保障云实施方案

保障云实施方案

————————————————————————————————作者：————————————————————————————————日期：

云环境的安全保障及其管理

交付域安全管理技术

云服务的成功提供和使用离不开应用交付和安全接入，对于云提供者来说，最大程度利用基础设施并减少运营时间和成本是成功的关键。云服务使用的管理和安全维护是云服务使用范围进一步扩大化的主要阻碍。交付域安全管理的目的就是提供了一种从使用者到“云”的安全控制机制，实现了对提供者交付点的服务有效扩展和控制，为用户提供了一个管理所有云服务产品组合的使用率、安全性和性能的控制点。其内容包括网关控制、会话安全管理、桌面虚拟化控制、应用虚拟化控制。

网关控制

网关控制是为用户提供了一个控制点，让用户能够很好地控制用户与“云”的连接以及“云”环境中和企业数据中心内应用访问的安全防护。相对于传统模式，云计算体系的层次多，内部关系复杂，因此需要根据新环境的要求研究综合的立体防御机制，并进一步推出适应市场需要的虚拟化综合安全网关产品。虚拟化综合安全网关是针对云计算复杂环境的综合防御系统，融合远程安全接入、安全访问控制、抗拒绝服务攻击、入侵防御、Web安全等技术，具备检测、分析、决策、响应相结合的联动防御能力，有效抵御来自物理硬件层、虚拟层、调度管理层、应用层等各个层次的威胁。

对于企业来说，云服务能够提供许多业务优势，包括：作为测试环境，调整新企业应用的规模；针对业务关键流程，提供业务连续性保障和突发容量支持；针对限时性需求，提供经济有效的资源访问；或者充当应用的原生环境，实现“云”环境中最佳应用交付。当然，云服务也有其不足之处，首要之处就是潜在的流氓IT。在传统上，IT

人员一般是充当应用和资源的“守门人”角色，有能力控制、监控和安全防护以法规遵从、保密和企业政策遵从为目的应用和资源使用。采用“云”服务，由于云环境具有共享硬件、多承租等特性，IT人员无法有效的实施安全监控，这可能给企业带来重大安全风险。而且，即便企业IT人员提供的云服务已经过验证，但仍有其缺点存在，它会将整个应用环境分成多个小部分，这就增加了以安全性和法规遵从性为目的的证书管理和政策访问、使用情况监控和可视性保持的复杂性。

网关控制是通过提供一种网关控制接入控制器为企业用户提供云访问服务。员工可采用原有的企业证书登录安全的门户网站，接受对所有已有授权应用和资源的访问。通过单点登录去除通过不同位置、使用不同证书访问云服务的需求，改善了终端用户生产力和密码管理。网关控制还提供了一种与企业安全政策完全一致的云服务快速提供框架，让IT人员能够以一种及时的方式为企业工作人员提供所需的资源，减少了企业中流氓IT事件的发生。用户可采用所分配的企业证书登录安全门户网站。对于企业网络上的用户，IT人员可以选择启用或禁用用户的SSL加密；对于远程用户，IT人员要求所有连接均启用SSL加密。安全防护采用了双因素认证、基于身份的访问控制、应用级授权、全面审计以及一款集成化数据包检测防火墙，提供了对存储中数据和传输中数据的安全保护。

所有应用程序的安全必须有所保障，它们的使用必须有因可循；所有用户，不论是本地的还是远程的，有线的还是无线的，必须先通过认证并确保安全后才可访问已授权应用。网关接入控制器不仅提供了一种从企业至“云”的网关，而且还为企业安全和生产力统一提供方式奠定了良好基础。

目前通常的访问控制策略有三种：自主访问控制、强制访问控制和基于角色的访问控制。

自主访问控制是根据访问者的身份和授权来决定访问模式。主体访问者对访问的控制有一定权利。但正是这种权利使得信息在移动过

程中其访问权限关系会被改变。如用户A可以将其对客体目标O的访问权限传递给用户B，从而使不具备对O访问权限的B也可以访问O，这样做很容易产生安全漏洞，所以自主访问控制的安全级别很低。

强制访问控制是将主体和客体分级，然后根据主体和客体的级别标记来决定访问模式，如可以分为绝密级、机密极、秘密级、无密级等。这样就可以利用上读/下写来保证数据完整性，利用下读/上写来保证数据的保密性，并且通过这种梯度安全标签实现信息的单向流通。但这种强制访问控制的实现工作量太大，管理不便。

基于角色的访问控制，访问者的权限在访问过程中是变化的。有一组用户集和权限集，在特定的环境里，某一用户被分派一定的权限来访问网络资源；在另外一种环境里，这个用户又可以被分派不同的权限来访问另外的网络资源。这种方式更便于授权管理、角色划分、职责分担、目标分级和赋予最小特权，这也是本项目拟采用的基本访问控制策略。

为了保证云接入的安全性的基础上实现云接入的可扩展性，本项目拟实现一个基于微内核架构的，具有构件动态生命周期管理的云接入安全框架。

（1）支持标准IPSEC VPN和SSL VPN；支持基于标准IKE协商的VPN通信隧道，支持多种IKE认证方式，如预共享密钥、数字证书，支持IKE扩展认证，如Radius认证等，支持3DES、DES、AES等算法，支持标准MD5、SHA-1认证算法，支持隧道的NAT穿越，支持隧道内的QoS。

（2）考虑到云计算终端多样性和基础架构的异构型，拟展开虚拟专用网（VPN）适用性方面的研究，通过总体设计，分类处理的原则来支持多种客户端操作系统、浏览器以及多种设备类型。

（3）针对目前虚拟专用网（VPN）大都只支持Web代理应用的不足，拟开展虚拟专用网（VPN）对应用多样性的支持，主要采用应

用转换和IP Tunnel技术，实现了对目前所有网络层以上各种静态或者动态端n应用的完全支持，包括：网上邻居、文件共享，远程桌面、FTP、oUTLooK，SQL，Lotus NOTES、SYBASE、ORA CLE，CITRIX 等各种应用。

（4）基于关联分析的角色访问权限控制的研究，提供了细致到每个URL和不同应用的权限划分，通过给不同用户设置不同角色来分配访问授权。基于角色的访问限制为企业网络提供了较强的安全性，同时，针对资源权限的灵活控制，使管理员对访问权限控制的更改能第一时间生效，保证资源访问安全。

（5）集成企业级状态防火墙方面的研究，拟采用基于连接状态检查的检测方法，即“状态检测”方法。该方法将同一连接的所有包作为一个整体的数据流看待，通过匹配规则表与连接状态表的相关约束，达到对数据包的源地址、目标地址、协议类型、源端口，目标端以及网络接口等数据包进行控制的目标。研究基于状态检测表追踪连接会话状态的判定机制，即结合前后分组里的关系进行综合判断，决定是否允许该数据包通过。另外，内置防火墙支持透明、路由、混合3种工作模式；支持双向NAT、静态路由和基于源(和目的)地址的策略路由；支持带宽控制和时间控制；支持基于接口的安全策略；支持黑名单、ARP绑定、webURL过滤、关键字过滤等功能。

（6）云安全审计关键技术的研究，拟采用基于日志分析的方法，用户可根据日志记录查询和跟踪云数据流向。研究日志级别的分类和度量标准，如：紧急、报警、错误、调试等。同时，管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数、用户的登录次数、告警次数等进行直观显示。

会话安全管理

传统意义上的会话管理是为了实现NA T、ASPF、攻击防范等基于会话进行处理的业务而抽象出来的公共功能。此功能把传输层报文