《云数据中心安全规划设计》由会员分享,可在线阅读,更多相关《云数据中心安全规划设计(22页珍藏版)》请在金锄头文库上搜索。
1、云数据中心安全规划设计 1 目录 1前言 . 2 1.1背景 . 2 1.2文档目的 . 2 1.3适用范围 . 2 1.4参考文档 . 2 2安全 . 3 2.1信息安全背景. 3 2.2工作方法说明. 3 2.3集团安全目标. 5 2.4集团安全体系功能服务组件框架. 8 2.5集团云安全规划路线. 30 2 1前言 1.1背景 集团信息中心中心引入日趋成熟的云计算技术,建设面向全院及国网相关单 位提供云计算服务的电力科研云,支撑全院各个单位的资源供给、数据共享、技 术创新等需求。 实现云计算中心资源的统一管理及云计算服务统一提供;完成云 计算中心的模块化设计,逐渐完善云运营、云管理、云运
2、维及云安全等模块的标 准化、流程化、可视化的建设;是本次咨询规划的主要考虑。 1.2文档目的 本文档为集团云计算咨询项目的咨询设计方案,将作为集团信息中心云计算 建设的指导性文件和依据。 1.3适用范围 本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设 计人员、维护人员、 工程师等, 以便通过参考本文档资料指导集团云计算数据中 心的具体建设。 1.4参考文档 集团云计算咨询项目访谈纪要 信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008) 信息系统灾难恢复规范 (GB/T20988-2007) OpenStack Administrator Guide
3、(http:/docs.openstack.org/ ) OpenStack High Availability Guide (http:/docs.openstack.org/ ) OpenStack Operations Guide (http:/docs.openstack.org/ ) OpenStack Architecture Design Guide (http:/docs.openstack.org/ ) 3 2安全 2.1信息安全背景 2.1.1.1.1 综述 集团将秉承 “ 努力超越、追求卓越 ” 的企业精神,坚持自觉服从、服务于公司 科学发展的大局,进一步统一思想,坚定信
4、心,业务取得了快速发展。 随着业务的发展,集团对信息安全要求越来越高,希望打造满足等级保护三 级要求和满足集团信息安全要求的高合规的安全体系。 为实现此目标,项目组从物理、网络、主机、应用和数据五个方面分别对集 团现阶段及三年后的业务规模、对现有安全措施的整合、 对网内外纵深防御的安 全技术点进行分析和规划。 2.1.1.1.2 集团安全现状概况 当前整体信息安全风险不受控,易发生安全事件,造成安全事故。 组织:缺失专业的安全人员,没有集团自己的安全团队,更多依据经验或者 外包进行安全规划,缺乏安全防范统一规划能力; 管理:管理制度体系有统一的信息安全管理标准和流程规范,但有缺失,存 在安全事
5、件的发生; 技术:信息技术手段及安全设备支撑能力不足,存在安全产品配置不规范的 现象存在。 2.2工作方法说明 2.2.1.1.1 工作方法流程 项目组参考了ISO15408等国际安全标准,进行了安全技术架构规划,总体工作 思路如下图所示,具有三个要点: 统一遵循 高合规 架构化方法来规划集团的安全技术架构; 基于规范化的架构规划方法(MASS ) ,根据集团的业务需求来确定所需具 4 备的信息安全技术能力,完成安全技术功能服务组件框架定义与部署设 计; 在安全技术功能服务组件定义和服务组件运行部署设计确定的基础上, 根据集团的安全技术现状,提出3 年的安全建设规划 。 图1安全技术架构规划总
6、体工作思路 步骤一 安全需求梳理,在本项目中,我们将从近期集团信息安全技术风险需 求、来总结和梳理信息安全技术建设的要求,并在此基础上总结安全技术目 标和安全技术架构设计原则。 步骤二 安全技术架构功能服务组件框架(静态模型),在步骤一工作的基础 上,制定集团的安全技术架构功能框架,它由一系列的安全技术功能服务组 件所构成, 每个安全技术功能服务组件的选择都是基于信息安全技术建设的 需求,这些安全技术用于实现集团的安全技术目标。 步骤五 安全技术建设项目规划,总结集团的安全技术体系建设规划的工作 重点,定义安全技术建设项目。每个识别出集团需要进行建设的安全技术项 目,都是为了建设集团的安全技术
7、服务平台。通过一系列项目建设来实现集 团安全技术架构的构建。 Product 安 全 标 准 目标 与原则 流程 作业 指南 架构 产品 建议 安 全 标 准 架构化 方法 规划 Method for Architecting Secure Solution -MASS 核心层 互联网接 入 防 火 墙 运行管理区 防火墙 Internet DMZ 区 防 火 墙 第三方接 入 (银行) 防 火 墙 DC (数据中心) 防火墙 防 火 墙 第三方 DMZ 区 运营商 防 火 墙 DMZ区 防火墙 防 火 墙 调通局 II 区 调度 数据 网 综合数据网(广域网) 防火墙 调通局 DMZ 综合单
8、位接入 防火墙 省办公区 防火墙 隔离 设施 防病毒 控制台 统一用 户管理 企业用 户目录 数据证 书 集中身 份认证 访问授 权 准入控 制 桌面管 理 统一事 件管理 日志审 计 操作审 计 入侵检 测防护 远程安 全接入 网页防 篡改 入侵检 测防护 网页防 篡改 入侵检 测防护 入侵检 测防护 安全符合性 检查 Agent 安全评估 入侵检测 防护 信息流内容 检测过滤 日志审计 服务 Agent 日志审计服 务 Agent 入侵检测 防护 入侵检测 防护 信息防泄 漏 安全评估 安全评估 拒绝服 务攻击 安全符合 性检查桌面管理 Agent 准入控 制 Agent 防病毒 Agen
9、t 日志审计服 务 Agent 日志审计服 务 Agent 日志审计服 务 Agent 日志审计服 务Agent 日志审计服 务 Agent 日志审计服 务 Agent 桌面管理 Agent 准入控 制 Agent 防病毒 Agent 防病毒 Agent 桌面管理 Agent 准入控 制 Agent 准入控 制 Agent 准入控 制 Agent 补丁 更新 信息流 内容检 测过滤 信息流 内容检 测过滤 123456789101112123456789101112123456789101112123456789101112123456789101112 1 集中用户管理、身 份认证及授权 2
10、 终端安全管理及域 管理 3网络安全优化 4应用安全 5主机及设备安全 6统一事件管理平台 7电子文档安全 8 安全策略体系完善 与推广 20142010201120122013 序号技术项目名称 省 公 司 地市 省公司试点 地市推广 试点小规模推广全面推广 试点 小规模推广全面推广 试 点 试 点 地市 推广 试点推广 完善与 推广 5 步骤六 安全技术建设阶段规划, 在每个安全技术项目定义明确的基础上,分 析每个项目建设的轻重缓急,整理出符合集团实际的安全建设阶段划分,为 今后 3 年的信息安全技术建设规划提供建议。 2.2.1.1.2 参考标准 ISO/IEC 15408:“信息技术
11、安全技术信息技术安全性评估准则 (简称 CC ) , 国际标准化组织在现有多种评估准则的基础上,统一形成的。2001 年,我国将 ISO/IEC15408 直接引入为国家标准,命名为GB/T18336 。 ISO/IEC 27001: 信息技术、安全技术、信息安全管理体系要求ISO/IEC 27002: 信息技术、安全技术、信息安全管理实用规则。 等级保护:信息系统安全等级保护基本要求第1 部分通用安全要求、 信 息系统安全等级保护基本要求第2 部分云计算安全技术要求 2.3集团安全目标 2.3.1.1.1 安全需求总结 为了全面掌握集团的安全技术需求,项目组从集团信息安全组织架构、管理 制度
12、、安全技术、业务发展需求等多个方面来总结和梳理信息安全技术建设的要 求。 而传统安全与云安全存在不同,特别需要关注虚拟机之间的安全、数据迁移 的安全、数据存储的安全等。具体如下图: 6 图1云安全面临挑战 图2集团云安全现状 2.3.1.1.2 安全技术目标 本次安全目标是以集团的未来三年的业务类型和规模,实现满足等级保护三 级要求和满足集团安全要求的高合规安全体系。 2.3.1.1.3 安全技术架构设计原则 在安全技术架构规划设计过程中,需要遵循以下的原则: 统一性 安全技术手段的建设应综合分析公司整体安全需求,实现安全服务平台 化、统一化。 7 综合性 应从外到内、从点到面、从源头控制到事后恢复,进行综合性的整体预 防与控制。 先进性 具有前瞻性,考虑安全技术的发展趋势,满足业务未来发展的需求。 可持续性 满足信息系统全生命周期管理的安全保障要求,为
