云规划

一、    安全方案天云云平台的整个安全管理体系覆盖从物理到虚拟，从软件到硬件、从底层到上层应用的全面安全方案。 6.1 多层面的安全隔离资源域和在资源域之间实现某种形式的物理隔离和冗余不同帐户的用户使用不同的VLAN，VLAN起到用户之间隔离的作用基于用户的虚拟机隔离：即管理员可以通过云平台将不同用户之间的虚拟机配置为无法建立2层链接，实现基于用户的虚拟机隔离。提供多种网络类型，一些是真实的，一些是虚拟的，虚拟网络通过VLAN隔离，物理网络通过不同的硬件和设备隔离等，比如通过公网IP、私网IP通过不同的网卡隔离流量.也通过不同的组网，如3个平面来隔离业务、管理、存储直连网络可以通过给用户分配VLAN来隔离，直连无标记网络则采用了类似于亚马逊的安全组概念对每位用户进行隔离，而不采用VLAN。所有的安全域都通过防火墙接入到网络中，各个安全域通过虚拟防火墙进行逻辑隔离，安全域之间不能直接访问，在虚拟防火墙上通过访问控制策略，对用户进行文件和数据操作权限的限制，防范用户的越权访问。6.2 全面的虚拟机安全机制1)   同一物理服务器上的虚拟机隔离同一物理机服务器上资源隔离，包括CPU、内存、内部网络隔离、磁盘I/O有效的隔离，不会因为某一个虚拟机被攻击而导致其他同一物理服务器上的虚拟机被影响。2)   数据中心内部虚拟机访问隔离l  提供虚拟防火墙，如安全组功能，确保不同租户的虚拟机之间的网络隔离（包括同一个物理主机内的不同虚拟机）。针对每个安全组可以定义ACL规则，如对外开放某个具体的服务或端口，允许外部某个IP地址访问虚拟机的某个端口，也可以在安全组之间相互授权访问。l  虚拟机深度防护： Deep Security使系统能够自我防御，并经过优化，能够帮助保护机密数据并确保应用程序的可用性。提供恰好适度的防护以满足不断变化的业务需求。l  云平台要能防止同一个物理主机内VM能嗅探到其它VM的数据包。例如ARP防护，云平台防止恶意虚拟机的IP欺骗和ARP地址欺骗，限制虚拟机只能发送本机地址的报文。l  虚拟机操作日志审计，通过云平台记录对虚拟机进行VM操作，便于合规审计。6.3 访问控制对业务和应用中保存的帐号进行集中管理，包括帐号创建、变更和删除等。同时根据预定策略，修改帐号的口令。接入认证安全、传输安全将人员和其在各个业务系统中承担角色关联，实现对维护人员和用户等的集中授权。记录帐号登录、登出等相关的日志信息，并帐号登录、登出的信息和用户的真实身份相关联。根据预先制定的审计策略对日志进行分析，发现高危操作，产生审计事件告警。输出符合萨班斯审计需要等要求的审计报告。6.4 数据安全数据安全通过关键数据加密、业务数据严格的访问控制以及操作记录数据定期归档、内部备份或备份到外部存储器等多种方式保障。6.5 传统安全措施在整个数据中心的建设，根据应用和建设的要求，传统的安全措施也是必不可少。防火墙：最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。入侵防御：传统的安全解决方案中，防火墙和入侵检测系统 (IDS，Intrusion Detection System) 已经被普遍接受，但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，而IDS也不能阻挡检测到的攻击。因此，即使在网络中已部署了防火墙、IDS等基础网络安全产品，IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果，必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题漏洞扫描设备：机动灵活使用，目前建议接在管理网使用。VPN网关：虚拟专用网（Virtual Private Network，VPN）技术以其灵活、安全、经济、易扩展的特点，可以提高沟通效率和资源利用效率，建立成员单位与云平台之间的具有保密性的网络连接。能满足远程管理接入需求。设备支持VPN隧道数量和最大并发用户数量满足当前维护需求。安全支援区域建议建立安全支援区域，该区域完成所有安全设备的网管工作，同进可以放置防病毒系统、补丁管理系统等。6.6 在安全建设方面主要建议如下需要专业的抗DDoS攻击系统，来对外来的DDoS攻击进行防御，保护防火墙及网站系统；在WEB服务器前面，放置WEB应用防火墙系统，来阻止SQL注入、XSS跨站攻击、网站挂马、跨站伪造攻击、终端用户COOKIE获取和篡改等攻击。在内部的两个交换机上部署入侵检测系统IDS，来检测内部之间及和两个业务单位的攻击事件；需要漏洞扫描系统，对主机服务器、网站等进行定期的安全评估。 6.7 安全域安全域技术1：交换机安全策略l  应用系统安全域隔离n  VLAN隔离l  服务器访问控制与保护n  ACLn  ARP侦听n  IP Source Guard 安全域技术2：防火墙安全策略l  应用系统安全域隔离n  缺省三层流量隔离，按需部署互访策略l  外网对应用系统访问控制n  DMZn  远程VPN接入l  应用系统安全域间访问控制n  ACL实现按需的互访策略n  应用异常分析n  攻击防护 安全域技术3：虚拟交换技术，针对虚拟机的隔离和安全访问控制l  技术目标n  将物理机上不同虚拟机之间流量的交换，由虚拟机软件处理（如vSphere），演变成由交换机处理，从而实现与物理服务器之间流量的统一管理；l  实现方案n  硬件方式：接入交换机管理虚拟机网络n  软件方式：软件交换机管理虚拟机网络虚拟交换技术 IEEE 802.1Qbh将交换机端口扩展至虚拟机 6.8 安全域划分原则（1）    业务保障原则：安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。（2）    结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难。（3）    等级保护原则：安全域划分和边界整合遵循业务系统等级防护要求，使具有相同等级保护要求的数据业务系统共享防护手段。（4）    生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。（5）    私有云安全域划分以物理隔离和逻辑隔离相结合，在保障系统安全的基础上，提高系统资源的灵活部署和高效使用。云平台系统通过双层异构防火墙进行安全访问策略控制。实现互联网访问、内部系统安全互访的需求。在内部防火墙上按照业务系统划分3个防火墙（防火墙模块或者虚拟防火墙），分别为管理信息系统、信息安全系统和网管支撑系统提供安全防护和系统对外访问控制。外部防火墙，部署在业务网络和互联网之间，对资源池系统和外部访问之间的流量进行安全策略控制和IP地址翻译。根据以上业务系统和安全域划分，应用之间的访问类型包括以下4种类型：l  数据中心外部与数据中心内部之间访问流量l  不同应用系统间访问流量l  同一应用系统内不同安全域间互访流量l  同一应用系统内同一安全域中互访流量 12508 h3C