云安全策略案例简述

Applogic云安全策略

2012年12月08日

策略概述

挑战

如何为云服务提供足够的安全保障？当考虑到有可能在向云服务转移过程中无法控制局面的时候，对是否有充分的安全保障的质疑也很就容易理解了。IT机构带头为其所在的组织提供足够安全的技术是很有必要的，否则他们就要冒着失去运营商的危险，显而易见，这对任何一方都没有好处。

解决方案

安全解决方案可以帮助私有云提供：?管理身份?管理访问?管理信息

效益

Applogic安全解决方案在私有或公共云服务中为您提供成熟的解决方案来保护您重要的IT资产，您将会从以下几点受益：

?通过改善控制能力以降低安全风险

?通过提高透明度缓解监管压力

?降低管理开支以提高效益

?通过自动化安全工艺，加强IT灵活性

具体阐述

在私有和公共云中控制认证、访问和信息

当您为在云中的认证管理制定策略时，有三个重要问题需要解决，请见下图：

若要提供有效的安全保障，您必须做到以下三个方面：

?管理身份：管理用户身份认证和其角色，限制用户对资源的访问，增强身份认证和访问规定的契合度以及监测用户和规范性活动。

?管理访问：完善对网络应用、系统、系统服务和核心信息访问的相关政策，并为特权用户提供管理以避免不恰当的行为。

?管理信息：发现、识别分类并防止公司和客户机密信息的泄漏事件。

无论是在私有还是公共云中，对于云环境中的IAM安全而言，以上三方面因素是最基本的也是必要的。管理身份认证

Applogic解决方案包括身份认证管理能力、角色

超级管理员（superadmin）整个系统底层的维护者和以及普通管理员（admin）私有云的管理者权利配置的区别。这种端到端的方法包括用户身份的初步创建、账户和其所需访问权限的分配、用户角色变化带来的持续不断的权限修改以及在用户终止使用服务之后及时移

除这些权限和账户。

此外还有能让您在私有和公共云中有效地管理用户身份认证的CA产品包括：

?CA身份管理器（CA Identity Manager)：提供身份管理、配置/卸载、用户自助服务和合规性审计和报告。它帮助您建立始终如一的的身份安全规则、简化合规步骤，以及在面对多个独立使用者时，将重要的身份认证管理实现自动化。此外，它能够在如等各种预置应用及其他云服务中管理用户帐户。

?CA 角色和合规管理器（CA Role and Compliance Manager）：提供角色管理和识别、特权清理、权利认证和合规性报告。它帮助您确认用户始终享有合适的权利，同时对所有用户和租户实行统一的身份合

?CA企业日志管理器（CA Enterprise Log Manager）：提供日志文件收集、筛选、分类和分析。它能帮助您将用户活动分析这项艰巨任务实现自动化，从而降低成本和潜在安全事件风险。它还提供权全面的合规性报告来帮助简化审计过程。

管理访问

管理访问重要IT资源不仅要求有效的符合度，也是为了保护利益相关者的价值、客户信息和知识

产权的需要。没有有效的访问规则执行，不正当的访问，无论是有意的还是无意的，都能引发灾

难性后果。在SaaS、PaaS和IaaS这三类云服务中，需要考虑以下两个重要领域：

?控制对基于网络的应用和服务的访问

?控制特权用户对信息、应用和服务的访问

此外，Applogic已经对Linux的内核进行改写，有自主的文件系统，从而杜绝了在同一个私有云上的用户之间的物理访问。

网络访问管理

除了具有标准配备的防火墙外，防火墙的访问策略是以安全级别最高的等级来划分的。端口和协议都是可以定制的，但是默认级别却是最高的安全级别。在每个应用模板中的控件之间的网络配置都是按照局域网内部数据传输来划分网段，也就是说从某个控件进行internet网络的通信是禁止的。除了屏蔽外网数据进入网络，本系统也禁止内网从外网获取数据。如果需要从外网获取数据，必须配置’OUT’网关才行。

云安全网络监控

对于必须与其他安全领域或者云服务进行互操作的IT云来说，最重要的一点是，客户可以实时的监控(CPU 占用率、I/O、并发数、数据库错误等)并在超过特定阀值时进行向管理员汇报。以此来保证在公共、安全的基础上提供网络应用和网络服务。

第三方的云安全软件，是在PasS和SaaS层进行系统访问和管理访问的。

举例说明希望安全云是如何与Applogic云平台结合的-----

场景为某企业的企业邮局和ERP系统云化后，为了保证内外数据交换的安全，在企业应用服务器上做出了访问控制的内容管理的方案

企业应用架构如下

云平台的SaaS层将采用WIN2008，并在其上提供企业业务应用平台，包括网站服务，企业内部文档协同共享服务

公司安全软件的补丁（每2~3个月升级一次）和策略包（升级周期2周为单位）的升级下载服务

用数据库MSSQL2005，记录软件终端用户的软件升级和使用信息和非本地动态网页后台数据信息 Server进行公司与客户之间的互动交流，客户希望在平台的运行初期达到百万级别左右的并发访问级别，并且可以灵活分配、计算资源的平均分配，并要保证后台系统的HA（高可靠性）

其中使的mail服务器，可以方便的为企业应用一体化部署和应用

方案描述：

a)该应用提供两台web 服务器，服务器内部署web应用，两台web服务器通过共

享的方式接入存储有用户数据和网站数据的sqlserver数据库；

b)两台web服务器的共享文件，静态页面，下载内容等放置在nas文件服务器中；

c)两台web服务器和sqlserver服务器通过net网关共享上网；

d)两台web服务器的前端是halb负载均衡器，用户通过user网关提交用户请求到

halb负载均衡器，负载均衡器会根据设置的具体规则对该用户请求进行分配，分发到两台web服务器中的任意一台；如果web服务器有down机的情况，负载均衡器会在1秒内检查到down机并且自动将用户请求分配给其他web服务器，用户感觉不到web服务器down掉；

e)PS8器件通过端口映射将三台服务器（两台web服务器、一台sqlserver服务器）

的远程访问端口分别映射到某一外网ip地址的3389、3390、3391端口；计算机管理员通过访问该ip的不同端口对三台服务器进行控制；

f)该应用下的所有器件的资源数据都通过mon进行监控，器件内部的CPU、硬盘、

内存、带宽等使用情况都可以通过该器件进行查看、统计；

为虚拟主机提供安全策略的案例:

客户使用场景如下:

某中小型IDC业者,安装了Applogic云系统平台,将10台HP380G6的服务器划计算资源分成虚拟防火墙和虚拟存储设备和IIS服务器,并将这些虚拟设备出租销售给终端用户。

在网络访问控制层面，有虚拟化好的防火墙。

在应用服务器IIS中使用了希望云安全套件，一方面是查杀引擎的认知度高，另一方面是费用成本很低，而IIS的安全性漏洞是客户比较关注的问题，所以以上安全策略成为应时之选。而对于虚拟主机托管商来说，防火墙的计算资源也算在销售之内，安全云虽不收费但是，这种增值服务是竞争客户市场的必然之选。

首先是虚拟数据中心VDC的登录：

虚拟化数据中心的显示面板

虚拟数据中心中的虚拟应用列表

案例为客户为名叫powerDNS的虚拟主机用户

客户云主机的面板全图

图中所有可见对象全都是虚拟化技术的产物，而所有成本皆摊入客户成本。对于客户来说价格优势的吸引力小于产品安全特性的吸引力。

我们在WIN2003虚拟云主机中部署了希望云安全产品。

其管理界面如下：

其产品特点和给客户带来的收益