云安全防护系统方案设计（信息安全建设整体规划方案）目录1. 项目背景32. 功能框架 43. 云环境的多层安全防护体系 64. 安全域之间的防护设计 85. 多租户之间的安全防护 96. 虚拟机之间的安全防护 127. 统一管理 148. 部署模式 151. 项目背景虽然云计算给人们带来了无尽的好处，但随着网络应用扩大网络安全风险也 变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系 统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全 政策及防护意识的认识不足，这些风险正日益加重。而这些风险与网络系统结构 和系统的应用等因素密切相关。为此，国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公 室于 2007 年联合颁布了 861 号文件关于开展全国重要信息系统安全等级保护 定级工作的通知和信息安全等级保护管理办法，要求涉及国计民生的信息 系统应达到一定的安全等级，根据文件精神和等级划分的原则，电子政务信息系 统构筑至少应达到二级或以上防护要求。所以，在云计算的信息化建设过程中，我们应当正视可能面临的各种安全风 险，对网络威胁给予充分的重视。为了云计算中心信息网络的安全稳定运行，确 保云平台建设的顺利实施，结合具体的网络和应用系统情况，根据云计算中心目 前的计算机信息网网络特点及安全需求，本着切合实际、保护投资、着眼未来的 原则，提出本技术方案。2. 功能框架云计算数据中心安全架构设计中，需要解决几个方面的问题：应用程序安全保护虚拟化系统安全云计算环境的安全域的规划和保护（内部虚拟机之间的防护） 主机安全整合 使用虚拟化技术提供云安全网关 物理环境安全防护 虚拟系统内部的审计和合规性 集中管理与传统网络通过安全设备做各个业务区域的隔离、流量的分析不同，云计算 环境下同一个物理机当中的多个虚拟机中可能部署多个业务，而业务之间的流量 直接通过虚拟化操作系统的 vSwitch 进行转发，不出物理机，无法进行有效的网 络隔离以及流量的分析。因此，需要一种软件定义安全的方式，在每台物理机上 分配一台单独的虚拟机作为集中安全网关模块，该网关模块会与 Hypervisor 深度 结合，对进出每一个虚拟机的所有流量进行捕获、分析及控制，从而实现虚拟平 台内部东西向流量之间的防护。利用先进的云安全技术，可为虚拟数据中心提供以下安全防护功能：1）通过云安全网关保障云计算环境的安全域的规划和保护（内部虚拟机之 间的防护）。 作为运行在云计算平台管理上的云安全网关，可为云计算环境提供了全 面的安全保护，为云计算环境的安全域划分提供控制手段。与采用硬件 安全设备不同，可以根据用户对虚拟主机的信任关系级别，把虚拟主机 划分为不同的安全域，并进行精细粒度的访问控制。 为云计算环境的安全域划分和安全控制提供技术保障。可以有效隔离虚 拟主机，并提供从网络层到应用层的安全面安全保护。 为虚拟网络环境提供了深度的监控和审计能力，为云环境的合规性需求 提供了强大的保证。能够监控虚拟主机之间的数据通信，并提供详细的 日志记录。能够对云环境的安全状态进行实时的监控，并提供详细的报 表，以备审核分析。 部署简单。由于将流量保持在虚拟装置服务器内，因此不需要复杂地增 加安全设备与交换机来确保云环境的安全。会按照预设的内存分配与内 核分配等选项进行安装，确保系统的安全。也可以自定义所有的设置， 包括网络接口与其它方面，对不同环境进行保护。2）通过云安全网关进行安全资源整合。 云安全网关能够将多个安全系统集成在一个单一的硬件平台，节省成本。 可为多个网络系统提供同类最佳的防火墙、VPN （虚拟专用网络）、URL过 滤和入侵防御技术，使它们彼此安全地连接和共享资源。所有安全系统， 无论是虚拟还是实体，都通过云安全网关或者多域管理器的控制台进行 集中管理。3）能够实现集中管理以及分级分域管理，保障虚拟系统内部审计和合规性。 满足具有复杂安全策略需求的可扩展性要求。在支持集中管理多个安全 管理域的同时，提高管理这些复杂安全部署的操作效率，也可以为云计 算数据中心每个区域划分独有的管理域。 基于角色的灵活管理，能够集中管理多个分布式系统。能够指定可信赖 的管理员，赋予他们不同的访问权限，对不同的管理域，可以赋予同一 个管理员不同的权限。3. 云环境的多层安全防护体系云安全防护系统可提供对云计算平台的立体威胁防御，包括：1）恶意代码防护 恶意代码包括：病毒、蠕虫、木马后门等，包括实时扫描、预设扫描及手动 扫描功能，处理措施包含清除、删除、拒绝访问或隔离恶意软件。检测到恶意软 件时，可以生成警报日志。2）防火墙 可用于启用正确的服务器运行所必需的端口和协议上的通信，并阻止其他所 有端口和协议，降低对服务器进行未授权访问的风险。其功能如下：虚拟机隔离：需要对不同单位（租户）的虚拟机业务系统进行隔离，且无需 修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：通过实施有关IP地址、Mac地址、端口及其他内容的防火墙 规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于 IP 的协议：通过支持全数据包捕获简化了故障排除，并且可 提供宝贵的分析见解，有助于了解增加的防火墙事件- TCP、UDP、ICMP等。侦察检测：检测端口扫描等活动。还可限制非 IP 通信流，如 ARP 通信流。 灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式完全 绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可 能出于正常情况，也可能是攻击的一部分。预定义的防火墙配置文件：对常见企业服务器类型（包括 Web、LDAP、DHCP、 FTP 和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致 地部署防火墙策略。可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告， Deep Security 防火墙软件模块可捕获和跟踪配置更改（如策略更改内容及更改者），从 而提供详细的审计记录。3）入侵检测和防御 （IDS/IPS） 在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击。基于模式匹配、异常检测、统计分析等入侵检测和协议分析技术，阻挡各种 入侵攻击，如蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、 SQL注入、XSS跨站脚本等攻击，攻击特征库可在线更新或离线更新。4) 异常流量清洗对畸形报文及分布式拒绝服务攻击(DDOS)进行防御，将异常的流量进行清 洗，放行正常流量。5) WEB 应用防护Web 应用防护规则可防御 SQL 注入攻击、跨站点脚本攻击及其他 针对 Web 应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护，识别并阻 止常见的 Web 应用程序攻击，并可实现网页防篡改功能。6) 应用程序控制 应用程序控制能够识别网络中的七层流量，可针对访问网络的应用程序提供更进一步的可见性控制能力。能够阻止隐藏或封装在正常四层数据报文中的恶意 程序或者恶意软件，并能够对网络中的非业务流量进行精确的限制。7) 日志审计 对所有可疑或有害的网络事件进行记录，提供有效的行为审计、内容审计、 行为报警等功能。满足分级保护对于安全的审计备案及安全保护措施的要求，提 供完整的流量记录，便于信息追踪、系统安全管理和风险防范。4. 安全域之间的防护设计安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域，在同一安全域中的系统共享相同的安全策略，通过安全域的划分把一个大规模复 杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系 统安全保护的有效方法。安全域划分是按照安全域的思想，以保障数据中心业务 安全为出发点和立足点，把网络系统划分为不同安全区域，并进行纵深防护。对于云计算平台的安全防护，根据云计算平台安全防护技术实现架构，选择 和部署合理的安全防护措施，并配置恰当的策略，从而实现多层、纵深防御，才 能有效的保证云计算平台资源及服务的安全。根据划分不同的VLAN或者物理隔离实现对不同业务系统的隔离。5. 多租户之间的安全防护云计算数据中心的用户包括 xx、xx 等部门组成。这些部门既有结合自身业 务特点开发的专有应用系统，同时又有与其他部门共享的应用系统。该多个部门 构成了云计算平台下的多租户，即需要在两个域下的云计算数据中心中保障不同 组成部门的虚拟主机安全，网络安全，数据安全和应用安全。通过云管理平台实现多租户安全隔离，包括：租户主机隔离、租户网络隔离、 租户数据隔离和租户应用隔离。1) 租户虚机隔离利用基本安全隔离技术，可以设置租户基于 IP 来进行简单的访问控制；通 过云安全网关的 ACL 访问控制列表来实施控制，对每台虚拟机进行基本安全隔 离。2) 租户网络隔离在云计算平台 Hypervisor 层利用引流机制，凡是在同一个物理节点内部的虚 机之间二层访问流量，先引入到云安全网关中进行检查。此时可以根据需求将不 同的虚拟机划分到不同的安全域，并配置各种安全域间隔离和互访的策略。租户内部的网络多数情况下是跨节点的，同时大多是二层网络结构(不排除 也有三层网络结构，但是考虑到跨数据中心的虚机迁移等问题，大多数情况下还 是采用大二层网络结构)，所以租户内部虚机之间访问具有如下特点：同一租户的虚机在不同的物理节点上，互访的流量出物理节点；同一租户的虚机都处于一个大的二层网络，互访流量要能够穿越三层网 络； 同一租户的内部网络可能需要划分不同的安全区域虚拟网络，安全区域 之间的安全策略不同。根据上面的特点，虚拟化管理平台将构建如下所示的租户内部的网络部署逻 辑结构：图 租户内部网络安全防护通过对不同租户的虚拟机划分不同的 VLAN 可实现多租户之间的网络隔离。 上面黄色和青色分别是一个租户里面的两个安全区域虚拟网络(虚拟网络)， 红色代表服务节点。1. compute node 1 同一个计算节点上的同一个虚拟虚拟网络 a 有两个虚 机 VM ，这两个虚机 VM 之间网络安全则属于“东西向流量”防护的范 畴。2. Compute node 1 与 compute node 2 上黄色部分组成一个虚拟网络虚拟 网络 a，compute node 1 上的虚机 VM 1a 访问 compute node 2 上的虚 机 VM 2a 的网络安全则属于“东西向流量”防护范畴。3. 对于虚拟网络虚拟网络 a 来说，与外部虚拟网络虚拟网络 b 的网络安 全仍然属于“东西向流量”防护范畴。4.对于虚拟网络虚拟网络a或b与虚拟化环境外部in ter net的网络安全则 属于“南北向流量”防护范畴。3) 租户数据隔离 租户内部数据隔离利用高级安全隔离技术，通过牵引流量到云安全网关进行 检查，对目标数据、关键字、自定义特征等内容进行匹配，如果放行数据就可以 通过云安全网关，反之亦然。4) 租户应用隔离 租户内部数据隔离利用高级安全隔离技术，通过云安全网关的内嵌深度包检 测引擎，针对数据包进行深度过滤检测，并对租户内部应用进行识别，通过内部 应用特征库匹配与应用安全策略匹配，基于应用制定安全策略，实现对特定用户、 用户组、IP、IP组实现限制。通过应用数据进行数据流量的协议分析，实现数据 进行安全隔离。6. 虚拟机之间的安全防护现有云计算平台无法实现东西向流量的威胁检测与隔离机制，因此一旦某台 虚机被攻陷，整个云计算平台都岌岌可危。云安全防护系统可提供“虚机微隔离” 技术为每个虚机提供了“贴身保镖”式的安全防护，通过与底层云计算平台的联 动，将每个业务