企业云计算咨询安全规划设计课件

企业云计算咨询安全规划设计集团安全总结0-不存在未考虑IT风险未认可信息安全需要信息安全管理流程完全缺失评估IT风险方式随意信息安全责任定义不清晰员工安全意识薄弱未考虑业务需求未定义信息安全管理层被动响应信息安全事件仅有初步的风险评估方法已定义信息安全策略和技术标准已定义基本的信息安全组织和职责员工已具有基本的信息安全意识已定义信息安全管理制度/流程已定义风险容忍度和量化指标信息安全职责已明确分配、管理并落实员工具有较好的安全意识信息安全流程与企业整体组织安全功能协作与企业安全目标有效整合对信息安全实施的有效性定期评估且持续改进已建立全司层面的风险管理流程并贯彻执行且管理良好

集团现状现状整体表现为：组织：有专业的安全人员和安全团队，沿用传统安全的组织结构；管理：集团有完善的管理制度流程，但缺失关于云计算的安全管理规章制度。技术：信息技术手段及安全设备支撑能力不足，安全产品未对到云计算启防护作用。1-初始级2-可重复级3-已定义级4-已管理级5-优化级安全体系框架总体安全体系规划思路4集团云安全建设目标基本要求（第一分册）物理安全技术要求管理要求云计算安全技术要求（第二分册）网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理物理安全全部参照基本要求说明：《云计算安全技术要求》中，安全技术要求条款在《基本要求》中已涵盖的内容，直接依据《基本要求》中适用的条款执行。

保证云平台管理流量与云租户业务流量分离；根据云租户的业务需求自定义安全访问路径；依据安全策略控制虚拟机间的访问；能识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量；根据云服务方和云租户的职责划分，实现各自控制部分的集中审计；虚拟化层的漏洞扫描、安全加固及防病毒；虚机的数据备份等。目录6云安全规划安全组织4.14网络安全安全制度4.2安全技术4.3安全规划路线4.4集团信息安全组织架构现状1、决策层集团领导担任信息安全决策层，对信息安全发展发现进行引导。2、执行层集团信息中心对集团信息安全提出相关方案和发展建议并确保相关的落地实施；其他部门和其他院所配合信息安全工作。集团组织架构说明

信息安全组织职责规划类别集团领导层信息中心各部门各院所信息安全规划信息安全战略信息安全策略信息安全项目规划决策提案确认或反馈确认或反馈信息安全组织管理信息安全组织职责设计决策提案确认或反馈确认或反馈信息安全沟通与合作——制定确认或反馈确认或反馈信息安全标准管理信息安全管理标准建设——制定确认或反馈确认或反馈信息安全技术标准建设信息安全标准核查——制定确认或反馈确认或反馈信息安全运营管理其他信息安全风险评估信息安全事件管理信息安全审计信息安全教育培训——制定确认或反馈确认或反馈信息安全运营评价与改进决策制定确认或反馈确认或反馈主要工作内容负责组织/部门描述信息安全规划管理信息安全项目规划：保密数据防泄漏策略在集团的部署方案提案信息中心起草策略部署方案，由各个安全专职会提供相关建议建议各部门和各院所安全专职对保密数据防泄漏策略的部署方案在本单位范围的可行性进行确认或反馈决策集团领导层对方案进行最终审议并决策发布集团领导层在审议通过后，发布数据防泄漏策略及落实相关部门在策略部署方面的职责组织及推动落实各部门和各院所安全专职负责落实部署方案中涉及本单位的部分信息中心推动方案的落实，提供技术支持配合执行集团所有部门和院所执行集团信息安全组审议通过的数据防泄漏策略基础网络计算信息安全组织人员规划云安全规划目录安全组织4.14网络安全安全制度4.2安全技术4.3安全规划路线4.4集团安全制度现状信息安全管理制度按照ISO27001的标准制定了比较完善的三级文档制度，但是缺少针对等级保护三级管理制度和流程，缺少虚拟化相关要求文档制度。集团安全制度总体规划根据《信息系统安全等级保护基本要求第1部分通用安全要求》和《信息系统安全等级保护基本要求第2部分云计算安全技术要求草案》规划集团云平台管理。云安全规划目录安全技术4.34网络安全主机安全应用安全4.3.14.3.24.3.3数据安全4.3.4安全制度4.1安全组织4.2安全规划路线4.4集团网络安全规划重点网络结构安全FWLBVMVMFWLBVMVMVRF1VRF2（VirtualPrivateCloudTenant），有私网IP地址需求，可以为其申请的主机自主分配私网IP地址。不同的VPC租户IP地址网段允许重复StorageStorageVPC租户CloudPlatformvPC1vPC2vNETvNETvNET办公网专网VLAN/L2FWLBVMVMVRFnStoragevNET三级区域二级区域集团有多租户需求，且多个租户内会出现IP地址重叠。基于VPC（

VirtualPrivateCloudTenant）技术对租户与租户之间实现隔离，实现多租户东西向安全。网络结构安全网络边界安全找出集团信息内网需要防护的网络边界，利用边界防火墙进行安全防护。针对这些安全边界，规划安全策略（1）位置来源目的策略说明国家综合数据网A数据中心国网数据网默认禁止，部分允许允许部分管理工作国网数据网A数据中心默认禁止，部分允许允许部分管理工作广域网南京数据中心A数据中心默认禁止，部分允许允许部分管理工作武汉数据中心A数据中心默认禁止，部分允许允许部分管理工作AB院区A数据中心默认禁止，部分允许允许部分管理工作霸州/张北/良乡/华享院区A数据中心默认禁止，部分允许允许部分管理工作数据中心A数据中心默认禁止，部分允许允许部分管理工作南京数据中心B同城灾备中心默认允许备份武汉数据中心B同城灾备中心默认允许备份AB院区B同城灾备中心默认允许备份霸州/张北/良乡/华享院区B同城灾备中心默认允许备份数据中心B同城灾备中心默认允许备份针对这些安全边界，规划安全策略（2）位置来源目的策略说明广域网A数据中心南京数据中心默认禁止，部分允许允许部分管理工作A数据中心武汉数据中心默认禁止，部分允许允许部分管理工作A数据中心AB院区默认禁止，部分允许允许部分管理工作A数据中心霸州/张北/良乡/华享院区默认禁止，部分允许允许部分管理工作A数据中心数据中心默认禁止，部分允许允许部分管理工作B同城灾备中心南京数据中心默认禁止，部分允许允许部分管理工作B同城灾备中心武汉数据中心默认禁止，部分允许允许部分管理工作B同城灾备中心AB院区默认禁止，部分允许允许部分管理工作B同城灾备中心霸州/张北/良乡/华享院区默认禁止，部分允许允许部分管理工作B同城灾备中心数据中心默认禁止，部分允许允许部分管理工作A数据中心B同城灾备中心允许B目前作为备份展，不做防护B同城灾备中心A数据中心不允许B目前作为备份展，不允许访问A数据中心访问控制部署实现堡垒机部署在运维管理区，与运维管理区接入交换机连接；堡垒机采用双机热备模式；通过防火墙策略，堡垒机与业务区需纳管的设备、主机、虚机路由可达。性能要求堡垒机需要承载大量管理登录，一旦出现中断会造成无法运维、管理的风险，需要高可靠性，所有堡垒机需支持双机部署。日志要求保存至少一个月，所以堡垒机自带存储空间为1T以上。办公区云平台运管区设备针对主机的访问权限及安全审计风险，部署运维审计系统（堡垒机）。实现数据中心内部资产管理，包含网络设备、安全设备、主机服务器等；实现对数据中心内部资产的访问控制和权限控制，并进行审计记录；实现访问资产时进行双因子认证。入侵防护针对入侵防护，部署入侵防御系统对中心网络进行入侵防御。采用实时分析，自动阻截异常报文与异常流量；识别、阻断某些内网用户对某个或某些特定网站的访问；当发现有异常流量时，生成动态过滤规则对恶意流量进行过滤，同时通过各种手段对合法流量进行验证，保证网络和服务正常提供；实时分析、记录、阻截网络中的病毒报文，防止网络中的主机被病毒感染。部署实现IPS采用透明模式部署在网络中；信息内网部署两台IPS串联在核心交换机之前；信息外网部署两台IPS串联在核心交换机之前。性能要求IPS吞吐量每秒能达到5G级别，满足集团规划需求；IPS造成的延时在微秒级，对客户体验不能造成影响；IPS支持二层回退功能，IPS本身出现故障后不影响整个网络运行状态。入侵防护DDOS攻击一般分为三类。第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程无用武之地。第二类以巧取胜，灵动而难以察觉，每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起。第三类是上述两种的混合，轻灵浑厚兼而有之，既利用了协议、系统的缺陷，又具备了海量的流量。辅助防护措施采用高性能的网络设备尽量避免NAT的使用充足的网络带宽保证升级主机服务器硬件把网站做成静态页面增强操作系统的TCP/IP栈主要防护措施利用专业的DDOS防火墙。没有任何技术是可以完全防御DDOS的方法，所以DDOS这只能平时注意，尽早发现尽早防御。安全审计部署统一日志服务平台实现安全审计。定位于面向业务的安全运维管理中心，实现整网安全风险的监测、预警、响应、管理的闭环管理；实现安全、网络、应用的融合监控；实现安全风险态势呈现、业务部署、安全多维分析、安全响应和报告等。网络设备安全防护网络设备自身的安全是网络安全的一个重要方面，需要对其进行安全加固。从访问控制、服务、配置策略和固件的升级方面进行考虑。禁用无关服务1、根据需求确定设备应提供的网络服务，对于之外的网络服务应该禁用。2、禁用不该有的缺省服务和已知的不安全服务。修改不安全的配置1、对配置进行审查，对不安全的配置进行修改。比如，设备出厂时一般都会有一个管理员帐户，并配安全强度不够的口令或者很简单的口令字，容易被暴力（bruteforce）攻破。访问控制1、只有那些需要访问设备的人被允许进行设备访问。在最小权限下，对角色进行检查，删除不必要的权限。固件升级1、设备都会有各种各样的Bug存在，这些Bug的存在可能会为攻击者创造入侵机会。比如DLINK漏洞；绿盟、启明星辰和铱讯通的WAF产品存在上传检测bypass漏洞，攻击者可利用该漏洞绕过WAF检测，直接上传文件。网络安全规划图其中安全产品DDOS攻击防护、WAF和上网行为管理双机热备模式串联在出口区，IPS串联在出口区。虚拟网络采用SDN、VPN和NFV架构。网络区域边界利用边界防火墙进行防护。所有的设备进行安全加固。霸州/张北/良乡华亨院区A/B院区武汉数据中心南京数据中心广域网核心交换WAFIPSFW异构FWDMZ区接入交换链路接入交换汇聚交换Internet接入交换上网行为管理DDOS攻击防护开发测试区二级系统区SDNVPNNFV设备安全加固云安全规划目录安全技术4.34网络安全主机安全应用安全4.3.14.3.24.3.3数据安全4.3.4安全制度4.1安全组织4.2安全规划路线4.4主机安全规划重点主机安全入侵防护所有的设备进行安全加固。主机系统的安全加固，对已上线运行的物理主机和虚拟主机，采用自动配置下发的方式进行加固；对将来将要上线的虚拟主机，加固虚拟机模板后续主机系统的安全性。……云计算资源区已上线的操作系统未来上线的操作系统物理资源区操作系统通过关闭不必要的服务、禁用不需要的端口、修改不安全的配置实现操作系统的安全通过修改模板的安全配置实现操作系统恶意代码防护无代理杀毒软件实现无代理恶意代码防护，同时具备攻击防护、虚拟补丁和细粒度访问控制功能。QEMU防恶意程序后端驱动防恶意程序引擎用户虚拟机VM防恶意程序虚拟机驱动QEMU网络流量重定向驱动用户虚拟机VMvNICBridgeOVSCVK安全管理程序管理中心DSM网络安全引擎系统安全配置以及安全日志数据库管理中心CVM主机访问控制安全组，是一些规则的集合，用来对虚拟机的访问流量加以限制，使用iptables，给虚拟机所在的宿主机添加iptables规则。可以定义n个安全组，每个安全组可以有n个规则，可以给每个实例绑定n个安全组，nova中总是有一个default安全组，创建实例的时候，如果不指定安全组，会默认使用default安全组。1、安全组通过IPTables来做包过滤；2、安全组由L2Agent来实现,比如neutron-openvswitch-agent和neutron-linuxbridge-agent,会将安全组规则转换成IPTables规则,而且一般发生在所有计算节点上。3、安全组则可以作用于任何进出虚拟机的流量。4、在云平台中部署安全组可以和防火墙达到双重防护。外部恶意访问可以被防火墙过滤掉,避免了计算节点的安全组去处理恶意访问所造成的资源损失。即使防火墙被突破,安全组作为下一到防线还可以保护虚拟机。最重要的是,安全组可以过滤掉来自内部的恶意访问。剩余信息保护利用虚拟平台自带的彻底销毁数据功能销毁虚拟机数据。主机安全审计通过安全监管平台实现虚拟机的监控，并对异常进行告警。主机安全规划图通过VPC通道保证租户隔离。无代理杀毒保证主机病毒防护。安全组保证主机的访问控制安全。安全监管平台保证主机审计。物理服务区（测试及分布存储区）存储及备份区vswitchVMVMVMvswitchVMVMVM三级等保业务区核心交换机vswitchVMVMVMvswitchVMVMVM二级等保业务区大数据区（VDI区）VxLAN虚拟化管理备份软件云平台管理区广域网安全组安全监管平台杀毒软件VPC通道VPC通道主机系统、数据库安全加固WAF网页防篡改监听端网页防篡改监听端代码审计服务网页防篡改漏洞扫描平台业务区

云安全规划目录安全技术4.34网络安全主机安全应用安全4.3.14.3.24.3.3数据安全4.3.4安全制度4.1安全组织4.2安全规划路线4.4应用安全规划重点应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性防抵赖软件容错资源控制要点身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性防抵赖软件容错资源控制组合鉴别技术敏感标记的设置审计报表及审计记录的保护敏感信息清楚、存储空间释放加密技术整个报文及会话传输过程加密原发证据的提供出错校验、自动保护资源分配、优先级、最小化服务及检测报警代码审计针对代码无法发现代码中存在的安全漏洞，利用代码审计发现和杜绝现有的代码中存在的不规范而导致的漏洞，预防以后出现类似安全风险。Web应用系统在开发过程中不可避免的会存留诸多安全缺陷，加之集团复杂的业务场景和部署环境更使其在运行过程中面临多种多样的安全风险。在Web应用系统上线前针对源代码进行安全检测，可以大幅降低应用系统生命周期中遭遇攻击的可能，并减少后期的维护成本。定期代码审计服务应该至少包含：代码规范检查、代码漏洞扫描、渗透测试等。代码审计功能实现漏洞发现在防范攻击的同时，集团还应建立漏洞扫描系统及定时扫描机制，并及时更新漏洞库。漏洞扫描系统发现集团现网内的安全漏洞，并给出整改建议。可以通过模拟渗透测试、暴力破解、合规审查等方式发现现网内存在的风险点，比如：弱口令、不安全的服务等。漏洞扫描不需要实时扫描，扫描频率在每月一次，输出扫描报告，对有新上线的业务或模块进行即时扫描。根据扫描结果对高中危漏洞进行判断整改。漏洞扫描系统扫描时会产生大量日志，会占用扫描对象计算资源（CPU利用率会增加1%-3%），存在极小的宕机风险。漏洞扫描系统一般采用加密狗认证，加密狗一般采用USB2接口，虚拟机无法直接透传，建议采用第三方透传软件在虚拟机上进行认证或者在物理服务器上直接使用加密狗认证。漏扫系统功能实现分析和指出有关WEB应用、数据库、操作系统中的安全漏洞及被测系统的薄弱环节；支持渗透测试、暴力破解、合规性审查等要求；支持详细的检测报告；支持详细的修补措施和安全建议。漏扫系统部署实现部署在管理区；WEB应用、数据库、系统扫描软件部署在同一台服务器，通过物理服务器的USB接口利用加密狗进行认证。漏扫系统性能要求运管区无法支持在线更新，需要扫描系统支持离线扫描；扫描系统扫描时，对扫描对象不能造成影响（产生日志除外）；支持多线程扫描。WEB应用防护对集团的WEB应用入侵防护处理，建议使用WEB应用防火墙（WAF）实现。WEB应用漏洞主要来源：应用本身代码存在安全隐患；承载应用的基础架构自身的安全漏洞部署WAF的主要考虑：集团的WEB应用关系重大，一旦被攻破对公司、社会甚至国家会造成极大的负面影响。集团的WEB应用潜在的威胁极高。基于集团现有的基础架构和工作模式，随着业务的发展和越来越多的漏洞曝光，会持续出现新的可利用漏洞；现阶段WEB应用防火墙采用透明模式部署在出口区，随着集团业务的发展和多租户的需求，可以采用软件WEB应用防火墙用反向代理的模式部署在云计算租户下。WEB应用防护网页防篡改为网站提供不间断的监控与保护，有效的保障网站的完整性和真实性。

对非法请求，恶意扫描及数据库注入攻击等进行拦截，只有合法的请求被正常响应，对访问网页进行实时规则检查，对网页的篡改及删除等操作进行拦截，并且产生日志及报警对网页更改全部禁止，需要更改的部分通过白名单更改。网页篡改的特点：传播速度快、阅读人群多；复制容易，事后消除影响难；作案环境和工具相对简单；预先检查和实时防范难。网页篡改的危害：破坏机构形象；简介成为非法牟利的工具；影响和谐社会的建设。应用安全规划图通过VPC通道保证租户隔离。WAF热备串联在出口区，对网内WEB应用进行防护。网页防篡改管理端部署在云平台管理区，监听端部署在WEB应用服务器上。漏洞扫描平台部署在管理区。物理服务区（测试及分布存储区）存储及备份区vswitchVMVMVMvswitchVMVMVM三级等保业务区核心交换机vswitchVMVMVMvswitchVMVMVM二级等保业务区大数据区（VDI区）VxLAN虚拟化管理备份软件云平台管理区广域网安全组安全监管平台杀毒软件VPC通道VPC通道主机系统、数据库安全加固WAF网页防篡改监听端网页防篡改监听端代码审计服务网页防篡改漏洞扫描平台业务区

云安全规划目录安全技术4.34网络安全主机安全应用安全4.3.14.3.24.3.3数据安全4.3.4安全制度4.1安全组织4.2安全规划路线4.4数据安全规划重点数据安全要点数据完整性数据保密性备份和回复数据完整性数据保密性备份和恢复数据存储、传输，完整性检测和恢复数据存储、传输，加密保护冗余、备份数据审计针对数据库操进出流量的审计，采用数据库审计系统进行审计。集团的数据库审计系统采用分布式部署，两个监听端和一个管理端，随着集团数据库的数量和业务量的发展可以很好的进行弹性扩展。数据库审计系统的功能：有效解决对数据库访问的安全监控难题；实现对数据库所