深信服云安全解决实施方案

./深信服云安全解决方案深信服电子科技有限公司2015年11月7日目录第一章建设背景41.1云平台背景41.2云平台建设意义4第二章需求分析52.1需求概述52.2平台侧需求7平台安全需求7接入安全需求8业务可靠需求92.3租户侧需求102.3.1租户间隔离需求分析102.3.2租户虚拟机需求分析112.3.3租户互联网业务需求分析112.3.4租户外网业务需求分析122.5管理运维需求13第三章设计原则14第四章解决方案154.1解决方案综述154.2平台侧设计方案17平台安全方案.平台分区分域.防网络病毒.应用安全防护.防止漏洞攻击.多业务数据隔离和交换20接入安全方案20云间安全互联21租户安全接入22业务可靠需求.防拒绝服务攻击.链路/全局负载均衡234.3租户侧设计方案25租户安全设计25业务系统安全26业务稳定可靠26业务安全接入27租户应用场景294.3.6NFV安全组件部署方式314.4管理运维设计方案324.4.1平台运维324.4.1租户运维334.4.1平台服务商合作运维34第五章解决方案价值355.1高安全：提供专业、可靠的服务365.2高性价比：降低IT建设成本365.3高效率：业务系统部署速度快375.4高协同：降低信息共享和业务协同难度37建设背景1.1云平台背景云计算的兴起,给人们的工作方式以及商业模式带来根本性变化,甚至可能掀起信息技术的第三次"浪潮"。目前,云计算在电信、互联网、IT行业以及金融等方面都扮演着举足轻重的角色。正如业界虚拟化领域的一位资深专家所言："以前大家对于云计算可谓众说纷纭,都有各自不同的见解和看法,而现在业界已逐渐形成共识：云计算就是下一代运算模式的演变。每家单位都要建立自己的云计算模式,其第一步要做的就是完成内部云或私有云的建制。内部云建制的科技基础就是虚拟化云平台,这也将成为拉动整个虚拟化云平台市场持续走高的成长动力。"在大企业,虚拟化云平台能帮助单位在业务层面实现弹性架构和资源池化,一方面可以大幅提升存储计算等各种硬件资源的利用效率,另一方面还可明显提升办公、对外服务的开通时间、可用性以及灾难恢复等能力。著名咨询公司Gartner将虚拟化云平台技术列为2009年十大战略技术第一位,而在2010年初发布预测中,更是大胆断言到2012年20%的单位将不再拥有IT资产。尤其在大企业,因为多个内在关联的趋势正在推动大企业逐步减少IT硬件资产,这些趋势主要是虚拟化云平台、云计算服务、虚拟化的桌面交付等。而虚拟化云平台技术,作为云计算的一个支撑技术,必将成为未来最重要的最值得研究的IT技术之一。1.2云平台建设意义云平台的搭建将有助于IT系统从粗放式、离散化的建设模式向集约化、整体化的可持续发展模式转变,使IT管理服务从各自为政、相互封闭的运作方式向跨部门跨区域的协同互动和资源共享转变。1、云计算能够降低信息化成本在云环境下,可以将信息技术资源交给专业的第三方云服务商管理,由云服务商提供需要的信息技术基础架构、软硬件资源和信息服务等,各子公司、集团根据按需付费的原则定制需要的信息服务。这带来了两大好处：一是不需要投资建立大量的数据中心和大型机房,购买服务器和存储设备等,从而节省建设费用；二是信息软硬件资源交给专业的云服务商管理,集团不再负担信息系统维护和升级,节省了运维费用。2、云计算提高业务系统的部署效率云平台具有较高的灵活性,集团实施新的应用系统时,不必购买额外的软硬件,而是利用已有云基础设施,快速部署系统,提高应用部署速度。开发者在一个平台上构建和部署应用程序,大大提高了信息系统部署效率。3、云计算降低信息共享和业务协同难度长期以来,各应用系统普遍存在各自为政、资源分散等问题。尽管信息难以共享的根源在于业务系统机制问题,但云计算能从技术上降低信息共享和业务协同的难度。通过云平台,多个部门/集团子公司可以共用相应的基础架构,实现各业务系统之间的软硬件共享,提高信息共享的效率,扩大信息共享范围；软硬件资源和信息资源的共享将有利于促进各部门内部与部门之间的业务系统的整合,为各部门业务协同创造条件。4、云计算有助于提高服务效率通过云平台实现软硬件资源所有权与使用权的分离,各子公司将在不拥有软硬件资源的情况下享受信息服务。因此,集团的IT部门能够集中人力物力进行本部门的业务运转,从而减轻行政负担,能有更多的精力专注于面向公众的公共服务,提高效率。同时,在部署了以云计算为技术支撑的云平台以后,后台信息的烟囱式部署方式的壁垒将被打破,从而实现业务数据的统一共享,这对前台服务界面的统一打通有着重要意义,将使得业务系统的统一化不再停留在前台展示层面,而切切实实的实现服务的高效与统一。需求分析集团的云平台一般为专有云架构,专有云平台承担集团内部服务的内容如业务应用系统等,为各分公司、集团子公司的应用系统提供基础设施支撑。云资源共享专区通过安全隔离措施访问公有云〔互联网、公众服务专区；各子公司需要对互联发布的业务系统应根据服务对象逐步迁移至云平台上,实现集中集约部署。2.1需求概述从整个云平台整体安全角度来看,我们需要考虑三个方面的设计：云平台安全、租户侧安全、安全运维管理和便捷性。图2.1-2云平台安全需求框架云计算平台和传统计算平台的最大区别在于计算环境,云平台的计算环境比传统意义上的计算环境要更加复杂。对云平台的计算环境的保护也是云平台下信息安全整体保护体系的重中之重。除了平台的安全问题,租户侧也面临一些安全问题,比如接入环境是否满足安全要求、业务系统是否安全、用户访问或接入业务的安全风险、虚机之间信息交换是否安全、业务系统服务可靠性等需求。整个云平台安全运维也成了一大难题,首先平台本身以及平台中的业务系统的安全现状难以实时监测,因此无法做到有效审计,不能追溯安全问题；其次,对于资源池中的安全服务,如何做到动态灵活的统一管理、智能分配,满足云环境下动态高效的需求；再次,租户业务系统迁入后,如何快速的获得所需的安全配额,实现针对性的策略配置和自主运维。归纳起来,云平台整体安全需求如下图所示：图2.1-3云平台整体安全需求2.2平台侧需求对于云来说,平台无疑是对外提供服务的基础,无论是建设运营方,还是租户,对于平台自身的可靠性、安全性都是极为关注的。因此平台层的安全建设需要从平台安全防护,平台的接入安全,以及平台服务可靠性方面来建设,保证云平台业务系统安全可靠运行。平台安全需求平台需要直接连接互联网,面临着非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、web应用保护、僵尸木马、DDoS攻击等各种安全问题,并且其底层和其上的系统软件可能存在的安全漏洞将影响到整个平台系统的安全,攻击者在利用漏洞入侵到平台之后,可以对整个平台内部的资源进行各种破坏,从而导致系统不可用,或者数据丢失、数据泄露,其潜在的威胁将无法估量。分区分域需求在安全设计方案中,我们需要将省级部门的业务通过逻辑隔离划分不同的安全域,首先云平台建设时需考虑将基础设施资源划分为两个独立的区域,分别为互联网业务区、公用网络区,两个区域间不能直接访问,仅能通过跨网数据交换区进行数据交换。每个等保区域内不同租户应用间通过VLAN/VxLAN网络隔离,租户间通过访问控制设备进行访问控制,禁止非授权访问。云平台支持虚拟私有云,可以在一个云数据中心里灵活设定多个虚拟私有云,多个私有云之间使用VPN技术或VXLAN技术,达到端到端的隔离效果。防网络病毒需求云平台的核心是计算和数据资源,因此也是网络入侵者最主要的目标。病毒、蠕虫、木马等恶意代码一旦感染云平台系统或应用,就可能在平台内部快速传播,消耗网络资源,劫持平台应用,窃取敏感信息,发送垃圾信息,甚至重定向用户到恶意网页。所以云平台安全建设需要包含检测和清除病毒蠕虫木马等恶意内容的机制。云应用安全需求云环境的随需部署和动态迁移,使安全策略的部署变得复杂,需要一个灵活动态安全机制来适配虚拟化网络安全防护。因为应用只与虚拟层交互,而与真正的硬件隔离,导致应用层的安全威胁缺乏监管而泛滥,安全管理人员看不到设备背后的安全风险,服务器变得更加不固定和不稳定。云环境中B/S架构的业务普遍存在,大量的Web业务应用引入各种各样的漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对云应用的攻击,比如SQL注入、跨站脚本攻击等,进而实现对内部敏感信息监控、窃取、篡改等目的。因此需要有效的设备来识别并防护针对业务系统漏洞的攻击。防止漏洞攻击云平台内部有大量业务服务器,其底层和业务应用系统会不断产生新的安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对云平台的攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对网站敏感信息监控、窃取、篡改等目的。因此需要有效的手段来识别并防护针对系统漏洞的攻击。接入安全需求云平台接入安全首先要考虑租户的安全接入,租户接入的目的主要是对托管的业务、租赁的服务进行运维管理,因此需要对接入平台的租户身份进行有效的认证,避免非法用户接入带来的危害；而对于普通用户来说,平台内部哪些资源是对其开放的,哪些资源不能访问需要界定；在整个大平台内部,不同的云业务及虚拟私有云之间会有大量的信息交互,因此需要考虑如何保障云间业务的安全互联,避免信息泄露和越权访问。云间安全互联云平台里面可能包含了多个部门数据中心或虚拟私有云,跨部门或跨级别之间也会进行信息的流转,传统数据中心和云平台系统进行信息交互,这些信息往往涉及到机密等级的问题,应予以严格保密。因此,在信息传递过程中,必须采取适当的加密方法对信息进行加密。基于IPsec的加密方式被广泛采用,其优点显而易见：IPSEC对应用系统透明且具有极强的安全性,同时也易于部署和维护,这对于庞大的云平台来说,显得极有好处。租户安全接入集团子公司〔租户业务系统上线后,面临着用户远程接入访问的问题,不管是运维人员的运维接入,还是集团子公司用户的接入,都是需要慎重考虑接入安全的问题,尤其是使用BYOD接入访问,更应该对其接入进行严格的身份认证和安全核查,同时对用户访问行为进行合理的权限划分,避免安全问题从远端传递过来并在云平台蔓延。用户访问安全一些集团子公司部门通过云平台对外发布的业务应用,平台用户可以直接使用互联网进行访问,用户能够访问的资源,需要靠访问控制的安全策略来核查,避免非授权的数据泄漏问题。访问控制系统的安全目标是将云计算中心与不可信任域进行有效地隔离与访问授权。访问控制系统应根据各业务的安全级别要求和全网安全策略控制出入网络的信息流,并且系统本身具有较强的抗攻击能力。访问控制系统由防火墙系统组成,防火墙在网络入口点根据设定的安全规则,检查经过的通信流量,在保护内部网络安全的前提下,对两个或多个网络之间传输的数据包和联接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许。业务可靠需求云平台需要保障服务可靠性,一旦出现中断将造成重大损失,并且影响集团形象。服务中断来源于俩方面：一方面因为攻击造成拒绝对外提供服务,这种情况下服务器或带宽资源被消耗完,导致无法处理后续服务；另一方面是因为服务器故障停止对外服务、出口链路中断、数据中心切换等问题带来的服务软中断；此外,灾难、电力供应等不可抗拒性也会导致服务中断,此类事件一旦发生,便会造成数据中心毁灭性的破坏。同时会对租户的公信力产生非常不利的影响。不可抗拒性的中断建议采用冗余数据中心的方式来解决。而云平台内部,每套业务系统都会有多个服务器〔虚机来承担服务,出口网络也会选用多家Internet服务,因此使用服务器负载、链路负载设备就能解决软中断问题。防止拒绝服务云平台上托管着大量的面向互联网的服务,往往会成为拒绝服务的攻击目标。黑客控制着大量的僵尸"肉机",从而发起向云平台的大量异常请求,这种攻击行为使得Web等系统充斥大量需要响应的信息,严重消耗网络系统资源,导致外联服务平台无法对外正常提供服务,影响云平台和各集团子公司部门正常的业务开展。链路负载均衡云平台接入往往多条运营商链路,从而保证网络服务的质量,消除单点故障,减少停机时间。为提升外部用户从外部访问内部网站和应用系统的速度和性能,就需要对多条链路进行负载优化,实现在多条链路上动态平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路,保障业务应用不中断。全局负载均衡当某一云中心出现系统性故障时,或者某一云中心的性能负载出现过大问题时,可以通过全局负载,进行实时业务调度,让两个或者多个云数据中心能够互为备份,让用户获得就近最快速的访问。2.3租户侧需求租户间隔离需求分析在设计方案中我们看到,要求将各部门的业务通过逻辑隔离划分不同的安全域,首先云平台建设时需考虑将基础设施资源划分为两个独立的区域,两个区域间不能直接访问,仅能通过跨网数据交换区进行数据交换。其次为满足等保合规需求,每个业务区内还需要划分二级等保区和三级等保区两个区域,两者的计算资源不允许共享。每个等保区域内不同租户应用间通过VLAN/VxLAN网络隔离,租户间通过访问控制设备进行访问控制,禁止非授权访问。租户虚拟机需求分析在云平台的环境下,租户内部存在一台或多台虚拟机,虚拟机是否安全和可靠直接影响到租户业务的质量好坏,而虚拟机主要存在以下需求：对虚拟主机进行安全加固,采取措施防止通过虚拟机漏洞获得对所在物理机的访问和控制；单台物理服务器上的各虚拟机之间可能存在二层流量交换,而这部分流量对于管理员来说是不可见的。在这种情况下,管理员需要判断虚拟机之间的访问是否符合预定的安全策略,或者需要考虑如何设置策略以便实现对虚拟机之间流量的访问控制及安全风险检测；保证不同虚拟机之间的隔离,屏蔽非必要的虚拟主机之间的互访,即使有数据互访的需求也是在管理员知情并批准的提前下且需经过防火墙的安全检测；对虚拟机的可靠性保障,实时监测虚机的性能状态,出现故障时能及时修复,在多台虚机间做负载均衡；提高虚拟机的利用率,实时监测虚拟机的业务量,在业务的高峰期,能够新增适量的虚拟机来保障用户访问请求的及时快速处理。在业务的低谷期,能够减少虚拟机来避免资源的浪费,实现资源的动态调整。租户互联网业务需求分析租户基于云平台构建的互联网业务系统,其安全风险与传统基于物理主机构建的业务应用相似,操作系统、数据库、Web服务器软件、中间件及应用软件相关安全风险和可靠度均需要加以关注。租户的互联网业务主要承载对外发布系统、门户网站等,用户主要是互联网用户,因此该区域的需求分为了访问控制、web安全防护、入侵防御、病毒防护、安全管理、应用可靠、用户体验。1.虚拟化访问控制：通过互联网接入云租户的用户,合法性难以保证,因此需要设置相应的访问安全策略来控制流量的访问,实现安全隔离与防护。2.虚拟化Web安全防护：在云平台中,同样存在Web攻击,黑客通常会采用Web攻击的方式来入侵Web服务器,一旦获取了权限,将造成信息泄露、网页篡改等风险,因此对于云平台同样需要做到Web的安全防护。3.入侵防御：风险不仅存在于网络层,业务应用如果存在漏洞,也会给黑客可趁之机,造成漏洞攻击,同时还存在各种病毒侵染,因此需要有完备的入侵防御体系来保障租户业务的安全。4.业务可靠：租户的业务系统上线后,与传统的硬件平台一样,也存在着应用假死、出口线路拥塞&故障、用户的请求被错误的分配等问题,我们需要提供一种有效的方法实现云应用的实时监控及访问请求的智能调度,杜绝因虚机故障或应用假死造成访问中断。5.用户体验：当访问量过多,业务量太大时,用户的访问速度变慢,如何在不改变用户的使用习惯的情况下,通过合理调配链路、虚拟机等资源来实现访问速度的提升？租户外网业务需求分析租户的外网业务主要是用于各集团子公司单位人员接入访问或者移动办公、出差人员的访问,流量经过互联网或者广域网,该区域存在的需求如下：1.安全接入：访问的人员需要经过认证授权,防止非法访问,同时流量流经城/广域网,需要进行加密传输,防止数据泄密的风险。2.权限划分：众多的应用系统需要采用合理的访问权限控制机制,避免将重要服务器暴露在所有内网甚至外网用户面前,因密码爆破、越权访问等行为导致系统内重要数据的泄露。同时,针对于不同的应用系统对访问人员做好细致的访问权限控制,避免越权访问。3.流量清洗：病毒、木马可以通过广域网扩散到云平台,而终端用户的安全意识往往比较薄弱,如果终端被黑客控制,成为黑客攻击的跳板,将会对整个云平台业务造成损失,因此我们需要对访问流量进行清洗,以保证其安全性。4.安全防护：与传统数据中心类似,云平台中的安全需求也是不仅能够防护传统网络层的风险,还能识别并防护应用层的威胁,防止漏洞攻击,实现双向内容检测,防止敏感信息泄露。5.应用加速：很多业务应用通过广域网传输时,即使带宽够用,但往往丢包多、延时大,比如视屏会议,经常会出现马赛克、画质不清晰等问题,导致体验不佳,如何实现用户与云间核心应用的加速？6.业务可靠：租户的业务系统上线后,与传统的硬件平台一样,也存在着应用假死、虚机故障、出口线路拥塞&故障、用户的请求被错误的分配等问题,我们需要从以下两个方面来更好的保障租户业务系统的稳定：提供一种有效的方法实现云应用的实时监控及访问请求的智能调度,从而保障用户访问体验,杜绝因虚机故障或应用假死造成用户访问中断。和管理平台进行实时联动,在业务的高峰期,能够新增适量的虚拟机来保障用户访问请求的及时快速处理。在业务的低谷期,能够减少虚拟机来避免资源的浪费。2.5管理运维需求"三分技术,七分管理",有效的运维管理是保障安全的重要手段。基于云计算模式的业务系统对数据安全、隐私保护提出了更高的要求,在数据管理权与所有权分离的状态下这些问题显得更加突出。从运维安全的角度来看,可信云的建设需要严格界定云平台的应用边界,同时还要健全云计算数据保护的标准体系,建立完善的云计算服务平台建设规范和信息安全管理规范,从管理上最大限度地降低风险隐患。在管理运维角度,我们从以下几个方面进行重点关注：租户运维：需要将租户管理账号与云基础设施管理账号的权限分离,防止租户主机非授权访问。同时租户管理界面还能够直观的看到当前云平台提供的各类安全、服务、稳定性组件,租户管理只需在管理界面上即可轻松的开启、关闭各功能模块,从而实现租户的个性化安全、服务需求。同时,在管理平台上应能定期的生成各租户的安全风险报表,可以帮助平台上督促租户进行漏洞发现、安全整改等工作。从而让租户管理员轻松的了解目前的安全短板所在,从而进行针对性的补足。云平台运维：管理平台〔网管平台、安全管理平台、云管理平台仅允许通过管理区域内的管理终端本地访问,避免远程管理可能引入的系统风险。同时在互联网区与公用网络区的管理网络中断部署防火墙等安全设备,用于两个管理网络的安全隔离。网管平台通过SNMP等方式实现对多种IT资产进行统一的管理,包括服务器、网络设备、安全设备、应用系统等设备。同时云平台管理员从安全管理平台上能够看到当前平台下所有虚机的安全风险状况,从而可以更加有效的管理整个云平台的安全。平台服务商合作运维：具备通过统一的接口实现云监管平台的相关管理功能要求〔OpenStack,能够和平台服务商进行合作开发,从而实现更加高效、完整易用的管理。设计原则本次云平台的总体设计原则如下：统一性原则由于云计算是一个复杂的体系,应在统一的框架体系下,参考国际国内各方面的标准与规范,严格遵从各项技术规定,做好系统的标准化设计与施工。成熟稳定由于云计算的发展变化很快,而本项目建设时间紧,涉及面广,应用性强,在设计过程中,应选成熟稳定的技术和产品,确保建成的云平台适应各方的需求,同时节约项目施工时间。实用先进为避免投资浪费,云平台体系的设计不仅要求能够满足目前业务使用的需求,还必须具备一定的先进性和发展潜力,使系统具有容量的扩充与升级换代的可能,以便该项目在尽可能的时间内与业务发展和信息技术进步相适应。开放适用由于云计算平台为各业务应用系统提供支撑,必须充分考虑系统的开放性,提供开放标准接口,供开发者、用户使用。经济性原则云计算操作系统应在满足云平台建设需求的前提下具备较高的性价比。同时,云计算操作系统必须提供本地化技术支持,降低云平台维护成本。安全可靠云平台涉及用户范围广,数量大,实时性强,设计时应加强系统安全防护能力,确保系统运行可靠,业务不中断,数据不丢失。本次方案设计中参考的依据如下：GB17859-1999计算机信息系统安全保护等级划分准则GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T25058-2010信息安全技术信息系统安全等级保护实施指南中共中央办公厅、国务院办公厅《国家信息化领导小组关于我国电子政务建设的指导意见》〔中办发[2002]17号；国家信息化领导小组《国家信息化领导小组关于加强信息安全保障工作的意见》〔中办发[2003]27号；《国家信息化领导小组关于推进国家电子政务网络建设的意见》〔中办发[2006]18号；国务院办公厅关于加强政府网站建设和管理工作的意见<国办发〔2006104号；国家发展改革委《关于国家电子政务外网〔一期工程项目建议书的批复》〔发改高技[2004]2135号；解决方案4.1解决方案综述对于云服务商而言,根据前面的需求分析,以及平台的建设思路和建设目标,我们从平台层、租户层、安全运维管理这三个方面来设计云平台整体安全方案,其框架图如下所示：云平台安全设计框架在平台层,我们主要解决了平台整体的网络数据安全的问题,以及租户和用户接入平台、云间互联的安全问题,此外云平台层面,我们也考虑了业务可靠性的安全保障。这部分主要采用硬件设备：平台互联网出口：两台下一代防火墙、两台应用交付、两台SSLVPN在租户层,我们考虑了业务安全上云的问题,以及业务应用安全、租户、用户接入安全问题,此外在租户侧我们还考虑了主机和虚机横行访问的安全问题。每个租户根据需求部署虚拟化软件安全、优化产品〔根据第一期要求,配置XX个租户的规模,vAF共计XX核授权、vAD共计XX核授权：vAF：每个租户的虚拟下一代防火墙,分配2-8核虚拟CPU,提供200-1G性能vAD：每个租户的虚拟应用交付,分配分配2-8核虚拟CPU,提供200-2G性能在安全运维管理方面,我们从平台方和运维方分别分别进行了安全运维考虑,帮助平台方实现集中监控和运维审计,实现租户随需选配和自主运维安全服务的需求。运维管理网边界：下一代防火墙、一套集中管理系统SC4.2平台侧设计方案云平台安全部署框架如上图所示,在云平台物理网络边界部署安全、应用交付类产品,如下一代防火墙NGAF、安全网关SSLVPN、应用交付AD等产品,形成安全硬件资源池,在物理网络出口提供平台级的整体安全保护,实现如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB安全防护、接入安全、服务器负载均衡等功能,实现2到7层安全防护和应用、链路的负载优化,实现精细的区域划分与可视化的权限访问控制,保证云平台和内部业务系统具备更高的安全性、可用性、持续性,以及快速性。平台安全方案云平台物理网络出口部署的下一代防火墙NGAF可以有效保障平台的安全。深信服下一代防火墙〔Next-GenerationApplicationFirewallNGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有全面的应用层安全防护功能和强劲的处理能力。深信服NGAF设备实现了完整的二到七层网络数据安全保护,提供了业界领先的访问控制、入侵防御、病毒防护、漏洞保护、Web应用安全保护等功能,实时防御来自互联网、外网的非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为,确保了平台网络和业务系统数据持续安全运行。平台分区分域平台层整体安全架构如上图所示,依照云平台的建设需求,本次云平台利用NGAF实现了公用网络区和互联网区区域边界划分,其中公用网络区主要是部门系统内和系统间的互访,互联网用户不能直接访问这个区域的数据和信息系统；互联网区部署的是集团的WEB等托管服务,完成信息互联网发布和数据填报。在各安全区内,又从接入区、核心网络交换区、计算存储区、运维管理区进行安全区域划分,而在公用网络区和互联网区之间,专门设置了数据交换区,满足两个区域之间高强度的网络数据隔离和信息互换需求。通过云平台区域边界划分和安全隔离,实现网络服务、应用业务的独立性和各业务的隔离、互访安全保障。防网络病毒NGAF提供了先进的网络级病毒防护功能,能够有效查杀病毒木马、僵尸网络、APT攻击、漏洞攻击等威胁,防止针对云平台的病毒入侵行为。NGAF的APT检测功能主要解决的问题：针对平台内部的主机感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该流量,并根据策略进行阻断和记录日志。帮助客户能够定位出那台PC中毒,并能阻断其网络流量,避免一些非法恶意数据进入客户端,起到更好的防护效果。NGAF提供了网络病毒防护功能,从病毒传播的途径中对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包〔zip,rar,7z等中的病毒,内置百万级别病毒样本,确保查杀效果。应用安全防护云环境中B/S架构的业务普遍存在,大量的底层系统和Web业务应用会成为黑客入侵的跳板,因此需要有效的手段防御WEB应用攻击,防止云平台在应用安全保护上出现短板。NGAF具备专业的web应用安全防御功能,能够解决常见的web应用安全问题,如SQL注入攻击,跨站脚本攻击攻,CSRF即跨站请求伪造,网站扫描攻击,文件包含漏洞攻击,目录遍历漏洞及弱口令风险发现。并且能通过隐藏业务系统版本来提高入侵者的攻击难度。可隐藏的服务器包括WEB服务器、FTP服务器、邮件服务器等。可隐藏的应用信息包含HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏。NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。〔如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。防止漏洞攻击云平台内大量主机的底层和业务应用系统会不断产生安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对漏洞攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对网站敏感信息监控、窃取、篡改等目的。NGAF同时提供实时的漏洞保护和防护能力,能够实时对操作系统、应用程序漏洞,如HTTP服务器<Apache、IIS>,FTP服务器<FileZilla>,Mail服务器<Exchange>,Realvnc,OpenSSH,Mysql,DB,SQL,Oracle等漏洞保护,包括后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等,有效防止了云平台主机漏洞被利用而成为黑客攻击的跳板。NGAF还内置了国内最大的僵尸网络识别库,能有效防止云平台内部大量的主机被植入僵尸病毒。该特征库包含木马,广告软件,恶意软件,间谍软件,后门,蠕虫,漏洞,黑客工具,病毒9大分类。特征库的数量目前已达五十万,并且依然以每两周升级一次的速度持续进行更新。多业务数据隔离和交换面向外网用户的公共服务区和面向互联网服务的互联网区,两区之间采用强隔离技术实现数据交换或同步:为了保障平台层的安全,在互联网区与公用网络区出口边界部署深信服下一代防火墙NGAF。NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有全面的应用层安全防护功能和强劲的处理能力。深NGAF设备实现完整的二到七层网络数据安全保护。深信服NGAF提供了业界领先的访问控制、入侵防御、病毒防护、漏洞保护、Web应用安全保护等功能,实时防御来自互联网、外网的非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为,确保用户接入安全,保障平台网络和业务系统数据持续安全运行。接入安全方案集团子公司〔租户业务系统上线后,面临着用户远程接入访问的问题,不管是运维人员的运维接入,还是租户的接入,都是需要慎重考虑接入安全的问题,尤其是使用BYOD接入访问,更应该对其接入进行严格的身份认证和安全核查,同时对用户访问行为进行合理的权限划分,及接入访问的审计追溯,避免安全问题从远端传递过来并在云平台蔓延。云间安全互联云平台里面可能包含了多个部门数据中心或虚拟私有云,跨部门或跨级别之间也会进行信息的流转,租户传统数据中心之间、传统数据中心和云平台系统进行信息交互,这些信息往往涉及到机密等级的问题,应予以严格保密。因此,在信息传递过程中,必须加密方法措施进行安全加固。IPSec对应用系统透明且具有极强的安全性,同时也易于部署和维护,这对于庞大的云平台来说,显得极有好处。深信服SSLVPN网关也提供了专业的IPSecVPN功能,满足云平台业务使用IPSecVPN技术专网互联的需求,实现各区域安全数据安全加固。深信服VPN设备内置了AES/SANGFOR-DES/DES/3DES/RSA等多种加密算法,支持MD5/SHA-1等标准HASH算法,包括国家密码管理局指定的基于SCB2的标准加密算法。通过IPSEC在Internet上建立安全可信的隧道,各实体之间的数据都是通过安全隧道传递。高安全性深信服IPSecVPN支持AES、DES、3DES、RSA等多种国际主流的加密算法,保证了数据传输的高安全强度；深信服IPSecVPN通过多重安全技术保证接入的安全性；深信服IPSecVPN采用VPN权限粒度分析技术,可以简单灵活的指定每个VPN用户的具体权限,可以细致到端口级别的权限,消除了病毒通过一些不安全的端口进行跨网传播的隐患。高稳定性SANGFORVPN通过VPN隧道、线路和设备三方面的全方位保证整个VPN网络的稳定性。支持隧道自愈技术,实时探测VPN隧道连接情况,一旦检测到VPN拨号中断则在3秒内自动进行VPN重新拨号；对于线路中断的情况,通过隧道自愈技术,一旦检测到线路恢复,则立即进行隧道的重新建立,无需人为操作实现VPN网络的自动恢复。支持多线路技术实现多条线路之间的主备,可设备主线路组合备线路组,并可实现在主线路组、备线路组中分别进行带宽的叠加及负载均衡。当主线路组中的某条线路中断,则该条线路上的数据则自动切换到主线路组中的其他线路上；当主线路组中所有线路都无法使用时,则备线路组自动启用。充分的利用了各条线路,在保证线路的高稳定性下实现线路价值的最大化。租户安全接入集团子公司〔租户业务系统上线后,面临着用户远程接入访问的问题,不管是运维人员的运维接入,还是租户的接入,都是需要慎重考虑接入安全的问题,尤其是使用BYOD接入访问,更应该对其接入进行严格的身份认证和安全核查,同时对用户访问行为进行合理的权限划分,及接入访问的审计追溯,避免安全问题从远端传递过来并在云平台蔓延。通过部署深信服SSLVPN设备,可以保障云平台内部应用系统的安全发布,实现智能终端对业务的无缝访问,实现云应用的授权访问,保障远程访问安全,实现应用系统安全加固,确保合法身份通过合法行为接入合法系统。在租户业务系统的安全接入方面,我们的设计思路是从身份认证安全〔访问事前控制、终端访问及数据传输安全〔访问事中检查、权限和应用访问审计〔访问事后追查,这三个方面来进行安全体系来深入考虑。事前控制：接入身份安全、合法性保障我们建议在业务系统需要提供远程安全接入时,在用户认证方面采用多种认证方式组合认证的方式。如USBKEY、硬件特征码、短信认证、动态令牌卡等认证方式。单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,深信服建议采用混合认证,针对以上认证方式可以进行多因素的"与"、"或"组合认证。事中检查：系统终端访问过程安全在访问这些应用系统的过程中,应该更应该考虑访问、读取过程的安全,而终端的接入过程影响着整个系统的安全,对于终端接入的安全需要从终端本身方面保证,接入的终端必须达到一定的安全标准才允许接入,避免危险终端的接入。本方案建议根据情况,进行客户端安全检查结果进行相应应用访问权限的准入和授权,同时通过SSLVPN成功接入到内网中后,则自动断开其他的Internet线路,只保留SSLVPN的通道,防止黑客通过Internet控制接入。事后追查：整体保障应用系统安全运维管理在访问过程的进行日记记录,提供管理日志和服务日志等日志。管理日志可提供管理员访问、操作日志,服务日志提供信息、告警、调试、错误日志,方便管理员对系统进行诊断。用户访问日志则提供用户访问时信息〔登录IP、访问资源、时间、认证方式、用户活跃程度、用户/用户组流量排行及查询、用户/用户组流速趋势及查询。告警日志提供〔暴破登录攻击记录、CPU长时间占用过高记录、设备内存不足、用户暴破登录、主从用户名非法访问记录等。业务可靠需求平台业务可靠性方面,主要是云平台互联网区的业务可靠性,因为该区域直接面向公网用户,为了保障服务质量和业务应用的可靠性,在云平台部署深信服应用交付AD设备,同时启用互联网出口NGAF设备的防DDoS功能,就可以有效的抵御黑客恶意的拒绝服务攻击行为,并且提供链路和服务器的负载均衡,保障平台可靠运行。防拒绝服务攻击云平台上托管着大量的面向互联网的服务一旦发生拒绝服务攻击,外联服务平台无法对外正常提供服务,影响云平台和各部门正常的业务开展。NGAF采用自主研发的DOS/DDoS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。链路/全局负载均衡深信服AD产品是专业的应用交付设备,给云平台提供了专业的链路负载均衡、服务器负载均衡解决方案,在链路或服务正常运行时,实现链路和服务的最优化利用,在出现故障时,迅速切换到备份链路和冗余服务器上,杜绝因虚机故障或应用假死造成用户访问中断。此外,AD还具有全局负载均衡功能,等将来备份数据中心建好后,还能实现将用户访问请求引导到最快最优的数据中心进行响应。链路负载均衡深信服AD设备能够进行DNS请求转发,通过深信服AD寻找合适的DNS服务器返回给请求用户。利用链路繁忙控制、智能路由等技术,通过事先设定好负载算法,就能按照事先设定的链路利用策略将流量分配到不同的链路之上,实现多条链路负载运行,保障了网络资源利用率的最优、最大化。链路的健康检查深信服AD设备包含的单边加速技术是对这类用户访问速度的一种保障。深信服单边加速技术通过自动、实时、持续、动态地侦测网络路径中的延迟、丢包、重传的情况,改变传出机制和改善传输拥塞机制,避免数据报文的过度重发,减少应用响应时间,提升TCP传输效率,从而节省了企业广域网带宽资源和响应时间。全局负载均衡深信服全局负载均衡设备通过多个Internet站点的可达性,来共同判断一条链路的状况。例如,通过电信线路检查、、以及的TCP80端口,并对检查结果做"或"运算。这样,只要其中一个站点可达,即可表明链路状态良好。该方法即避免了ICMP检查的局限性,也避免了单一站点检查带来的单点失误。虚拟服务的健康检查深信服全局负载均衡设备在部署网络中,每台AD设备都会对所有数据中心的虚拟服务进行监测,这样不仅可以实时发现出现故障的数据中心,同时也可以监视虚拟服务在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。一旦发现某个数据中心或者服务器出现故障,用户即被透明地重定向到正常工作的数据中心或者服务器之上。4.3租户侧设计方案租户安全设计云租户安全防护指的是,在服务器虚拟化环境下,对不同租户间、租户内部虚拟机间的流量进行安全防护和隔离。通过虚拟化软件安全、优化产品,如软件版下一代防火墙vAF、软件版应用交付vAD、软件版vSSLVPN等产品,形成软件安全、优化资源池。这些软件安全、优化资源池提供了针对虚拟化网络的2到7层安全防护和应用的负载优化,实现精细的区域划分与可视化的权限访问控制。如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB安全防护、数据泄露保护、网页篡改保护、服务器负载均衡等。通过安全软件资源池,可以实现按需分配、灵活部署的安全保护。我们主要从以下方面考虑：租户VPC隔离在租户的安全这一块,我们首先要做的是区分出各租户的边界并予以安全隔离,鉴于云的特征,我们将每一个租户划分成一个独立的虚拟区域,并在每一个区域使用虚拟防火墙进行区域之间的隔离,从而避免不受信的租户之间的数据互访造成安全隐患。租户安全边界我们将虚拟防火墙以虚机的方式部署在租户虚拟网络和云网络的边界,针对租户应用系统的南北流量安全防护和隔离,包括租户间的安全隔离,防止非法人员从云平台内部进行安全攻击；租户应用对外的安全防护和隔离,防止非法人员从外网、互联网进行安全攻击。租户虚机L2-L7安全在租户虚机的L2-7安全这一块,我们为每个租户部署一套虚拟防火墙并开启FW+IPS功能模块,通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。并且提供主动式入侵防御功能,能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件的攻击。同时我们建议租户部署的虚拟防火墙开启漏洞扫描和分析功能模块,从而为每一位租户建立威胁预警机制,提供系统级的安全隐患分析服务,包括外部访问、系统维护、等信息汇总。提供系统安全分析,包括可疑访问、恶意访问、安全试探、异常数据访问等安全隐患的预警性分析。4.3.2业务系统安全为了保障云平台内部应用系统的安全发布,并实现智能终端对业务的无缝访问,可以部署虚拟化SSLVPN组件,实现云应用的授权访问,保障远程访问安全,实现应用系统安全加固,确保合法身份通过合法行为接入合法系统。云环境中B/S架构的业务普遍存在,大量的底层系统和Web业务应用引入各种各样的漏洞,因此需要在安全资源池中分配虚拟防火墙对指定的业务系统系统或web应用进行防御,解决常见的web应用安全问题,如SQL注入攻击,跨站脚本攻击攻,CSRF即跨站请求伪造,网站扫描攻击,文件包含漏洞攻击,目录遍历漏洞及弱口令风险发现。并且能通过隐藏业务系统版本来提高入侵者的攻击难度。可隐藏的服务器包括WEB服务器、FTP服务器、邮件服务器等。可隐藏的应用信息包含HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏。为每一个租户部署的虚拟防火墙具备专业的WEB应用安全防护功能,有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。〔如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。深信服虚拟防火墙还能在虚拟化平台上对指定的服务器进行网络隔离,来解决边界弱化的问题。在虚拟化数据中心里,各种应用有可能部署在同一台服务器上,导致边界弱化和越权访问等问题,难于识别虚拟化网络内部的网络层和应用层安全风险,安全等级难以划分；虚拟防火墙根据国家等级保护规范,提供了完整的应用控制方案,并对虚拟机与虚拟机之间的流量进行7层的安全检测,提供基于应用的安全控制,使不同业务之间的虚拟机互相隔离。4.3.3业务稳定可靠为了保障云平台内部应用系统发布后的稳定运行,并实现每一个用户访问业务系统的使用体验。可以部署虚拟化AD组件,实现云应用的实时监控及访问请求智能调度,保障用户访问体验,杜绝因虚机故障或应用假死造成用户访问中断。作为虚拟化落地成败的关键因素,重中之重,就是如何保证业务系统的稳定、高性能和高可用性。本解决方案中将从以下方面来解决上述问题：1、建立虚拟机健康检查机制,当虚拟机出现业务故障时,能够即刻监测,并通知管理平台重启虚拟机,快速恢复业务；并且当虚拟机退出和进入时,帮助用户平滑下线和温暖上线；2、通过性能优化机制,节省服务器性能消耗,减少硬件投资成本,保障服务器高性能；3、建立虚机负载均衡机制,容灾冗余的同时,在业务高峰期或低谷期动态增加或删除虚拟机,使得配置更灵活,资源利用更充分；4、通过与虚拟化基础架构的智能交互,简化运维管理,实现配置自动化,提高运维效率,避免人为失误；5、针对对外发布的应用,解决因用户的网络质量差、跨运营商访问造成访问速度变慢的情况,提升用户的访问体验；4.3.4业务安全接入为了保障云平台内部应用系统的安全发布,并实现智能终端对业务的无缝访问,可以部署深信服SSLVPN设备,实现云应用的授权访问,保障远程访问安全,实现应用系统安全加固,确保合法身份通过合法行为接入合法系统。在租户业务系统的安全接入方面,我们的设计思路是从身份认证安全〔访问事前控制、终端访问及数据传输安全〔访问事中检查、权限和应用访问审计〔访问事后追查,这三个方面来进行安全体系来深入考虑。事前控制：接入身份安全、合法性保障我们建议在业务系统需要提供远程安全接入时,在用户认证方面采用多种认证方式组合认证的方式。如USBKEY、硬件特征码、短信认证、动态令牌卡等认证方式。单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,深信服建议采用混合认证,针对以上认证方式可以进行多因素的"与"、"或"组合认证。事中检查：系统终端访问过程安全在访问这些应用系统的过程中,应该更应该考虑访问、读取过程的安全,而终端的接入过程影响着整个系统的安全,对于终端接入的安全需要从终端本身方面保证,接入的终端必须达到一定的安全标准才允许接入,避免危险终端的接入。本方案建议根据情况,进行客户端安全检查结果进行相应应用访问权限的准入和授权,同时通过SSLVPN成功接入到内网中后,则自动断开其他的Internet线路,只保留SSLVPN的通道,防止黑客通过Internet控制接入。事后追查：整体保障XX系统安全运维管理在访问过程的进行日记记录,提供管理日志和服务日志等日志。管理日志可提供管理员访问、操作日志,服务日志提供信息、告警、调试、错误日志,方便管理员对系统进行诊断。用户访问日志则提供用户访问时信息〔登录IP、访问资源、时间、认证方式、用户活跃程度、用户/用户组流量排行及查询、用户/用户组流速趋势及查询。告警日志提供〔暴破登录攻击记录、CPU长时间占用过高记录、设备内存不足、用户暴破登录、主从用户名非法访问记录等。在租户传统数据中心的安全互联方面,我们的设计思路是从低价值流量削减、应用优化、网络质量改善、流量整形几个方面来做：〔1大幅削减低价值流量,降低带宽负荷,实现带宽增值采用动态流压缩、基于码流特征数据优化对云数据中心-传统数据中心的传输网络中的低价值流量进行大幅削减。对与数据中心同步无关的流量进行削减后,约可实现30%-50%以上的削减。通过流量削减,可以保障云数据中心-传统数据中心的专线带宽占有率在一个较为健康的范围之内,即使在高峰期同样可以顺畅的进行数据同步。〔2应用优化针对数据备份软件、数据库同步、FTP文件传输等应用,通过应用优化策略,可进行进一步的优化,减少数据小包交互,提升访问速度,提高工作效率。〔3改善网络质量通过快速重传、选择性重传、改善拥塞机制、增大滑动窗口大小等几个方面对传统的TCP传输协议做改进,提升链路在丢包、延迟、抖动环境下的传输质量和应用访问速度。〔4流量整形,合理规划带宽资源通过应用流量可视化了解各应用的流量分布情况后,现可根据业务关键程度进行流量整形。针对数据库同步、数据备份软件等核心业务系统及应用进行单独的高优先级带宽保障,设置最小保障带宽保证使用。当数据库同步未启用、、数据备份软件等应用流量不很是多未占满保障带宽时,剩余带宽将借用出来提供给其他应用使用。针对其余应用、各主机,可根据其关键程度进行相应的带宽保障、带宽限制策略设置。〔5智能报表反馈,不断调优效果 在完成上述优化后,还可通过智能报表功能对优化后的网络流量分布及流量削减效果进行查看,并进一步调整流量分配及优化策略,做到动态调整,层层深入。租户应用场景根据各个集团子公司租户在云平台的应用场景,可以划分为：网站/应用的托管部署应用需求：将单个应用,完全部署在云平台环境中,对公众、横向兄弟单位提供接入访问建议部署组件：采用vAF提供租户间、对外南北流量的安全防护；vAD提供虚拟机的服务器负载均衡,提升应用的可靠性应用混合云部署应用需求：在云平台部署了部分应用系统,或者单个应用的系统的部分组件〔如仅部署Web服务器,DB还在传统数据中心,这些虚拟机依然需要与租户的传统数据中心〔租户DC进行数据访问；同时,为了提升对外访问的安全性,需要进行加密传输和认证加固。建议部署组件：除了部署vAF、vAD外,还需要部署vVPN,针对访客提供SSLVPN安全接入,针对租户数据中心提供IPSecVPN接入。多应用系统托管部署：应用需求：租户在虚拟网络中部署了多个应用系统,需要针对不同应用系统虚拟机之间的访问流量进行安全防护控制,满足安全合规要求。建议部署组件：除了部署vAF、vAD以外,还需要部署插件版AF,它可以通过VMware的VMsafe接口,从服务器虚拟化底层针对不同的虚拟机的流量进行精细的安全访问控制和虚拟补丁等服务。4.3.6NFV安全组件部署方式深信服虚拟化软件安全、优化产品的NFV部署方式是以虚机的形式存在于在虚拟化平台中,可以快速部署于VMware、KVM、XEN、华三等服务器虚拟化平台。vAD、vAF、vSSLVPN、vWOC以虚拟化软件形式部署,将设备以路由、单臂等部署方式在虚拟化平台上,针对不同租户开启一个对应的虚机镜像,然后配置vSwitch连通网络,数据流量经过设备安全检测与防护后到达业务系统,从而保障业务系统的安全。这种部署方式更关注南北向流量安全防护。路由部署：vAF、vWOC单臂旁挂：vAD、vSSLVPN虚拟机方式部署简单4步,快速部署上线：导入镜像：将设备镜像拷贝进入虚拟化环境注册开通：在授权服务器上开通策略配置：配置AD、AF、SSL等虚拟设备的相关策略vSwitch配置：配置虚拟交换机实现业务的互通4.4管理运维设计方案4.4.1平台运维云管理是整个云平台后台的管理、调度、运维中心。基于Openstack平台的商业化云服务平台,在继承原有架构灵活、扩展性强、开放性和兼容度高的基础上,产品稳定性和可靠性大大增强。基于租户到应用的端到端的云服务配置和管理,将用户申请的服务组装成服务链,统一管理和配置。通过对租户的分级管理,实现了私有云多级资源分配的要求,通过定制个性化的审批流程,使得服务的申请更符合某些特殊业务的多级审批要求。