1、2015 绿盟科技云安全解决方案2015 NSFOCUS Cloud Security Solution目录一 云计算典型体系结构 1云计算系统分类 1云计算系统典型物理架构 1云计算系统逻辑结构 2二 云计算安全威胁和需求分析 3安全威胁分析 4安全需求和挑战 5三 云安全防护总体架构设计 5设计思路 5安全保障目标 6安全保障体系框架 6安全保障体系总体技术实现架构设计 7四 云平台安全域划分和防护设计 9安全域划分 9安全防护设计 13五 云计算安全防护方案的演进 24虚拟化环境中的安全防护措施部署 24软件定义安全体系架构 24安全运营 28六 云安全技术服务 28私有云安全评估和加固
2、 28私有云平台安全设计咨询服务 29七 云安全解决方案 33作者和贡献者 33关注云安全解决方案 34八 关于绿盟科技 34图表图 一.1 云典型架构 .2图 一.2 云典型逻辑结构 .3图 三.3 云平台安全保障体系框架 .6图 三.4 云平台安全技术实现架构 .7图 三.5 具有安全防护机制的云平台体系架构 .8图 四.6 云平台安全域逻辑划分 .10图 四.7 安全域划分示例 .11图 四.8 传统安全措施的部署 .13图 四.9 虚拟化防火墙部署 .14图 四.10 异常流量监测系统部署 .16图 四.11 网络入侵检测系统部署图 .18图 四.12 虚拟化 Web 应用防火墙 部署
3、 .19图 四.13 堡垒机应用场景 .21图 四.14 堡垒机部署图 .22图 四.15 安全管理子区 .22图 五.16SDN 典型架构 .25图 五.17 软件定义 安全防护体系架构 .25图 五.18 使用 SDN 技术的安全设备部署图 .26图 五.19 使用 SDN 技术实现流量牵引的原理图 .27图 五.20 基于手工配置的 IPS 防护模式 .28图 六.21 服务提供者与客户之间的安全控制职责范围划分.30图 六.22 云计算关键领域安全 .31图 六.23 安全咨询服务思路 .32关键信息本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑 战
4、,进而对云安全防护总体架构,包括保障内容和 实现机制、部署方法进行了设计和 详细阐述,并介 绍了云安全相关的安全技术服务内容和范围,最后 给出了典型的云安全防护场景。其中关于软件定义安全体系架构,在之前 发布的 2015 绿盟科技软件定义安全 SDS 白皮书中有详述。“随着云计算技术的不断完善和发展,云 计算已经得到了广泛的 认可和接收,许多组织已经或即将 进行云计算系统建设。同时,以信息/服务为中心的模式深入人心,大量的应用正如雨后春笋般出现 ,组织 也开始将传统的应用向云中迁移。同 时,云计算技术仍处于不断发 展和演 进,系统更加开放和易用,功能更加 强大和丰富,接口更加规范和开放。例如软
5、件定义网络(简称 SDN)技 术、 NFV(网络功能虚拟化)等新技 术。这必将推动云计算技术的更加普及和完善。云计算技术给传统的 IT 基础设施、应用、数据以及 IT 运营管理都带来了革命性改变,对于安全管理来 说,既是挑 战,也是机遇。首先,作为新技术,云计算引入了新的威 胁和风险, 进而也影响和打破了 传统的信息安全保障体系设计、实现 方法和运维管理体系,如网 络 与信息系统的安全边界的划分和防护、安全控制措施 选择和部署、安全评估和审计、安全监测和安全运维等方面;其次,云 计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用设计
6、 和实现、安全运 维和管理等 带来了问题和挑战,也推进了安全服务内容、实现机制和交付方式的创 新和发展。根据调研数据,信息安全风险 是客户采用云计算所考虑重大 问题之一,且国家和行业安全监管愈加 严格,安全已 经成为组织规 划、设计、建设和使用云计算系统而急需解决的重大问题之一,尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云计算系统安全保障问题。本方案基于绿盟科技长期对云计算安全的探索和研究,借鉴行业最佳实践,结合绿盟科技近期云 计算安全建设经验,提出了云计算安全保障框架和方法。云安全解决方案1云计算典型体系结构 云计算系统分类一 云计算典型体系结构云计算主要是通过网络,将 IT
7、以抽象化的方式交付给客户,为基于 IT 的服务交付模式带来了巨大变革。云计算的一些独特优势,使其广为接受,包括:大规模资源池化、资源弹性、按需分配、自动化部署、高可靠性、高运营效率及技术和 IT 的高透明度。云计算平台的实现主要包括两个方式:虚拟化构成的云和应用程序/服务器构成的云,其中后者的安全防护与传统方式基本相同,不再 赘言, 这里主要对虚拟化构成的云 进行讨论。目前,计算虚拟化已经成熟,并为组织所广泛采用,如 VMware vSphere、Citrix Xen 等。另外,一些用户开始尝试采用 SDN、NFV 等新型技术,旨在通过软件控制方式解决现网中遇到的存储、网络不能自动部署和分权分
8、域管理问题。云计算系统分类根据 NIST 发布的相关规范,云计算系统按照部署方法可分为私有云、公有云、社区云、混合云。 为了便于说明,以下内容将主要以私有云为例进行说明。云计算系统所采用虚拟化技术的不同, 对安全防护设计和部署具有一定影响。根据有无才采用SDN、NFV 技术,可分为两类 :原生虚拟化系统和基于 SDN 技术的虚拟化系统。如无特别说明,下述描述均指原生虚拟化系统。云计算系统典型物理架构下图给出了一个典型的云计算系统的典型架构。云安全解决方案2云计算典型体系结构 云计算系统逻辑结构图 一.1 云典型架构云计算系统通常具有以下特征: 核心交换机一般采用高性能数据中心级交换机搭建,支持
9、虚拟化技术,并提供 Internet、内部网络、外部专用网络的接入。通过汇 聚交换机(支持虚拟化)提供 x86 服务器、小型机等服 务器的接入。 与互联网相关,可以提供 VPN 接入,外 发访问,以及公众用户对云的访问。 与内部网络相同,可以提供内部用 户对云的访问,以及和内部其他系统进行信息交互。 都有大量的刀片式服务器,并通 过虚拟化软件, 实现对计 算资源的抽象和池化。 具有 SAN、NAS 存储系统。具有独立的存储网络。 具有独立的综合管理平台, 实现对云的运营管理。 具有带外网管系统,实现对 整个云的运维管理。云计算系统逻辑结构云计算系统 一般都包括三个层次两个平台:基础设施即服 务
10、(IaaS) 、平台即服务(PaaS)、云软件即服务(SaaS)、云管理平台和运维管理平台。如下图所示:云安全解决方案3云计算安全威胁和需求分析 云计算系统逻辑结构图 一.2 云典型逻辑结构简单说明如下: 基础设施即服务层(IaaS):包括了各种服务器、存储、网络设备、链路等各种物理资源,以及虚 拟化管理程序和对外提供服务的接口。可以基于此 层对外提供虚 拟主机服务; 平台即服务层(PaaS):包括了各种系统、平台、应用软件,可以提供应用软件的开发、测试、部署和运营环境; 软件即服务(SaaS):包括各一系列的应用软件,以及提供各客户/ 用户使用的交互展示程序。可以通过网络向用户交付相应的应用
11、服务; 云管理平台:负责云计算服务的运营,并 对云计算资源池系 统及其中的各类资源进行集中管理,主要功能包括云服务开通、用户 管理、 计价管理等功能。通常云管理平台通过与资源池系统之间的资源管理接口下发资源管理指令,并通 过网管接口向云维管理平台(网管系 统)提供资源池系统内各类设备的管理和监控信息; 运维管理平台:实现对虚拟设备、系 统、网 络的技术维护 和管理工作,包括容量、配置和事件管理等功能。一般通过带外网络与各种 资源进行互联一 云计算安全威胁和需求分析云计算模式通过将数据统一存储在云计算服务器中,加 强对 核心数据的集中管控,比 传统分布在大量终端上的数据行为更安全。由于数据的集中
12、,使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾 备恢复。但云计算在带来方便快捷的同时也带来新的挑战。云安全解决方案4云计算安全威胁和需求分析 安全威胁分析安全威胁分析CSA 在 2013 年的 报告中列出了九大安全威胁。依排序分 别为 1.数据泄露 2.数据丢失 3.帐户劫持 4.不安全的接口(API) 5.拒绝服 务攻击(DDoS ) 6.内部人员 的恶意操作 7.云计算服务的滥用 8.云服务规划不合理 9.共享技 术的漏洞问题 。把云计算环境下的安全威胁细化,并按云计算环境下等级保护的基本要求进行对应,可得到如下的云计 算环境下的具体安全威
13、胁: 网络安全部分 业务高峰时段或遭遇 DDoS 攻击时的大流量导致网络拥堵或网络瘫痪 重要网段暴露导致来自外部的非法访问和入侵 单台虚拟机被入侵后对整片虚拟机进行的渗透攻击,并导致病毒等恶意行为在网络内传播蔓延 虚拟机之间进行的 ARP 攻击、嗅探 云内网络带宽的非法抢占 重要的网段、服务器被非法 访问、端口 扫描、入侵攻击 云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源 虚拟化网络环境中流量的审计和监控 内部用户或内部网络的非法外联行为的检查和阻断 内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等行为 主机安全部分: 服务器、宿主机、虚拟机的操作系统和数据库被暴力破
14、解、非法访问的行为 对服务器、宿主机、虚拟机等进行操作管理时被窃听 同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露 对服务器的 Web 应用入侵、上传木马、上传 webshell 等攻击行为 服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访问和入侵 虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其它虚拟机的资源不足 资源抽象安全部分 虚拟机之间的资源争抢或资源不足导致的正常业务异常或不可用 虚拟资源不足导致非重要业务正常运作但重要业务受损 缺乏身份鉴别导致的非法登录 hypervisor 后进入虚拟 机 通过虚拟机漏洞逃逸到
15、 hypervisor,获得物理主机的控制权限 攻破虚拟系统后进行任易破坏行为、网 络行为、 对其它 账户的猜解,和长期潜伏 通过 hypervisor 漏洞访问其它虚拟机 虚拟机的内存和存储空间被释放或再分配后被恶意攻击者窃取 虚拟机和备份信息在迁移或删除后被窃取 hypervisor、虚拟系统、云平台不及时更新或系统漏洞导致的攻击入侵 虚拟机可能因运行环境异常或硬件设备异常等原因出错而影响其他虚拟机 无虚拟机快照导致系统出现问题后无法及时恢复 虚拟机镜像遭到恶意攻击者篡改或非法读取云安全解决方案5云安全防护总体架构设计 安全需求和挑战 数据安全及备份恢复 数据在传输过程中受到破坏而无法恢复
16、 在虚拟环境传输的文件或者数据被监听 云用户从虚拟机逃逸后获取镜像文件或其他用户的隐私数据 因各种原因或故障导致的数据不可用 敏感数据存储漂移导致的不可控 数据安全隔离不严格导致恶意用户可以访问其他用户数据为了保障云平台的安全,必须 有有效的抵御或消减这些威 胁,或者采取 补偿性的措施降低这些威胁造成的潜在损失。当然,从安全保障的角度讲, 还需要兼顾其他方面的安全需求。安全需求和挑战 从风险管理的角度讲,主要就是管理 资产、威 胁、脆弱性和防护措施及其相关关系,最终保障云计算平台的持续安全,以及其所支撑的 业务的安全。云计算平台是在传统 IT 技术的基础上,增加了一个虚拟化层,并且具有了资源池
17、化、按需分配,弹性调配,高可靠等特点。因此,传统的安全威胁种类依然存在,传统的安全防护方案依然可以发挥一定的作用。综合考虑云计算所带来的变化、 风险,从保障系 统整体安全出 发,其面临的主要挑战和需求如下: 法律和合规 动态、虚拟化网络边界安全 虚拟化安全 流量可视化 数据保密和防泄露 安全运维和管理针对云计算所面临的安全威胁及来自各方面的安全需求,需要 对科学设计云计算平台的安全防护架构,选择安全措施,并进行持续管理,满足云计算平台的全生命周期的安全。一 云安全防护总体架构设计云安全防护设计应充分考虑云计算的特点和要求,基于 对 安全威胁的分析,明确来各方面的安全需求,充分利用现有的、成熟的
18、安全控制措施,结合云计算的特点和最新技术进行综合考虑和设计,以满足风险管理要求、合规性的要求,保障和促进云计算业务的发展和运行。设计思路在进行方案设计时,将遵循以下思路: 保障云平台及其配套设施 云计算除了提供 IaaS、PaaS、SaaS 服务的基础平台外,还有配套的云管理平台、运 维管理平台等。要保障云的安全,必须从整体出发,保障云承载的各种业务、服务的安全。 基于安全域的纵深防护体系设计云安全解决方案6云安全防护总体架构设计 安全保障目标 对于云计算系统,仍可以根据威 胁、安全需求和策略的不同,划分 为不同的安全域,并基于安全域设计相应的边界防护策略、内部防 护策略,部署相 应的防 护措
19、施,从而构造起纵深的防护体系。当然,在云平台中,安全域的边界可能是动态变化的,但通过相应的技术手段,可以做到动态边界的安全策略跟随,持 续有效的保证系统的安全。 以安全服务为导向,并符合云 计算的特点 云计算的特点是按需分配、 资源弹性、自 动化、重复模式,并以服务为中心的。因此,对于安全控制措施选择、部署、使用来讲必须满足上述特点,即提供资源弹性、按需分配、自动化的安全服务,满足云计算平台的安全保障要求。 充分利用现有安全控制措施及最新技术 在云计算环境中,还存在的 传统的网络、主机等,同时,虚拟化主机中也有相应的操作系统、应用和数据,传统的安全控制措施仍旧可以部署、 应用和配置,充分发挥防
20、护作用。另外,部分安全控制措施已经具有了虚拟化版本,也可以部署在虚拟化平台上, 进行虚拟化平台中的东西向流量进行检测、防护。 充分利用云计算等最新技术 信息安全措施/服务要保持安全 资源弹性、按需分配的特点,也必须运用云计算的最新技术,如 SDN、NFV 等,从而实现按需、 简洁的安全防护方案。 安全运营 随着云平台的运营,会出 现大量虚拟化安全实例的增加和消失,需要对相关的网络流量进行调度和监测,对风险进行快速的 监测、 发现、分析及相应管理,并不断完善安全防护措施,提升安全防护能力。安全保障目标通过人员、技术和流程要素,构建安全监测、识别、防护、审计和响应的综合能力,有效抵御相关威 胁,将
21、云平台的风险降低到企业可接受的程度,并 满足法律、 监 管和合规性要求,保障云计算资源/服务的安全。安全保障体系框架云平台的安全保障可以分为管理和技术两个层面。首先,在技术方面,需要按照分层、纵深防御的思想,基于安全域的划分,从物理基础设施、虚 拟化、网络、系统、 应用、数据等 层面进行综合防护;其次,在管理方面,应对云平台、云服务、云数据的整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。云平台的安全保障体系框架如下图所示:云安全解决方案7云安全防护总体架构设计 安全保障体系框架图 三.3 云平台安全保障体系框架简单说明如下: 物理环境安全:在物理层面,通 过门禁系统、 视频监控、
22、环境监控、物理访问控制等措施实现云运行的物理环境、环境设施等层面的安全; 虚拟化安全:在虚拟化层面,通 过虚拟层加固、虚 拟机映像加固、不同虚拟机的内存/存储隔离、虚拟机安全检测、虚拟化管理安全等措施 实现虚拟化层的安全; 网络安全:在网络层,基于完全域划分,通过防火墙、IPS、VLAN ACL 手段进行边界隔离和访问控制,通过 VPN 技术保障网络通信完全和用户的认证接入,在网络的重要区域部署入侵监测系统(IDS)以实现对网络攻击的实时监测和告警,部署流量监测和清洗设备以抵御 DDoS 攻击,部署恶意代码监测和防护系统以实现对恶意代码的防范。需要 说 明的是这里的网络包括了实体网络和虚拟网络
23、,通过整体防御保障网 络通信的安全; 主机安全:通过对服务主机/设备进行安全配置和加固,部属主机防火墙、主机 IDS,以及恶意代码的防护、访问控制等技术手段 对虚拟主机进行保护,确保主机能够持续的提供稳定的服务; 应用安全:通过 PKI 基础设施对用户身份进行标识和鉴别,部署严格的访问控制策略,关键操作的多重授权等措施保证应用层安全,同 时采用电子邮件防护 、Web 应用防火墙、Web 网页防篡改、网站安全监控等应用安全防护措施保证特定应用的安全; 数据保护:从数据隔离、数据加密、数据防泄露、剩余数据防护、文档权限管理、数据 库防火墙、数据审计方面加强数据保护,以及离 线、 备份数据的安全;
24、安全管理:根据 ISO27001、COBIT、ITIL 等标准及相关要求,制定覆盖安全设计与获取、安全开发和集成、安全风险管理、安全运维管理、安全事件管理、业务连续性管理等方面安全管理制度、规范和流程,并配置相应的安全管理 组织和人员,并建 议相应 的技术支撑平台,保证系统得到有效的管理上述安全保障内容和目标的实现,需要基于 PKI、身份管理等安全基础支撑设施, 综合利用安全成熟的安全控制措施,并构建良好的安全实现机制,保障系 统的良好运 转,以提供满足各层面需求的安全能力。由于云计算具有资源弹性、按需分配、自动化管理等特点,为了保障其安全性,就要求安全防护措施/能力也具有同样的特点,满足云 计算安全防护的要求, 这就需要 进行良好的安全框架设计。
