護應考慮虛擬化安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等內(nèi)容。虛擬化安全虛擬化安全主要涉及虛擬化組件及其管理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機、虛擬主機、虛擬存儲及虛擬化安全管理系統(tǒng)的安全。對于虛擬化安全主要采用的是安全配置和加固、虛擬化映像防護等。詳細內(nèi)容參見第七章介紹。網(wǎng)絡安全網(wǎng)絡安全主要涉及防火墻、異常流量檢測和清洗、網(wǎng)絡入侵檢測、惡意代碼防護、VPN接入、安全審計等內(nèi)容。防火墻及邊界防護安全域需要隔離，并需要采取訪問控制措施對安全域內(nèi)外的通信進行有效管控。通?？刹捎玫拇胧┯蠽LAN、網(wǎng)絡設備ACL、防火墻、IPS設備等，這里主要對防火墻的功能、部署進行說明功能訪問控制系統(tǒng)的安全目標是將云計算中心與不可信任域進行有效地隔離與訪問授權。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡入口點或者安全域的邊界，根據(jù)設定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護內(nèi)部網(wǎng)絡安全的前提下，對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進行檢查，來決定網(wǎng)絡之間的通信是否被允許。產(chǎn)品形態(tài)對于云計算環(huán)境的邊界隔離，主要采用傳統(tǒng)防火墻、虛擬化防火墻。部署對于云平臺，防火墻需要實現(xiàn)對傳統(tǒng)網(wǎng)絡環(huán)境中的安全域的隔離，也需要實現(xiàn)對虛擬化環(huán)境中的安全域（如生產(chǎn)域及其子區(qū)、生產(chǎn)域及其子區(qū)、支撐服務域及其子區(qū)、管理域及其子區(qū)、DMZ域及其子區(qū)等）的隔離。對于傳統(tǒng)網(wǎng)絡環(huán)境中的安全域可采用傳統(tǒng)防火墻、傳統(tǒng)的部署方式即可，而對于虛擬化環(huán)境中的安全域可采用虛擬化防火墻實現(xiàn)。以VMWare ESXi虛擬化平臺為例，虛擬化防護墻的部署方式如下圖所示：圖 網(wǎng)絡異常流量監(jiān)測與分析云計算中心部署的應用和業(yè)務非常豐富，如基于流媒體的音視頻服務， VPN業(yè)務等等，必然會受到各種網(wǎng)絡攻擊，如DDOS，進而出現(xiàn)大量異常流量。在這種流量成分日益復雜，異常流量海量涌現(xiàn)的情況下，對網(wǎng)絡流量進行實時監(jiān)測和分析，從而全面了解流量的各種分布以及變化趨勢就顯得十分必要了。功能網(wǎng)絡流量分析系統(tǒng)在云計算中心運營維護中的作用體現(xiàn)在兩個方面：異常流量監(jiān)測分析和流量統(tǒng)計分析。由于互聯(lián)網(wǎng)上存在大量的異常流量，尤其是大流量的抗拒絕服務（DDoS）攻擊經(jīng)常造成鏈路擁塞，以至于網(wǎng)絡無法正常提供服務甚至造成整個網(wǎng)絡環(huán)境完全癱瘓。因此異常流量監(jiān)測分析是網(wǎng)絡流量分析系統(tǒng)的首要任務，下面詳細闡述流量統(tǒng)計分析和異常流量檢測分析的功能。? 流量統(tǒng)計分析 流量統(tǒng)計分析的任務是實時監(jiān)控進出云計算中心流量的地域分布，應用組成分布、變化趨勢，并生成相應的統(tǒng)計報表。統(tǒng)計對象的粒度可以為IP地址、IP地址段、用戶（用IP地址或地址段的組合來定義）。流量的地域分布顯示對某個主機（或地址段、用戶）的訪問流量來自哪些地域。流量統(tǒng)計結果對流量工程具有很重要的參考價值。應用組成分布顯示云計算中心內(nèi)部各種業(yè)務的開展情況，結合地域分布的信息，也可以指導流量工程。流量的變化趨勢顯示流量隨時間的變化規(guī)律以及峰值時段對帶寬的占用情況，這些數(shù)據(jù)有助于進行云計算中心容量規(guī)劃。? 異常流量監(jiān)測分析? 雙向異常流量監(jiān)測 異常網(wǎng)絡流量分析系統(tǒng)應對網(wǎng)絡中的由內(nèi)至外、由外至內(nèi)的流量進行雙向監(jiān)測，即可監(jiān)測外發(fā)異常流量，也可監(jiān)測外來異常流量；? 異常流量定位 異常網(wǎng)絡流量分析系統(tǒng)應對網(wǎng)絡中的流量進行持續(xù)監(jiān)控和實時分析，并對異常流量進行及時的發(fā)現(xiàn)、告警和定位，使網(wǎng)管人員能夠準確的發(fā)現(xiàn)異常流量進入網(wǎng)絡的端口和攻擊目標；? 異常流量分析 異常網(wǎng)絡流量分析系統(tǒng)對異常流量進行詳細的分析，對異常流量的行為進行記錄和分析，使網(wǎng)管人員能夠準確的了解異常流量的行為特征；? 異常流量防范 異常網(wǎng)絡流量分析系統(tǒng)能夠針對網(wǎng)絡中的異常流量提供防范方法和建議，使網(wǎng)管人員能夠快速應對網(wǎng)絡中的異常流量，將異常流量對網(wǎng)絡和用戶的影響減少到最低；? 異常流量記錄 異常網(wǎng)絡流量分析系統(tǒng)應對網(wǎng)絡中發(fā)生的異常流量進行記錄，網(wǎng)管人員可以查詢系統(tǒng)的歷史記錄，分析網(wǎng)絡異常流量的類型、特點和趨勢，總結長期預防異常流量的手段和方法；? 異常流量過濾 異常網(wǎng)絡流量分析系統(tǒng)能夠根據(jù)異常流量的特點、方向，通知其他安全設備對異常流量進行過濾、清洗或壓制?；蛘咄ㄖ\維人員進行手動處理，以防止或減少云計算中心受異常流量的影響目前業(yè)界的通常解決方案是異常流量檢測分析系統(tǒng)與抗拒絕服務攻擊系統(tǒng)聯(lián)動部署實現(xiàn)異常流量分析和過濾，異常流量檢測分析系統(tǒng)將異常告警信息實時通告給抗拒絕服務攻擊系統(tǒng)，由抗拒絕服務攻擊系統(tǒng)實施異常流量過濾凈化，將凈化后的流量回注?？咕芙^服務攻擊系統(tǒng)的在后面的章節(jié)詳細闡述。產(chǎn)品技術選型目前網(wǎng)絡流量分析產(chǎn)品主要有兩大類型：? 類型一：基于流（FLOW）信息的流量分析產(chǎn)品，流（FLOW）信息由網(wǎng)絡中的路由器和交換機產(chǎn)生，流量分析設備根據(jù)流（FLOW）信息進行流量分析；? 類型二：基于應用層分析的深度包檢測產(chǎn)品（DPI），采用端口鏡向或分光方式將需要分析的數(shù)據(jù)流轉(zhuǎn)發(fā)給流量分析設備基于流（FLOW）信息的流量分析產(chǎn)品具有如下特性，1）采用旁路方式進行部署，不會影響業(yè)務；2）能夠支持大流量大范圍網(wǎng)絡的分析需求，由于流（FLOW）數(shù)據(jù)是對網(wǎng)絡實際轉(zhuǎn)發(fā)數(shù)據(jù)流的聚合與抽象，相對于DPI設備投資較少；3）對于大流量監(jiān)測來講，%。對于云平臺，其數(shù)據(jù)流量較大，且內(nèi)置的虛擬交換機可以直接輸出Netflow數(shù)據(jù)流，因此建議在云計算中心采用基于流（FLOW）信息的流量分析產(chǎn)品。系統(tǒng)組成和形態(tài)基于Netflow技術安全檢測與分析系統(tǒng)主要包括異常流量檢測系統(tǒng)和綜合分析平臺。對于異常網(wǎng)絡流量監(jiān)測系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。考慮的設備的性能以及與流量清洗設備聯(lián)動的要求，可同時采用兩種形態(tài)。部署建議綜合分析云計算中心的實際情況，其異常流量主要來自互聯(lián)網(wǎng)、第三方網(wǎng)絡、企業(yè)廣域網(wǎng)，還包括虛擬機之間互相攻擊的異常流量。因此需要在云平臺的互聯(lián)網(wǎng)出口、外聯(lián)網(wǎng)出口、廣域網(wǎng)出口，以及生產(chǎn)區(qū)域邊界、DMZ區(qū)域邊界上部署異常流量監(jiān)測系統(tǒng)（旁路部署Netflow流量采樣檢測模塊），實現(xiàn)流量統(tǒng)計分析、路由分析、異常流量檢測。它既可以作為流量監(jiān)控分析產(chǎn)品對網(wǎng)絡流量進行深入分析，從而全面了解各類流量的分布以及變化趨勢；也可分析諸如DDoS攻擊、網(wǎng)絡濫用誤用、P2P流量等異常流量。異常流量檢測系統(tǒng)基于Netflow數(shù)據(jù)，其采集點是主要物理/虛擬交換機上，可根據(jù)需要靈活部署。以VMWare ESXi虛擬化平臺為例，一般部署情況如下圖所示：圖 網(wǎng)絡入侵檢測云計算對外提供服務，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無限放大，在云計算中心網(wǎng)絡出口采用入侵檢測機制，收集各種信息，由內(nèi)置的專家系統(tǒng)進行分析，發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡入侵檢測系統(tǒng)捕獲分析網(wǎng)絡中的所有報文，發(fā)現(xiàn)其中的攻擊企圖，根據(jù)事先制定的策略通知管理員或自行采取保護措施。功能入侵檢測作為一種積極主動地安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。從網(wǎng)絡安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到更高的重視。入侵檢測系統(tǒng)可實時監(jiān)控云計算中心網(wǎng)絡中的數(shù)據(jù)訪問和系統(tǒng)事件，及時發(fā)現(xiàn)攻擊行為并作為分析證據(jù)并對可疑的訪問行為進行自動響應。利用入侵檢測系統(tǒng)的攻擊結果判定功能重點關注攻擊成功的安全事件。針對某些特定的安全規(guī)則單獨設定安全策略，針對云計算中心業(yè)務特點過濾一些低風險或者不可能成功的攻擊行為，從而減少管理員關注日志告警的工作量，也使得重要攻擊行為能夠得到重點體現(xiàn)。同時，可以針對業(yè)務特點自定義某些特定的安全規(guī)則。如敏感內(nèi)容信息過濾，設置自定義的關鍵字過濾檢測規(guī)則，通過與防火墻的聯(lián)動或自身發(fā)送的TCP Killer數(shù)據(jù)包，將涉及敏感信息的TCP會話阻斷，防止信息泄露或者一些非法的網(wǎng)絡信息傳遞。產(chǎn)品組成和形態(tài)網(wǎng)絡入侵檢測系統(tǒng)一般包括網(wǎng)絡入侵檢測設備和綜合分析平臺。網(wǎng)絡入侵檢測設備主要有傳統(tǒng)硬件網(wǎng)絡入侵檢測設備（NIDS）和虛擬化網(wǎng)絡入侵檢測設備（vNIDS）兩種產(chǎn)品形態(tài)。部署建議入侵檢測系統(tǒng)應部署在已被入侵的高危區(qū)域或者關鍵區(qū)域。包括互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，以及關鍵的計算服務域。對于互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，可采用傳統(tǒng)的IDS，而對于位于虛擬化平臺上的關鍵計算服務域可以用虛擬化入侵檢測系統(tǒng)，并可部署一套綜合分析系統(tǒng)，對系統(tǒng)所有入侵檢測日志進行統(tǒng)一存儲、分析和呈現(xiàn)。以VMWare ESXi虛擬化平臺為例，一般部署情況如下圖所示：圖 主機安全主機安全與傳統(tǒng)安全相同，這里不再贅述。應用安全Web應用防護云計算中心一般都是采用Web的方式來對外提供各類服務，特別是在Web ，75%以上的攻擊都瞄準了網(wǎng)站（Web）。這些攻擊可能導致云計算服務提供商遭受聲譽和經(jīng)濟損失，可能造成惡劣的社會影響。Web應用防護技術通過深入分析和解析HTTP的有效性、提供安全模型只允許已知流量通過、應用層規(guī)則、基于會話的保護，可檢測應用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護云計算平臺的Web服務器，確保云計算平臺Web應用和服務免受侵害。Web防護技術與傳統(tǒng)防火墻/IPS系統(tǒng)相比較，Web應用防護技術將提供一種安全運維控制手段，基于對HTTP/HTTPS流量的雙向分析，為WEB應用提供實時的防護。? 對HTTP有本質(zhì)的理解：能完整地解析HTTP，包括報文頭部、參數(shù)及載荷。支持各種HTTP 編碼（如chunked encoding）；提供嚴格的HTTP協(xié)議驗證；提供HTML限制；支持各類字符集編碼；具備response過濾能力；? 提供應用層規(guī)則：WEB應用通常是定制化的，傳統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應用層規(guī)則，且具備檢測變形攻擊的能力，如檢測SSL加密流量中混雜的攻擊；? 提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過，為WEB應用提供了一個外部的輸入驗證機制，安全性更為可靠；? 提供會話防護機制：HTTP協(xié)議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進行有效補充，防護基于會話的攻擊類型，如cookie篡改及會話劫持攻擊Web應用防護技術將以一個可閉環(huán)又可循環(huán)的方式去降低潛在的威脅，對于事中疏漏的攻擊，可用事前的預發(fā)現(xiàn)和事后的彌補，形成環(huán)環(huán)相扣的動態(tài)安全防護。事前是用掃描方式主動檢查網(wǎng)站并把結果形成新的防護規(guī)則增加到事中的防護策略中，而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此，不能進一步修改和損壞網(wǎng)站文件，對于要求信譽高和完整性的用戶來說，這是尤為重要的環(huán)節(jié)。產(chǎn)品形態(tài)對于網(wǎng)絡應用防火墻，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。在虛擬化的環(huán)境中，應選擇虛擬化產(chǎn)品形態(tài)，并可以實現(xiàn)和網(wǎng)站安全檢測系統(tǒng)、Web安全掃描系統(tǒng)進行聯(lián)動。產(chǎn)品部署Web應用防火墻應部署在Web服務器之前，并邏輯串聯(lián)。根據(jù)需要可選擇透明模式、路由模式或者反向代理模式。以VMWare ESXi虛擬化平臺為例，其部署方式如下圖所示：圖 網(wǎng)頁防篡改網(wǎng)頁防篡改系統(tǒng)可以仍舊部署在Web服務上，實現(xiàn)防篡改功能，其功能、技術實現(xiàn)與部署與傳統(tǒng)方式相同，這里不再贅述。網(wǎng)站安全監(jiān)測技術見安全管理區(qū)的描述。數(shù)據(jù)安全對于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、遷移、銷毀以及備份和恢復的全生命周期，并在數(shù)據(jù)的不同生周期階段采用數(shù)據(jù)分類分級、標識、加密、審計、擦除等手段。另外，在采用了這些基礎防護技術措施之外，還應考慮