方案描述
Scheme description
云安全模式
Cloud security mode
- 云安全IaaS模式
- 云安全PaaS模式
- 云安全SaaS模式
物理与环境
物理与环境部分,依据相关标准规范,通过对整个项目的土建、机房工艺、电气智能化等建设满足要求,具体方案详见该部分设计。
根据中央网信办关于《加强党政部门云计算服务网络安全管理的意见》[2014]14号文,云服务方若在中国境内提供云服务时,必须确保其云计算基础设施位于中国境内。另外,为党政部门提供云服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。
网络与通信
(1)网络构架- 云计算平台的等级大于等于其承载的业务应用系统的等级;
- 云计算管理平台应支持虚拟化网络拓扑结构的展现,且应能在发生虚拟化网络资源变更时(新建虚拟机、虚拟机网络接口变化、虚拟机迁移等)提供实时更新和集中监控;
- 不同云租户的虚拟网络之间应使用隔离技术(例如、vFW、VPC等);
- 云计算管理平台应保证虚拟机只接收目的地址包括自己地址的报文,避免发生报文转发错误,造成信息泄漏;
- 通过使用不同的物理交换机来保证云平台管理流量与租户业务流量的分离;同时应能实现宿主机上业务口和管理口的分离;
- 能识别和监控虚拟机之间、虚拟机与物理机间的流量,尤其是同一台宿主机上多个虚拟机间通信,可以将流量从宿主机中引出到外部网络中来实现识别和监控目标;
- 云计算平台保持一定的开放性(例如主流的Openstack+KVM),支持开放接口接入第三方安全产品,实现租户安全服务的多样化,避免租户被绑定;
- 云服务方按需提供安全服务,而安全策略集的设置是由云租户根据自身业务需求进行自主操作,云服务方提供的安全服务应可以实现云租户安全的自服务;另外安全服务应该可编排,从而实现定义访问路径、选择安全组件、配置安全策略;
- 云计算管理平台禁止云租户虚拟机访问宿主机;
- 在云计算环境中,识别虚拟化网络边界,部署访问控制设备(vFW),并配置ACL;
- 在云环境中,安全及相关策略随虚拟机迁移,保证前后访问控制策略的一致;
- 云租户可以对自己的不同云主机之间配置访问策略;
- 不同安全等级业务系统使用不同的物理服务器来承载,同时其网络区域边界应部署访问控制设备(FW)
- 在云租户的网络边界部署入侵检测系统(IPS/IDS或NGFW),实现网络攻击的监测、告警和记录,同时保证入侵检测设备的特征库及时更新;
- 通过vIDS检测虚拟机到宿主机之间的异常流量,并进行告警;
- 云服务方应提供7*24小时的网站监测服务(websafe),全天候针对云租户互联网发布内容实时监测,发现违规有害信息及时通过短信、邮件等方式告知云租户
- 云计算安全管理平台提供权限设置功能,在保证安全的远程管理前提下,通过安全审计设备对远程用户的操作命令实时审计;
- 根据职责划分,云服务方和云租户收集各自控制部分的审计数据,相互之间不可交叉访问,云服务商和云租户的应使用各自的审计设备,数据分开存放;
- 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
- 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;
设备与计算
(1)身份鉴别- 网络策略控制器是云网络区别与传统网络的集中管理系统(一般包括网络和安全控制器),控制器端和被管设备端应支持双向身份验证机制,即控制器端验证主动接入的被管设备端,被管设备端在执行控制器端的策略时应先对其进行身份验证,目的都是防止恶意接入云网络;
- 远程管理时应首先保证传输信道的加密安全,使用VPN技术,同时远程管理终端和VPN服务端应建立双向身份验证机制;
- 根据中网办发文【2014】14号发文中“数据归属关系不变”的原则,云租户提供给云服务方或第三方的数据、设备等资源,以及在云计算平台上云租户业务系统运行过程中收集、产生、存储的数据和文档等资源属云租户所有,未经云租户授权(建议通过合同等手段进行约束),不得访问、修改、披露、利用、转让、销毁云租户数据,在服务合同终止时,应按照要求做好数据、文档等资源的移交和清楚工作;
- 云计算安全管理平台应具备精细灵活的权限划分机制,为不同的管理员分配不同不同账户并分配相应的权限,应遵循“最小权限”划分原则;
- 将云服务方对云租户系统和数据的操作审计发送给第三方审计,云租户通过第三方审计进行查看,防止云服务方的恶意删除;
- 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
- 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;
- 入侵防范系统若发现虚拟机之间的异常访问流量,应进行告警。
- 云管理平台应通过API将非授权新建虚拟机或着重启虚拟机等记录发送给入侵防范系统,且入侵防范系统发现问题及时告警;
- 云环境中应部署恶意代码防护措施(主机和网络杀毒),对监测到的恶意行为进行清除和告警,同时要保证病毒库的及时更新;
- 云计算平台应保证虚拟机之间、虚拟机与宿主机之间的安全隔离,当某一个虚拟机故障,不应影响虚拟机监视器和其他虚拟机;
- 云计算管理平台应提供统一的资源调度管理功能,并支持策略设置,将物理资源和虚拟资源统一管理调度和分配
- 云计算平台应能做到单一虚拟机仅能使用为其分配的计算资源,防止资源隔离实效,发生资源蔓延;
- 不同等级的虚拟机,安全防护能力不同,当虚拟机发生迁移,迁移前后的资源池等级必须相同,若虚拟机在不同等级的资源池间迁移,应具备网络访问控制或隔离措施,禁止迁移;
- 云计算管理平台应提供虚拟机内存独占模式,防止发生内存泄漏
- 云计算管理平台应支持对虚拟机的虚拟网卡、虚拟交换机的端口进行QoS设置,并应能将其监控信息发送给独立的流量分析系统
- 云计算管理平台应提供接口将其监控信息上送给专业的监控平台,实现集中监控(例如SOC平台)
- 在云环境中,虚拟机的部署一般都是通过虚拟机镜像模板部署的,其安全性非常重要,为防止虚拟机镜像被恶意篡改云计算平台应具备完整性校验功能(例如文件Hash),包括虚拟机快照;
- 针对虚拟机镜像和快照的访问,应至少设置密码,防止非授权访问。
- 可通过操作系统加固服务,按照“最小化软件部署+补丁最新+安全软件”的原则针对重要业务系统的操作系统镜像加固;
应用与数据
(1)安全审计- 云计算安全管理平台应提供审计接口,将安全审计数据进行汇集,同时也应能通过标准接口将审计数据提供给第三方进行审计;
- 云服务方和云租户各自的审计系统应支持将各自的审计数据进行集中审计;
- 将云服务方对云租户系统和数据的操作审计发送给第三方审计,云租户通过第三方审计进行查看,防止云服务方的恶意删除;
- 部署监测平台(例如:态势感知平台),对应用系统运行状态监测,发现异常及时告警;
- 不同云租户的应用系统及开发平台之间应部署访问控制或隔离措施,保证资源隔离(互相不影响)、网络隔离(VPC网络)、主机隔离(不同计算资源池);
- 云服务方应通过安全技术评估服务,对云计算平台提供的对外接口进行安全性评估;
- 云计算平台应具备虚拟机迁移过程中数据完整性的保障机制(内存拷贝、虚拟机快照、HA等);
- 云租户敏感信息必须境内存储,未经批准不得在境外传输、处理、存储;
- 云计算平台运维过程中产生的数据(配置数据、日志信息等)不得出境;
- 虚拟机迁移网络应使用专有通道(视情况启用加密机制)保证迁移路径的安全;
- 为保障云租户云上的数据安全,云服务方应支持云租户在其平台上部署密钥管理解决方案,实现云租户自行针对其敏感数据进行加解密,同时建议密钥本地备份存储;
- 网络策略控制器与网络设备之间通信流量应使用加密技术,例如https或ssh等协议传输,防止被窃听和嗅探;
- 制定备份策略,云租户应将其云上的业务数据备份一份到自己的本地数据中心,避免云上数据丢失,造成损失;
- 云计算平台应提供查询云租户数据及备份存储位置的方式,同时做好账户和权限的分配,防止非授权访问;
- 不同云租户的审计数据建议存放于云租户自己的VPC内部;
- 现实的云计算服务过程中,往往是“上云容易下云难”,该项要求明确了云服务方在云租户退出服务应提供协助,包括不限于迁出时云计算平台的接口和方案,并按照合同约定,完成数据移交和删除工作;
总体技术架构
Overall technical framework
如图所示,按照等级保护要求分别对云平台和云租户提出定级要求,在实施阶段以运维门户、租户门户分离各自的安全需求,在云平台层面对接安全资源池,依托安全资源池提供的能力,从物理设备安全、虚拟网路安全、数据安全、应用安全、虚拟主机安全分别满足等保要求。同时通过运维门户对资源进行统一管理、调度;并对安全资源进行封装向云租户提供符合等级保护要求的安全服务。

方案业务场景
Scenario business scenario
- 一平台两门户
- 等级保护能力覆盖
- 其他关键组件
- 一平台两门户设计同时满足云平台及云租户的等级保护合规要求。如图所示通过运维门户管理云平台安全资源,从网络、主机、应用、数据等方面全面保障云平台安全;通过租户门户将资源池安全能力包装成租户所需的安全服务提供给租户使用,以满足租户的合规需求。
-
- 运维门户
- 安全资源管理
- 安全服务资源管理主要包括当前节点业务域虚拟化安全服务资源(如虚拟WAF、虚拟NIDS等)的新增、停用、退服等管理功能,以及对安全服务资源的性能故障的监控功能。
- 安全事件展示
-
事件监控
提供对经过处理后的安全事件的展现界面,能够实时监控、显示安全事件,并以多种方式进行不同级别安全事件的呈现:
告警转发
需要将严重级别比较高的安全事件,转发给告警管理进行进一步的处理;
事件统计分析
对安全监控管理收集到的各种历史安全事件提供查询功能,并可以对安全事件进行统计分析和报表在输出。
安全告警响应
提供告警的确认和清除功能。
短信传递功能
在安全告警形成之后,安全事件管理由立即以预设规则向告警相关安全对象负责人发送短信通知,同一安全对象、同一类事件在24小时内只发送一次,支持不同级别告警、不同价值安全对象的告警以不同的形式、不同的优先级发送,支持在短信响应参数中进行设置。
短信告警正文不应超过70个字符,支持在响应规则中设置,告警正文必须包括的内容有:发生时间、事件类型、安全对象、告警编号。
安全告警集中呈现
通过在运维门户对告警信息进行集中呈现;
安全响应支持功能
安全运维响应管理中提供对安全运维人员的有力技术支持功能
安全态势感知
系统提供全面的网络威胁入侵检测分析功能,深入分析网络流量信息,对全网各节点进行实时监测,并支持多种图表的威胁告警方式。
多维度可视化
可视化展现要求支持多种常见图形,如折线图、饼状图、柱状图、条形图等。同时支持对于复杂展示方式,如热力图、散点图、图标叠加等。用户可选择使用。 - 安全运营管理
- 运营分析管理主要是对安全服务运维、经营过程进行量化管理,主要包括安全服务订购分析、安全信息统计分析、安全运维统计分析、客户行为分析等功能,以便可以进行安全服务优化升级、推进运维管理水平的提升。
- 服务订购分析
- 安全服务订购统计分析情况,不仅提供端的运营分析,同时也可向用户提供,以便用户进行差距分析对比。
- 安全信息统计
- 安全信息统计分析情况,不仅提供整体安全水平趋势等规划决策数据,同时也可向用户提供,以便向用户提供企业用户个体安全水平和整体安全水平在各个方面的差距。
- 运维统计分析
- 运维统计分析主要是对运维管理使用方面的数据进行分析,反映服务管理工作的质量和效率,从而评估流程管理的有效性和效率。
- 用户信息分析
- 用户分析主要包括针对云用户分析统计分析等功能。
- 租户门户
- 服务市场
-
得益于安全资源池横向的兼容能力,云平台可以通过租户门户向租户提供丰富的安全服务;覆盖检测、防护、扫描,形成安全闭环,并且可以通过在运维门户配置形成不同的安全服务组合包贴近租户业务;
服务市场除了安全服务的展示、购买;针对已购买的安全服务还提供服务续约。 - 整体视图
- 整体安全视图是给用户提供安全宏观态势的直观展现,也是用户登录安全控制台的第一视图。根据用户使用的安全服务产品所产生的信息进行综合统计,形成当前安全总体得分,近三天、近一周、近一月及用户自定义时间范围内趋势,总体得分应充分考虑安全服务产品类别及告警级别及数量等因素进行计算;提供用户使用的安全服务产品的单项当前的得分,近三天、近一周、近一月及用户自定义时间范围内趋势;提供可供用户进行实时查看和监控的安全告警列表及告警统计视图。
- 我的服务
-
在我的服务中,对已购买的服务进行服务生命周期管理,包含查看防护详情、下发防护策略、启动扫描任务等;
安全服务通过我的服务管理根据用户开通的不同安全服务产品,输出响应的报表。主要包括各项安全服务的安全统计报告和详细信息的展现视图以及报表下载功能。
安全服务提供从检测防护目标维度展现各个安全产品检测防护结果信息。
快速选配套餐
Quick selection package
等级保护二级服务包 | 等级保护二级基础版 | 等级保护二级增强版 |
---|---|---|
防火墙 | 防火墙 | |
杀毒软件 | 杀毒软件 | |
IDS | IDS | |
日志审计 | 日志审计 | |
WAF | WAF | |
数据库审计 | ||
堡垒机 | ||
漏洞扫描 |
等级保护三级服务包 | 等级保护三级基础版 | 等级保护三级增强版 |
---|---|---|
防火墙 | 防火墙 | |
杀毒软件 | 杀毒软件 | |
IDS | IDS | |
日志审计 | 日志审计 | |
WAF | WAF | |
数据库审计 | 数据库审计 | |
堡垒机 | 堡垒机 | |
防病毒网关 | 防病毒网关 | |
SSL VPN | ||
IPS | ||
漏洞扫描 | ||
抗DDOS | ||
态势感知 |
针对业务专网、管理网、互联网之间会进行相互通信的场景,需要部署专用硬件防火墙设备,用于不同网络安全区域的逻辑隔离,保证各应用单位日常操作和管理相对独立和安全。
2、杀毒软件
通过部署终端安全管控,既可扩展云主机的防病毒能力,又可针对服务器的操作系统、数据库、应用类程序等进行整体安全管控。
3、IDS
针对租户的业务网络依照安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。;
4、日志审计
通过在政务云系统中部署网络审计系统,可以有效掌握系统的安全状态,预防敏感涉密信息外泄,实现对内部网络信息的整体智能关联分析、评估、调查及安全事件的准确跟踪定位,为整体安全策略的制定提供权威可靠的支持。
5、WAF
目前大多数云平台业务都是基于B/S架构来运行和提供服务,且目前针对web的攻击形式也多种多样,应用层的防护需要专业的应用安全设备来进行防护,在云平台局域网交换机前端部署WEB应用防火墙(也可直接部署在Web服务器前端,视需求而定),对基于正常端口访问所发出的请求进行动态检测,及时发现并有效阻断WEB应用攻击/入侵行为,包括SQL注入攻击、跨站脚本攻击以及木马上传等。
6、数据库审计
通过在政务云系统中部署数据库审计系统,能够全方位掌握数据库访问情况、安全风险和执行效率,预防敏感信息泄露,实现对数据库安全事件的精准定位和溯源,为数据库资产的安全提供可靠保障。
7、堡垒机
在租户网络前设置堡垒机,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问;堡垒机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
8、防病毒网关
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。
9、SSL VPN
SSL VPN是解决远程用户访问敏感数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。
10、IPS
针对业务专网与公有云之间进行通信的业务场景,需要部署网络入侵防护系统,保证业务专网的数据相对安全,不会受到公有云以及外部互联网对其发起的网络层面的密码暴力破解攻击、病毒蠕虫木马攻击。
11、漏洞扫描
基于漏洞数据库,通过扫描等手段对客户网络信息系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
12、抗DDOS
针对目前流行的DDoS攻击以及未知的攻击形式,提供了自主研发的抗拒绝服务通过及时发现背景流量中的攻击行为,可以迅速对攻击流量进行过滤,确保正常业务的可用性。ADS产品可以在多种网络环境下轻松部署,有效避免单点故障,并保证整体网络性能和可靠性。
13、态势感知
态势感知可以收集租户网络各种安全数据,利用大数据技术结合威胁情报进行集中处理、关联分析,从网络入侵、异常流量、系统漏洞、网站安全、僵木蠕五大部分进行安全态势感知。
方案优势
Scheme advantage

符合云计算的特性
云计算的特点是按需分配、资源弹性、自动化、重复模式,并以服务为中心的。因此,对于安全控制措施选择、部署、使用也需尽量满足上述特点,即提供资源弹性、按需分配、自动化的安全服务,满足云计算平台的安全保障要求。
合规性原则
云计算除了提供IaaS、PaaS、SaaS服务的基础平台外,还有配套的云管理平台、运维管理平台等。要保障云的安全,必须从整体出发,保障云承载的各种业务、服务的安全。借鉴等级保护的思想,依据公安部、工信部关于等级保护的要求,对云平台和云租户等不同的保护对象实行不同级别的安全保护,满足安全等级保护要求。
云平台安全管理
云平台安全管理通过统一的运维门户对安全资源池的资源进行管理、分配、服务编排;还可以掌握安全资源池的运行状态,使用率;配合虚拟化技术形成安全能力弹性扩展;可对资源池内物理安全设备、虚拟化安全设备提供丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络管理功能,从而实现了对云内所有分布的安全资源进行统一的管理,统一的运行监控。云平台安全管理作为平台系统还具备了对接其他平台的能力;可通过对接云资源管理平台实现云租户账号同步、云资源信息告警等,对接运维管理系统可实现运维工单流转、安全设备运行状态告警等;对接计费系统为提供用户可选的安全服务运营提供支撑;另外,还可以结合全流量分析、漏洞威胁预警、大数据安全感知等平台,实现对云平台安全态势的统计监控分析和预警处理,并可以通过自身展示某一阶段内安全运行状态和报告输出。

安全资源池化
在云计算环境下,计算、存储、网络都变成一个个资源池,并可以根据用户需要对外提供服务能力。那么我们也可以将安全变成一个资源池,利用现有的硬件设备资源、虚拟化安全设备资源,在这些设备的基础之上,构建一个个具有不同能力的安全资源池,并且可以利用这些池化能力,提供诸如入侵防护、访问控制、Web防护等安全功能;在云中心的出口部署一个安全资源池处理南北向流量,流量通过安全资源池的入口,可以对这些从外向内的流量进行如抗拒绝服务攻击、访问控制和Web防护等处理;
通过安全资源池还可以实现云平台内部东西向流量的安全防护,通过引流、分流的方式,将虚拟机的流量接入安全节点,进行处置后在被发送到目的地;

用户按需服务
对于购买云计算的用户,安全方面越来越受到重视;而且云租户在云环境下对于安全的了解和认识也有了新的变化,对于安全的需求和细粒度划分都有了自己的想法;传统的安全模式以及云上安全整合不再是用户所需的;用户需要的是按照自己业务定制的安全能力,可以按需选择并且一定条件下针对租户购买资源的使用人员进行二次分配的能力。用户可以对购买的服务进行一些简单的配置,在不影响云平台安全的情况下,云平台将影响用户的一些安全能力交由用户进行自主配置,通过这些用户可以查看自己业务运行的安全态势、漏洞信息、攻击事件、报表信息等。
合作伙伴
Recommended products
