浪潮云基础安全解决方案——云安全IaaS模式介绍

浪潮云基础安全解决方案主要针对公有云上租户提供一套整体安全解决方案，提供资源弹性、按需分配、自动化的安全服务，满足云计算基础安全保障要求。

云安全模式

云安全IaaS模式

物理与环境

物理与环境部分，依据相关标准规范，通过对整个项目的土建、机房工艺、电气智能化等建设满足要求，具体方案详见该部分设计。

根据中央网信办关于《加强党政部门云计算服务网络安全管理的意见》[2014]14号文，云服务方若在中国境内提供云服务时，必须确保其云计算基础设施位于中国境内。另外，为党政部门提供云服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。

网络与通信

（1）网络构架

云计算平台的等级大于等于其承载的业务应用系统的等级；

云计算管理平台应支持虚拟化网络拓扑结构的展现，且应能在发生虚拟化网络资源变更时（新建虚拟机、虚拟机网络接口变化、虚拟机迁移等）提供实时更新和集中监控；

不同云租户的虚拟网络之间应使用隔离技术（例如、vFW、VPC等）；

云计算管理平台应保证虚拟机只接收目的地址包括自己地址的报文，避免发生报文转发错误云计算安全方案，造成信息泄漏；

通过使用不同的物理交换机来保证云平台管理流量与租户业务流量的分离；同时应能实现宿主机上业务口和管理口的分离；

能识别和监控虚拟机之间、虚拟机与物理机间的流量，尤其是同一台宿主机上多个虚拟机间通信，可以将流量从宿主机中引出到外部网络中来实现识别和监控目标；

云计算平台保持一定的开放性（例如主流的Openstack+KVM），支持开放接口接入第三方安全产品，实现租户安全服务的多样化，避免租户被绑定；

云服务方按需提供安全服务，而安全策略集的设置是由云租户根据自身业务需求进行自主操作，云服务方提供的安全服务应可以实现云租户安全的自服务；另外安全服务应该可编排，从而实现定义访问路径、选择安全组件、配置安全策略；

（2）访问控制

云计算管理平台禁止云租户虚拟机访问宿主机；

在云计算环境中，识别虚拟化网络边界，部署访问控制设备（vFW），并配置ACL；

在云环境中，安全及相关策略随虚拟机迁移，保证前后访问控制策略的一致；

云租户可以对自己的不同云主机之间配置访问策略；

不同安全等级业务系统使用不同的物理服务器来承载，同时其网络区域边界应部署访问控制设备（FW）

（3）入侵防范

在云租户的网络边界部署入侵检测系统（IPS/IDS或NGFW），实现网络攻击的监测、告警和记录，同时保证入侵检测设备的特征库及时更新；

通过vIDS检测虚拟机到宿主机之间的异常流量，并进行告警；

云服务方应提供7*24小时的网站监测服务（websafe），全天候针对云租户互联网发布内容实时监测，发现违规有害信息及时通过短信、邮件等方式告知云租户

（4）安全审计

云计算安全管理平台提供权限设置功能，在保证安全的远程管理前提下，通过安全审计设备对远程用户的操作命令实时审计；

根据职责划分，云服务方和云租户收集各自控制部分的审计数据，相互之间不可交叉访问，云服务商和云租户的应使用各自的审计设备，数据分开存放；

云计算安全管理平台应提供审计接口，将安全审计数据进行汇集，同时也应能通过标准接口将审计数据提供给第三方进行审计；

云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计；

设备与计算

（1）身份鉴别

网络策略控制器是云网络区别与传统网络的集中管理系统（一般包括网络和安全控制器），控制器端和被管设备端应支持双向身份验证机制，即控制器端验证主动接入的被管设备端，被管设备端在执行控制器端的策略时应先对其进行身份验证，目的都是防止恶意接入云网络；

远程管理时应首先保证传输信道的加密安全，使用VPN技术，同时远程管理终端和VPN服务端应建立双向身份验证机制；

（2）访问控制

根据中网办发文【2014】14号发文中“数据归属关系不变”的原则，云租户提供给云服务方或第三方的数据、设备等资源，以及在云计算平台上云租户业务系统运行过程中收集、产生、存储的数据和文档等资源属云租户所有，未经云租户授权（建议通过合同等手段进行约束），不得访问、修改、披露、利用、转让、销毁云租户数据，在服务合同终止时，应按照要求做好数据、文档等资源的移交和清楚工作；

云计算安全管理平台应具备精细灵活的权限划分机制，为不同的管理员分配不同不同账户并分配相应的权限，应遵循“最小权限”划分原则；

（3）安全审计

将云服务方对云租户系统和数据的操作审计发送给第三方审计，云租户通过第三方审计进行查看，防止云服务方的恶意删除；

云计算安全管理平台应提供审计接口，将安全审计数据进行汇集，同时也应能通过标准接口将审计数据提供给第三方进行审计；

云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计；

（4）入侵防范

入侵防范系统若发现虚拟机之间的异常访问流量，应进行告警。

云管理平台应通过API将非授权新建虚拟机或着重启虚拟机等记录发送给入侵防范系统，且入侵防范系统发现问题及时告警；

（5）恶意代码防范

云环境中应部署恶意代码防护措施（主机和网络杀毒），对监测到的恶意行为进行清除和告警，同时要保证病毒库的及时更新；

（6）资源控制

云计算平台应保证虚拟机之间、虚拟机与宿主机之间的安全隔离，当某一个虚拟机故障，不应影响虚拟机监视器和其他虚拟机；

云计算管理平台应提供统一的资源调度管理功能，并支持策略设置，将物理资源和虚拟资源统一管理调度和分配

云计算平台应能做到单一虚拟机仅能使用为其分配的计算资源，防止资源隔离实效，发生资源蔓延；

不同等级的虚拟机，安全防护能力不同，当虚拟机发生迁移，迁移前后的资源池等级必须相同，若虚拟机在不同等级的资源池间迁移，应具备网络访问控制或隔离措施，禁止迁移；

云计算管理平台应提供虚拟机内存独占模式，防止发生内存泄漏

云计算管理平台应支持对虚拟机的虚拟网卡、虚拟交换机的端口进行QoS设置，并应能将其监控信息发送给独立的流量分析系统

云计算管理平台应提供接口将其监控信息上送给专业的监控平台，实现集中监控（例如SOC平台）

（7）镜像和快照保护

在云环境中，虚拟机的部署一般都是通过虚拟机镜像模板部署的，其安全性非常重要，为防止虚拟机镜像被恶意篡改云计算平台应具备完整性校验功能（例如文件Hash）,包括虚拟机快照；

针对虚拟机镜像和快照的访问，应至少设置密码，防止非授权访问。

可通过操作系统加固服务，按照“最小化软件部署+补丁最新+安全软件”的原则针对重要业务系统的操作系统镜像加固；

应用与数据

（1）安全审计

云计算安全管理平台应提供审计接口，将安全审计数据进行汇集，同时也应能通过标准接口将审计数据提供给第三方进行审计；

云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计；

将云服务方对云租户系统和数据的操作审计发送给第三方审计，云租户通过第三方审计进行查看，防止云服务方的恶意删除；

（2）资源控制

部署监测平台（例如：态势感知平台），对应用系统运行状态监测，发现异常及时告警；

不同云租户的应用系统及开发平台之间应部署访问控制或隔离措施，保证资源隔离（互相不影响）、网络隔离（VPC网络）、主机隔离（不同计算资源池）；

（3）接口安全

云服务方应通过安全技术评估服务，对云计算平台提供的对外接口进行安全性评估；

（4）数据完整性

云计算平台应具备虚拟机迁移过程中数据完整性的保障机制（内存拷贝、虚拟机快照、HA等）；

（5）数据保密性

云租户敏感信息必须境内存储，未经批准不得在境外传输、处理、存储；

云计算平台运维过程中产生的数据（配置数据、日志信息等）不得出境；

虚拟机迁移网络应使用专有通道（视情况启用加密机制）保证迁移路径的安全；

为保障云租户云上的数据安全，云服务方应支持云租户在其平台上部署密钥管理解决方案，实现云租户自行针对其敏感数据进行加解密，同时建议密钥本地备份存储；

网络策略控制器与网络设备之间通信流量应使用加密技术，例如https或ssh等协议传输，防止被窃听和嗅探；

（6）数据备份恢复

制定备份策略，云租户应将其云上的业务数据备份一份到自己的本地数据中心，避免云上数据丢失，造成损失；

云计算平台应提供查询云租户数据及备份存储位置的方式，同时做好账户和权限的分配，防止非授权访问；

不同云租户的审计数据建议存放于云租户自己的VPC内部；

现实的云计算服务过程中，往往是“上云容易下云难”，该项要求明确了云服务方在云租户退出服务应提供协助，包括不限于迁出时云计算平台的接口和方案，并按照合同约定，完成数据移交和删除工作；

浪潮云基础安全解决方案实现从整体出发，保障云承载的各种业务、服务的安全。借鉴等级保护的思想，依据公安部、工信部关于等级保护的要求，对云平台和云租户等不同的保护对象实行不同级别的安全保护，满足合规要求。

（编辑：520站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!