爲了更好的保障整體資訊安全的需要,作爲安全基礎設施,我們還要從數據保護、應用安全以及用戶管理等多方入手,才能確保基於雲架構的應用建設真正達到安全、穩定、智能。 小編下面爲大家整理基於雲架構的系統安全設計的文章,歡迎閱讀參考!
1 安全框架簡介
本文認爲數據中心安全解決方案要從整體出發,作爲安全基礎設施,服務於整體資訊安全的需要。分析資訊安全的發展趨勢,可以看到安全合規、安全管理、應用與數據安全、雲計算安全、無邊界的網絡安全、安全產品與服務資質是安全關注的重點,其中包含了安全服務、物理設施安全、應用安全、主機安全、網絡安全、虛擬化安全、數據保護、用戶管理、安全管理等九大安全子模組。作爲整體安全體系架構的每一個安全子模組是各種工具、系統及設備的集合,在技術層面提供安全控制。
2 系統網絡安全設計
系統網絡安全設計主要就是安全域劃分,採用合理的安全域劃分,將數據中心的網絡功能分別劃分到各自安全區域內。安全域是邏輯上的區域,同一個安全域內的資產具有一樣或類似的安全屬性,如自身的安全級別、來自外部的安全威脅、安全弱點及安全風險等,同一安全域內的系統相互信任。
2.1 劃分安全區域
數據中心的網絡功能分區可劃分爲公共區、過渡區、受限區和核心區四個安全區域。
公共區是指公有網絡與數據中心直接連接的區域,其安全實體包括自身所擁有的互聯網接入設備。該區域將不在網絡直接控制範圍內的實體和區域進行連接,包括來自互聯網的用戶及線路資源。此區域安全風險等級高,屬於非安全區域,需要進行嚴格的數據流控制。
過渡區用於分割公共區與受限區及核心區的直接聯繫,在邏輯上位於它們的中間地帶。設定過渡區是爲了保護受限區及核心區的資訊,使之不被外部掌握,避免直接的網絡數據流在這兩個分隔的區域間透過。所有能被非信任來源直接訪問並提供服務的系統和設備構成了它安全實體,是易受攻擊的半信任區,機密數據應儘量不放置於此。
受限區是被信任區域,其在內部網絡中的安全級別較高,僅次於核心區,安全實體由業務終端、辦公終端等內部終端構成,非核心的OA辦公應用、開發測試服務器區域也可以定義爲受限區。數據流一般不允許從公共區到受限區直接透過,需使用代理服務器或網關進行中轉,否則,必須進行嚴格的安全控制。
核心區是安全級別最高的網絡區域,包含了重要的應用服務器,提供關鍵的業務應用;也包含核心的數據庫服務器,儲存有機密數據;還包含管理控制檯和管理服務器,具有管理所有系統的權限和功能。因此核心區應該受到最全面的安全技術手段的保護,同時對其內部系統和設備的訪問及操作都需要透過嚴格的安全管理流程。
2.2 劃分安全子域
每個安全域類別內部可定義安全子域。
公共區爲Internet安全域,數據中心網絡Internet接入區內與Internet連接的接入設備歸屬該安全域。區爲Internet DMZ安全域,數據中心網絡中所定義的Internet接入區內的DMZ區(部署外部服務器)歸屬該安全域。受限區內包含遠程接入區,辦公網接入區和開發測試區三個受限區安全子域:(1)遠程接入區包含生產數據中心與合作單位、分支機構和災備數據中心相連接的網絡設備;(2)辦公網接入區包含生產數據中心與辦公網相連接的網絡設備;(3)開發測試區包含數據中心中所提供的用於開發測試目的的各類設備,該區域可定義多個受限區安全域實例,以隔離開發、測試、或支撐多個並行進行的開發測試工作。
核心區包含OA區、一般業務生產區、執行管理區和高安全業務生產區三個安全子域,其中高安全業務生產區、執行管理區在安全防護級別上應高於一般業務生產區和OA區。(1)OA辦公應用區包含支撐各類OA應用的服務器和其他設備,對於有較高安全要求的OA類應用也可以劃入到高安全業務生產區;(2)一般業務生產區包含非關鍵的業務應用,可以按照需求定義多個安全域實例,以實現業務應用的隔離;(3)執行管理區內包含數據中心執行管理系統的各類設備,包含網絡管理、系統管理、安全管理,可以按照需求定義多個安全域實例,隔離上述不同管理目的的系統應用。(4)高安全業務生產區包含安全要求最高的核心業務應用、數據等資產,可以按照需求定義多個安全域實例各類不同的高安全業務。
安全域劃分後,安全域間的資訊流控制遵循如下原則:(1)由邊界控制組件控制所有跨域經過的數據流;(2)在邊界控制組件中,缺省情況下,除了明確被允許的流量,所有的流量都將被阻止;(3)邊界控制組件的故障將不會導致跨越安全域的非授權訪問;(4)嚴格控制和監管外部流量,每個連接必須被授權和審計。
2 虛擬化安全設計
2.1 虛擬化安全威脅
用戶在利用虛擬化技術帶來好處的同時,也帶來新的安全風險。首先是虛擬層能否真正把虛擬機和主機、虛擬機和虛擬機之間安全地隔離開來,這一點正是保障虛擬機安全性的根本。另預防雲內部虛擬機之間的惡意攻擊,傳統意義上的網絡安全防護設備對虛擬化層防護已經不能完全滿足要求。
數據中心生產數據部署在虛擬化平臺,目前,針對虛擬化平臺的安全風險主要包括以下幾個方面: 1)攻擊虛擬機Hypervisor;
2)虛擬機與虛擬機的攻擊和嗅探;
3)Hypervisor自身漏洞產生的威脅;
4)可以導致虛擬機無法提供正常服務,數據的機密性、完整性和可用性被破壞;
5)病毒蠕蟲帶來的數據完整性和可用性損失,以及虛擬化網絡可用性損失;
6)系統自身存在安全缺陷,使攻擊、濫用、誤用等存在可能。
2.2 虛擬化安全設計
綜上,虛擬機安全設計應該包括:
1)支援VLAN的網絡隔離,透過虛擬網橋實現虛擬交換功能。
2)支援安全組的網絡隔離:若干虛擬機的集合構成虛擬機安全組,也是安全組自身網絡安全規則的集合。同一安全組中的虛擬機無須部署在同一位置,可在多個物理位置分散部署。因此,虛擬機安全組的作用是在一個物理網絡中,劃分出相互隔離的邏輯虛擬局域網,提高網絡安全性。本功能允許最終用戶自行控制自己的虛擬機與自己的其他虛擬機,或與其他人員的虛擬機之間的互聯互通關係。虛擬機之間的互通限制是透過配置安全組組間互通規則來實現的。一個用戶可以創建多個安全組,但一個安全組僅屬於一個用戶所有。用戶在創建虛擬機時,可以制定該虛擬機所在的安全組。屬於同一個安全組的虛擬機,是默認全部互聯互通的`。屬於不同安全組的虛擬機,是默認全部隔離的。安全組規則屬於單向的白名單規則。用戶可以設定允許自己的某個安全組內的虛擬機接收來自其他安全組內的虛擬機的請求,或來自某個IP位址段的請求。請求類型也是可以配置的,比如TCP,ICMP等等。安全組規則隨虛擬機啓動而自動生效,隨虛擬機的遷移在計算服務器間遷移。用戶只需要設定規則,無須關心虛擬機在哪裏執行。
3)虛擬機防護:客戶在虛擬機中安裝的操作系統與實際物理系統同樣存在安全風險,無法透過虛擬化來規避風險。但是,針對某獨立虛擬機安全風險的攻擊只會對該虛擬機自身造成危害,而不會它所在的虛擬化服務器。虛擬機病毒防護系統由端點保護服務器和虛擬化服務器上的端點保護客戶端構成,端點保護服務器統一管控整個網絡的端點保護客戶端,包括主機防病毒、主機IPS、主機防火牆策略的設定和配置,日誌的收集,病毒碼、掃描引擎等組件的更新。透過在每一個執行的虛擬機上部署防病毒客戶端,用於保護虛擬機的安全。
4)虛擬機系統模型加固:透過制定基本系統模型,並對模型進行必要的安全加固,不安裝其他未知應用程序,供用戶創建虛擬機時使用,可以確保所有新建虛擬機都具有基本安全防護水平。其他特定應用程序模型可以使用該模型進行創建,並在虛擬機中部署,確保隨時更新模型中的修補程序和安全工具。
5)虛擬機資源管理:利用雲平臺的資源管理功能,虛擬化平臺可以準確控制各虛擬主機的資源分配。當某臺虛擬機受到攻擊時,不會影響同一臺物理主機上的其他虛擬機的正常執行。這一特點可用來防止拒絕服務攻擊,避免因此攻擊導致虛擬機資源的大量消耗,致使同一臺主機上的其他虛擬機無法正常執行。
6)虛擬機與物理主機間的通信管理:虛擬機通常把排除故障資訊存入虛擬機日誌,並在雲平臺系統中儲存。對虛擬機用戶和進程有意或無意的配置會導致其濫用日誌記錄功能,將大量數據注入日誌檔案。經過長時間執行,物理主機檔案系統會被日誌檔案大量佔用,致使主機系統無法正常執行,也就是通常所說的拒絕服務攻擊。可透過系統配置定期或當日志檔案佔用空間較大時輪換或刪除日誌檔案加以解決。