安全防护设计
分布式部署方式。控制中心
和引擎之间的通信采用管理口,引擎与被监测网站可采用扫描口连接。分布式部署方式,即满足 了对大量网站高频率的监控,也可对各网站的监测数据进行汇总分析,方便用户对所有网站进行集中管理。对于云计算
平台,建议采用分布式部署方式,并采用软件形态,这样可以资源的弹性。## 五 云计算安全防护方案的演进
目前,云计算技术
在快速发展、完善中。在虚拟化技术之后,尤其是 SDN、NFV技术的采用,为存储、网络资源的自动化部 署和分权分域管理提供了技术手段。另外,大数据技术的出现和应用,也会存储资源的敏捷性应用提供支撑手段。同时,云计算的安全防护体系技术体系和实现方法也跟随着云计算的技术演进步伐,不断演进和完善。这主要体现在安全防 护措施的部署、安全防护技术体系架构、安全运营等方面。
虚拟化环境中的安全防护措施部署
在云计算环境中,为了适应虚拟化环境,以及对对虚拟机之间的流量、跨安全域边界得流量进行监测和访问控制的需要,安 全设备在保持架构和功能的基础上,在产品形态和部署方式发生了一定的变化。
在产品形态方面,主要体现是由硬件变化了软件。在部署方式方面,主要通过合理设计虚拟化网络逻辑结构,将虚拟化安全 设备部署在合理的逻辑位置,同时保证随着虚拟主机的动态迁移,能够做到安全防护措施和策略的跟随。
从实现逻辑上讲,可以将控制措施分为:
- 检测类:捕获相应的数据流量,但不再进行转发。如 vNIDS、网络流量检测等;
- 控制类:拦截网络流量,并进行安全处理后进行转发。如防火墙、Web应用防火墙等
对于这两类设备的部署方式,已经在前面进行了描述,这里不再赘述。应当说明的是,这种部署方式由于需要一定的配置工 作,并不能实现安全措施(也可以抽象为安全资源)的自动化部署、分权分域管理。随着,SDN、NFV技术的采用,基于 SDN技 术的安全技术体系架构实现了这些需求。
软件定义安全体系架构
体系架构
SDN技术的出现,特别是与网络虚拟化结合,给安全设备的部署模式提供了一种新的思路。SDN的一个特点是将网络中的控 制平面与数据平面分离,通过集中控制的方式管理网络中数据流、拓扑和路由,下图是 SDN的一个典型架构,自顶向下可分为网 络应用、网络控制器和网络设备。
①软件安全体系架构的详细说明参见《2015绿盟科技软件定义安全 SDS白皮书》
云计算安全防护方案的演进 « 虚拟化环境中的安全防护措施部署
图 五.16 SDN典型架构
那么,基于软件定义架构的安全防护体系也可将安全的控制平面和数据平面分离,架构如 0所示,可分为三个部分:实现安 全功能的设备资源池,用户环境中软件定义的安全控制平台和安全应用,以及安全厂商云端的应用商店 APPStore。
图 五.17 软件定义安全防护体系架构
说明:
- 安全资源池:通过安全能力抽象和资源池化,安全平台可以将各类安全设备抽象为多个具有不同安全能力的资源池,并 根据具体业务规模横向扩展该资源池的规模,满足不同客户的安全性能要求;
- 安全控制平台客户环境中的核心系统是安全控制平台,负责安全设备的资源池化管理、各类安全信息源的收集和分析、 与云计算基础设施的对接,以及相应安全 APP的策略解析和执行。并通过与 SDN控制器的对接,实现网络逻辑拓扑的 改变、数据流的调度;
- 安全应用安全应用是使用底层安全资源池完成特定安全功能的组件,租户可以从应用商店选择、下载,并自动化部署、 设置和管理;
-
应用商店云端的 APPStore发布自研或第三方的安全应用,客户可购买、下载和在本地部署、运行这些应用
技术实现原理
在 SDN架构中,网络控制器可实现流量特征收集、底层网络拓扑学习、路由路径计算和流指令下发等功能,而指令的生成、 决策都是由上层 APP实现的。安全控制平台作为的一个具体应用,可以负责信息安全防护的决策、判断及流调度策略,进而实现 对网络流量的自有调度,使虚拟化环境中的流量经过特定安全防护设备,实现安全检测、过滤等功能。
使用安全控制平台的安全设备部署如下图所示。
图 五.18 使用 SDN技术的安全设备部署图
云平台内的计算节点和安全节点内 Hypervisor的虚拟交换机连接到 SDN控制器,安全管理平台通过 SDN控制器开放的北 向接口与之连接。
当接收并解析安全策略后,安全管理平台通过 SDN控制器,向虚拟交换机下发流表,依次在源节点的虚拟交换机、源目的节 点间的隧道和目的节点的虚拟交换机之间建立一条路径,这样原来虚拟机 VM1通过源节点虚拟交换机直接到 VM2的流量,就沿 着上述指定路径先到了目的节点的虚拟安全设备,当处理完毕之后,数据流从安全设备的输出网卡返回到最终的目的虚拟机 VM2。
下图展示了在开源虚拟化系统 Openstack+开源 SDN控制器环境下部署 IPS的情况。
图 五.19 使用 SDN技术实现流量牵引的原理图
当需要多种类型的安全防护时,可是使数据流就会依次经过多个安全设备,进而达成多种防护的目的。
方案演进
绿盟科技的云计算安全解决方案可以实现无缝演进。在原生虚拟化环境中部署的安全设备可以通过软件升级,实现和 SDN网 络控制器的接口、安全控制平台的接口,并进一步抽象化、池化,实现安全设备的自动化部署。同时,在部署时通过安全管理策 略的更变租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。
在安全控制平台部署期的过渡阶段,可以采用手工配置流控策略的模式,实现无缝过渡。在这种部署模式下,安全设备的部 署情况与基于 SDN技术的集成部署模式相似,只是所有在使用 SDN控制器调度流量处,都需要使用人工的方式配置网络设备, 使之执行相应的路由或交换指令。
的 IPS防护为例,可以由管理员手动配置计算节点到安全节点中各个虚拟网桥的流表,依次
云计算安全防护方案的演进 « 软件定义安全体系架构
图 五.20 基于手工配置的 IPS防护模式
安全运营
对于安全防护,关键是在系统运行期间,对系统的持续安全检测、防护,并对突发事件进行处理,这需要安全运维人员具有 较高的安全知识和技能。对于云计算中心的租户,由于其安全知识和技能不足,需要购买安全代维服务,对云平台的提供商来讲, 就需要提供安全运营服务。
绿盟科技的云计算安全解决可以提供安全运营支持。通过在安全管理子区部署的集中化的安全检测/评估平台、安全管理平台 等可以实现对租户提供安全运营服务。
另外,绿盟科技提供了云端的安全服务,可以为云平台服务商提供设备代维、网站检测、恶意代码分析和更新、安全威胁分 析和安全情报等服务。
六 云安全技术服务
私有云安全评估和加固
风险评估服务
针对云计算中心的风险评估将在针对国内外信息安全风险评估规范和方法理解p SP800-30的基础框架,并且将针对云计算的资产识别、威胁分析、脆弱性识别和风险评价融入其中,是云计算中心进行安全规划 建设、法规遵从、运营安全状态分析等安全日常活动的重要依据。
此方案的设计思路是针对云计算中心的安全现状而做出的,因此在对云计算中心的安全体系设计具有一定的局限性和不确定 )性。为了使最终采用的安全管理、安全技术手段充分贴合云计算中心的实际安全需求,需要通过安全建设中的重要手段――风险 评估来实现。通过风险评估可以更加清晰、全面的了解云计算中心系统的安全现状,发现系统的安全问题及其可能的危害,为后期安全体系建设中的安全防护技术实施提供依据。
风险评估对现有网络中的网络架构、网络协议、系统、数据库等资产安全现状进行发现和分析,确定系统在具体环境下存在 的安全漏洞、隐患,以及被黑客利用后会造成的风险和影响。在此基础上对实施流程进行规划:即针对云计算中心的具体情况制 定适合于自身的安全目标和安全级别,在充分考虑经济性的基础之上设计和实施相应的安全建设方案。
安全测试服务
安全测试是以绿盟科技在漏洞挖掘、分析、利用等领域的理论依据和多年实践经验为基础,对云计算平台进行深入、完备的 安全服务手段。安全测试内容将包括如下内容:
- 源代码审计源代码审计(Code Review,后简称为代码审计)是由具备丰富的编码经验并对安全编码及应用安全具有 很深刻理解的安全服务人员,根据一定的编码规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行 审查;
- 模糊测试模糊测试是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法,是一个自动的或半自动的过 程,这个过程包括反复操纵目标软件并为其提供处理数据。模糊测试方法的选择完全取决于目标应用程序、研究者的技 能,以及需要测试的数据所采用的格式;
-
渗透测试渗透测试(Penetration Testing)是由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的 攻击手段对目标系统进行模拟入侵,找出未知系统中的脆弱点和未知脆弱点。渗透测试服务的目的在于充分挖掘和暴露 系统的弱点,从而让管理人员了解其系统所面临的威胁
私有云平台安全设计咨询服务
参考标准和规范
云计算虽然是信息技术革命性的新兴领域,但是在国际和国内也有权威性的组织或者机构,针对该领域的信息安全风险控制 制定并发布了指导具体实践活动的标准和规范,这些标准和规范,不仅可以为云计算服务平台的建设者和运营者提供全面有效的 信息安全风险控制措施指南,也是云计算安全咨询服务提供者的主要参考和依据。
我国在 2014年发布了两个云计算安全的国家标准,分别是《 GB/T 31167-2014 云计算服务安全指南》和《 GB/T 31168-2014 云计算服务安全能力要求》。
GB/T 31167是针对政府行业策划、选择、实施、使用公有云服务的整个外包生命周期给出信息安全管控指南,而 GB/T 31168 面向云服务商,提出了云服务商在为政府部门提供服务时应该具备的安全能力要求。以上两个标准虽然是面向政府行业使用公有 云服务而提出,但是 GB/T 31168中提出的安全控制能力要求,对于其他行业使用公有云服务,以及建立私有云计算平台的组织 来说,同样具备重要的参考意义。
GB/T 31168给出了不同的云服务模式下,服务提供者与客户之间的安全控制职责范围划分,如下图所示:
图 六.21 服务提供者与客户之间的安全控制职责范围划分
GB/T 31168对云服务商提出了基本安全能力要求,分为 10 类,每一类安全要求包含若干项具体要求。
- 系统开发与供应链安全17 项:云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开 发商提出相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应确保其下级供应商采取了必要的 安全措施。云服务商还应为客户提供有关安全措施的文档和信息,配合客户完成对信息系统和业务的管理;
- 系统与通信保护(15项):云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采 用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性;
- 访问控制(26 项):云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应 对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能;
- 配置管理(7项):云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包括硬件、软 件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置参数;
- 维护(9项):云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行 有效的控制,且做好相关记录;
- 应急响应与灾备(13 项):云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资 源的可用性。云服务商应建立事件处理计划,包括对事件的预防、检测、分析和控制及系统恢复等,对事件进行跟踪、 记录并向相关人员报告。云服务商应具备容灾恢复能力,建立必要的备份与恢复设施和机制,确保客户业务可持续;
- 审计(11 项):云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保 存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的非授权访问、修改和删除行为;
- 风险评估与持续监控(6项):云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平 台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况 时发出警报;
- 安全组织与人员(12 项):云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时具备履行 其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全 程序,对于违反安全规定的人员进行处罚;
- 物理与环境保护(15 项):云服务商应确保机房位于中国境内,机房选址、设计、供电、消防、温湿度控制等符合相 关标准的要求。云服务商应对机房进行监控,严格限制各类人员与运行中的云计算平台设备进行物理接触,确需接触的, 需通过云服务商的明确授权 云安全技术服务