第頁共頁基于云架構的系統平安設計基于云架構的系統平安設計1平安框架簡介本文認為數據中心平安解決方案要從整體出發，作為平安根底設施，效勞于整體信息平安的需要。分析^p信息平安的開展趨勢，可以看到平安合規、平安管理、應用與數據平安、云計算平安、無邊界的網絡平安、平安產品與效勞資質是平安關注的重點，其中包含了平安效勞、物理設施平安、應用平安、主機平安、網絡平安、虛擬化平安、數據保護、用戶管理、平安管理等九大平安子模塊。作為整體平安體系架構的每一個平安子模塊是各種工具、系統及設備的集合，在技術層面提供平安控制。2系統網絡平安設計系統網絡平安設計主要就是平安域劃分，采用合理的平安域劃分，將數據中心的網絡功能分別劃分到各自平安區域內。平安域是邏輯上的區域，同一個平安域內的資產具有一樣或類似的平安屬性，如自身的平安級別、來自外部的平安威脅、平安弱點及平安風險等，同一平安域內的系統互相信任。2.1劃分平安區域數據中心的網絡功能分區可劃分為公共區、過渡區、受限區和核心區四個平安區域。公共區是指公有網絡與數據中心直接連接的區域，其平安實體包括自身所擁有的互聯網接入設備。該區域將不在網絡直接控制范圍內的實體和區域進展連接，包括來自互聯網的用戶及線路資。此區域平安風險等級高，屬于非平安區域，需要進展嚴格的數據流控制。過渡區用于分割公共區與受限區及核心區的直接聯絡，在邏輯上位于它們的中間地帶。設置過渡區是為了保護受限區及核心區的信息，使之不被外部掌握，防止直接的網絡數據流在這兩個分隔的區域間通過。所有能被非信任來直接訪問并提供效勞的系統和設備構成了它平安實體，是易受攻擊的半信任區，機密數據應盡量不放置于此。受限區是被信任區域，其在內部網絡中的平安級別較高，僅次于核心區，平安實體由業務終端、辦公終端等內部終端構成，非核心的OA辦公應用、開發測試效勞器區域也可以定義為受限區。數據流一般不允許從公共區到受限區直接通過，需使用代理效勞器或網關進展中轉，否那么，必須進展嚴格的平安控制。核心區是平安級別最高的網絡區域，包含了重要的應用效勞器，提供關鍵的業務應用;也包含核心的數據庫效勞器，保存有機密數據;還包含管理控制臺和管理效勞器，具有管理所有系統的權限和功能。因此核心區應該受到平安技術手段的保護，同時對其內部系統和設備的訪問及操作都需要通過嚴格的平安管理流程。2.2劃分平安子域每個平安域類別內部可定義平安子域。公共區為Inter平安域，數據中心網絡Inter接入區內與Inter連接的接入設備歸屬該平安域。區為InterDMZ平安域，數據中心網絡中所定義的Inter接入區內的DMZ區(部署外部效勞器)歸屬該平安域。受限區內包含遠程接入區，辦公網接入區和開發測試區三個受限區平安子域：(1)遠程接入區包含消費數據中心與合作單位、分支機構和災備數據中心相連接的網絡設備;(2)辦公網接入區包含消費數據中心與辦公網相連接的網絡設備;(3)開發測試區包含數據中心中所提供的用于開發測試目的的各類設備，該區域可定義多個受限區平安域實例，以隔分開發、測試、或支撐多個并行進展的開發測試工作。核心區包含OA區、一般業務消費區、運行管理區和高平安業務消費區三個平安子域，其中高平安業務消費區、運行管理區在平安防護級別上應高于一般業務消費區和OA區。(1)OA辦公應用區包含支撐各類OA應用的效勞器和其他設備，對于有較高平安要求的OA類應用也可以劃入到高平安業務消費區;(2)一般業務消費區包含非關鍵的業務應用，可以按照需求定義多個平安域實例，以實現業務應用的隔離;(3)運行管理區內包含數據中心運行管理系統的各類設備，包含網絡管理、系統管理、平安管理，可以按照需求定義多個平安域實例，隔離上述不同管理目的的系統應用。(4)高平安業務消費區包含平安要求最高的核心業務應用、數據等資產，可以按照需求定義多個平安域實例各類不同的高平安業務。平安域劃分后，平安域間的信息流控制遵循如下原那么：(1)由邊界控制組件控制所有跨域經過的數據流;(2)在邊界控制組件中，缺省情況下，除了明確被允許的流量，所有的流量都將被阻止;(3)邊界控制組件的故障將不會導致跨越平安域的非受權訪問;(4)嚴格控制和監管外部流量，每個連接必須被受權和審計。2虛擬化平安設計2.1虛擬化平安威脅用戶在利用虛擬化技術帶來好處的同時，也帶來新的平安風險。首先是虛擬層能否真正把虛擬機和主機、虛擬機和虛擬機之間平安地隔分開來，這一點正是保障虛擬機平安性的根本。另預防云內部虛擬機之間的惡意攻擊，傳統意義上的網絡平安防護設備對虛擬化層防護已經不能完全滿足要求。數據中心消費數據部署在虛擬化平臺，目前，針對虛擬化平臺的平安風險主要包括以下幾個方面：1)攻擊虛擬機Hypervisor;2)虛擬機與虛擬機的攻擊和嗅探;3)Hypervisor自身破綻產生的威脅;4)可以導致虛擬機無法提供正常效勞，數據的機密性、完好性和可用性被破壞;5)病毒蠕蟲帶來的數據完好性和可用性損失，以及虛擬化網絡可用性損失;6)系統自身存在平安缺陷，使攻擊、濫用、誤用等存在可能。2.2虛擬化平安設計綜上，虛擬機平安設計應該包括：1)支持VLAN的網絡隔離，通過虛擬網橋實現虛擬交換功能。2)支持平安組的網絡隔離：假設干虛擬機的集合構成虛擬機平安組，也是平安組自身網絡平安規那么的集合。同一平安組中的虛擬機無須部署在同一位置，可在多個物理位置分散部署。因此，虛擬機平安組的作用是在一個物理網絡中，劃分出互相隔離的邏輯虛擬局域網，進步網絡平安性。本功能允許最終用戶自行控制自己的虛擬機與自己的其他虛擬機，或與其別人員的虛擬機之間的互聯互通關系。虛擬機之間的互通限制是通過配置平安組組間互通規那么來實現的。一個用戶可以創立多個平安組，但一個平安組僅屬于一個用戶所有。用戶在創立虛擬機時，可以制定該虛擬機所在的平安組。屬于同一個平安組的虛擬機，是默認全部互聯互通的`。屬于不同平安組的虛擬機，是默認全部隔離的。平安組規那么屬于單向的白規那么。用戶可以設置允許自己的某個平安組內的虛擬機接收來自其他平安組內的虛擬機的懇求，或來自某個IP地址段的懇求。懇求類型也是可以配置的，比方TCP，ICMP等等。平安組規那么隨虛擬機啟動而自動生效，隨虛擬機的遷移在計算效勞器間遷移。用戶只需要設定規那么，無須關心虛擬機在哪里運行。3)虛擬機防護：客戶在虛擬機中安裝的操作系統與實際物理系統同樣存在平安風險，無法通過虛擬化來躲避風險。但是，針對某獨立虛擬機平安風險的攻擊只會對該虛擬機自身造成危害，而不會它所在的虛擬化效勞器。虛擬機病毒防護系統由端點保護效勞器和虛擬化效勞器上的端點保護客戶端構成，端點保護效勞器統一管控整個網絡的端點保護客戶端，包括主機防病毒、主機IPS、主機防火墻策略的設定和配置，日志的搜集，病毒碼、掃描引擎等組件的更新。通過在每一個運行的虛擬機上部署防病毒客戶端，用于保護虛擬機的平安。4)虛擬機系統模型加固：通過制定根本系統模型，并對模型進展必要的平安加固，不安裝其他未知應用程序，供用戶創立虛擬機時使用，可以確保所有新建虛擬機都具有根本平安防護程度。其他特定應用程序模型可以使用該模型進展創立，并在虛擬機中部署，確保隨時更新模型中的修補程序和平安工具。5)虛擬機資管理：利用云平臺的資管理功能，虛擬化平臺可以準確控制各虛擬主機的資分配。當某臺虛擬機受到攻擊時，不會影響同一臺物理主機上的其他虛擬機的正常運行。這一特點可用來防止回絕效勞攻擊，防止因此攻擊導致虛擬機資的大量消耗，致使同一臺主機上的其他虛擬機無法正常運行。6)虛擬機與物理主機間的通信管理