数据中心云安全建设方案

《数据中心云安全建设方案》由会员分享，可在线阅读，更多相关《数据中心云安全建设方案（21页珍藏版）》请在金锄头文库上搜索。

1、数据中心云安全建设方案文档标题2017-3-23目录1项目建设背景2云数据中心潜在安全风险分析 421从北到东西的安全422数据传输安全52.3数据存储安全52.4数据审计安全62.5云数据中心的安全风险控制策略63数据中心云安全平台建设的原则73.1标准性原则73.2成熟性原则73.3先进性原则734扩展性原则83.6安全性原则94数据中心云安全防护建设目标94.1建设高性能高可靠的网络安全一体的目标9匸2建设以虚拟化为技术支撑的目标 94.3以集中的安全服务中心应对无边界的目 标10匚4满足安全防护与等保合规的目标115云安全防护平台建设应具备的功能模块.115.1防火 墙功能125.2入

2、侵 防 御 功 能135.3负载均衡功能135.4病毒防护功能146结束语141 项目建设背景 2云数据中心潜在安全风险分析够的准备和定位来为新型虚拟化数据中心提供云数据中心主要的安全风险面临以下几方面:云数据中心在效率、业务敏捷性上有明显的 优势。然而，应用、服务和边界都是动态的，而 不是固定和预定义的，因此实现高效的安全十分 具有挑战性。传统安全解决方案和策略还没有足2.1从南北到东西的安全在传统数据中心里，防火墙、入侵防御，以 及防病毒等安全解决方案主要聚焦在内外网之 间边界上通过的流量，一般叫做南北向流量或客 户端服务器流量。同的租户应用不同的安全策略，这些租户的虚拟机往往是装在同一台

3、物理服务器里的。传统安全解决方案是专为物理环境设计的，在云数据中心里，像南北向流量一样，交互 式数据中心服务和分布式应用组件之间产生的 东西向流量也对访问控制和深度报文检测有刚 性的需求。多租户云环境也需要租户隔离和向不1=1U=i不能将自己有效地插入东西向流量的环境中，所 以它们往往需要东西向流量被重定向到防火墙、 深度报文检测、入侵防御，以及防病毒等服务链 中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的，因为它会增应加网时络间的的缓延慢迟和和制网造络掉性线能。瓶颈，从而导致应用响2.2数据传输安全i=jU=i通常情况下，数据中心保存有大量的租户私 密数据，这些数据

4、往往代表了租户的核心竞争 力，如租户的客户信息、财务信息、关键业务流 程等等。在云数据中心模式下，租户将数据通过 网络传递到云数据中心服务商进行处理时，面临 着几个方面的问题：一是如何确保租户的数据在 网络传输过程中严格加密不被窃取；二是如何保 证云数据中心服务商在得到数据时不将租户绝 密数据泄露出去；三是在云数据中心服务商处存 储时，如何保证访问用户经过严格的权限认证并 且是合法的数据访问，并保证租户在任何时候都 可以安全访问到自身的数据。2.3数据存储安全数据存储是非常重要的环节，其中包括数据i=ji=i的存储位置、数据的相互隔离、数据的灾难恢复 等。在云数据中心模式下，云数据中心在高度整

5、 合的大容量存储空间上，开辟出一部分存储空间 提供给租户使用。但客户并不清楚自己的数据被 放置在哪台服务器上；云数据中心服务商在存储 资源所在国是否会存在信息安全等问题，能否确 保租户数据不被泄露；同时，在这种数据存储资 源共享的环境下，即使采用了安全隔离与安全资 源按需部署的方式，实现云数据中心各个租户之 间的有限隔离。2.4 数据审计安全在云数据中心环境下，云数据中心服务商如 何在确保不对其他租户的数据计算带来风险的 同时，又提供必要的信息支持，以便协助第三方 机构对数据的产生进行安全性和准确性的审计， 实现租户的合规性要求，也是安全建设方面需要 考虑的维度。2.5云数据中心的安全风险控制

6、策略对于云环境，虽然外部可能部署入侵防御设之类的漏洞被远程控制，然后黑客以此虚机为跳板,再对其它虚机进行漏洞扫描和利用入侵,DoS攻击会产生大量的会话，可能通过云管理平台发为了更好的消除潜在的安全风险，让更多用 户享受到云数据中心服务的优点，在云环境中， 如果某虚机由于某种原因中了病毒，从内部向其 它虚机和外部网络发起端口扫描和DoS等攻击， 缺少安全控制策略的的情况下，只能将有问题的 虚机从网络中移除，让问题虚机的管理员线下解 决问题后，才允许连接回网络，这样的处理方案 简单粗暴，虽然隔离了攻击，但也同时断掉了问 题虚机的对外服务。现，然而从内部发起的漏洞入侵的过程在网络层 面上与正常访问无

7、异，无法被发现，因此对于虚 拟之间的安全防护一定要做到安全风险与安全 事件的可控、可视、可溯源。3 数据中心云安全平台建设的原则3.1 标准性原则云数据中心的云安全建设必须符合安全建设的标准，做到安全风险可控的效果，能够提供防火墙、入侵防御、防病毒、抗DDOS、负载均衡、 审计、流量分析等安全资源模块，对安全资源可 进行模块化选择，基于不同的租户选择不同的安 全策略服务；对有安全管理需求的，必须提供独 立的安全策略管理界面，方便租户进行按需的安 全策略部署。3.2成熟性原则应支持主流的虚拟化技术且安全可控，可根据 业务需要进行灵活定制开发与功能扩展，在选择 云安全建设的提供方，需具备相关的云安

8、全应用 案例与成熟配套的解决方案。3.3先进性原则在实用和安全的基础上，平台设计要有一定的 前瞻性，必须考虑应用和需求的发展以及技术的 进步，从而确保系统具备可持续发展能力。云安 全平台需支持虚拟化技术，能够将安全资源模块，进行虚拟化部署，形成安全资源池，将安全 资源与数据中心的虚机业务深度融合，实现东西 向的流量防护，主要安全设备需支持TRILL、 VxLAN、OpenFlow等标准化协议，具备国际标准 的SDN功能，兼容第三方标准的SDN控制系统， 能够与其他软硬件系统配合使用。3.4扩展性原则考虑到未来发展的需要，云安全平台必须具 备高扩展性，能在不影响现有业务正常使用的情 况下平滑扩展

9、。本次建设完成后，随着业务需求 的增长，后期可单独扩展对应的安全资源，使得 性能与容量都呈线性上升，并保证设备可以充分 利旧。3.5可用性原则需通过对安全资源，例如防火墙、入侵防御、 防病毒、VPN、负载均衡、流量分析、审计等安 全资源模块，实现简化管理、高效运维的目的。 云安全平台能提供丰富的监控管理界面与工具, 实现统一管理，所有的安全日志统一收集、展示、 存储。3.6 安全性原则云安全设备选型需符合国家分保技术要求， 系统安全可靠，建立完善的冗余备份和安全防 范体系，保障平台高可靠和端到端的安全，具 有多重安全防护，无单一崩溃点，应急手段丰 富。4数据中心云安全防护建设目标为了应对云数据

10、中心环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整。在现阶段多条高速链路汇聚成的大流量已4.1建设高性能高可靠的网络安全一体的目标经比较普遍，在这种情况下，安全设备必然要具 备对高密度的10GE甚至100G接口的处理能力； 无论是独立的机架式安全设备，还是配合数据中 心高端交换机的各种安全业务引擎，都可以根据 用户的云规模和建设思路进行合理配置；同时， 考虑到云数据中心的业务永续性，设备的部署必 须要考虑到高可靠性的支持，诸如双机热备、配 置同步、电源风扇的冗余、链路捆绑聚合、硬件 BYPASS等特性，真正实现大流量汇聚情况下的 基础安全防护。4.2建设以虚拟化为技术支撑的目

11、标目前，虚拟化已经成为云数据中心服务商提 供“按需服务”的关键技术手段，包括基础网络 架构、存储资源、计算资源以及应用资源都已经并利用虚拟化实例间的逻辑隔离实现不同用户在支持虚拟化方面向前迈进了一大步，只有基于 这种虚拟化技术，才可能根据不同用户的需求， 提供个性化的存储计算及应用资源的合理分配， 之间的数据安全。安全无论是作为基础的网络架 构，还是基于安全即服务的理念，都需要支持虚 拟化，这样才能实现端到端的虚拟化计算。虚拟化实例从网络基础架构的角度（如状态防火墙的安 全隔离和访问控制），需要考虑支持虚拟化的防 火墙，不同用户可以基于VLAN等映射到不同的 中，每个虚拟化实例具备独立的安全

12、控制策略，以及独立的管理职能。4.3以集中的安全服务中心应对无边界的目标R：i=ji=i和传统的安全建设模型强调边界防护不同， 存储计算等资源的高度整合，使得不同的租户用 户在申请云数据中心服务时，只能实现基于逻辑 的划分隔离，不存在物理上的安全边界。在这种 情况下，已经不可能基于每个或每类型用户进行 流量的汇聚并部署独立的安全系统。因此安全服 务部署应该从原来的基于各子系统的安全防护， 转移到基于整个云数据中心网络的安全防护，建 设集中的安全服务中心，以适应这种逻辑隔离的 物理模型。云数据中心服务商或租户私有云管理 员可以将需要进行安全服务的用户流量，通过合 理的技术手段引入到集中的安全服务

13、中心，完成 安全服务后再返回到原有的转发路径。这种集中 的安全服务中心，既可以实现用户安全服务的单 独配置提供，又能有效的节约建设投资，考虑在 一定收敛比的基础上提供安全服务能力。云数据中心的应用带来了极大的便利，在4.4 满足安全防护与等保合规的目标使用云资源的主要障碍，因此安全防护应为云建降低采购、运维等成本的同时，极大的提升了系 统的效率，简化了管理，并使得应用具有了非常 简便的弹性扩展的能力。但是，云计算也模糊了 安全的边界，使得传统的信息安全防护手段不再 适用。事实上，信息安全问题已经成为企业用户 设的重中之重。安全防护需求又可以细分为云基 础架构的安全防护以及租户自身的安全防护。同

14、 时信息安全等级保护制度作为我国信息安全建 设的基本国策，是必须要满足的。按照等保定级 指南进行评估，一般的云数据中心至少应该达到 等保三级的要求。5云安全防护平台建设应具备的功能模块云安全系统平台需支持按需提供各种安全服 务，并支持安全管理模块的虚拟化功能，能够为 不同的业务及租户之间提供独立的管理操作界 面。各项安全服务应全部支持安全虚拟化功能， 可提供定制化的业务处理流程，各虚拟系统之间 转发平面隔离，一个虚拟系统资源耗尽不影响其 他虚拟系统正常运行，且逻辑隔离，确保各虚拟 系统内部业务的数据安全。虚拟化安全设备应具 有以下的安全功能：5.1 防火墙功能1）端口级访问控制：可对不同安全域

15、间的数需提供基于物理硬件的防火墙和安全隔离与 访问控制功能，实现按照租户和各类业务的重要 性、应用对象的不同，在基础资源虚拟化平台内 部不同业务之间进行安全隔离管控。据包进行管控，可实时监控数据包的状态，可制 定基于IP、端口、出入接口、数据流方向的控 制策略，实现通过防火墙的数据流的安全控制。2）支持安全域划分、访问隔离、攻击防范、 NAT、IPSec/SSL/PPTP/L2TP VPN 等功能；支持 静态路由、RIP、OSPF、BGP、ISIS、MPLS、PBR 等IPv4单播路由协议，支持IGMP、PIM、MSDP 等IPv4组播路由协议。3）内容过滤策略：设置基于HTTP、SMTP、FTP、 TELNET、SMTP、POP3等