通信世界网消息(CWW)作为云服务和新一代信息通信基础依托的数据中心正在向规模化、集中化和绿色化的方向发展。传统数据中心规模小、布局分散、功能单一、能效低下。整合小型数据中心、将适合集中的数据和服务转移到大型的云数据中心已成为全球趋势。
运营商通过建设属地化私有云能够更好地满足垂直行业的深度定制化、属地化服务,并能提供更高安全性的服务。通过SDN虚拟化技术,将现有分散的各节点资源虚拟化整合为统一的云数据中心资源池,形成核心+分布式DC的一体化云数据中心。然而,由于云数据中心在应用、服务和边界等方面都是动态的,如何实现高效的安全部署仍面临巨大的挑战。
云安全体系架构
参考电信网和互联网安全防护体系系列标准的相关防护规范,从信息系统安全涉及的角度,信息安全系统可以看成是由安全应用支撑平台和在其上运行的应用软件系统两部分组成。而安全应用支撑平台又是由信息安全机制和信息安全基础技术支持来实现的,其中信息安全基础技术包括密码基础、系统安全技术、网络安全技术以及其他安全技术。这些基础提供了身份认证、访问控制、安全审计、可用性保护、机密性保护、完整性保护、监控、隔离、过滤等安全机制,用以形成覆盖计算环境、区域边界、通信网络的等级保护技术方案,同时通过引入安全管理中心,构成完整的信息安全系统。方案的总体设计框架如图所示。
图 方案总体设计框架
网站安全防护
由于网站是处于互联网这样一个相对开放的环境中,各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷,病毒木马和恶意代码在网上肆虐,黑客入侵和篡改网站的安全事件时有发生。
网站防护系统是针对网站网页保护的防护系统。该系统的特点主要体现在以下几个方面:对动态和静态网页实施的保护,在保护静态网页的同时保护网站脚本和后端数据库;恶意代码主动防御机制不仅能够防范已知恶意代码,而且对未知恶意代码也具备防范能力。
网站防护系统需要实现恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、自身抗网络攻击能力等功能,以防止黑客入侵、网站篡改,从而更有效地对网站网页安全进行保护。
日志集中审计
日志审计系统为不同的网络设备、安全设备、服务器、应用系统提供统一的事件管理分析平台,打破不同设备存在的信息鸿沟,系统提供强大的监控能力,从网络到设备直至应用系统的监控。在对事件监控信息的集中及关联分析的基础上,有效实现全网的安全预警、入侵行为的实时发现、入侵事件的动态响应,通过与其他安全设备的联动来真正实现动态防御。
对于服务器区域,首先应开启操作系统自身的审计模块,并且应用系统也应当开启审计功能。审计的范围应当详细包括登录、操作、结果、事件、用户名等信息。同时利用日志审计系统,集中将操作系统及应用系统的日志信息传递到该平台,即使本地的日志信息被恶意删除,也可在统一的远程日志审计系统中恢复该记录。
边界安全防护
边界访问控制
边界访问控制是实现整体安全技术体系的首要前提,也是用户进行安全建设的首选措施,主要包括网络边界访问控制、业务边界防护控制等。其核心功能是:将用户信息网络划分出不同的网络安全区域,对跨越安全区域的访问进行访问控制,重点根据源/目标地址及协议、端口、服务、用户等信息进行判断,符合访问控制策略的将被允许,否则将被禁止。
在云环境下的安全域划分,已经根据实际网络环境划分了不同的安全域和业务域。在网络访问控制的层次模型中,内部网络划分了安全域,既需要在外部网络接入边界处实施访问控制,也需要在各个安全域边界实施访问控制。而且需要在宿主主机上实施基于主机的网络访问控制,实现虚拟机之间的隔离,从而形成网络边界-安全域边界-主机-虚拟主机4层网络访问控制机制。
1.网络边界:在接入域部署防火墙网关,采用防火墙隔离策略进行内外网隔离。
2.域边界:各个安全域边界采用中低端防火墙进行硬隔离,提高安全性和可用性,避免由于采用核心交换机上的虚拟化防火墙带来的软隔离问题,同时减少核心交换机带来的压力负载,降低边界访问控制单点故障率,提高系统的可靠性。
3.外网和内网边界:由于在云计算平台部署的业务系统中,有些业务系统需要能提供互联网用户访问,因此需要部署公网地址,并在接入区进行访问控制。
4.业务边界:由于云数据中心业务的特殊性,可以将业务系统划分为二级和三级系统。
根据等级保护要求,二、三级系统间需进行隔离,要求在安全部署方案中可以针对不同的业务级别,采用在核心交换机划分VLAN,并在各自的业务系统边界部署云防火墙的方式进行访问控制。
5.虚拟机边界:在云计算环境下,所有的业务系统共用一个云计算虚拟化环境,那么所有的业务系统在物理资源上是融合的,因此需要在二、三级的虚拟资源区进行二层隔离。网络设计中可以采用云防火墙配合接入层交换机的虚拟化技术进行虚拟机之间的隔离。
边界入侵检测
通过在服务器区域边界部署入侵检测系统(IDS)来实现对网络攻击的防范,入侵防护系统往往以旁路的方式部署在网络中,提供主动、实时的入侵检测,具备对L2~L7网络的线速、深度检测能力,同时配合以精心研究、及时更新攻击特征库,即可以有效检测隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效监控。
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。入侵检测系统与其他网络安全设备的不同之处在于:入侵检测系统是一种积极主动的安全防护技术。
传统的状态检测、包过滤防火墙是在网络层、传输层工作,根据IP地址、端口等信息对数据包进行过滤,能够对黑客攻击起到部分防御作用。但是黑客仍然可以根据合法的IP地址,通过防火墙开放的端口对内网发起攻击,目前很多攻击和应用可以通过任意IP、端口进行,各种高级、复杂的攻击单纯地使用状态检测、包过滤,防火墙无法进行阻挡,需要使用入侵检测系统来配合防火墙实现对复杂攻击的检测。入侵检测系统工作在L2~L7,通常使用特征匹配和异常分析的方法来识别网络攻击行为。
安全系统应根据各个功能区要求部署入侵防御能力。通过部署入侵防御系统弥补防火墙的不足,为网络安全提供实时的入侵检测并采取相应的防护手段,降低网络安全风险。入侵检测系统旁路部署到网络链路中,可以准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行及时告警,最大限度地减少攻击可能给企业造成的损失,从而进一步提高企业信息安全基础结构的完整性。
边界病毒防护
可在整个外部网络边界部署防病毒网关,在网络层实现对病毒的查杀。病毒过滤网关运行在区域边界上,分析不同安全区域之间的数据包,对其中的恶意代码进行查杀,防止病毒在网络中传播。
有些病毒在网络中传播(比如蠕虫病毒)时,即使没有感染到主机,也已经对网络造成危害。病毒过滤网关针对这些病毒产生的扫描数据包,采用“空中抓毒”的安全机制,在边界处就过滤了这些无用的数据包,从而为网络创造一个安全的环境。
病毒过滤网关与部署在主机、服务器上的防病毒软件相配合,从而形成覆盖全面、分层防护的多级病毒过滤系统。
边界完整性保护
对于服务器区域,考虑到该区域内的主机设备均为服务器,不会主动对外发起访问,因此实现边界完整性保护的要点就是要杜绝非法接入。在服务器区域的接入交换机端口上绑定MAC地址,对于接入的非许可终端,由于其MAC不会被交换机识别,因此可有效防止非法接入。
对于终端办公区域,应当部署终端安全管理系统,结合网络准入技术,实现办公终端的非法外联和非法接入行为的管控。
VDC网络安全
VDC网络安全解决架构主要包括如下两个层面。
网络业务层面
用户可以根据业务类型、用户组、网络域等对业务进行分类,并针对不同的业务类型应用不同的安全策略,可应用的策略包括如下4种。
1.ACL策略(基于端口、5元组等在交换机上实现)。
2.防火墙策略(基于vFW实现)。
3.引流路径(通过特定的Action在交换机上实现)。
4.加密行为/VPN策略(基于IPSec VPN实现)。
策略引擎将策略规则转换为安全资源的部署和配置,自动适应如下三种场景。
1.IP地址/VLAN/MAC的调整。
2.云和网络的伸缩、迁移。
3.不同的设备和供应商。
网络控制层面
控制转发分离后,控制器成为单点枢纽,面临DDoS攻击,此外开放应用接口易受到恶意应用、BUG的威胁,措施有如下三种。
1.北向的应用认证,保证控制器不受非法应用的入侵。
2.南向接口安全保护:通过SSL等手段保证流表下发的安全性。
3.特定的APP或流表,对上送报文进行监控,一旦发现有异常报文,即进行溯源、隔断,保证控制器自身的安全。
