1、某省政務(wù)云安全資源池建設(shè)案例案例背景某省政務(wù)云是為加強(qiáng)電子政務(wù)的開展，專門建立的政府私有云。建立政務(wù)云對于電子政務(wù)的辦公效率、政務(wù)服務(wù)水平都具有十分重大的意義。云計算技術(shù)的應(yīng)用賦予了應(yīng)用靈活性、擴(kuò)展性、快速交付的能力，但同時也給安全策略的部署與管理帶來巨大的挑戰(zhàn)，包括法律法規(guī)標(biāo)準(zhǔn)不健全、應(yīng)用本身存在嚴(yán)重的安全漏洞等，尤其是當(dāng)海量的政務(wù)業(yè)務(wù)系統(tǒng)遷移到政務(wù)云中時，云上安全更顯得尤為重要。如果由于系統(tǒng)存在的安全漏洞被黑客利用時，會嚴(yán)重阻礙電子政務(wù)云的發(fā)展，影響政務(wù)網(wǎng)站的公信力。需求分析云計算、虛擬化技術(shù)的應(yīng)用給政務(wù)網(wǎng)的業(yè)務(wù)能力帶來了革命性的變化，整個業(yè)務(wù)系統(tǒng)上線、交付、擴(kuò)容變得非常簡單。但云計算技術(shù)

2、同樣也給信息安全公司帶來了挑戰(zhàn)，包括：網(wǎng)絡(luò)安全邊界變得模糊超區(qū)巾心襪右區(qū)傳統(tǒng)數(shù)據(jù)中心安全業(yè)務(wù)部署模型傳統(tǒng)數(shù)據(jù)中心業(yè)務(wù)采用分區(qū)、分層部署的模型，每一個業(yè)務(wù)分區(qū)/分層間存在物理網(wǎng)絡(luò)邊界安全設(shè)備通常以物理形態(tài)部署在不同的分區(qū)/分層邊界處進(jìn)行安全管控。VMVMVMVMVMVM云數(shù)據(jù)中心邏輯拓?fù)銿switchVswilchVswitchVswitch云數(shù)據(jù)中心所有計算資源共享同一套物理網(wǎng)絡(luò)，不同業(yè)務(wù)分區(qū)通過邏輯網(wǎng)絡(luò)（VLAN或VxLAN）進(jìn)行隔離，業(yè)務(wù)計算資源（VM）可根據(jù)需求動態(tài)遷移、伸縮，業(yè)務(wù)分區(qū)間網(wǎng)絡(luò)邊界變得模糊，傳統(tǒng)基于物理邊界進(jìn)行安全策略部署的模式已不再適用。流量監(jiān)控變得異常困難云數(shù)據(jù)中心計算

3、資源采用虛擬化技術(shù)部署，為提高數(shù)據(jù)交換效率，同一臺物理服務(wù)器內(nèi)部不同虛擬機(jī)（VM）間互訪的流量通常通過內(nèi)置的vSwitch直接進(jìn)行交換轉(zhuǎn)發(fā)，傳統(tǒng)基于物里網(wǎng)絡(luò)設(shè)備進(jìn)行流量監(jiān)控的方法無法監(jiān)控到同一臺服務(wù)器內(nèi)部虛擬機(jī)間的流量。虛擬機(jī)遷移，如何實現(xiàn)安全策略動態(tài)跟隨虛擬機(jī)（VM）動態(tài)遷移技術(shù)可讓虛擬機(jī)在不關(guān)機(jī)且持續(xù)提供服務(wù)的前提下從一臺理服務(wù)器遷移到另一臺物理服務(wù)器，在計算資源重新規(guī)劃調(diào)整的情況下可保證業(yè)務(wù)的連續(xù)運行與數(shù)據(jù)的一致性，在云數(shù)據(jù)中心的運維過程中得到普遍的應(yīng)用。虛擬機(jī)遷移前后所在的網(wǎng)絡(luò)位置可能產(chǎn)生變化，如何保證虛擬機(jī)遷移后對應(yīng)的網(wǎng)絡(luò)安全策略跟隨虛機(jī)動態(tài)生效是云數(shù)據(jù)中心安全資源&策略部署時所必須

4、考慮的問題。安全能力需要按需交付資源動態(tài)按需交付是云數(shù)據(jù)中心的基礎(chǔ)需求，同網(wǎng)絡(luò)、計算、存儲資源一樣，云數(shù)據(jù)中心安全資源也需要能夠根據(jù)應(yīng)用部署的需求按需靈活交付。傳統(tǒng)基于物理拓?fù)渎窂讲渴皙毩踩O(shè)備的模式存在安全能力無法動態(tài)復(fù)用、物理安全設(shè)備容易成為性能瓶頸的問題，已無法滿足云數(shù)據(jù)中心圍繞應(yīng)用需求動態(tài)彈性交付安全資源的需求，安全資源的虛擬化與安全業(yè)務(wù)部署的物理解耦技術(shù)成為云數(shù)據(jù)中心安全策略部署的關(guān)鍵需求。安全責(zé)任邊界變得模糊了以租代建模式不僅可以減少用戶直接投資，降低建設(shè)、運行成本，靈活滿足業(yè)務(wù)發(fā)展對IT基礎(chǔ)設(shè)施的需求，而且在云服務(wù)提供商專業(yè)技術(shù)&運營團(tuán)隊的支持下，業(yè)務(wù)運行穩(wěn)定性和可靠性可以得到

5、有效的保障，已被越來越多的客戶所認(rèn)可采納。安全問題是用戶在業(yè)務(wù)上云規(guī)劃時所關(guān)注的首要問題，厘清安全管理邊界，明確雙方安全管理職責(zé)與協(xié)調(diào)機(jī)制，確保各自職責(zé)范圍內(nèi)的安全技術(shù)與管理措施得到有效的執(zhí)行，這些是云服務(wù)提供商和租用云服務(wù)的客戶所需要共同考慮的問題。安全管理邊界的明晰，不僅可以確保云數(shù)據(jù)中心承載租戶業(yè)務(wù)的安全運行，而且在安全事件處理時可以有效整合雙方資源，快速定位解決存在的安全問題，避免事后責(zé)任追查與歸屬時的推諉問題。云上依然要遵從等級保護(hù)等級保護(hù)作為我國信息安全保障工作的基本制度，同時也是一系列基本標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)的集合，通過規(guī)范化的技術(shù)措施與安全評估有效保證了業(yè)務(wù)系統(tǒng)的安全性，在政務(wù)、醫(yī)療

6、、教育、金融、能源等領(lǐng)域得到有效的推行。在業(yè)務(wù)系統(tǒng)上云時，如何保證遷移到云上的業(yè)務(wù)系統(tǒng)仍然能夠滿足等保合規(guī)要求是政務(wù)云關(guān)注的重點。由于云計算技術(shù)在我國的應(yīng)用還處于發(fā)展階段，云數(shù)據(jù)中心應(yīng)用的虛擬化、SDN等新興技術(shù)引入了新的風(fēng)險點，相關(guān)技術(shù)仍在不斷地發(fā)展變化，云安全等保相關(guān)標(biāo)準(zhǔn)還在補充完善，云數(shù)據(jù)中心安全建設(shè)需要緊密跟蹤云等保相關(guān)標(biāo)準(zhǔn)工作的進(jìn)展，確保云平臺及云上承載的業(yè)務(wù)系統(tǒng)全面符合等保合規(guī)要求。解決方案.:I安全體系架構(gòu)介紹本案例安全防護(hù)設(shè)計充分考慮了云計算的特點與需求，基于對安全威脅的分析明確安全需求充分利用現(xiàn)有成熟的安全控制措施，結(jié)合云計算的特點和最新技術(shù)進(jìn)行綜合考慮，以滿足風(fēng)險管理及合規(guī)

7、性要求，保障和促進(jìn)云計算業(yè)務(wù)的發(fā)展。某省政務(wù)云安全體系架構(gòu)某省政務(wù)云安全資源池架構(gòu)本案例政務(wù)云數(shù)據(jù)中心安全規(guī)劃與建設(shè)主要關(guān)注下面幾個部分：A云平臺基礎(chǔ)設(shè)施安全云平臺涵蓋構(gòu)建云數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、計算資源、存儲資源以及對應(yīng)的管理設(shè)施（Portal門戶、OpenStack、網(wǎng)絡(luò)管理、安全管理、SDN控制器等），云平臺一旦被攻破，其上承載的所有應(yīng)用安全都將受到威脅，云平臺作為一個整體需要部署對應(yīng)的安全設(shè)施與策略進(jìn)行安全管控與防護(hù)，確?；A(chǔ)設(shè)施的運行安全。A租戶安全租戶安全是云數(shù)據(jù)中心區(qū)別于傳統(tǒng)數(shù)據(jù)中心安全業(yè)務(wù)部署與管理的關(guān)鍵需求，涉及租戶應(yīng)用系統(tǒng)的安全運行防護(hù)、租戶間安全隔離、地址重疊（V

8、PC）、租戶內(nèi)應(yīng)用系統(tǒng)間安全隔離、租戶應(yīng)用系統(tǒng)不同組件間安全訪問控制等多個方面。租戶應(yīng)用系統(tǒng)的安全運行防護(hù)包括網(wǎng)絡(luò)安全、主機(jī)安全、虛擬化安全、應(yīng)用安全、數(shù)據(jù)安全、安全審計多個方面，云數(shù)據(jù)中心的安全建設(shè)需要使安全防護(hù)能力能夠根據(jù)租戶的安全防護(hù)需求靈活調(diào)度，全面滿足租戶應(yīng)用系統(tǒng)安全運行防護(hù)需求。A物理安全云數(shù)據(jù)中心面臨的物理層安全風(fēng)險與傳統(tǒng)數(shù)據(jù)中心基本相同，主要包括物理主機(jī)、網(wǎng)絡(luò)、存儲等基礎(chǔ)設(shè)施安全，物理通信線路安全、電力安全、溫濕控制系統(tǒng)安全、消防安全等需要考慮的因素。A容災(zāi)備份容災(zāi)備份作為數(shù)據(jù)中心建設(shè)的基本需求，主要解決自然突發(fā)災(zāi)害時應(yīng)用系統(tǒng)的持續(xù)性需求，確保應(yīng)用及數(shù)據(jù)的安全，在云數(shù)據(jù)中心安全

9、建設(shè)時也是重點。安全運維管理&安全保障體系三分技術(shù)，七分管理，有效的運維管理是保障安全的重要手段。云數(shù)據(jù)中心安全建設(shè)對數(shù)據(jù)安全、隱私保護(hù)提出了更高的要求，在數(shù)據(jù)管理權(quán)與所有權(quán)分離的狀態(tài)下這些問題顯得更加突出。結(jié)合云數(shù)據(jù)中心的運營與運行特點，本案例建立了對應(yīng)的安全運維管理與安全保障體系。1.13,2解決方案特點介紹本案例解決方案主要是通過SDN和NFV技術(shù)來構(gòu)建一個云安全資源池.SDN和NFV作為云計算中新一代網(wǎng)絡(luò)技術(shù)，既可通過獨自層面去解決不同的網(wǎng)絡(luò)問題，滿足不同角度的業(yè)務(wù)需求，又能夠緊密結(jié)合服務(wù)鏈技術(shù)，實現(xiàn)安全資源靈活調(diào)度、動態(tài)擴(kuò)展、按需快速交付，全面滿足用戶對業(yè)務(wù)安全部署的要求。安全資源池

10、的部署效果如下圖：安全中控安全控制器云監(jiān)測云防御vWAF云審計vP/V云堡壘vpn云上合規(guī)安全資源池云車臺Vswitch-Vswilch某省政務(wù)云安全資源池方案以“SDN+NFV”技術(shù)為依托，聚焦應(yīng)用安全靈活調(diào)度安全資源,具備安全可視、可控、安全資源自動化部署、彈性擴(kuò)展、平臺開放等特點。A全面地安全防護(hù)服務(wù)除防火墻、負(fù)載均衡、VPN等基礎(chǔ)網(wǎng)絡(luò)安全服務(wù)，某省政務(wù)云安全資源池重點建設(shè)了云監(jiān)測、云防御、云審計、云上合規(guī)、網(wǎng)頁防篡改、云數(shù)據(jù)庫審計、云堡壘機(jī)等服務(wù)，結(jié)合虛擬網(wǎng)絡(luò)隔離技術(shù)，全面滿足用戶安全等保合規(guī)建設(shè)需求。A彈性可擴(kuò)展安全資源池通過服務(wù)鏈技術(shù)按需靈活調(diào)度業(yè)務(wù)流量，使安全資源的部署與物理網(wǎng)絡(luò)

11、位置解耦?；谌萜鞯挠布摂M化技術(shù)，為虛擬設(shè)備獨立運行提供資源保障，結(jié)合IRF雙機(jī)堆疊技術(shù)，提供安全可靠的安全服務(wù)。系統(tǒng)全面兼容硬件、NFV方式的安全資源池，安全資源可在線擴(kuò)容，現(xiàn)網(wǎng)業(yè)務(wù)運行不受影響。A安全業(yè)務(wù)自動化部署通過SDN與服務(wù)鏈技術(shù)的結(jié)合，安全控制器可實現(xiàn)網(wǎng)絡(luò)、安全資源的一體化管理與調(diào)度，云數(shù)據(jù)中心安全業(yè)務(wù)部署所需的安全資源分配、業(yè)務(wù)流量調(diào)度、安全策略部署得以集中交付，輕松實現(xiàn)安全業(yè)務(wù)的自動化部署。A安全可視化管理可實現(xiàn)安全拓?fù)?、業(yè)務(wù)風(fēng)險、安全合規(guī)等可視化管理，安全運維管理變得簡單。A開放的技術(shù)平臺某省政務(wù)云安全資源池方案全面兼容KVM、VMWare等主流虛擬化平臺,能夠與Cloud

12、OS、基于OpenStack的第三方云平臺、第三方私有云平臺對接，通過控制器開放API與服務(wù)鏈代理技術(shù)支持第三方安全設(shè)備的納管，實現(xiàn)云安全資源的集中交付。安全效益分析本案例電子政務(wù)云安全體系建設(shè)充分考慮到了云平臺和云租戶的效益和價值，云平臺是指云的運營和建設(shè)方，在本案例中主要是指由省政府牽頭成立的X云大數(shù)據(jù)公司。云租戶就是指委辦局?，F(xiàn)分成云平臺安全視角、云租戶安全視角進(jìn)行說明本案例的收益。-_.-11云平臺安全收益云平臺安全視角主要用來幫助云平臺建設(shè)方、運營方了解整個云平臺的安全狀態(tài)，并依據(jù)此數(shù)據(jù)提供、孵化出有針對性的租戶增值服務(wù)產(chǎn)品，提高云平臺的收益，還可以為云平臺的后期建設(shè)規(guī)劃提供依據(jù)。形

13、成豐富的增值服務(wù)產(chǎn)品通過本方案的部署，可以幫助云平臺運營單位形成非常豐富的增值服務(wù)產(chǎn)品，幫助云平臺盡快收回成本，實現(xiàn)盈利。可形成的增值服務(wù)產(chǎn)品包括：分類產(chǎn)品功能簡介收費模式說明管理平臺大數(shù)據(jù)引擎提供大數(shù)據(jù)的處理能力，是各模塊的分析、展示的關(guān)鍵引擎按照日志空間大小、日志源數(shù)量計費云應(yīng)用市場提供第三方廠家的安全產(chǎn)品的接入API根據(jù)第三方廠家計費規(guī)則web監(jiān)測提供租戶網(wǎng)站的漏洞、可用性、篡改事件等監(jiān)測按租戶的網(wǎng)站數(shù)量計費云監(jiān)測數(shù)據(jù)庫監(jiān)測提供租戶數(shù)據(jù)庫的漏洞、配置掃描監(jiān)測按租戶的數(shù)據(jù)庫數(shù)量計費系統(tǒng)監(jiān)測提供租戶應(yīng)用系統(tǒng)的漏洞、配置的掃描監(jiān)測按租戶的虛擬機(jī)數(shù)量計費DDOS防護(hù)為云租戶和云平臺提供按需交付的

14、DDOS防護(hù)按租戶選購的防護(hù)帶寬計費WEB應(yīng)用防火墻為云租戶提供按需交付的web應(yīng)用攻擊按租戶選購網(wǎng)站個數(shù)、防護(hù)伝WAF)防護(hù)帶寬計費云防御下一代虛擬化防火墻VFW為云租戶VPC內(nèi)提供IPS、防病毒、VPN等服務(wù)按并發(fā)計費網(wǎng)頁防篡改為租戶提供網(wǎng)站提供防篡改服務(wù)按網(wǎng)站數(shù)量計費云堡壘機(jī)保障租戶云上IT運維的安全性和審計管理按租戶的虛擬機(jī)數(shù)、并發(fā)數(shù)計費云審計云數(shù)據(jù)庫審計保障租戶云上數(shù)據(jù)庫的訪問行為有據(jù)可依按租戶的數(shù)據(jù)庫數(shù)、并發(fā)數(shù)計費云web審計保障租戶云上的web網(wǎng)站訪問行為有據(jù)按租戶的網(wǎng)站數(shù)、并發(fā)數(shù)計可依費云日志審計收集租戶VPC網(wǎng)絡(luò)內(nèi)所有日志，進(jìn)行關(guān)聯(lián)分析按照日志源數(shù)量計費風(fēng)險評估、滲透提供租戶

15、的網(wǎng)站、系統(tǒng)等風(fēng)險評估、滲透按需交付云服務(wù)測試測試等級保護(hù)預(yù)測評提供租戶的等級保護(hù)合規(guī)咨詢按需交付.所有租戶應(yīng)用可用性及時掌握通過云安全運營平臺的大數(shù)據(jù)分析系統(tǒng)和可視化展示，展示整個云平臺的所有租戶的網(wǎng)站應(yīng)用概況。通過此視圖可以讓云平臺建設(shè)方、運營方了解整個云平臺到底有多少網(wǎng)站應(yīng)用存活，也可以了解有多少網(wǎng)站的出現(xiàn)訪問異常。云安全運營方可以針對網(wǎng)站出現(xiàn)訪問異常情況進(jìn)行跟蹤和服務(wù)，提供增值服務(wù)。.所有租戶應(yīng)用安全狀況了如指掌通過此視圖可以了解整個云平臺所有租戶的網(wǎng)站安全狀態(tài)，主要包括幾個方面：總共有多少網(wǎng)站存在安全漏洞、安全事件；整個云平臺的安全漏洞類型、高危端口分布情況；最新的安全事件取證分析情

16、況；0day漏洞的分布情況；這些信息的了解都可以幫助云平臺運營方去提供豐富的安全增值服務(wù)產(chǎn)品，也能夠大大提升云平臺的應(yīng)急響應(yīng)能力。云平臺防御動態(tài)展示此圖主要是幫助云平臺了解自身云平臺安全防御能力狀態(tài)，比如云平臺建立了10G的web應(yīng)用防護(hù)清洗能力，通過此圖就可以了解到目前有多少用戶啟用了web防護(hù)，整個云平臺受到了哪些類型、地方、IP的攻擊排行，方便云平臺及時采取有效措施。高危漏洞影響快速評估信息安全是一個變化非常快的領(lǐng)域，每天都會有非常多的新型漏洞爆發(fā)，此視圖可以幫助云平臺運營方快速完成0day漏洞的分布情況，通過大數(shù)據(jù)的分析系統(tǒng)基本可以實現(xiàn)：30分鐘完成0day漏洞的影響范圍評估；30分鐘

17、內(nèi)提供具體的漏洞影響單位、域名信息；3秒鐘內(nèi)完成用戶端的告警信息分享；OpenSSL漏洞態(tài)勢分析MMrtUMBJIAUHBBJlIX*LL+MHM遼.M*Msi廣AdtHiftftd#山.Mtt*T1(WtMiU.JtTI11.云租戶安全收益云租戶安全視角主要提供給云租戶集中管理、實施自身的安全防護(hù)產(chǎn)品。讓云租戶擁有最方便的安全方案在云計算平臺上傳統(tǒng)的安全防護(hù)方案都無法按照原始模式進(jìn)行交付，比如傳統(tǒng)的防火墻、IPS、WAF、日志審計等硬件設(shè)備都無法在云平臺進(jìn)行安裝，即使廠家按照軟件方式進(jìn)行交付，也會存在日志采集、流量采集困難，無法達(dá)到防護(hù)策略的最佳效果、無法關(guān)聯(lián)分析等本方案可以幫助云租戶以最小

18、的成本、最便捷的方式開啟云上安全防護(hù)方案。租戶的防護(hù)效果可以從三個方面進(jìn)行：攻擊流：從用戶發(fā)起流量就會經(jīng)過公有云防御中心進(jìn)行DDOS的流量檢查，檢查完畢后流量才會抵達(dá)云平臺出口，并會經(jīng)過本地云防御中心再次進(jìn)行DDOS清洗、WAF清洗、防火墻清洗，然后才會進(jìn)入到云租戶VPC網(wǎng)絡(luò)內(nèi)。云租戶VPC出口還可以部署租戶獨享的下一代防火墻、網(wǎng)頁防篡改等，實現(xiàn)更加精細(xì)化的控制。監(jiān)測流：監(jiān)測主要從兩個方面發(fā)起，一個是通過在公有云防御中心部署的掃描引擎，對租戶的互聯(lián)網(wǎng)應(yīng)用(web)進(jìn)行7*24的監(jiān)測，及時發(fā)現(xiàn)網(wǎng)站的漏洞、訪問狀態(tài)等。而部署在租戶內(nèi)的數(shù)據(jù)庫、系統(tǒng)漏洞掃描引擎，則可以及時發(fā)現(xiàn)系統(tǒng)和數(shù)據(jù)庫層的漏洞情況。3）日志流：通過云平臺API、部署在租戶內(nèi)的日志采集引擎，將租戶相關(guān)安全設(shè)備日志、系統(tǒng)日志、應(yīng)