企业云数据中心安全技术规划
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主要防护措施
利用专业的DDOS防火墙。
辅助防护措施
采用高性能的网络设备 尽量避免NAT的使用 充足的网络带宽保证 升级主机服务器硬件 把网站做成静态页面 增强操作系统的TCP/IP栈
没有任何技术是可以完全防御DDOS的方法,所以DDOS这只能平时注意,尽早发现尽早防御。
vPC1
vPC2
VRF 1
FW
LB
vNET vNET
VM
VM
Storage
VRF 2
FW
LB
vNET
VM
VM
Storage
三级区域
VRFn
FW
LB
vNET
VM
VM
Storage
二级区域
网络结构安全
网络边界安全
找出集团信息内网需要防护的网络边界,利用边界防火墙进行安全防护。
针对这些安全边界,规划安全策略(1)
企业云数据中心安全技术规划
云安全规划满足等保三级的安全体系
现状
目标
框架
网络安全
主机安全
应用安全
数据安全
路线
基本要求(第一分册)
云计算安全技术要求(第二分册)
技术要求
管理要求
• 保证云平台管理流量与云
租户业务流量分离;
• 根据云租户的业务需求自 定义安全访问路径;
物
• 依据安全策略控制虚拟机
理
间的访问;
入侵防护
DDOS攻击一般分为三类。第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强 大的硬件防御系统、快速高效的应急流程无用武之地。第二类以巧取胜,灵动而难以察觉,每隔几分钟发一个包甚 至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起。第三类是 上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量。
允许部分管理工作
允许部分管理工作 B目前作为备份展,不做防护 B目前作为备份展,不允许访问A 数据中心
访问控制
针对主机的访问权限及安全审计风险,部署运维审计系统(堡垒机)。实现数据中心内部资产管理,包含网络设备、 安全设备、主机服务器等;实现对数据中心内部资产的访问控制和权限控制,并进行审计记录;实现访问资产时进 行双因子认证。
性能要求
IPS吞吐量每秒能达到5G级别,满足集团规划需求; IPS造成的延时在微秒级,对客户体验不能造成影响; IPS支持二层回退功能,IPS本身出现故障后不影响整个网络运行 状态。
部署实现
IPS采用透明模式部署在网络中; 信息内网部署两台IPS串联在核心交换机之前; 信息外网部署两台IPS串联在核心交换机之前。
由可达。
入侵防护
针对入侵防护,部署入侵防御系统对中心网络进行入侵防御。采用实时分析,自动阻截异常报文与异常流量;识别、 阻断某些内网用户对某个或某些特定网站的访问;当发现有异常流量时,生成动态过滤规则对恶意流量进行过滤, 同时通过各种手段对合法流量进行验证,保证网络和服务正常提供;实时分析、记录、阻截网络中的病毒报文,防 止网络中的主机被病毒感染。
性能要求
堡垒机需要承载大量管理登录,一旦出现中断会造成无法运维、 管理的风险,需要高可靠性,所有堡垒机需支持双机部署。 日志要求保存至少一个月,所以堡垒机自带存储空间为1T以上。
办公区
设Leabharlann Baidu
备
部署实现
云平台 运管区
堡垒机部署在运维管理区,与运维管理区接入交换机连接;
堡垒机采用双机热备模式;
通过防火墙策略,堡垒机与业务区需纳管的设备、主机、虚机路
数据中心
B同城灾备中心
策略 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许
默认禁止,部分允许
默认禁止,部分允许 默认允许 默认允许 默认允许
默认允许
默认允许
说明 允许部分管理工作 允许部分管理工作 允许部分管理工作 允许部分管理工作 允许部分管理工作
网络结构安全
集团有多租户需求,且多个租户内会出现IP地址重叠。基于VPC( Virtual Private Cloud Tenant)技术对租户与租
户之间实现隔离,实现多租户东西向安全。
Cloud Platform
办公网专网
VLAN/ L2
VPC租户
(Virtual Private Cloud Tenant),有私 网IP地址需求,可以为其申请的主机自主 分配私网IP地址。不同的VPC租户IP地址 网段允许重复
策略 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许
默认禁止,部分允许
默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许
默认禁止,部分允许
默认禁止,部分允许 允许
A数据中心
不允许
说明 允许部分管理工作 允许部分管理工作 允许部分管理工作
允许部分管理工作
允许部分管理工作 允许部分管理工作 允许部分管理工作 允许部分管理工作
位置 国家综合数据网
广域网
来源
目的
A数据中心
国网数据网
国网数据网
A数据中心
南京数据中心
A数据中心
武汉数据中心
A数据中心
AB院区
A数据中心
霸州/张北/良乡/华 享院区
A数据中心
数据中心
A数据中心
南京数据中心
B同城灾备中心
武汉数据中心
B同城灾备中心
AB院区
B同城灾备中心
霸州/张北/良乡/华 享院区
B同城灾备中心
安
安理
理
全
设
维
全
全
全
全机
制
管
管
管
构
度
理
理
理
说明:《云计算安全技术要求》中,安全技术要求条款在《基本要求》 中已涵盖的内容,直接依据《基本要求》中适用的条款执行。
云安全技术架构
现状
目标
框架
网络安全
主机安全
应用安全
数据安全
路线
目录
云安全技术规划
1
网络安全
2
主机安全
3
应用安全
4
数据安全
集团网络安全规划重点
• 能识别、监控虚拟机之间、 虚拟机与物理机之间、虚 拟机与宿主机之间的流量;
• 根据云服务方和云租户的 职责划分,实现各自控制
基安 本全 要全 求部
物 理 安 全
部分的集中审计;
参
• 虚拟化层的漏洞扫描、安 全加固及防病毒;
照
• 虚机的数据备份等。
安
安
人
系
系
网
主
应
数全
全
员
统
统
络
机
用
据管
管
安
建
运
安
安
允许部分管理工作
允许部分管理工作 备份 备份 备份
备份
备份
针对这些安全边界,规划安全策略(2)
位置 广域网
来源 A数据中心 A数据中心 A数据中心
A数据中心
A数据中心 B同城灾备中心 B同城灾备中心 B同城灾备中心
B同城灾备中心
B同城灾备中心 A数据中心
B同城灾备中心
目的 南京数据中心 武汉数据中心 AB院区 霸州/张北/良乡/华享 院区 数据中心 南京数据中心 武汉数据中心 AB院区 霸州/张北/良乡/华享 院区 数据中心 B同城灾备中心
利用专业的DDOS防火墙。
辅助防护措施
采用高性能的网络设备 尽量避免NAT的使用 充足的网络带宽保证 升级主机服务器硬件 把网站做成静态页面 增强操作系统的TCP/IP栈
没有任何技术是可以完全防御DDOS的方法,所以DDOS这只能平时注意,尽早发现尽早防御。
vPC1
vPC2
VRF 1
FW
LB
vNET vNET
VM
VM
Storage
VRF 2
FW
LB
vNET
VM
VM
Storage
三级区域
VRFn
FW
LB
vNET
VM
VM
Storage
二级区域
网络结构安全
网络边界安全
找出集团信息内网需要防护的网络边界,利用边界防火墙进行安全防护。
针对这些安全边界,规划安全策略(1)
企业云数据中心安全技术规划
云安全规划满足等保三级的安全体系
现状
目标
框架
网络安全
主机安全
应用安全
数据安全
路线
基本要求(第一分册)
云计算安全技术要求(第二分册)
技术要求
管理要求
• 保证云平台管理流量与云
租户业务流量分离;
• 根据云租户的业务需求自 定义安全访问路径;
物
• 依据安全策略控制虚拟机
理
间的访问;
入侵防护
DDOS攻击一般分为三类。第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强 大的硬件防御系统、快速高效的应急流程无用武之地。第二类以巧取胜,灵动而难以察觉,每隔几分钟发一个包甚 至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起。第三类是 上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量。
允许部分管理工作
允许部分管理工作 B目前作为备份展,不做防护 B目前作为备份展,不允许访问A 数据中心
访问控制
针对主机的访问权限及安全审计风险,部署运维审计系统(堡垒机)。实现数据中心内部资产管理,包含网络设备、 安全设备、主机服务器等;实现对数据中心内部资产的访问控制和权限控制,并进行审计记录;实现访问资产时进 行双因子认证。
性能要求
IPS吞吐量每秒能达到5G级别,满足集团规划需求; IPS造成的延时在微秒级,对客户体验不能造成影响; IPS支持二层回退功能,IPS本身出现故障后不影响整个网络运行 状态。
部署实现
IPS采用透明模式部署在网络中; 信息内网部署两台IPS串联在核心交换机之前; 信息外网部署两台IPS串联在核心交换机之前。
由可达。
入侵防护
针对入侵防护,部署入侵防御系统对中心网络进行入侵防御。采用实时分析,自动阻截异常报文与异常流量;识别、 阻断某些内网用户对某个或某些特定网站的访问;当发现有异常流量时,生成动态过滤规则对恶意流量进行过滤, 同时通过各种手段对合法流量进行验证,保证网络和服务正常提供;实时分析、记录、阻截网络中的病毒报文,防 止网络中的主机被病毒感染。
性能要求
堡垒机需要承载大量管理登录,一旦出现中断会造成无法运维、 管理的风险,需要高可靠性,所有堡垒机需支持双机部署。 日志要求保存至少一个月,所以堡垒机自带存储空间为1T以上。
办公区
设Leabharlann Baidu
备
部署实现
云平台 运管区
堡垒机部署在运维管理区,与运维管理区接入交换机连接;
堡垒机采用双机热备模式;
通过防火墙策略,堡垒机与业务区需纳管的设备、主机、虚机路
数据中心
B同城灾备中心
策略 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许
默认禁止,部分允许
默认禁止,部分允许 默认允许 默认允许 默认允许
默认允许
默认允许
说明 允许部分管理工作 允许部分管理工作 允许部分管理工作 允许部分管理工作 允许部分管理工作
网络结构安全
集团有多租户需求,且多个租户内会出现IP地址重叠。基于VPC( Virtual Private Cloud Tenant)技术对租户与租
户之间实现隔离,实现多租户东西向安全。
Cloud Platform
办公网专网
VLAN/ L2
VPC租户
(Virtual Private Cloud Tenant),有私 网IP地址需求,可以为其申请的主机自主 分配私网IP地址。不同的VPC租户IP地址 网段允许重复
策略 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许
默认禁止,部分允许
默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许 默认禁止,部分允许
默认禁止,部分允许
默认禁止,部分允许 允许
A数据中心
不允许
说明 允许部分管理工作 允许部分管理工作 允许部分管理工作
允许部分管理工作
允许部分管理工作 允许部分管理工作 允许部分管理工作 允许部分管理工作
位置 国家综合数据网
广域网
来源
目的
A数据中心
国网数据网
国网数据网
A数据中心
南京数据中心
A数据中心
武汉数据中心
A数据中心
AB院区
A数据中心
霸州/张北/良乡/华 享院区
A数据中心
数据中心
A数据中心
南京数据中心
B同城灾备中心
武汉数据中心
B同城灾备中心
AB院区
B同城灾备中心
霸州/张北/良乡/华 享院区
B同城灾备中心
安
安理
理
全
设
维
全
全
全
全机
制
管
管
管
构
度
理
理
理
说明:《云计算安全技术要求》中,安全技术要求条款在《基本要求》 中已涵盖的内容,直接依据《基本要求》中适用的条款执行。
云安全技术架构
现状
目标
框架
网络安全
主机安全
应用安全
数据安全
路线
目录
云安全技术规划
1
网络安全
2
主机安全
3
应用安全
4
数据安全
集团网络安全规划重点
• 能识别、监控虚拟机之间、 虚拟机与物理机之间、虚 拟机与宿主机之间的流量;
• 根据云服务方和云租户的 职责划分,实现各自控制
基安 本全 要全 求部
物 理 安 全
部分的集中审计;
参
• 虚拟化层的漏洞扫描、安 全加固及防病毒;
照
• 虚机的数据备份等。
安
安
人
系
系
网
主
应
数全
全
员
统
统
络
机
用
据管
管
安
建
运
安
安
允许部分管理工作
允许部分管理工作 备份 备份 备份
备份
备份
针对这些安全边界,规划安全策略(2)
位置 广域网
来源 A数据中心 A数据中心 A数据中心
A数据中心
A数据中心 B同城灾备中心 B同城灾备中心 B同城灾备中心
B同城灾备中心
B同城灾备中心 A数据中心
B同城灾备中心
目的 南京数据中心 武汉数据中心 AB院区 霸州/张北/良乡/华享 院区 数据中心 南京数据中心 武汉数据中心 AB院区 霸州/张北/良乡/华享 院区 数据中心 B同城灾备中心