三级等保云解决方案

Grade Security Solution

综述

sanji01.jpg 计算的发展势头在近几年来呈现迅猛之势。一方面,云计算技术的确为如今的企业业务带来了新的模式,并大大提升了效率与价值;而另一方面,面对云时代所带来的利好,企业在采用云时对安全问题的担忧也从未减退。

云计算环境下信息安全特性

与传统安全相比,由于云计算的资源虚拟化和服务化的特征,云计算的安全具有如下新的特性:

•  传统物理安全边界正在消失

•  云计算服务具有较强的动态性

•  数据安全保护在云计算环境下变得尤为重要

•  云计算服务需要监管和和审计

国家政策

公安部发布的国家级安全标准文件《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》针对云计算信息系统的特点,提出了云计算信息系统安全等级保护的安全要求。

其中包含:分为基本技术要求基本管理要求两大类。

技术类安全要求与云计算信息系统提供的技术安全机制有关,主要通过在云计算信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与云计算信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。

sanji02.jpg

私有云环境安全责任分担模型

sanji03.jpg

在IAAS基础架构私有云平台,云平台和平台服务管理者负责整个平台基础设施和环境的安全(场地、制冷、网络接入等等)、物理设备的安全(服务器、存储、网络的管理和安全维护)、云管理平台的总体安全(整体资源、网络等)。平台为用户/租户提供资源和整体的安全防护,并不对已分配的租户内部资源和业务有管理和安全责任,但是需要为用户/租户提供必要的云安全功能和服务;用户/租户对自身业务的云计算安全进行自管理,用户/租户需要对自身管理范围内的业务、数据等方面安全负责。

方案架构

三级等保云解决方案架构图-1.png

私有云数据中心架构

三级等保.jpg

物理网络基础架构设计

三级等保云解决方案架构图-3.png

云计算安全框架

基础设施安全

主要保护网络、主机和存储的安全,包括基础设施安全平台和IT设备安全两部分。

1.基础设施安全平台

从总体层面来统一设计、建设和管理,在主机和存储层面为云数据中心和地区提供安全保护功能的统一支撑平台。 

2.IT设备安全

针对网络基础设施中各系统的独特或分散、无法形成统一平台的安全技术措施,此部分主要是指设备安全。

安全管理平台

覆盖各个层面,主要提供统一安全管理功能。

统一管理平台,是承载整个安全体系的支撑平台,整合策略体系、组织体系、技术体系和运行体系,支持和承载整体安全工作的软件和工作流支撑平台。

安全管理平台建设框架如下:

三级等保云解决方案架构图-4.jpg

应用和数据安全

主要保护应用和数据的安全,包括:

应用安全平台

从总体层面来统一设计、建设和管理,在应用和数据层面为云计算中心和地区提供安全保护功能的统一支撑平台。

——数据备份与冗灾,覆盖数据层面,解决一些重要系统的数据备份和冗灾存在的问题,保障重要数据的完整性和可用性。

应用系统安全

针对各应用系统的独特或分散、无法形成统一平台的安全技术措施,此部分主要各应用系统的安全增加、加固与改造。

——应用系统安全增强,覆盖应用层,对目前一些系统的应用平台存在的安全隐患进行安全改造,对应用软件和自主开发软件进行安全功能增强。

平台安全性方案设计

云管理平台安全设计

1大规模租户隔离


2租户网络隔离

•  支持租户间的计算资源隔离,每个租户独立向运营平台申请资源配额;


每个租户在创建时都属于不同的Vlan或Vxlan中,租户间网络处于隔离。租户内部可创建独立的内部私有网络,保障租户内云主机的通信。

•  支持租户间的网络隔离;



•  支持租户间的数据隔离;



3网络安全


4主机安全

•  支持租户内部创建独立的网络防火墙;


•  支持主控节点和备控节点的数据同步,实现主控节点的HA;

•  支持租户创建防火墙规则,并将规则赋予每个网络防火墙;


•  支持计算节点的HA;

•  支持防火墙及规则绑定或解绑给虚拟路由器,所有云主机的外网访问都会经过虚拟路由器,并与防火墙规则进行适配。


支持虚拟机的HA;

5应用安全


4数据安全

•  可创建虚拟机安全组,定制安全规则,并将安全规则绑定至虚拟机;


•  通过虚拟机的云主机备份、云硬盘备份实现数据的安全,以及可恢复。

• 支持应用的负载均衡,可自定义多种负载均衡策略;



安全准入解决方案

建议在运维管理区旁路部署安全准入系统,它可以根据不同的用户分配不同的网络区域(VLAN隔离和下发终端IP),分配不同的网络访问权限;同时准入系统还可以对入网请求的终端进行网络合规性检查和评估,并根据客户制定的检查标准,对不满足条件的终端提供进行修复向导。

虚拟化分布式防火墙解决方案

建议在私有云数据中心资源平台(虚拟化平台)上部署虚拟化分布式防火墙系统作为云管理平台防火墙的补充和加强。虚拟化分布式防火墙vDFW以虚拟化软件形态快速灵活的部署私有云平台,可以为用户/租户提供了分层次、全方位、可扩展的安全隔离和安全防护服务。安全引擎包括防火墙引擎、抗DOS攻击引擎、IDS/IPS引擎、WEB防护引擎等等,支持应用、用户的访问控制,入侵防御,web安全防护,恶意代码防护,基于应用的流量控制,URL过滤,文件过滤,关键字过滤,APT防御,流量可视化,内容审计等丰富安全功能,为用户提供全面的虚拟化平台全面的安全防护解决方案。 

网络防病毒解决方案

建议在运维管理区旁路部署网络防病毒系统(终端威胁检测防御系统)。终端威胁检测防御系统负责扫描给定待扫描对象是否包含恶意代码。一般来说,终端威胁检测防御系统应至少具备以下属性:

1)对于给定对象,评估是否包含恶意代码;

2)能够明确描述该对象所包含恶意代码类型,如:木马、后门、蠕虫等;

3)对于寄生类恶意代码(宏病毒、感染型病毒等),可以从宿主对象中剥离恶意代码,并还原宿主对象数据;