《数据中心整体安全解决方案-V1.1》由会员分享,可在线阅读,更多相关《数据中心整体安全解决方案-V1.1(22页珍藏版)》请在金锄头文库上搜索。
1、数据中心整体平安解决方案 / 目录1.概述11.1.方案目标11.2.参考依据12.数据中心面临的平安挑战32.1.网络边界接入风险32.2.面向应用层的攻击32.3.虚拟化平安风险42.4.APT攻击风险52.5.数据泄露风险52.6.平安运维的挑战53.方案思路73.1.总体思路73.2.设计原那么74.方案设计94.1.平安域划分9边界接入区9网络根底设施区9业务接入区9运维管理区104.2.整体设计104.3.各平安域平安架构设计11互联网接入区11外联接入区12部接入区13核心会聚区14一般效劳区14重要效劳区16核心数据区17运维管理区175.方案组成与产品介绍205.1.方案清单
2、205.2.下一代智慧防火墙215.3.SSLVPN平安接入网关215.4.Web应用防火墙215.5.虚拟化平安管理系统215.6.鹰眼Web智能监控系统215.7.天眼态势感知与平安运营平台215.8.运维审计系统堡垒机215.9.数据库审计系统215.10.云监测215.11.企业平安效劳216.方案价值21图索引图 41 数据中心整体平安设计11图 42 互联网接入区平安设计12图 43 外联接入区平安设计13图 44 部接入区平安设计14图 45 核心会聚区平安设计14图 46 一般效劳区平安设计15图 47 重要效劳区平安设计16图 48 核心数据区平安设计17图 49 运维管理区
3、平安设计181. 概述随着企业信息化的成熟开展和新技术的广泛引用,政府机构、金融、教育、IT、能源等等各个行业的企业都因需求不断扩大而正在规划和建立各自的数据中心。一方面随着信息爆炸,出于管理集约化、精细化的必然要求,进展数据集中已经成为国电子政务、企业信息化建立的开展趋势。另一方面数据中心不再是简单的根底通信网络,更是集通信效劳、IT效劳、管理应用和专业信息化效劳于一体的综合性信息效劳中心。随着云计算和大数据的高速开展,技术进步推动了生活、生产方式的改变,网络数据中心的定义也发生了改变,传统的数据中心将形成提供各种数据业务的新一代IDC数据中心。数据中心作为数据处理、存储和交换的中心,是网络
4、中数据交换最频繁、资源最密集的地方,更是存储数据的平安局,它要保证所有数据的平安和完备。相比过去的传统数据中心,云时代的数据中心面临着更巨大的挑战,如新业务模式带来的数据保护风险、虚拟化等新技术引入的新型风险、攻击者不断演进的新型攻击手法等。因此,对于数据中心的平安建立,要考虑多方面因素,任何防护上的疏漏必将会导致不可估量的损失,因此构筑一道平安的防御体系将是这座数字城堡首先面对的问题。1.1. 方案目标本方案着眼于数据中心面临的传统风险和新型风险,从全局考虑,为数据中心整体平安规划和建立提供具备实际意义的平安建议。1.2. 参考依据u 中办200327号文件国家信息化领导小组关于加强信息平安
5、保障工作的意见u 公通字200466号信息平安等级保护工作的实施意见u 公通字43号信息平安等级保护管理方法u GB/T20269-2006信息平安技术信息系统平安等级保护管理要求u GB/T20271-2006信息平安技术信息系统通用平安技术要求u GB/T22239-2008信息平安技术信息系统平安等级保护根本要求u GB/T22240-2008信息平安技术信息系统平安等级保护定级指南u 信息平安技术信息系统平安等级保护实施指南u 信息平安技术信息系统平安等级保护第二分册云计算平安要求u ISO13335信息系统管理指南u IATF信息保障技术框架2. 数据中心面临的平安挑战随着Inter
6、net应用日益深化,数据中心运行环境正从传统客户机/效劳器向网络连接的中央效劳器转型,受其影响,根底设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的平安体系引入许多不确定因素,一些未实施正确平安策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得平安性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。以下是当前数据中心面对的一些主要平安挑战。:2.1. 网络边界接入风险网络边界接入风险主要包括路由破坏、未授权访问、信
7、息窃听、拒绝效劳攻击、针对路由器和交换机等边界网络设备的攻击,以与病毒、蠕虫的传播等。在互联网上尤其是拒绝效劳攻击现在呈多发趋势,而且中国是攻击发生的重灾区,在世界围仅次于美国排名第二。海量的SYN Flood、ACK Flooding、UDP Flood、ICMP Flood、 (M)Stream Flood等攻击产生的大量垃圾数据包,一方面大量占用网络带宽,另一方面会造成边界路由器和核心交换机等网络设备的有效数据转发能力下降,甚至会出现核心路由器和交换机因负荷过载而造成转发延迟增大和数据包丢包率上升等问题。同时,针对效劳器区域的HTTP Get Flood、UDP DNS Query Fl
8、ood、CC等攻击会造成业务效劳器和关键设备的效劳质量下降甚至业务中断。2.2. 面向应用层的攻击应用层的攻击之所以存在,通常是因为程序员是在严格的期限压力下发布的代码,他们并没有足够的时间来发现并解决将会导致平安漏洞的错误。此外,许多程序员未考虑到使用某些特定语言结构将会导致应用程序暴露在隐式攻击下。最后,许多应用程序有着复杂的配置,缺乏经历的用户可能会在部署应用程序时启用了危险的选项,从而导致应用程序的平安性降低。应用层攻击的类型可以分为如下3种:利用编程错误应用程序的开发是一个复杂的过程,它不可防止地会产生编程错误。在某些情况下,这些错误可能会导致严重的漏洞,使得攻击者可以通过网络远程利
9、用这些漏洞。这样的例子有:缓冲区溢出漏洞,它来自对不平安的C库函数的使用;以Web为中心的漏洞,如将未经清理的查询传递给后端数据库的Web效劳器这将导致SQL注入攻击,以与将直接来自客户端未经过滤的容写入页面的站点这将导致跨站脚本或XSS攻击。利用信任关系有些攻击利用的是信任关系而不是应用程序的错误。对与应用程序本身交互而言,这类攻击看上去是完全合法的,但它们的目标是信任这些应用程序的用户。钓鱼式攻击就是一个这样的例子,它的目标并不是Web应用程序或效劳器,而是访问钓鱼或电子信息的用户。耗尽资源像网络层或传输层的DoS攻击一样,应用程序有时候也会遭受到大量数据输入的攻击。这类攻击将使得应用程序
10、不可使用。2.3. 虚拟化平安风险随着云计算的迅速开展,传统的数据中心也在向“云迈近,首先的一步便是虚拟化技术的应用。虚拟化技术是生成一个和真实系统行为一样的虚拟机器,虚拟机像真实操作系统一样,同样存在软件漏洞与系统漏洞,也会遭到病毒木马的侵害。而且宿主机的平安问题同样需要得到重视。一直以来无论虚拟化厂商或平安厂商都将平安的关注点放在虚拟机系统和应用层面,直到 “毒液平安漏洞的出现,才将人们的目光转移到宿主机,由于宿主机系统本身也都是基于Windows或Linux系统进展底层重建,因此宿主机不可防止的会面对此类漏洞和风险问题,一旦宿主机的平安防护被忽略,黑客可以直接攻破虚拟机,从而造成虚拟机逃
11、逸。所以,宿主机的平安问题是虚拟化平安的根基。另外虚拟化技术带来了弹性扩展这一优秀特性,是通过虚拟机漂移技术来实现,当宿主机资源消耗过高或者出现故障时,为了保证虚拟机上的业务稳定,虚拟时机漂移到其他的宿主机上。企业的数据中心在虚拟化后,一旦发生虚拟机漂移,原有平安管理员配置好的平安域将被完全打破,甚至会出现局部物理效劳器和虚拟机效劳器处于同一个平安域这样的情况,而依靠传统防火墙和VLAN的方式将没有方法维持原来的平安域稳定,使得平安域混乱,平安管理出现风险因此基于虚拟化环境自身的特性,数据中心需要充分考虑虚拟化的引入为企业带来的相应的风险,根据各个风险点带来的问题与威胁建立针对性的防护方案,以
12、保障企业数据的平安与业务系统的平稳运行。2.4. APT攻击风险传统的防病毒软件可以一定程度的解决病毒、木马的威胁,但对于越来越多的APT攻击却束手无策。APT很多攻击行为都会利用0day漏洞进展网络渗透和攻击,且具有持续性与隐蔽性。此种持续表达在攻击者不断尝试各种攻击手段,以与在渗透到网络部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要针对大型企业、国家重要的根底设施或者具有核心利益的网络根底设施。由于APT特种木马的免疫行为,所以传统的防病毒软件以与平安控管措施和理念很难有效应对APT攻击。2.5. 数据泄露风险数据泄漏是数据中心最为广泛的担忧之一
13、。尤其是对公众提供效劳的数据中心,涉与大量用户敏感信息等关键数据库的存储,并开放多方接口供不同平台、机构调用,很多威胁场景都可能会导致敏感数据的丧失和泄漏。近年来各种机构被“拖库事件频繁发生,数据中心关键数据的高密度聚合对潜在的攻击者具有极大的诱惑力,数据平安面临巨大的挑战。2.6. 平安运维的挑战随着技术和应用的演进,让今天的IT环境和过去相比,已经发生了巨大的变迁,而相应的平安运维管理重点,也从过去的“设备监控、告警程序,转变为对企业业务开展的关注和支撑。传统的“平安运维存在着诸多的问题需要解决。n 多种平安设备,不同的报警,如何整合?在大中型企业的网络系统中,为了确保系统的稳健运行,通常
14、会采用多种平安技术手段和平安产品,比方防火墙系统、入侵检测系统、防病毒系统等,都是平安根底设施。在实际的运维过程中,这些不同种类、不同厂家的平安产品会给技术人员带来不小的麻烦-各个平安系统相对孤立,报警信息互不关联,策略和配置难于协调。当一个报警事件产生时,不知道该如何处理。n 海量的事件、海量的日志,如何分析存储?对于数据中心的规模来说,各类网络设备、平安设备、效劳器都会产生海量的日志。从海量数据中对日志进展快速分析,这要求本地具备海量的数据存储能力、检索能力和多维度关联能力,而传统的数据存储和检索技术很难到达这样的要求。例如:在一个中型规模的企业中记录全年的网络出口流量,大约有2000亿条
15、日志,需要约300多TB的存储空间,如果使用传统的检索技术进展一次条件检索,大概需要几个小时的时间。这种效率明显不能满足攻击行为分析的需求。n 如何表达平安运维的价值?平安运维是很枯燥的工作,运维人员整天面对滚动的监控屏幕,各种碎片化的告警,复杂的报表,责任重大,压力巨大,但工作成果却很难表达。究其原因还是缺少自动化、结构化、可视化的管理工具,导致平安运维效率低下,难以快速感知整体的平安态势。3. 方案思路3.1. 总体思路基于数据中心的业务需求,以与数据中心面临的平安问题,很难通过一次平安建立将数据中心面临的所有风险解决;同时,平安风险也是动态开展变化的,因此我们的解决方案也需要随着数据中心的平安需求变化不断完善和开展。从云提供商的角度来看,传统模式下的网络平安需求并没有什么变化,无论从信息平安的性、完整性、可用性,还是根据网络层次划分的从物理层到应用层平安,仍然是需要解决的问题。在云计算时代数据中心信息平安架构时,不能像传统IDC系统集成或者平安集成那样,头痛医头,脚痛医脚,而应该充分结合虚拟化的特点来系统地进展规划,考虑数据中心外围物理实体以与虚拟化平台环境的各类平安需求和特性,从而到达各类平安产品、平安管理、整体平安策
