雲安全之路 | 等保 2.0 雲計算擴展要求下的網絡安全建設思路
伴隨等保 2.0 政策執行的合規落地
山石網科致力於打造
一整套雲計算安全解決方案
以滿足雲計算安全擴展要求的合規執行
【雲安全之路】往期文章:
雲計算概念於 2006 年被 Google 公司正式提出,雲計算模式在世界範圍內已經成爲信息通信(ICT)行業的發展趨勢。從本質上來說,雲計算是一種以服務爲特徵的計算模式,它通過對各種計算資源進行抽象,以新的業務模式提供高性能、低成本的持續計算、存儲空間及各種軟件服務,支撐各類信息化應用,能夠合理配置計算資源,提高計算資源的利用率,降低成本,促進節能減排,實現真正理想的“綠色”計算。
然而,雲計算帶來諸多便利與優勢的同時也給信息安全帶來了多個層面的衝擊與挑戰。雲計算的服務計算模式、動態虛擬化管理方式以及多層服務模式等引發了新的信息安全問題;雲服務級別協議所具有的動態性及多方參與的特點,對責任認定及現有的信息安全體系帶來了新的衝擊;雲計算的強大計算與存儲能力被非法利用時,將對現有的安全管理體系產生巨大影響等。爲有效應對上述安全風險,我國相關部門積極推進雲計算安全標準體系的建設工作,並在各有關單位的共同努力下取得了顯著成果。
一、等保 2.0 雲計算安全擴展要求分析
等級保護是我國在網絡安全領域實施的重要制度之一,爲使網絡安全等級保護系列標準能夠實現與時俱進,適應新技術、新應用的發展所提出的安全需求,《網絡安全等級保護基本要求》2.0版本針對雲計算、移動互聯、物聯網、工業控制系統和大數據共 5 個技術領域提出了安全擴展要求。
雲計算安全擴展要求章節針對雲計算的特點提出特殊保護要求,對雲計算環境主要增加的控制點包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“雲服務商選擇”、“供應鏈管理”、“雲計算環境管理”等方面。以最典型和最重要的第三級安全要求爲例,該標準在 7個層面(5 個技術層面和 2 個管理層面)對 16 個控制點提出了共 46 條雲計算安全擴展要求項。
此外,雲計算安全擴展要求附錄中針對應用場景進行了說明,明確指出:軟件即服務 (SaaS)、平臺即服務 (PaaS)、基礎設施即服務 (IaaS) 是三種基本的雲計算服務模式。
如上圖所示,在不同的服務模式中,雲服務商和雲服務客戶對計算資源擁有不同的控制範圍,控制範圍則決定了安全責任的邊界。在基礎設施即服務模式下,雲計算平臺/系統由設施、硬件、資源抽象控制層組成;在平臺即服務模式下,雲計算平臺/系統包括設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺;在軟件即服務模式下,雲計算平臺/系統包括設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件。不同服務模式下雲服務商和雲服務客戶的安全管理責任有所不同。當用戶在本地建設自己的私有云平臺,用戶需要負責設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺全部的安全保障。
二、雲計算安全建設需求分析
由於雲環境下網絡環境變得更加複雜、彈性和動態變化等特點,按照等保 2.0 標準要求,雲計算安全建設需要關注並且滿足以下的需求:
2.1 安全物理環境風險與需求分析
由於雲計算平臺的物理特性引起的網絡、設備和線路的不可使用,將會造成雲計算平臺的不可使用,導致整個用戶雲上業務的癱瘓。物理和環境安全包括機房選址、機房建設、設備設施的防盜防破壞、防火、防水、電力供應、電磁防護等,需要在數據中心機房的建設過程中嚴格按照國家相關標準進行機房建設、綜合佈線、安防建設,並經過相關部門的檢測和驗收,同時需確保雲計算平臺所在位置位於中國境內。
2.2 安全通信網絡風險與需求分析
首先雲計算平臺不承載高於其安全保護等級的業務應用系統。雲計算平臺在安全建設中需要保障雲服務客戶虛擬網絡之間的隔離,並且根據雲服務客戶需求提供通信傳輸、邊界防護、入侵防範等安全機制的能力。雲計算平臺可以實現雲服務客戶根據業務需求自主設置安全策略的能力,同時實現雲安全管理與雲計算管理的深度集成,以提供更好的用戶體驗。
2.3 安全區域邊界風險及需求分析
(1)訪問控制
雲服務客戶需要在虛擬化網絡邊界及不同的等級網絡區域邊界設置訪問控制機制,並設置訪問控制規則。
(2)入侵防範
在雲計算平臺內部能檢測雲服務客戶之間、虛擬機與宿主機之間、虛擬機與虛擬機之間、虛擬網絡節點之間的攻擊進行告警,並且能記錄攻擊類型、攻擊時間、攻擊流量等信息。
(3)安全審計
雲服務商和雲服務客戶在遠程管理時執行的特權命令進行審計,至少包括虛擬機刪除、虛擬機重啓;雲服務商對雲服務客戶系統和數據的操作可被雲服務客戶審計。
2.4 安全計算環境風險及需求分析
(1)身份鑑別
對遠程管理雲計算平臺中設備時,管理終端和雲計算平臺之間應建立雙向身份驗證機制。
(2)訪問控制
當雲服務客戶虛擬機遷移時,訪問控制策略隨其遷移,雲服務客戶設置不同虛擬機之間的訪問控制策。
(3)入侵防範
雲計算平臺安全建設應能檢測虛擬機之間的資源隔離失效,並進行告警,能檢測非授權新建虛擬機或者重新啓用虛擬機,並進行告警;能夠檢測惡意代碼感染及在虛擬機間蔓延的情況,並進行告警。
2.5 安全管理中心風險及需求分析
雲計算平臺需要對物理資源和虛擬資源按照策略做統一管理調度與分配。在安全建設中雲計算平臺管理流量與雲服務客戶業務流量分離。根據雲服務商和雲服務客戶的職責劃分,收集各自控制部分的審計數據並實現各自的集中審計。應根據雲服務商和雲服務客戶的職責劃分,實現各自控制部分,包括虛擬化網絡、虛擬機、虛擬化安全設備等的運行狀況的集中監測。
三、雲計算安全建設方案設計
雲計算安全建設需要滿足等保 2.0 中通用建設部分並與雲計算擴展要求相結合,建立“一箇中心三重防護”的理念,即安全管理中心和安全通信網絡、安全區域邊界、安全計算環境,以安全計算環境爲基礎,以安全通信網絡、安全區域邊界爲保障,以安全管理中心爲核心的信息安全整體保障體系。
3.1 安全通信網絡
雲計算平臺在服務器內部出現了 vSwitch 層,這使得原本清晰的邊界模糊化,爲此在安全設計中必須要考慮此挑戰,確保安全解決方案的可落地。用戶業務在雲計算平臺實際部署中,服務器內部網絡之間安全防護挑戰會有兩個層級:
第一個層級:在雲計算平臺內開啓 VPC 模式,根據用戶需求構建一個隔離的網絡環境,實現用戶內不同業務部門或不同業務系統之間的網絡隔離。VPC 之間的安全隔離可以採用虛擬防火牆的安全隔離能力。在雲計算平臺 VPC 之間通過提供虛擬化防火牆、邏輯 VPN 等服務,將需要保護的虛擬機與外部網絡之間進行端口組隔離,實現虛擬化環境中網絡安全的需要。山石網科虛擬化下一代防火牆 - 雲·界可以爲雲數據中心提供隔離功能的邏輯安全邊界,支持多租戶環境,並可安全地共享網絡資源,實現應用系統雲服務器羣組的安全隔離。
第二個層級:根據等級保護要求,需要考慮用戶業務系統所在虛擬機之間隔離。此層級下在雲計算平臺中部署山石雲·格進行虛機之間安全防護。雲·格提供的“虛機微隔離”技術爲每個虛機提供了“貼身保鏢”式的安全防護,通過專利引流技術,山石雲·格可將每個業務虛機的流量牽引至虛擬安全業務模塊,進行 2-7 層的威脅檢測,從而發現並阻斷東西向流量的安全威脅。雲服務客戶可以根據自己需求自主設置安全策略能力,提供更好的用戶體驗。
3.2 安全區域邊界
3.2.1 訪問控制與入侵防範
雲服務客戶需要在虛擬化網絡邊界及不同的等級網絡區域邊界部署訪問控制機制,並設置訪問控制規則。在雲計算平臺內部,能檢測雲服務客戶之間、虛擬機與宿主機之間、虛擬機與虛擬機之間、虛擬網絡節點之間的攻擊進行告警,並且能記錄記錄攻擊類型、攻擊時間、攻擊流量等信息。實現雲計算平臺內 VPC 邊界防護和邊界訪問控制防護可以採用山石雲·界提供邊界流量過濾、網絡層防護及應用層防護功能。針對虛擬機之間訪問控制與入侵防範,可部署山石雲·格爲虛擬化環境中構建一個強大且可信賴的“盾牌”。通過對系統流量與策略規則的統計,即每當經過山石雲·格的會話與某條策略規則相匹配時,會調用用戶自己配置的 IPS/AV 模板檢測是否存在威脅或攻擊行爲,同時根據用戶自己的配置對存在威脅或攻擊的會話執行相應的動作,提升雲數據中心的防禦能力,從而降低用戶安全風險。
3.2.2 安全審計
對雲計算平臺中虛擬安全設備、業務系統進行安全審計也是等保安全建設重要的一部分。山石網科所有虛擬化安全產品自身提供豐富的信息日誌,且所有日誌均支持本地與 syslog 協議存儲。在關於“內容”的日誌類別中,支持針對用戶的識別,事件記錄包括日期和時間、用戶、事件類型、事件結果等,滿足“安全審計”中的相關要求。
山石網科提供專業的虛擬化日誌審計平臺,可對所有用戶訪問行爲和安全事件進行審計,節點設備的日誌數據可以通過 syslog 協議推送到日誌審計平臺統一作保存與日誌分析,日誌保存時間要求不少於 6 個月,滿足等保及網絡安全法的要求。
3.3 安全計算環境
3.3.1 身份鑑別
遠程管理雲計算平臺中設備,可以採用 VPN 技術實現管理終端和雲計算平臺之間互聯,並且可以實現雙向身份驗證機制。山石雲·界支持開啓 VPN 功能,能夠實現數據的加密傳輸,爲用戶提供安全穩定的連接,用戶能夠隨時隨地高效運維。
在運維管理中採用堡壘機 / 虛擬堡壘機可實現賬號權限劃分以及雙因子認證,通過身份認證、權限控制、賬戶管理、操作審計等多種手段,完成雲內核心資產的統一認證、統一授權、統一審計,全方位提升運維風險控制能力。
3.3.2 訪問控制
雲服務客戶設置不同虛擬機之間的訪問控制策略,當虛擬機遷移時,訪問控制策略也隨其遷移。在虛擬化環境中,雲·格安全策略可以隨虛擬機遷移安全策略也隨着遷移。
3.3.3 入侵防範
在雲計算平臺建設中需要檢測虛擬機之間的資源隔離失效,並進行告警,並且檢測非授權新建虛擬機或者重新啓用虛擬及進行告警。檢測惡意代碼感染及在虛擬機間蔓延的情況,並進行告警。
• 針對於雲計算平臺虛擬主機系統,通過部署網絡版殺毒軟件或山石網科 EDR 產品對終端主動防禦型查殺,對惡意程序、免殺木馬、釣魚程序、挖礦程序、勒索程序、黑名單程序等進行檢測、攔截。
• 針對部署在雲計算平臺的 WEB 應用安全,可以採用虛擬應用防火牆來防護對應用系統的攻擊;採用網頁防篡改實現 WEB 頁面安全防護。
• 針對數據庫信息存在的風險,爲增強數據庫系統的安全,需要對數據庫進行防護,可以採用虛擬數據庫防火牆對數據庫安全防護。
•山石網科虛擬化遠程安全評估系統可以對雲中操作系統、業務系統進行安全掃描,協助運維人員高效、準確的對租戶內部系統進行實時自檢,及時發現安全問題,並提供詳細、專業的安全建議和修補方案,有效提升整網的健壯性和安全性。
•山石網科雲計算虛擬安全設備均可以將日誌和流量信息發送到智能安全運營系統,從而對雲中安全事件進行告警及可視。
3.4 安全管理中心
雲計算平臺建設中需要對物理資源和虛擬資源按照策略做統一管理調度與分配。在日常運營中,需對雲計算平臺自身所涉及基礎設施進行安全配置、策略變更管理,定期進行配置覈查;對雲計算平臺涉及的物理服務器進行操作系統安全加固及配置覈查;及時發現雲計算平臺及其相關產品組件的安全漏洞,並提供修復;通過故障監控、快速定位、自動化恢復、通知告警等一系列故障管控體系,保證雲計算平臺及雲產品的可用性;提供雲計算平臺提供數據安全防護,幫助用戶保護其雲端系統及數據的可用性、機密性和完整性;對雲計算平臺數據實現集中審計,並對雲計算平臺中虛擬化網絡,虛擬機、虛擬化安全設備的運行狀況的集中監測。
在等級保護中明確要求應具備集中管控能力,通過虛擬安全管理平臺的建設,真正實現安全技術層面和管理層面的結合,全面提升整網的安全保障能力,滿足等保中“集中管控”的相關要求。
四、山石網科雲計算安全產品
山石網科自 2015 年推出了由山石雲·格、山石雲·界構成的雲計算安全解決方案至今,已經積累了大量雲安全成功案例。伴隨等保 2.0 政策執行的合規落地,山石網科致力於打造一整套雲計算安全解決方案,用以滿足雲計算安全擴展要求的合規執行。方案覆蓋雲計算安全擴展要求中的安全通信網絡 - 網絡架構,安全區域邊界 - 訪問控制與入侵防範,安全計算環境 - 訪問控制與入侵防範,安全管理中心 - 集中管控等大部分控制項安全措施。
山石網科雲計算安全解決方案圍繞山石雲·界、山石雲·格、山石雲·池、虛擬化 Web 應用防火牆、虛擬化日誌審計、虛擬化數據庫審計等雲安全產品爲核心,面向雲服務商、雲客戶,提供基於雲平臺、租戶、微隔離、雲數據庫、雲安全管理等多種雲計算應用場景的解決方案,全面滿足未來雲計算安全合規落地執行。
我不允許你到現在
還沒看過絕美電子雜誌《巖談》!
山石網科是中國網絡安全行業的技術創新領導廠商,自成立以來一直專注於網絡安全領域前沿技術的創新,提供包括邊界安全、雲安全、數據安全、內網安全在內的網絡安全產品及服務,致力於爲用戶提供全方位、更智能、零打擾的網絡安全解決方案,是您優質可靠的夥伴!
山石網科爲金融、政府、運營商、互聯網、教育、醫療衛生等行業累計超過23,000家用戶提供高效、穩定的安全防護。山石網科在蘇州、北京和美國硅谷均設有研發中心,業務已經覆蓋了中國、美洲、歐洲、東南亞、中東等50多個國家和地區。
(文章配圖源自網絡)