1、编号:20191001版本:V1.0编号:20191001版本:V1.0公安部信息安全等级保护评估中心新华三云计算安全等级保护2.0合规能力白皮书新华三云计算安全等级保护 2.0 合规能力白皮书从等保能力验证技术架构、新华三云计算安全能力等保 2.0 合规状况及白皮书使用建议等方面做了详细阐述。借助白皮书,客户能够快速获取多交付场景下新华三云计算安全合规防护能力,同时结合客户侧的应用、安全管理、物理环境等方面的保护措施,共同构筑满足等保和客户需求的信息系统整体安全防御体系。白皮书共分为四个部分,各部分内容具体安排如下:第一部分主要介绍云计算的基础知识及云安全概述,主要包括云计算定义;云计算安全
2、、云计算服务模式以及云安全责任分担模型,并简要概述新华三云计算平台部署模式。第二部分描述了合规白皮书与规范体系架构的关系,基于云平台保护对象,对新华三云计算平台的安全措施及安全能力进行识别分析,构建了新华三云计算安全等保 2.0 合规能力模型,为云服务商和云服务客户的安全能力改进提供方向和指引,并简要介绍了云计算等保 2.0 合规能力安全评估方法。第三部分介绍了新华三云计算安全,对新华三云计算安全架构进行了阐述,梳理了新华三云计算安全各安全层面的防护架构,对新华三云计算各安全组件(服务)进行详细介绍;此外,分别从网络安全等级保护 2.0 第三级和第四级通用要求和云计算扩展要求对新华三云计算安全
3、等保 2.0 合规能力进行了分析、评估。第四部分从行业应用角度对新华三云计算安全等级保护 2.0 合规能力白皮书的应用价值进行了介绍,阐述了白皮书的指导作用,并分别针对用户和等级保护测评机构的应用方法进行了详细的介绍,为用户在技术选型、规划设计和等级测评等方面提供不同程度的指导。最后,在附录部分提供了新华三云计算安全在不同的交付模式下应该满足的等级保护 2.0 测评指标及新华三云计算安全等级保护安全合规能力。本白皮书力求全面、深入浅出的分析新华三云计算安全的安全合规能力,通过分析新华三云计算平台的安全能力,构建云计算(新华三云计算安全)等保 2.0 合规能力模型,分析了新华三云计算安全等级保护
4、 2.0 安全合规状况的详细报告。公安部信息安全等级保护评估中心新华三技术有限公司总 述张宇翔 (公安部信息安全等级保护评估中心)李 明 (公安部信息安全等级保护评估中心)张 力 (新华三技术有限公司)刘云峰 (新华三技术有限公司)孙松儿 (新华三技术有限公司)涂 尧 (新华三技术有限公司)声 明主要撰稿人张振峰 (公安部信息安全等级保护评估中心)张志文 (公安部信息安全等级保护评估中心)杨洪起 (新华三技术有限公司)张 野 (新华三技术有限公司)刘姝麟 (新华三技术有限公司)于子洲 (新华三技术有限公司)董 伟 (新华三技术有限公司)贾 楠 (新华三技术有限公司)赵新珂 (新华三技术有限公司
5、)韩 超 (新华三技术有限公司)王 乐 (新华三技术有限公司)史翔宇 (新华三技术有限公司)特别感谢新华三云计算安全等级保护2.0合规能力白皮书 是在中国云计算安全等级保护合规能力规范体系技术社区指导下,依据云计算安全等级保护合规能力框架,由公安部信息安全等级保护评估中心和新华三技术有限公司共同编制。新华三技术有限公司提醒您在阅读或使用本文档之前仔细阅读、充分理解下列各条款的内容:1.通过新华三技术有限公司提供的正规授权通道下载、获取本文档,且仅能用于自身的合法合规的业务活动,本文档的内容视为新华三技术有限公司的保密信息,应严格遵守保密义务;2.由于产品版本升级、调整或其他原因,本文档内容有可
6、能变更,新华三技术有限公司保留在没有任何通知或者提示下对本文档的内容进行修改的权利,并在新华三技术有限公司授权通道中不时发布更新后的用户文档,应实时关注用户文档的版本变更并通过新华三授权渠道下载、获取最新版的用户文档;3.新华三技术有限公司已尽最大努力确保本文档内容准确可靠,但不提供任何形式的担保,任何情况下,新华三技术有限公司均不对(包括但不限于)最终用户或任何第三方因使用本文档而造成的直接或间接的损失或损害负责。4.本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其它相关权利均由公安部信息安全等级保护评估中心和新华三技术有限公司依法拥有其知识
7、产权,包括但不限于商标权、专利权、著作权、商业秘密等。新华三技术有限公司保留对本文档及本声明的最终解释权和修改权,非经新华三技术有限公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播,本文档中的信息可能变动,恕不另行通知;且不得以任何理由使用、公布或复制本白皮书中公安部信息安全等级保护评估中心的名称(图案标示、标识);5.限于编制时间仓促,编制组水平有限,书中难免疏漏和不足,诚望不吝赐教、斧正,以便后续改进和完善,期望能够给 本白皮书的阅读者提供有用的参考,任何意见或建议,敬请联系 。第1章 云计算概述-1 1.1 云计算基本概念-1 1.2 云计算安全
8、-1 1.2.1 物理环境安全-1 1.2.2 通信网络安全-2 1.2.3 区域边界安全-2 1.2.4 计算环境安全-2 1.2.5 安全管理中心-2 1.2.6 安全管理-2 1.3 云安全责任分担模型-2 1.4 新华三云计算平台部署模式-3 第2章 云计算等保2.0合规能力技术架构-5 2.1 合规白皮书与规范体系框架的关系-5 2.2 新华三云计算安全等保2.0合规能力模型-52.2.1 新华三云计算安全等级保护对象-52.2.2 新华三云计算安全措施-62.2.3 新华三云计算安全能力-82.2.4 能力矩阵模型-92.2.5 新华三云计算等保 2.0 合规能力模型-9第3章 新
9、华三云计算安全等级保护2.0合规状况-113.1 新华三云计算安全概述-113.1.1 新华三云计算安全背景概述-113.1.2 新华三云计算安全特点-113.2 新华三云计算架构-13目 录云计算概述新华三云计算安全等级保护 2.0 合规能力白皮书13.2.1 新华三云计算整体架构-133.2.2 新华三云计算网络基础架构-143.2.3 新华三云计算安全架构-213.3 新华三云计算安全技术能力-233.3.1 新华三云计算安全能力-233.3.2 安全组件-303.4 新华三云计算等保2.0合规性分析-353.4.1 等保 2.0 下新华三云计算环境安全评估-353.4.2 新华三安全云
10、合规性分析-104第 4 章 新华三云计算安全等保合规白皮书应用价值-1074.1 应用价值-1074.1.1 呈现新华三云计算平台等保合规能力-1074.1.2 识别新华三云计算平台等保测评指标-1074.1.3 为相关用户或机构提供技术参考-1074.2 应用方法-1084.2.1 新华三云计算用户-1084.2.2 等保测评机构-1114.3 新华三云计算平台案例-113附录 A 安全责任划分-115A.1 网络安全等级保护通用要求项安全责任-115A.2网络安全等级保护云扩展要求项安全责任-131附录 B 安全合规能力-135B.1 网络安全等级保护通用要求项安全能力-135B.2 网
11、络安全等级保护云扩展要求项安全能力-1491.1 云计算基本概念云计算是一种资源利用模式,它是一种无处不在的、便捷的、按需的,基于网络访问的,共享使用的,可配置的计算资源(如:网络、服务器、存储、应用和服务),可以通过最少的管理工作或与服务提供商的互动来快速置备并发布。云计算将计算、网络、存储、数据等资源集中在资源池中,并以服务的形式提供给用户,这些服务可以快速构建、准备、部署和退出,并且可迅速扩充或缩减规模。该定义描述了云计算的三种服务模式,四种部署模式以及五个基本特征。云计算服务的五个基本特征:按需自助、无所不在的网络访问、资源池化、快速弹性和可度量的服务。云计算基于交付方式可以划分为三种
12、服务模式:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。基础设施即服务(Infrastructure-as-a-Service),云服务商主要提供一些基础资源,包括服务器、网络、存储等服务,由自动化的、可靠的、扩展性强的动态计算资源构成。云服务客户能够部署和运行任意软件,包括操作系统和应用程序,无需管理或控制任何云计算基础设施,但能控制操作系统的选择、存储空间、部署的应用,也有可能获得网络组件的控制。平台及服务(Platfrom-as-a-Service),主要作用是将一个开发和运行平台作为服务提供给用户,能够提供定制化研发的中间件平台、数据库和大数据应用等。软件
13、即服务(Software-as-a-Service),通过网络为最终用户提供应用服务,绝大多数 SaaS 应用都是直接在浏览器中运行,不需要用户下载安装任何程序,由服务商管理和托管的完整应用软件。云服务客户可以通过 web 浏览器、移动应用或轻量级客户端应用来访问它。根据使用云计算平台的客户范围不同,可以将云计算分成私有云、公有云、社区云和混合云。1.2 云计算安全随着云计算的普及,安全问题已成为制约其发展的关键要素之一,与传统信息系统安全相比,云计算具有按需服务、泛在接入、多租户和资源池、快速弹性、可度量性五大特有属性,在安全方面,云计算也具有一些新的特征,如传统的安全边界消失、服务安全保障
14、模式改变、数据安全保护强度提高,技术标准和政策法规缺失。鉴于云计算的新特性,传统的安全防护措施无法有效的保证云计算的完整性、可用性和保密性,云计算的安全性受到严重挑战。传统信息技术所面临的安全风险依然威胁着云计算安全,云计算新特性也带来一些新的风险,如数据泄露、数据丢失、数据劫持、共享技术漏洞、不安全API接口及滥用云服务等。基于云计算新增的安全威胁、防护手段及“一个中心,三重防御”的纵深防御思想,GB/T 222392019 信息安全技术 网络安全等级保护基本要求中进行了扩展,形成了云计算安全扩展要求,网络安全等级保护制度在 2.0 时代着重于全方位的主动防御、动态防御、精准防护和整体防控的
15、安全防护体系,将云计算平台/系统的安全问题主要分为物理环境安全、通信网络安全、区域边界安全、计算环境安全、管理中心安全以及云计算安全管理方面的安全问题。1.2.1 物理环境安全云计算依赖于强大可靠的虚拟化和分布式计算技术,其依赖于由计算、存储、网络等云基础设施设备构成的物理机房。物理环境安全是系统安全的前提,信息系统所处物理环境安全的优劣对信息系统的安全有着直接的影响,物理环境安全主要包括两个方面:一方面是指保护云计算平台免遭地震、水灾、火灾等自然灾害以及人为行为导致的破坏,预防措施主要包括场地安全、防火、防水、防静电、防雷击、电磁防护及线路安全等;另一方面是指云服务商部署基础设施的数据中心安
16、全设计和运维运行管理,以及建立严格的管理规章制度。第 1 章 云计算概述云计算概述云计算概述新华三云计算安全等级保护 2.0 合规能力白皮书新华三云计算安全等级保护 2.0 合规能力白皮书231.2.2 通信网络安全云计算的主要特征泛在接入凸显了网络是云计算的重要基石,网络安全是云计算安全的重要一环。对于大多数的云计算而言,网络的性能决定云计算的性能。通信网络安全一方面是边界内部的局域网网络架构以及虚拟网络架构设计的安全性,整个网络资源分布、架构合理是在网络上实现各种技术功能以达到通信网络保护目的为前提;另一方面是网络传输数据的安全性,通信数据在传输过程中的安全性是保障网络环境安全运行的根基,
17、保障通信网络的安全性,可有效地防止数据在通信传输中被篡改或泄露,确保在网络中传输数据的保密性、完整性和可用性等。1.2.3 区域边界安全云与外部网络互联互通过程中也存在着较大的安全隐患,尽管云计算具有无边界化、分布式的特性,但对于每一个云数据中心,其服务器仍然是局部规模化集中部署的。通过对每个云数据中心分别进行安全防护,来实现云基础设施边界安全,并在云计算服务的关键节点和服务入口处实施重点防护,实现局部到整体的严密联防。网络边界防护是云计算环境安全防御的第二道防线。在不同的网络间实现互联互通的同时,在网络边界采取必要的安全接入、访问控制、入侵防范、安全审计等措施是实现内部计算环境安全防御的必要
18、手段。1.2.4 计算环境安全除对传统系统的服务器操作系统、数据库、业务应用及数据的安全性要求外,等保 2.0 还对镜像和快照安全、虚拟化安全、网络安全设备等方面提出了相关的要求。云计算操作系统基于虚拟化技术实现计算资源池化、动态配置以及资源编排,为应对虚拟化技术自身安全性,对云计算平台提出了一层额外的安全要求。针对虚拟机在使用和迁移过程中可能引起风险,增加的安全性要求还有虚拟服务管理平台(Hypervisor,VMM)安全、虚拟资源隔离、虚拟机镜像安全等。1.2.5 安全管理中心“安全管理中心”是纵深防御体系的“大脑”,通过“安全管理中心”实现技术层面的系统管理、审计管理和安全管理,同时通过
19、“安全管理中心”实现整个云计算环境的集中管控。“安全管理中心”并非一个机构,也并非一个产品,是一个技术管控枢纽,通过一个技术工具或多个技术工具实现一定程度上的集中管理,便于云计算资源进行调度、管理以及监控,同时能够对统一身份、认证、授权及密钥进行管理。1.2.6 安全管理安全管理包括安全运维管理、安全建设管理、安全管理人员、安全管理机构、安全管理制度。任何一个组织机构应制定符合国家需求和自己机构内部需求的安全管理制度体系,构建从单位最高管理层到执行层以及具体业务运营层的组织体系,明确各个岗位的安全职责,对参与系统建设、管理、运维等人员实施科学、完善的管理,保证系统建设的进度、质量和安全以及系统
20、运维有效、完善的运行。1.3 云安全责任分担模型任何一个云服务的参与者都应承担起相应的职责,不同角色的参与者通常会承担实施和管理不同部分的责任。因此,云安全的责任由云服务不同的参与者分担。云平台一般提供基础设施即服务、平台即服务和软件即服务的各类云服务资源,云服务安全责任主要涉及的角色有云服务商和云服务客户。云服务商的主要安全责任是研发和运维云平台,保障云平台基础设施的安全,同时提供各项基础设施服务以及各项服务内置的安全功能。云服务商在不同的服务模式下承担的安全责任不同(图 1.1),在基础设施即服务(IaaS)模式下,云服务商需确保基础设施无漏洞,云服务商基础设施包括支撑云服务的物理环境、云
21、服务商自研的软硬件以及运维运营包括计算、存储、数据库以及虚拟机镜像等各项云服务的系统设施,同时云服务商还需负责底层基础设施和虚拟化技术免遭外部攻击和内部滥用的安全防护责任,并与云服务客户共同分担网络访问控制策略的防护;在平台即服务(PaaS)模式下,云服务商还需负责底层基础设施和虚拟化技术免遭外部攻击和内部滥用的安全防护责任,并与云服务客户共同分担网络访各类可控的资源进行安全配置,对其云平台的相关账户进行安全策略配置,对运维人员实施权限管理及职责分离,并对云服务商提供的虚拟机、安全组、高级安全服务以及云服务客户自行部署的安全防护软件进行合理的安全策略配置。此外,对于云服务客户自行部署在云上的业
22、务应用、数据库及中间件等均需云服务客户进行安全管理,云服务客户始终是云上业务数据的所有者和控制者,云服务客户需对数据的保密性、可用性、完整性以及数据访问验证、授权进行安全管理;在平台即服务(PaaS)模式下,云服务客户需保证其部署在云平台上的业务应用和数据的安全性,并对云服务商提供的各项服务进行安全配置,各类账户进行安全管理,防止自身业务应用受到非授权的破坏,导致数据泄露或丢失;在软件即服务 1.4 新华三云计算平台部署模式新华三云计算部署场景可以是私有云部署、公有云部署或者是混合云部署,在不同的云计算部署场景中,新华三提供的安全能力各有侧重。新华三云计算聚焦行业云和城市云,为百城百业提供全栈
23、式服务和全产业链云生态。新华三为政务、高校、融媒、工业、金融、党建等多行业提供的云计算涉及 IaaS 和 PaaS 两种服务模式,云计算基础设施相关软件、硬件部署在客户提供的数据中心本地或者是私有云云计算平台的数据中心。新华三云计算平台融合 H3C CloudOS 云操作系统、H3C CAS 虚拟化平台、H3C VCFC 及 H3C SecCloud OMP 云安全管理平台,且兼容基于 OpenStack 的第三方云架构,为每个云服务客户提供完善的安全防护解决方案,并为数据中心的边界安全提供防护。(SaaS)模式下,云服务客户需对其选用的应用进行安全配置,并对自身业务数据做好安全防护工作。无论
24、哪种云服务模式,云服务商都应为客户提供数据保护手段,并实现数据保护的相关功能,但是云服务商绝不允许运维人员在未经授权的情况下私自访问云服务客户数据;云服务客户对其业务数据拥有所有权和控制权,需负责各项具体的数据安全配置,云计算平台提供的数据传输、存储完整性和保密性的安全功能决定着用户数据安全防护措施是否能实现。问控制策略的防护;在平台即服务(PaaS)模式下,云服务商除防护底层基础设施安全外,还需对其提供的虚拟机、云应用开发平台及网络访问控制等进行安全防护,并对其提供的数据库、中间件进行基础的安全加固;在软件即服务(SaaS)模式下,云服务商需对整个云计算环境提供安全防护责任。云服务客户的主要
25、责任是在云平台基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理等各项服务。在基础设施即服务(IaaS)模式下,云服务客户需对其部署在云上的图 1.1 云安全责任分担模型云服务商安全责任图 1.2 云安全责任分担模型云服务客户安全责任云计算概述云计算概述新华三云计算安全等级保护 2.0 合规能力白皮书新华三云计算安全等级保护 2.0 合规能力白皮书45H3C CAS 虚拟化平台采用满足电信级性能及可靠性要求的虚拟化内核,支持融合交付计算、存储、网络、安全虚拟化资源,H3C CAS 虚拟化平台由 CVK 虚拟化内核系统、CVM 虚拟化管理平台和 CIC 云业务管理中心
26、三个组件构成,能够提供强大的数据中心虚拟化及管理能力,将基础架构资源及相关策略整合成弹性数据资源池,云服务客户可通过自服务门户(H3C CloudOS)按需使用资源。H3C CloudOS 实现对数据中心资源的统一管理和智能调度,为上层的 XaaS 提供对应的能力支持,基于稳定可靠的 IaaS 服务能力,有效拉通数据中心基础设施资源,并通过运营运维一体化门户自动交付。H3C CloudOS 云操作系统将 IT 资源抽象为各种各样的云服务,用户根据需要按需申请、使用。目前,H3C CloudOS 云操作系统提供 X86 虚拟机、PowerVM 虚拟机、云硬盘、云网盘、云网络、云防火墙、裸金属服务
27、器等 IaaS服务,应用仓库、应用管理、镜像仓库、流水线等 PaaS 服务,还提供一些开发测试服务及大数据和 AI 服务等。H3C SecCloud OMP 与 H3C CloudOS 集成部署(图 1.5),为新华三云计算平台提供丰富的安全服务目录,保障云平台高效运行。H3C SecCloud OMP 作为安全服务组件集成到 CloudOS 页面中,提供:安全服务生命周期管理(对接 VCFC);安全服务策略配置管理;安全服务订单管理等功能;H3C CloudOS 提 供 WEB portal 页面,提供:安全服务生命周期管理页面;安全服务编排页面。H3C VCFC,提供:安全服务生命周期管理
28、(对接设备);安全服务策略配置对接;网络部署;业务引流。图 1.3 云计算服务模式图 1.4 新华三云计算基础设施架构图 1.5 新华三云计算安全部署模式SaaSPaaSIaaS虚拟化硬件基础计算网络存储编程逻辑业务应用云管理平台自助Portal业务流申批资源编排2.1 合规白皮书与规范体系框架的关系云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源等组成。区别于传统的信息系统,在云计算不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围(图 2.1),在基础设施即服务模式(IaaS)下,云计算平台/系统由设施、硬件、资源抽象控制层组成;在平台即服务模式(PaaS)下,云计算
29、平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;在软件即服务模式(SaaS)下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。对计算资源的控制范围决定了安全责任的边界,云计算环境中通常有一个或多个安全责任主体,各安全责任主体根据管理权限的范围划分安全责任边界。云计算环境中多个安全责任主体的安全保护能力之和共同构成了整个云计算环境的安全防护能力。当“云服务商”与“云服务客户”为同一类实体机构或自然人时,云计算环境的安全责任只有一个,就是该系统的建设运行使用单位或个人。云计算环境中可能承载一种或多种云服务模式,每种云服务模式下提供了不同的云
30、计算服务及相应的安全防护措施,在对云计算系统安全评估时,应仅关注每种特定云服务模式下,与其提供的云服务相对应的安全防护措施有效性。不同的云服务模式下,云服务商与云服务客户的责任边界会发生变化(如图 2.1),在确定具体的安全责任时,应根据系统的实际运行情况而定。在明确云计算平台保护等级的情况下,按照等级保护对象在云计算环境中的角色、云计算的服务模式、云计算环境中的责任主体以及云计算实现方式对测评指标选取的第 2 章 云计算等保 2.0 合规能力技术架构图 2.1 云计算服务模式与控制范围的关系云服务客户资源抽象控制软件平台虚拟化计算资源应用平台范围和控制抽象SaaSPaaSIaaSIaaSPa
31、aSSaaS设施云服务商影响四个步骤对等级保护对象和等级测评指标进行选取。四个步骤充分的体现了云计算系统等保合规的两大基本原则:责任分担原则和云服务模式适用性原则。合规白皮书是严格按照合规能力规范体系框架封装的方法,呈现了云计算环境等保 2.0 的合规能力模型,明确了云计算环境的保护对象、安全措施以及安全防护能力,并对云计算环境的等保 2.0 的合规状况进行分析、认定。2.2 新华三云计算安全等保 2.0 合规能力模型2.2.1 新华三云计算安全等级保护对象新华三云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源等组成。面向各行业主要提供平台即服务(PaaS)、基础设施即服务(IaaS)的
32、云计算服务模式。在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。在基础设施即服务模式下,云计算平台/系统由设施、硬件、资源抽象控制层组成;在平台即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台。不同服务模式下云服务商和云服务客户的安全管理责任有所不同,同时保护对象也随之发生变化。基于信息安全技术网络安全等级保护云计算测评指引对不同云计算服务模式下云计算平台测评对象的选取方法,综合考虑新华三云计算平台组网情况,确定新华三云计算平台的安全保护对象如图 2.2。等保合规能力模型等保合规能力模型新华三云计算安全
33、等级保护 2.0 合规能力白皮书新华三云计算安全等级保护 2.0 合规能力白皮书67图 2.2 新华三云计算平台安全保护对象图 2.3 新华三云计算安全防护措施区域边界安全管理中心业务应用/数据安全硬件设备安全资源抽象控制物理环境 物理隔离、电力保障、访问控制、火灾检测、视频监控等账号认证授权数据备份数据高可用容灾备份残留数据清除存储加密数据完整性校验特殊字符过滤云网络行为管理运行监测防IP/MAC/ARP欺骗网络准入流量监控访问控制传输加密安全审计入侵检测恶意代码检测安全加固漏洞管理双因素身份认证网络设备安全基线操作系统安全基线虚拟机隔离虚拟机监控虚拟计算资源虚拟机镜像加固安全审计逃逸检测恶
34、意代码防范安全标记策略随迁镜像快照/完整性校验TPM双向认证Web防护访问控制资源监控资源调度资源管理通信网络设备性能监控区域划分网络隔离负载均衡链路冗余加密服务QOS策略配置设备冗余网络流量分析网络威胁检测数据备份带外管理流量日志集中监测2.2.2 新华三云计算安全措施区别于传统的信息系统,在云计算环境中,边界可信日益削弱,源自不同平面的攻击也日趋增多。传统分层面单层防御体系对确保云计算系统安全性显得尤为困难,基于等级保护2.0“一个中心,三重防护”的纵深防护思想,即从通信网络到区域边界再到计算环境进行重重防护,通过安全管理中心进行集中监控、调度和管理,构建云计算安全措施,如图 2.3所示。
35、用户通过安全的通信网络跨越安全的区域边界以网络直接访问、API 接口访问或 Web服务访问等方式访问安全的云计算环境。云计算环境安全包括基础架构层安全、云服务层安全以及业务应用和数据安全,其中基础架构层包括云计算硬件设备和虚拟化计算资源,云服务层包含云产品以及资源抽象控制等。云计算环境的系统管理、安全管理和安全审计由安全管理中心统一管控。GB/T 22239-2019信息安全技术 网络安全等级保护基本要求在安全计算环境方面,主要增加了虚拟化安全、镜像和快照安全等云计算相关的控制点,安全的云计算环境应提供安全加固(操作系统、镜像)、虚拟机隔离、双因素身份认证以及访问控制、安全审计等安全措施;在安
36、全区域边界方面,除了传统物理区域的边界安全外,增加了虚拟网络区域边界、虚拟机与宿主机之间的区域边界等防护安全要求,安全的云计算环境区域边界应提供网络隔离、流量监控、虚拟机隔离等安全措施;在安全通信网络方面,在物理通信网络基础上增加了虚拟网络通信的安全保护要求,安全的通信网络应提供区域划分(物理网、虚拟网)、入侵检测、设备性能(物理网络设备、虚拟网络设备)监控、东西向及南北向流量安全防护等安全措施;在安全管理中心方面应提供资源的统一调度、监控、管理以及全网审计日志集中收集(分析)、时间同步等安全措施。基于 GB/T 22239-2019信息安全技术 网络安全等级保护基本要求,详细的新华三云计算安
37、全措施与实现安全措施的产品/方法如表 1。表 1 实现安全措施的产品/方法安全层面安全措施实现安全措施的安全产品方法平台侧云服务 客户侧安全通信网络网络设备性能监控、带宽监控IMC、态势感知、性能监控态势感知负载均衡负载均衡设备(SLB、LLB)负载均衡设备-虚机网络隔离VPC、vrouter虚拟防火墙、VPC安全域划分防火墙-安全域防火墙虚机-安全域访问控制下一代防火墙、虚拟防火墙虚拟防火墙网路设备双活部署、链路冗余设备堆叠、链路冗余、智能 DNS负载均衡QOS 策略配置网络设备配置 QoS 策略网络设备配置 QoS 策略安全区域边界传输加密IIPsec、HTTPS通过堡垒机管理证书双向认证
38、CloudOS 证书、Https加密服务虚拟机密钥对IP/MAC 绑定防火墙、交换机 IP/MAC 绑定策略防火墙、交换机 IP/MAC 绑定策略网络准入SDN 控制器、服务器安全监测、态势感知(资产管理)、IPS、防火墙、ACG、IP/MAC 绑定桌面准入(EAD)、服务器安全监测流量监控态势感知平台态势感知平台入侵检测服务器安全监测、态势感知、IDS防火墙-IPS安全审计态势感知平台、日志审计日志审计恶意代码检测防火墙(防病毒模块)虚拟防火墙(防病毒模块)安全计算环境账号认证堡垒机+第三方认证堡垒机+第三方认证网络设备加固安全基线安全基线镜像/系统安全加固机安全加固、安全基线机安全加固、安
39、全基线传输加密HTTPS 协议HTTPS 协议双因素身份认证堡垒机+第三方认证堡垒机+第三方认证授权三权分立安全审计态势感知、日志审计、数据库审计、堡垒机态势感知、日志审计、数据库审计、堡垒机登录地址限制CloudOS、堡垒机、虚拟防火墙堡垒机、虚拟防火墙特殊字符过滤安全测试、防火墙-IPS、WAF防火墙-IPS、WAF漏洞管理云漏洞扫描系统云漏洞扫描系统恶意代码检测/防范防火墙-IPS、亚信安全服务器深度安全防护系统防火墙-IPS、亚信安全服务器深度安全防护系统可信计算TPM数据完整性校验MD5、虚拟机分布式存储,三副本完整性校验虚拟机分布式存储,通过三副本实现完整性校验数据备份ONESto
40、r、CAS 备份功能分布式存储数据冗余、高可用虚拟机、负载均衡虚拟机、负载均衡容灾备份ONEStor残留数据清除写零机制写零机制虚拟机迁移迁移工具 Move sure镜像/快照完整性磁盘机密、CAS 完整性校验安全管理中心带外管理带外管理网络运行监测态势感知、H3C CAS、H3C CloudOS态势感知、H3C CloudOS策略集中管控H3C SecCloud OMPH3C Cloud等保合规能力模型等保合规能力模型新华三云计算安全等级保护 2.0 合规能力白皮书新华三云计算安全等级保护 2.0 合规能力白皮书892.2.3 新华三云计算安全能力安全技术能力是云计算系统安全措施作用于保护对
41、象上形成的抵抗外部攻击的一种防护能力,云安全措施是根据广泛的经验和学识为对抗云计算系统面临的威胁而采取的防护措施,有的安全措施是由云计算平台原生,有些则是云服务商为应对威胁而自研或由云生态合作伙伴提供。新华三云计算安全基于 OpenStack 接口,提供整体的安全能力集合,采用归一化标准接口,与多种场景无缝适配,为华三云平台或第三方云平台提供丰富的安全服务。不同侧的安全措施作用于保护对象后形成了不同的安全技术能力,在此,引入安全能力定量和变量的定义,即:定量是指云服务商不依赖于用户选择而原生提供的安全能力,如 VCFC、安全组防火墙等。变量是指云服务商依据用户需求,为应对系统威胁而选择性提供的
42、安全能力,该能力既可由云服务商提供,也可由云服务生态合作伙伴提供,如第三方硬件加密机。1)安全物理环境云机房物理环境安全措施,主要包括但不限于火灾检测、双路供电、访问控制、视频监控、机房热备等。安全措施:火灾检测安全能力:云数据中心机房配备火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和控制器等,能够对于火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备,切断电源、关闭空调设备等。安全措施:双路供电安全能力:云数据中心机房的每一个负载均由两个电源供电,两个电源之间可以进行切换。若电源发生故障,在其中一个电源失电的情况下可以投切到另一个电源供电,保障业务 7*24 小
43、时持续运行。安全措施:访问控制安全能力:云数据中心的物理设备和机房的访问要具备访问控制,包括机房的进出访问控制,例如,对于进出机房或者携带设备进出机房,物理设备的配置、启动、关机、故障恢复等,均需具备相应的访问控制策略。安全措施:视频监控安全能力:云数据中心机房装设视频监控系统或者有专人 24 小时值守,对通道等重要部位进行监视。例如,对出入通道进行视频监控,同时报警设备应该能与视频监控系统或者出入口控制设备联动,实现对于监控点的有效监视。新华三云计算部分安全措施作用于保护对象后形成的安全能力:2)安全通信方面安全措施:智能 DNS、设备高可用安全能力:网络架构从接入层到汇聚层,实现节点冗余和
44、链路 LLB 负载分担,在满足带宽收敛和保证业务性能同时满足整个业务系统的高可用;H3C 云计算在组网时防火墙通过堆叠的形式,交换机通过 M-LAG 的方式,服务器通过集群的方式,保证基础设施设备高可用;负载均衡设备提供智能 DNS 服务,保证网路链路、系统的高可用。安全措施:网络隔离安全能力:H3C 云计算环境专有网络(Virtual Private Cloud)VPC 采用隧道技术,帮助用户构建出一个隔离的网络环境,实现不同云服务客户间的网络资源的隔离;同一 VPC 内通过虚拟防火墙进行安全域隔离;不同 VPC 间部署虚拟防火墙,通过 VRF 进行路由隔离,部署虚拟防火墙进行访问控制,实现
45、不同 VPC 间隔离;虚拟防火墙能够帮助用户实现云计算环境中东西向流量的隔离。3)安全区域边界安全措施:流量监控、入侵检测安全能力:H3C 态势感知服务系统在云平台关键节点处部署流量探针,对整个云平台的全流量包进行深度解析,实时地检测出各种攻击和异常行为;旁路部署 IDS 硬件设备,对云平台的所有流量进行检测;H3C 云计算环境出口防火墙开启 IPS功能,对进出流量进行监测;服务器端安装新华三服务器安全监测系统进行安全加固,防止对内部的网络攻击行为。4)安全计算环境安全措施:双因素身份认证安全能力:H3C CloudOS、H3C CAS、H3C SecCloud OMP等管理平台的鉴别方式有用
46、户名、口令+短信验证码、邮件验证码两种身份鉴别方式;新华三云计算系列产品均允许被堡垒机接管,且可配置仅允许堡垒机访问,在堡垒机侧通过用户名、口令+USB Key 的认证方式,实现用户双因素身份鉴别。安全措施:镜像加固安全能力:H3C 能够为用户提供主流的操作系统镜像,对镜像基于安全基线进行加固,安装防恶意代码软件、服务器安全监测系统,保证镜像的安全性。安全措施:数据处理系统冗余、高可用安全能力:新华三云计算环境中防火墙采用堆叠的形式、交换机通过 M-LAG 的形式、服务器侧采用虚拟机、存储侧为分布式存储系统,还有负载均衡等均可保证数据处理系统的冗余。5)安全管理中心安全措施:资源监控安全能力:
47、H3C 态势感知系统支持全网全流量的监测,能够对所有的网络设备、安全设备、服务器、虚拟机进行集中监测;H3C Cloud、H3C SecCloud OMP 管理平台为云平台侧和云服务客户侧分别分配账户,可对两侧各自部分的资源进行集中监测。2.2.4 能力矩阵模型安全技术能力是云计算系统安全措施作用于保护对象上形成的抵抗外部攻击的一种防护能力,构建 SMO(safety measure-object)矩阵模型:其中,“”表示安全措施在保护对象上能够起到相应的安全作用;N/A 表示安全措施无法作用于保护对象或作用在保护对象时无法起到相应的安全作用。根据不同的安全措施作用于不同的保护对象形成的安全能
48、力,构建 SCMO(safety capability&measure-object)矩阵模型:其中,“0”表示云平台原生安全措施作用于保护对象后提供的安全能力,在云平台交付时,默认交付;“1”表示云平台提供的安全能力,在云平台交付时,用户根据业务需求,考虑系统所面临的威胁,需按需购买,“-1”表示根据业务需求,用户自行部署安全产品或安全加固后所形成的安全能力;此处 0 为定量,1 和-1 为变量,“”表示安全措施无法作用于保护对象或作用后未形成安全能力。2.2.5 新华三云计算等保 2.0 合规能力模型1.模型建立H3C 云计算平台融合 H3C SecCloud OMP 安全云管理平台,H3
49、C SecCloud OMP 除为新华三云计算平台提供安全防护措施外,还能够为云客户业务系统提供 SeCaaS 服务。首先,明确新华三云计算环境保护对象,其次依据 SMO 模型分析新华三云计算平台所拥有的原生安全措施以及为应对可能面临的威胁而建设的安全防护措施,并根据 SCMO 模型分析安全云安全措施作用于保护对象之后所形成的安全技术能力,最后对标安全云云平台安全技术能力与网络安全等级保护对象 1保护对象 1保护对象 m安全措施 1N/AN/A安全措施 3N/AN/A安全措施 nN/A保护对象 1保护对象 1保护对象 m安全措施 110安全措施 3-10-1110安全措施 n0-1-1新华三云
50、计算安全等级保护 2.0 合规能力白皮书11云计算等级保护等保合规能力模型新华三云计算安全等级保护 2.0 合规能力白皮书10图 2.4 新华三云计算安全网络安全等级保护 2.0 合规模型保护 2.0 基本要求间的差距,分析安全云云平台的合规情况,构建安全云等保 2.0 合规能力模型(图 2.4)。此外,通过合规能力模型的评估,可识别当前安全云和云计算平台/系统所面临的脆弱性,便于对整个云计算环境进行加固,强化安全防护措施,以提升安全云平台的安全防护能力。2.新华三云计算等保 2.0 评估方法根据模型,识别保护对象、安全措施,分析得到安全云安全技术能力,对标网络安全等级保护 2.0 基本要求测
浙ICP备2021020529号-1 | 浙B2-20240490 
