深信服云安全解决专业方案.docx

资源描述

深信服云安全处理方案深信服电子科技 11月7日目录第一章建设背景 4 1.1云平台背景 4 1.2云平台建设意义 4 第二章需求分析 5 2.1 需求概述 5 2.2 平台侧需求 7 2.2.1平台安全需求 7 2.1.2接入安全需求 8 2.1.3业务可靠需求 9 2.3 租户侧需求 10 2.3.1 租户间隔离需求分析 10 2.3.2 租户虚拟机需求分析 11 2.3.3 租户互联网业务需求分析 11 2.3.4 租户外网业务需求分析 12 2.5 管理运维需求 13 第三章设计原则 14 第四章解决方案 15 4.1 解决方案综述 15 4.2 平台侧设计方案 17 4.2.1平台安全方案 18 4.2.1.1. 平台分区分域 18 4.2.1.2. 防网络病毒 18 4.2.1.3. 应用安全防护 19 4.2.1.4. 防止漏洞攻击 19 4.2.1.5. 多业务数据隔离和交换 20 4.2.2接入安全方案 20 4.2.2.1云间安全互联 21 4.2.2.2租户安全接入 22 4.2.3业务可靠需求 23 4.2.3.1. 防拒绝服务攻击 23 4.2.3.2. 链路/全局负载均衡 23 4.3 租户侧设计方案 25 4.3.1租户安全设计 25 4.3.2业务系统安全 26 4.3.3业务稳定可靠 26 4.3.4业务安全接入 27 4.3.5租户应用场景 29 4.3.6 NFV安全组件部署方式 31 4.4 管理运维设计方案 32 4.4.1 平台运维 32 4.4.1 租户运维 33 4.4.1 平台服务商合作运维 34 第五章解决方案价值 35 5.1 高安全：提供专业、可靠的服务 36 5.2 高性价比：降低IT建设成本 36 5.3 高效率：业务系统部署速度快 37 5.4 高协同：降低信息共享和业务协同难度 37 第一章建设背景 1.1云平台背景云计算兴起，给大家工作方法和商业模式带来根本性改变，甚至可能掀起信息技术第三次“浪潮”。现在，云计算在电信、互联网、IT行业和金融等方面全部饰演着举足轻重角色。正如业界虚拟化领域一位资深教授所言：“以前大家对于云计算可谓众说纷纭，全部有各自不一样见解和见解，而现在业界已逐步形成共识：云计算就是下一代运算模式演变。每家单位全部要建立自己云计算模式，其第一步要做就是完成内部云或私有云建制。内部云建制科技基础就是虚拟化云平台，这也将成为拉动整个虚拟化云平台市场连续走高成长动力。” 在大企业，虚拟化云平台能帮助单位在业务层面实现弹性架构和资源池化，首先能够大幅提升存放计算等多种硬件资源利用效率，其次还可显著提升办公、对外服务开通时间、可用性和灾难恢复等能力。著名咨询企业Gartner将虚拟化云平台技术列为十大战略技术第一位，而在初公布估计中，更是大胆断言到20%单位将不再拥有IT资产。尤其在大企业，因为多个内在关联趋势正在推进大企业逐步降低IT硬件资产，这些趋势关键是虚拟化云平台、云计算服务、虚拟化桌面交付等。而虚拟化云平台技术，作为云计算一个支撑技术，必将成为未来最关键最值得研究IT技术之一。 1.2云平台建设意义云平台搭建将有利于IT系统从粗放式、离散化建设模式向集约化、整体化可连续发展模式转变，使IT管理服务从各自为政、相互封闭运作方法向跨部门跨区域协同互动和资源共享转变。 1、云计算能够降低信息化成本在云环境下，能够将信息技术资源交给专业第三方云服务商管理，由云服务商提供需要信息技术基础架构、软硬件资源和信息服务等，各子企业、集团依据按需付费标准定制需要信息服务。这带来了两大好处：一是不需要投资建立大量数据中心和大型机房，购置服务器和存放设备等，从而节省建设费用；二是信息软硬件资源交给专业云服务商管理，集团不再负担信息系统维护和升级，节省了运维费用。 2、云计算提升业务系统布署效率云平台含有较高灵活性，集团实施新应用系统时，无须购置额外软硬件，而是利用已经有云基础设施，快速布署系统，提升应用布署速度。开发者在一个平台上构建和布署应用程序，大大提升了信息系统布署效率。 3、云计算降低信息共享和业务协同难度长久以来，各应用系统普遍存在各自为政、资源分散等问题。尽管信息难以共享根源在于业务系统机制问题，但云计算能从技术上降低信息共享和业务协同难度。经过云平台，多个部门/集团子企业能够共用对应基础架构，实现各业务系统之间软硬件共享，提升信息共享效率，扩大信息共享范围；软硬件资源和信息资源共享将有利于促进各部门内部和部门之间业务系统整合，为各部门业务协同发明条件。 4、云计算有利于提升服务效率经过云平台实现软硬件资源全部权和使用权分离，各子企业将在不拥有软硬件资源情况下享受信息服务。所以，集团IT部门能够集中人力物力进行本部门业务运转，从而减轻行政负担，能有更多精力专注于面向公众公共服务，提升效率。同时，在布署了以云计算为技术支撑云平台以后，后台信息烟囱式布署方法壁垒将被打破，从而实现业务数据统一共享，这对前台服务界面统一打通有着关键意义，将使得业务系统统一化不再停留在前台展示层面，而切切实实实现服务高效和统一。第二章需求分析集团云平台通常为专有云架构，专有云平台负担集团内部服务内容如业务应用系统等，为各分企业、集团子企业应用系统提供基础设施支撑。云资源共享专区经过安全隔离方法访问公有云（互联网）、公众服务专区；各子企业需要对互联公布业务系统应依据服务对象逐步迁移至云平台上，实现集中集约布署。 2.1 需求概述从整个云平台整体安全角度来看，我们需要考虑三个方面设计：云平台安全、租户侧安全、安全运维管理和便捷性。图2.1-2云平台安全需求框架云计算平台和传统计算平台最大区分在于计算环境，云平台计算环境比传统意义上计算环境要愈加复杂。对云平台计算环境保护也是云平台下信息安全整体保护体系重中之重。除了平台安全问题，租户侧也面临部分安全问题，比如接入环境是否满足安全要求、业务系统是否安全、用户访问或接入业务安全风险、虚机之间信息交换是否安全、业务系统服务可靠性等需求。整个云平台安全运维也成了一大难题，首先平台本身和平台中业务系统安全现实状况难以实时监测，所以无法做到有效审计，不能追溯安全问题；其次，对于资源池中安全服务，怎样做到动态灵活统一管理、智能分配，满足云环境下动态高效需求；再次，租户业务系统迁入后，怎样快速取得所需安全配额，实现针对性策略配置和自主运维。归纳起来，云平台整体安全需求以下图所表示：图2.1-3云平台整体安全需求 2.2 平台侧需求对于云来说，平台无疑是对外提供服务基础，不管是建设运行方，还是租户，对于平台本身可靠性、安全性全部是极为关注。所以平台层安全建设需要从平台安全防护，平台接入安全，和平台服务可靠性方面来建设，确保云平台业务系统安全可靠运行。 2.2.1平台安全需求平台需要直接连接互联网，面临着非法接入、网络入侵、黑客攻击、病毒传输、蠕虫攻击、web应用保护、僵尸木马、DDoS攻击等多种安全问题，而且其底层和其上系统软件可能存在安全漏洞将影响到整个平台系统安全，攻击者在利用漏洞入侵到平台以后，能够对整个平台内部资源进行多种破坏，从而造成系统不可用，或数据丢失、数据泄露，其潜在威胁将无法估量。分区分域需求在安全设计方案中，我们需要将省级部门业务经过逻辑隔离划分不一样安全域，首先云平台建设时需考虑将基础设施资源划分为两个独立区域，分别为互联网业务区、公用网络区，两个区域间不能直接访问，仅能经过跨网数据交换区进行数据交换。每个等保区域内不一样租户应用间经过VLAN/VxLAN网络隔离，租户间经过访问控制设备进行访问控制，严禁非授权访问。云平台支持虚拟私有云，能够在一个云数据中心里灵活设定多个虚拟私有云，多个私有云之间使用VPN技术或VXLAN技术，达成端到端隔离效果。防网络病毒需求云平台关键是计算和数据资源，所以也是网络入侵者最关键目标。病毒、蠕虫、木马等恶意代码一旦感染云平台系统或应用，就可能在平台内部快速传输，消耗网络资源，劫持平台应用，窃取敏感信息，发送垃圾信息，甚至重定向用户到恶意网页。所以云平台安全建设需要包含检测和清除病毒蠕虫木马等恶意内容机制。云应用安全需求云环境随需布署和动态迁移，使安全策略布署变得复杂，需要一个灵活动态安全机制来适配虚拟化网络安全防护。因为应用只和虚拟层交互，而和真正硬件隔离，造成应用层安全威胁缺乏监管而泛滥，安全管理人员看不到设备背后安全风险，服务器变得愈加不固定和不稳定。云环境中B/S架构业务普遍存在，大量Web业务应用引入多种多样漏洞，给了入侵者可乘之机。黑客能够利用这些漏洞提议对云应用攻击，比如SQL注入、跨站脚本攻击等，进而实现对内部敏感信息监控、窃取、篡改等目标。所以需要有效设备来识别并防护针对业务系统漏洞攻击。预防漏洞攻击云平台内部有大量业务服务器，其底层和业务应用系统会不停产生新安全漏洞，给了入侵者可乘之机。黑客能够利用这些漏洞提议对云平台攻击，比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞，实现对网站敏感信息监控、窃取、篡改等目标。所以需要有效手段来识别并防护针对系统漏洞攻击。 2.1.2接入安全需求云平台接入安全首先要考虑租户安全接入，租户接入目标关键是对托管业务、租赁服务进行运维管理，所以需要对接入平台租户身份进行有效认证，避免非法用户接入带来危害；而对于一般用户来说，平台内部哪些资源是对其开放，哪些资源不能访问需要界定；在整个大平台内部，不一样云业务及虚拟私有云之间会有大量信息交互，所以需要考虑怎样保障云间业务安全互联，避免信息泄露和越权访问。云间安全互联云平台里面可能包含了多个部门数据中心或虚拟私有云，跨部门或跨等级之间也会进行信息流转，传统数据中心和云平台系统进行信息交互，这些信息往往包含到机密等级问题，应给予严格保密。所以，在信息传输过程中，必需采取合适加密方法对信息进行加密。基于IPsec加密方法被广泛采取，其优点显而易见：IPSEC对应用系统透明且含有极强安全性，同时也易于布署和维护，这对于庞大云平台来说，显得极有好处。租户安全接入集团子企业（租户）业务系统上线后，面临着用户远程接入访问问题，不管是运维人员运维接入，还是集团子企业用户接入，全部是需要慎重考虑接入安全问题，尤其是使用BYOD接入访问，更应该对其接入进行严格身份认证和安全核查，同时对用户访问行为进行合理权限划分，避免安全问题从远端传输过来并在云平台蔓延。用户访问安全部分集团子企业部门经过云平台对外公布业务应用，平台用户能够直接使用互联网进行访问，用户能够访问资源，需要靠访问控制安全策略来核查，避免非授权数据泄漏问题。访问控制系统安全目标是将云计算中心和不可信任域进行有效地隔离和访问授权。访问控制系统应依据各业务安全等级要求和全网安全策略控制出入网络信息流，而且系统本身含有较强抗攻击能力。访问控制系统由防火墙系统组成，防火墙在网络入口点依据设定安全规则，检验经过通信流量，在保护内部网络安全前提下，对两个或多个网络之间传输数据包和联接方法根据一定安全策略进行检验，来决定网络之间通信是否被许可。 2.1.3业务可靠需求云平台需要保障服务可靠性，一旦出现中止将造成重大损失，而且影响集团形象。服务中止起源于俩方面：首先因为攻击造成拒绝对外提供服务，这种情况下服务器或带宽资源被消耗完，造成无法处理后续服务；其次是因为服务器故障停止对外服务、出口链路中止、数据中心切换等问题带来服务软中止；另外，灾难、电力供给等不可抗拒性也会造成服务中止，这类事件一旦发生，便会造成数据中心毁灭性破坏。同时会对租户公信力产生很不利影响。不可抗拒性中止提议采取冗余数据中心方法来处理。而云平台内部，每套业务系统全部会有多个服务器（虚机）来负担服务，出口网络也会选择多家Internet服务，所以使用服务器负载、链路负载设备就能处理软中止问题。预防拒绝服务云平台上托管着大量面向互联网服务，往往会成为拒绝服务攻击目标。黑客控制着大量僵尸“肉机”，从而提议向云平台大量异常请求，这种攻击行为使得Web等系统充斥大量需要响应信息，严重消耗网络系统资源，造成外联服务平台无法对外正常提供服务，影响云平台和各集团子企业部门正常业务开展。链路负载均衡云平台接入往往多条运行商链路，从而确保网络服务质量，消除单点故障，降低停机时间。为提升外部用户从外部访问内部网站和应用系统速度和性能，就需要对多条链路进行负载优化，实现在多条链路上动态平衡分配，并在一条链路中止时候能够智能地自动切换到另外一条链路，保障业务应用不中止。全局负载均衡当某一云中心出现系统性故障时，或某一云中心性能负载出现过大问题时，能够经过全局负载，进行实时业务调度，让两个或多个云数据中心能够互为备份，让用户取得就近最快速访问。 2.3 租户侧需求 2.3.1 租户间隔离需求分析在设计方案中我们看到，要求将各部门业务经过逻辑隔离划分不一样安全域，首先云平台建设时需考虑将基础设施资源划分为两个独立区域，两个区域间不能直接访问，仅能经过跨网数据交换区进行数据交换。其次为满足等保合规需求，每个业务区内还需要划分二级等保区和三级等保区两个区域，二者计算资源不许可共享。每个等保区域内不一样租户应用间经过VLAN/VxLAN网络隔离，租户间经过访问控制设备进行访问控制，严禁非授权访问。 2.3.2 租户虚拟机需求分析在云平台环境下，租户内部存在一台或多台虚拟机，虚拟机是否安全和可靠直接影响到租户业务质量好坏，而虚拟机关键存在以下需求： l 对虚拟主机进行安全加固，采取方法预防经过虚拟机漏洞取得对所在物理机访问和控制；单台物理服务器上各虚拟机之间可能存在二层流量交换，而这部分流量对于管理员来说是不可见。在这种情况下，管理员需要判定虚拟机之间访问是否符合预定安全策略，或需要考虑怎样设置策略方便实现对虚拟机之间流量访问控制及安全风险检测； l 确保不一样虚拟机之间隔离，屏蔽非必需虚拟主机之间互访，即使有数据互访需求也是在管理员知情并同意提前下且需经过防火墙安全检测； l 对虚拟机可靠性保障，实时监测虚机性能状态，出现故障时能立即修复，在多台虚机间做负载均衡； l 提升虚拟机利用率，实时监测虚拟机业务量，在业务高峰期，能够新增适量虚拟机来保障用户访问请求立即快速处理。在业务低谷期，能够降低虚拟机来避免资源浪费，实现资源动态调整。 2.3.3 租户互联网业务需求分析租户基于云平台构建互联网业务系统，其安全风险和传统基于物理主机构建业务应用相同，操作系统、数据库、Web服务器软件、中间件及应用软件相关安全风险和可靠度均需要加以关注。租户互联网业务关键承载对外公布系统、门户网站等，用户关键是互联网用户，所以该区域需求分为了访问控制、web安全防护、入侵防御、病毒防护、安全管理、应用可靠、用户体验。 1.虚拟化访问控制：经过互联网接入云租户用户，正当性难以确保，所以需要设置对应访问安全策略来控制流量访问，实现安全隔离和防护。 2.虚拟化Web安全防护：在云平台中，一样存在Web攻击，黑客通常会采取Web攻击方法来入侵Web服务器，一旦获取了权限，将造成信息泄露、网页篡改等风险，所以对于云平台一样需要做到Web安全防护。 3.入侵防御：风险不仅存在于网络层，业务应用假如存在漏洞，也会给黑客可趁之机，造成漏洞攻击，同时还存在多种病毒侵染，所以需要有完备入侵防御体系来保障租户业务安全。 4.业务可靠：租户业务系统上线后，和传统硬件平台一样，也存在着应用假死、出口线路拥塞&故障、用户请求被错误分配等问题，我们需要提供一个有效方法实现云应用实时监控及访问请求智能调度，杜绝因虚机故障或应用假死造成访问中止。 5.用户体验：当访问量过多，业务量太大时，用户访问速度变慢，怎样在不改变用户使用习惯情况下，经过合理调配链路、虚拟机等资源来实现访问速度提升？ 2.3.4 租户外网业务需求分析租户外网业务关键是用于各集团子企业单位人员接入访问或移动办公、出差人员访问，流量经过互联网或广域网，该区域存在需求以下： 1. 安全接入：访问人员需要经过认证授权，预防非法访问，同时流量流经城/广域网，需要进行加密传输，预防数据泄密风险。 2. 权限划分：众多应用系统需要采取合理访问权限控制机制，避免将关键服务器暴露在全部内网甚至外网用户面前，因密码爆破、越权访问等行为造成系统内关键数据泄露。同时，针对于不一样应用系统对访问人员做好细致访问权限控制，避免越权访问。 3. 流量清洗：病毒、木马能够经过广域网扩散到云平台，而终端用户安全意识往往比较微弱，假如终端被黑客控制，成为黑客攻击跳板，将会对整个云平台业务造成损失，所以我们需要对访问流量进行清洗，以确保其安全性。 4. 安全防护：和传统数据中心类似，云平台中安全需求也是不仅能够防护传统网络层风险，还能识别并防护应用层威胁，预防漏洞攻击，实现双向内容检测，预防敏感信息泄露。 5. 应用加速：很多业务应用经过广域网传输时，即使带宽够用，但往往丢包多、延时大，比如视屏会议，常常会出现马赛克、画质不清楚等问题，造成体验不佳，怎样实现用户和云间关键应用加速？ 6. 业务可靠：租户业务系统上线后，和传统硬件平台一样，也存在着应用假死、虚机故障、出口线路拥塞&故障、用户请求被错误分配等问题，我们需要从以下两个方面来愈加好保障租户业务系统稳定： l 提供一个有效方法实现云应用实时监控及访问请求智能调度，从而保障用户访问体验，杜绝因虚机故障或应用假死造成用户访问中止。 l 和管理平台进行实时联动，在业务高峰期，能够新增适量虚拟机来保障用户访问请求立即快速处理。在业务低谷期，能够降低虚拟机来避免资源浪费。 2.5 管理运维需求 "三分技术，七分管理"，有效运维管理是保障安全关键手段。基于云计算模式业务系统对数据安全、隐私保护提出了更高要求，在数据管理权和全部权分离状态下这些问题显得愈加突出。从运维安全角度来看，可信云建设需要严格界定云平台应用边界，同时还要健全云计算数据保护标准体系，建立完善云计算服务平台建设规范和信息安全管理规范，从管理上最大程度地降低风险隐患。在管理运维角度，我们从以下多个方面进行关键关注： l 租户运维：需要将租户管理账号和云基础设施管理账号权限分离，预防租户主机非授权访问。同时租户管理界面还能够直观看到目前云平台提供各类安全、服务、稳定性组件，租户管理只需在管理界面上即可轻松开启、关闭各功效模块，从而实现租户个性化安全、服务需求。同时，在管理平台上应能定时生成各租户安全风险报表，能够帮助平台上督促租户进行漏洞发觉、安全整改等工作。从而让租户管理员轻松了解现在安全短板所在，从而进行针对性补足。 l 云平台运维：管理平台（网管平台、安全管理平台、云管理平台）仅许可经过管理区域内管理终端当地访问，避免远程管理可能引入系统风险。同时在互联网区和公用网络区管理网络中止布署防火墙等安全设备，用于两个管理网络安全隔离。网管平台经过SNMP等方法实现对多个IT资产进行统一管理，包含服务器、网络设备、安全设备、应用系统等设备。同时云平台管理员从安全管理平台上能够看到目前平台下全部虚机安全风险情况，从而能够愈加有效管理整个云平台安全。 l 平台服务商合作运维：含有经过统一接口实现云监管平台相关管理功效要求（OpenStack），能够和平台服务商进行合作开发，从而实现愈加高效、完整易用管理。第三章设计标准此次云平台总体设计标准以下： l 统一性标准因为云计算是一个复杂体系，应在统一框架体系下，参考国际中国各方面标准和规范，严格遵从各项技术要求，做好系统标准化设计和施工。 l 成熟稳定因为云计算发展改变很快，而本项目建设时间紧，包含面广，应用性强，在设计过程中，应选成熟稳定技术和产品，确保建成云平台适应各方需求，同时节省项目施工时间。 l 实用优异为避免投资浪费，云平台体系设计不仅要求能够满足现在业务使用需求，还必需含有一定优异性和发展潜力，使系统含有容量扩充和升级换代可能，方便该项目在尽可能时间内和业务发展和信息技术进步相适应。 l 开放适用因为云计算平台为各业务应用系统提供支撑，必需充足考虑系统开放性，提供开放标准接口，供开发者、用户使用。 l 经济性标准云计算操作系统应在满足云平台建设需求前提下含有较高性价比。同时，云计算操作系统必需提供当地化技术支持，降低云平台维护成本。 l 安全可靠云平台包含用户范围广，数量大，实时性强，设计时应加强系统安全防护能力，确保系统运行可靠，业务不中止，数据不丢失。此次方案设计中参考依据以下： Ø GB 17859-1999 计算机信息系统安全保护等级划分准则 Ø GB/T 22239- 信息安全技术信息系统安全等级保护基础要求 Ø GB/T 22240- 信息安全技术信息系统安全等级保护定级指南 Ø GB/T 25058- 信息安全技术信息系统安全等级保护实施指南 Ø 中共中央办公厅、国务院办公厅《国家信息化领导小组相关中国电子政务建设指导意见》（中办发[]17号）； Ø 国家信息化领导小组《国家信息化领导小组相关加强信息安全保障工作意见》（中办发[]27号）； Ø 《国家信息化领导小组相关推进国家电子政务网络建设意见》（中办发[]18号）； Ø 国务院办公厅相关加强政府网站建设和管理工作意见(国办发〔）104号）； Ø 国家发展改革委《相关国家电子政务外网（一期工程）项目提议书批复》（发改高技[]2135号）；第四章处理方案 4.1 处理方案综述对于云服务商而言，依据前面需求分析，和平台建设思绪和建设目标，我们从平台层、租户层、安全运维管理这三个方面来设计云平台整体安全方案,其框架图以下所表示：云平台安全设计框架在平台层，我们关键处理了平台整体网络数据安全问题，和租户和用户接入平台、云间互联安全问题，另外云平台层面，我们也考虑了业务可靠性安全保障。这部分关键采取硬件设备：平台互联网出口：两台下一代防火墙、两台应用交付、两台SSL VPN 在租户层，我们考虑了业务安全上云问题，和业务应用安全、租户、用户接入安全问题，另外在租户侧我们还考虑了主机和虚机横行访问安全问题。每个租户依据需求布署虚拟化软件安全、优化产品（依据第一期要求，配置XX个租户规模），vAF累计XX核授权、vAD累计XX核授权： vAF：每个租户虚拟下一代防火墙，分配2-8核虚拟CPU，提供200-1G性能 vAD：每个租户虚拟应用交付，分配分配2-8核虚拟CPU，提供200-2G性能在安全运维管理方面，我们从平台方和运维方分别分别进行了安全运维考虑，帮助平台方实现集中监控和运维审计，实现租户随需选配和自主运维安全服务需求。运维管理网边界：下一代防火墙、一套集中管理系统SC 4.2 平台侧设计方案云平台安全布署框架如上图所表示，在云平台物理网络边界布署安全、应用交付类产品，以下一代防火墙NGAF、安全网关SSL VPN、应用交付AD等产品，形成安全硬件资源池，在物理网络出口提供平台级整体安全保护，实现如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB安全防护、接入安全、服务器负载均衡等功效，实现2到7层安全防护和应用、链路负载优化，实现精细区域划分和可视化权限访问控制，确保云平台和内部业务系统含有更高安全性、可用性、连续性，和快速性。 4.2.1平台安全方案云平台物理网络出口布署下一代防火墙NGAF能够有效保障平台安全。深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够正确识别用户、应用和内容，含有完整安全防护能力，能够全方面替换传统防火墙，并含有全方面应用层安全防护功效和强劲处理能力。深信服NGAF设备实现了完整二到七层网络数据安全保护，提供了业界领先访问控制、入侵防御、病毒防护、漏洞保护、Web应用安全保护等功效，实时防御来自互联网、外网非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为，确保了平台网络和业务系统数据连续安全运行。一. 1. 2. 3. 4. 4.1. 4.2. 4.2.1. 4.2.1.1. 平台分区分域平台层整体安全架构如上图所表示，依据云平台建设需求，此次云平台利用NGAF实现了公用网络区和互联网区区域边界划分，其中公用网络区关键是部门系统内和系统间互访，互联网用户不能直接访问这个区域数据和信息系统；互联网区布署是集团WEB等托管服务，完成信息互联网公布和数据填报。在各安全区内，又从接入区、关键网络交换区、计算存放区、运维管理区进行安全区域划分，而在公用网络区和互联网区之间，专门设置了数据交换区，满足两个区域之间高强度网络数据隔离和信息交换需求。经过云平台区域边界划分和安全隔离，实现网络服务、应用业务独立性和各业务隔离、互访安全保障。 4.2.1.2. 防网络病毒 NGAF提供了优异网络级病毒防护功效，能够有效查杀病毒木马、僵尸网络、APT攻击、漏洞攻击等威胁，预防针对云平台病毒入侵行为。 NGAFAPT检测功效关键处理问题：针对平台内部主机感染了病毒、木马机器，其病毒、木马试图和外部网络通信时，AF识别出该流量，并依据策略进行阻断和统计日志。帮助用户能够定位出那台PC中毒，并能阻断其网络流量，避免部分非法恶意数据进入用户端，起到愈加好防护效果。 NGAF提供了网络病毒防护功效，从病毒传输路径中对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，亦可查杀压缩包（zip，rar，7z等）中病毒，内置百万等级病毒样本，确保查杀效果。 4.2.1.3. 应用安全防护云环境中B/S架构业务普遍存在，大量底层系统和Web业务应用会成为黑客入侵跳板，所以需要有效手段防御WEB应用攻击，预防云平台在应用安全保护上出现短板。NGAF含有专业web应用安全防御功效，能够处理常见web应用安全问题，如SQL注入攻击，跨站脚本攻击攻，CSRF即跨站请求伪造，网站扫描攻击，文件包含漏洞攻击，目录遍历漏洞及弱口令风险发觉。而且能经过隐藏业务系统版原来提升入侵者攻击难度。可隐藏服务器包含WEB服务器、FTP服务器、邮件服务器等。可隐藏应用信息包含HTTP犯错页面隐藏、响应报头隐藏、FTP信息隐藏。 NGAF有效结合了web攻击静态规则及基于黑客攻击过程动态防御机制，实现双向内容检测，提供OWASP定义十大安全威胁攻击防护能力，有效预防常见web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、声誉损失等问题。 4.2.1.4. 预防漏洞攻击云平台内大量主机底层和业务应用系统会不停产生安全漏洞，给了入侵者可乘之机。黑客能够利用这些漏洞提议对漏洞攻击，比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞，实现对网站敏感信息监控、窃取、篡改等目标。NGAF同时提供实时漏洞保护和防护能力，能够实时对操作系统、应用程序漏洞，如HTTP服务器(Apache、IIS)，FTP服务器(FileZilla)，Mail服务器(Exchange)，Realvnc，OpenSSH，Mysql，DB，SQL，Oracle等漏洞保护，包含后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等，有效预防了云平台主机漏洞被利用而成为黑客攻击跳板。 NGAF还内置了中国最大僵尸网络识别库，能有效预防云平台内部大量主机被植入僵尸病毒。该特征库包含木马，广告软件，恶意软件，间谍软件，后门，蠕虫，漏洞，黑客工具，病毒9大分类。特征库数量现在已达五十万，而且仍然以每两周升级一次速度连续进行更新。 4.2.1.5. 多业务数据隔离和交换面向外网用户公共服务区和面向互联网服务互联网区，两区之间采取强隔离技术实现数据交换或同时: 为了保障平台层安全，在互联网区和公用网络区出口边界布署深信服下一代防火墙NGAF。NGAF面向应用层设计，能够正确识别用户、应用和内容，含有完整安全防护能力，能够全方面替换传统防火墙，并含有全方面应用层安全防护功效和强劲处理能力。深NGAF设备实现完整二到七层网络数据安全保护。深信服NGAF提供了业界领先访问控制、入侵防御、病毒防护、漏洞保护、Web应用安全保护等功效，实时防御来自互联网、外网非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为，确保用户接入安全，保障平台网络和业务系统数据连续安全运行。 4.2.2接入安全方案集团子企业（租户）业务系统上线后，面临着用户远程接入访问问题，不管是运维人员运维接入，还是租户接入，全部是需要慎重考虑接入安全问题，尤其是使用BYOD接入访问，更应该对其接入进行严格身份认证和安全核查，同时对用户访问行为进行合理权限划分，及接入访问审计追溯，避免安全问题从远端传输过来并在云平台蔓延。 4.2.2. 4.2.3. 4.2.2.1云间安全互联云平台里面可能包含了多个部门数据中心或虚拟私有云，跨部门或跨等级之间也会进行信息流转，租户传统数据中心之间、传统数据中心和云平台系统进行信息交互，这些信息往往包含到机密等级问题，应给予严格保密。所以，在信息传输过程中，必需加密方法方法进行安全加固。IPSec对应用系统透明且含有极强安全性，同时也易于布署和维护，这对于庞大云平台来说，显得极有好处。深信服SSL VPN网关也提供了专业IPSec VPN功效，满足云平台业务使用IPSec VPN技术专网互联需求，实现各区域安全数据安全加固。深信服VPN 设备内置了AES/SANGFOR-DES/DES/3DES/RSA等多个加密算法，支持MD5/SHA-1等标准HASH算法，包含国家密码管理局指定基于SCB2标准加密算法。经过IPSEC在Internet上建立安全可信隧道，各实体之间数据全部是经过安全隧道传输。高安全性深信服IPSec VPN支持AES、DES、3DES、RSA等多个国际主流加密算法，确保了数据传输高安全强度；深信服IPSec VPN经过多重安全技术确保接入安全性；深信服IPSec VPN采取VPN权限粒度分析技术，能够简单灵活指定每个VPN用户具体权限，能够细致到端口等级权限，消除了病毒经过部分不安全端口进行跨网传输隐患。高稳定性 SANGFOR VPN经过VPN隧道、线路和设备三方面全方位确保整个VPN网络稳定性。支持隧道自愈技术，实时探测VPN隧道连接情况，一旦检测到VPN拨号中止则在3秒内自动进行VPN重新拨号；对于线路中止情况，经过隧道自愈技术，一旦检测到线路恢复，则立即进行隧道重新建立，无需人为操作实现VPN网络自动恢复。支持多线路技术实现多条线路之间主备，可设备根本路组合备线路组，并可实现在根本路组、备线路组中分别进行带宽叠加及负载均衡。当根本路组中某条线路中止，则该条线路上数据则自动切换到根本路组中其它线路上；当根本路组中全部线路全部无法使用时，则备线路组自动启用。充足利用了各条线路，在确保线路高稳定性下实现线路价值最大化。 4.2.2.2租户安全接入集团子企业（租户）业务系统上线后，面临着用户远程接入访问问题，不管是运维人员运维接入，还是租户接入，全部是需要慎重考虑接入安全问题，尤其是使用BYOD接入访问，更应该对其接入进行严格身份认证和安全核查，同时对用户访问行为进行合理权限划分，及接入访问审计追溯，避免安全问题从远端传输过来并在云平台蔓延。经过布署深信服SSL VPN设备，能够保障云平台内部应用系统安全公布，实现智能终端对业务无缝访问，实现云应用授权访问，保障远程访问安全，实现应用系统安全加固，确保正当身份经过正当行为接入正当系统。 l 在租户业务系统安全接入方面，我们设计思绪是从身份认证安全（访问事前控制）、终端访问及数据传输安全（访问事中检验）、权限和应用访问审计（访问事后追查），这三个方面来进行安全体系来深入考虑。事前控制：接入身份安全、正当性保障我们提议在业务系统需要提供远程安全接入时，在用户认证方面采取多个认证方法组合认证方法。如USB KEY、硬件特征码、短信认证、动态令牌卡等认证方法。单一认证方法轻易被暴力破解，为了深入提升身份认证安全性，深信服提议采取混合认证，针对以上认证方法能够进行多原因“和”、“或”组合认证。事中检验：系统终端访问过程安全在访问这些应用系统过程中，应该更应该考虑访问、读取过程安全，而终端接入过程影响着整个系统安全，对于终端接入安全需要从终端本身方面确保，接入终端必需达成一定安全标准才许可接入，避免危险终端接入。本方案提议依据情况，进行用户端安全检验结果进行对应应用访问权限准入和授权，同时经过SSL VPN成功接入到内网中后，则自动断开其它Internet线路，只保留SSL VPN通道，预防黑客经过Internet控制接入。事后追查：整体保障应用系统安全运维管理在访问过程进行日志统计，提供管理日志和服务日志等日志。管理日志可提供管理员访问、操作日志，服务日志提供信息、告警、调试、错误日志，方便管理员对系统进行诊疗。用户访问日志则提供用户访问时信息（登录IP、访问资源、时间、认证方法）、用户活跃程度、用户/用户组流量排行及查询、用户/用户组流速趋势及查询。告警日志提供（暴破登录攻击统计、CPU长时间占用过高统计、设备内存不足）、用户暴破登录、主从用户名非法访问统计等。 4.2.3业务可靠需求平台业务可靠性方面，关键是云平台互联网区业务可靠性，因为该区域直接面向公网用户，为了保障服务质量和业务应用可靠性，在云平台布署深信服应用交付AD设备，同时启用互联网出口NGAF设备防DDoS功效，就能够有效抵御黑客恶意拒绝服务攻击行为，而且提供链路和服务器负载均衡，保障平台可靠运行。 4.2.3.1. 防拒绝服务攻击云平台上托管着大量面向互联网服务一旦发生拒绝服务攻击，外联服务平台无法对外正常提供服务，影响云平台和各部门正常业务开展。NGAF采取自主研发DOS/DDoS攻击算法，可防护基于数据包DOS攻击、IP协议报文DOS攻击、TCP协议报文DOS攻击、基于HTTP协议DOS攻击等，实现对网络层、应用层各类资源耗尽拒绝服务攻击防护，实现L2-L7层异常流量清洗。 4.2.3.2. 链路/全局负载均衡深信服AD产品是专业应用交付设备，给云平台提供了专业链路负载均衡、服务器负载均衡处理方案，在链路或服务正常运行时，实现链路和服务最优化利用，在出现故障时，快速切换到备份链路和冗余服务器上，杜绝因虚机故障或应用假死造成用户访问中止。另外，AD还含有全局负载均衡功效，等未来备份数据中心建好后，还能实现将用户访问请求引导到最快最优数据中心进行响应。链路负载均衡深信服 AD设备能够进行DNS请求转发，经过深信服 AD寻求适宜DNS服务器返回给请求用户。利用链路繁忙控制、智能路由等技术，经过事先设定好负载算法，就能根据事先设定链路利用策略将流量分配到不一样链路之上，实现多条链路负载运行，保障了网络资源利用率最优、最大化。链路健康检验深信服AD设备包含单边加速技术是对这类用户访问速度一个保障。深信服单边加速技术经过自动、实时、连续、动态地侦测网络路径中延迟、丢包、重传情况，改变传出机制和改善传输拥塞机制，避免数据报文过分重发，降低应用

展开阅读全文