云平台安全系统建设方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(四 )数 据 安 全 交 换 。 云平 台 内部 服务 区通 过 专 线 或 VPN接人 本 地 信 息 网 ,外部 服 务 区通 过 专 线或 VPN连 接 到 网 闸。本 地信 息 网与外 部服 务 区之 间 ,以及 本地 信息 网与 边 界 安全 接入 平 台之 间各 自通过 网闸连接起 来 。
(三 )虚拟化层 漏洞 防御 。虚 拟化技 术是云 平台 的基础 , 对 物理计 算资 源进 行整 合或划 分 ,已成 为云计 算 管理平 台中 的关 键技 术层 面 。因而 ,虚拟 化层 的安 全 问题 已经 成 为云计 算安 全 中的最 重要 的部 分 。黑 客可 利用 虚拟化 系统 漏 洞 ,控 制虚 拟化 系统执 行 流程 ,进行 逃逸 攻击 ,在宿 主机 中执 行任 意代码 ,甚 者利 用漏 洞造 成宿 主机 崩溃 ,导致 该宿 主机 上虚 拟 机停 止服务 。
(五 )多层 级 实时安 全审 计 。云平 台安全 系统对 整个 安 全监 测 过程进 行无 死角 审计 日志 采集 ,以有 据 可查 、高效 分 析 、完整 回溯 的 目标对 安全 事件进 行追 溯 和防御 。 同时 ,审 计安 全功 能贯 穿 网络层 、宿 主机层 、云主机 层 、虚拟化 层 、 应用 层及 数据层 ,实 现从 底层 网络 到顶 层敏 感数据 的全 方位 审计 。
兰 璺里 ! 墨 室全 j:>≥ >
云平 台安全系统建设方案
◆ 姚 娟 闻琛 阳
摘 要 :在 云计 算技 术快速发展 的 同时 ,云安全 问题 也越 来越 突 出,本 文从 云平 台安全体 系的整 体 架构及 云平 台安全 两个方 面对云平 台安全 系统建设 方案进 行探 讨。
关键 词 :云 平 台;安 全 ;虚 拟化
一 、 云 平 台 安 全存 在ຫໍສະໝຸດ Baidu问题
随着 云计算 、大数据 业务 的发展 ,越 来越 多 的业 务 系统 部署在 云平 台上 ,云平 台已经成 为重要 的 IT基础设施 ,对 于 安 全 管理 来说 ,既是 挑 战 ,也 是机 遇 。首先 ,云计 算 引入 了 新 的威 胁 和风 险 ,进 而也 影 响和打 破 了传 统 的信息 安全 保 障 体 系设 计 、实 现方法 和运 维管 理体 系 ;其 次 ,云计 算 的资 源 弹性 、按需 调 配 、高 可靠 性及 资源集 中化 等都 间接 增强 或有 利 于安 全 防护 ,同时 也给 安全 措施 改进 和升级 、安 全应用 设 计 和实现 、安全 运维 和管理等 带来 了问题 和挑战 。
(四 )应 用 层 漏 扫及 Web防御 。应 用 系统 漏 洞扫 描 模 块 展示 全 网云主 机 的应 用层 漏洞 扫描 的相 关信 息 ,包 括 云主 机 名 、IP地址 、漏 洞数量 、漏 洞详情 。Web防护功 能 ,从 安 全 角度 出发 ,能 够防护 常见 Web漏 洞攻击行 为 ,分 析规 则云 端更 新 ,保 证能 够第一 时间支 持防护 最新 Web漏洞 ,为 网站 防跨 站 ,防注入 ,防篡改 ,防挂 马 ,防黑客攻击 。
三、云平 台安全方案
(一 )宿 主机安 全加 固 。系统默认 安装 软件 都并 非是安 全 的 ,都存 在很 多 漏洞 ,包括 Windows,Linux、BSD或 其他 系 统 ,若服 务器 在安 装完 操作 系统 之后 直接使 用 ,未作 任何 加 固处 理 ,无论 是否 与互 联 网连接 ,均 留下很 多漏 洞 ,很容 易 被攻 击者 攻击 ,造 成 系统服 务器 瘫痪 ,甚至 用户 数据 未授 权访 问等 。同时 ,为 了确保 通信 网络 上相 关设 备达 到最 基本 的 防护 能力 ,需要 对 宿主机 加 固模块 实现 对默认 软 件 的修复 和加 固 ,并通 过安 全基 线模 块展 示全 网宿 主机 操作 系统 安全 基线扫描的相关状态信息 ,对不合规 内容进行一键修复 ,以 构建最 基本 的安全 防范保 护层 。
防 爆力破 解 (账户 安全 )、云加 固等 主要 功能 。其 中病毒 查 杀模 块能 展示 全 网云主 机杀 毒相关 的状 态信 息 ,并 且 可 以针 对选定 云 主机 进行快 速扫描 、全盘扫 描 、隔离 区恢复 等操作 ; Webshell扫描 可以展 示全 网云 主机 Webshell扫描相 关 的状态 信息 ,并可 以针对 选定 的云 主机进 行 Webshell扫 描操作 。此 外 ,可 以查 看相应 云主机 的后 门列 表及 隔离 区列表 ,并进 行 加 白和删 除等操 作 ;防暴力 破解 (账 户安 全 )可 以展示被 暴 力 破解 的云主机 情况 ,包括 攻击 IP、被 攻击 IP、攻 击 时间 、 次 数等 ,并可 查看 详细 信息 ,后续 通 过审计 模块 对结 果进 行 分 析。
二 、云 平台安全系统总体 方案
(一 )内外 网安 全 隔 离 。把 云 平 台分 为两 个 大 的 安 全 区域 ,一 个是 内部 服务 区域 ,供 内部信 息 系统使 用 ;一个 是 外 部 服务 区域 ,供 互联 网信 息系统 使用 。两个 区域之 间通 过 多层 次 的隔离 技术 对云 服务器 、数 据库 和存储 等计 算 和存储 资源进 行 安全 隔离 ,完全 不能 互访 。 内部 信 息系统 不分 配公 网 IP,因此 无法 从公 网访 问 内部 应用 。互联 网应用 分配 公 网 IP,可 以从 公 网发起访 问 。
(二 )区域 内安全 隔离 。服务 区域 内 的每一个 信息 系统 作 为一 个单 独 的安全 组 ,安全 组 内可 以互 相访 问 ,安全组 之 间 默认 无法互 访 。 同一 服务 区域 内的不 同应用 之间 如果有 互 访需要 ,则 可 以通过安 全组 防火墙授权 访 问。
(三 )互 联 网应 用安全 防护 。包括 防 DDoS、入 侵 防御 、 网站 安全 防护等 功能模 块组成 ,保护互 联 网人 口。
(三 )虚拟化层 漏洞 防御 。虚 拟化技 术是云 平台 的基础 , 对 物理计 算资 源进 行整 合或划 分 ,已成 为云计 算 管理平 台中 的关 键技 术层 面 。因而 ,虚拟 化层 的安 全 问题 已经 成 为云计 算安 全 中的最 重要 的部 分 。黑 客可 利用 虚拟化 系统 漏 洞 ,控 制虚 拟化 系统执 行 流程 ,进行 逃逸 攻击 ,在宿 主机 中执 行任 意代码 ,甚 者利 用漏 洞造 成宿 主机 崩溃 ,导致 该宿 主机 上虚 拟 机停 止服务 。
(五 )多层 级 实时安 全审 计 。云平 台安全 系统对 整个 安 全监 测 过程进 行无 死角 审计 日志 采集 ,以有 据 可查 、高效 分 析 、完整 回溯 的 目标对 安全 事件进 行追 溯 和防御 。 同时 ,审 计安 全功 能贯 穿 网络层 、宿 主机层 、云主机 层 、虚拟化 层 、 应用 层及 数据层 ,实 现从 底层 网络 到顶 层敏 感数据 的全 方位 审计 。
兰 璺里 ! 墨 室全 j:>≥ >
云平 台安全系统建设方案
◆ 姚 娟 闻琛 阳
摘 要 :在 云计 算技 术快速发展 的 同时 ,云安全 问题 也越 来越 突 出,本 文从 云平 台安全体 系的整 体 架构及 云平 台安全 两个方 面对云平 台安全 系统建设 方案进 行探 讨。
关键 词 :云 平 台;安 全 ;虚 拟化
一 、 云 平 台 安 全存 在ຫໍສະໝຸດ Baidu问题
随着 云计算 、大数据 业务 的发展 ,越 来越 多 的业 务 系统 部署在 云平 台上 ,云平 台已经成 为重要 的 IT基础设施 ,对 于 安 全 管理 来说 ,既是 挑 战 ,也 是机 遇 。首先 ,云计 算 引入 了 新 的威 胁 和风 险 ,进 而也 影 响和打 破 了传 统 的信息 安全 保 障 体 系设 计 、实 现方法 和运 维管 理体 系 ;其 次 ,云计 算 的资 源 弹性 、按需 调 配 、高 可靠 性及 资源集 中化 等都 间接 增强 或有 利 于安 全 防护 ,同时 也给 安全 措施 改进 和升级 、安 全应用 设 计 和实现 、安全 运维 和管理等 带来 了问题 和挑战 。
(四 )应 用 层 漏 扫及 Web防御 。应 用 系统 漏 洞扫 描 模 块 展示 全 网云主 机 的应 用层 漏洞 扫描 的相 关信 息 ,包 括 云主 机 名 、IP地址 、漏 洞数量 、漏 洞详情 。Web防护功 能 ,从 安 全 角度 出发 ,能 够防护 常见 Web漏 洞攻击行 为 ,分 析规 则云 端更 新 ,保 证能 够第一 时间支 持防护 最新 Web漏洞 ,为 网站 防跨 站 ,防注入 ,防篡改 ,防挂 马 ,防黑客攻击 。
三、云平 台安全方案
(一 )宿 主机安 全加 固 。系统默认 安装 软件 都并 非是安 全 的 ,都存 在很 多 漏洞 ,包括 Windows,Linux、BSD或 其他 系 统 ,若服 务器 在安 装完 操作 系统 之后 直接使 用 ,未作 任何 加 固处 理 ,无论 是否 与互 联 网连接 ,均 留下很 多漏 洞 ,很容 易 被攻 击者 攻击 ,造 成 系统服 务器 瘫痪 ,甚至 用户 数据 未授 权访 问等 。同时 ,为 了确保 通信 网络 上相 关设 备达 到最 基本 的 防护 能力 ,需要 对 宿主机 加 固模块 实现 对默认 软 件 的修复 和加 固 ,并通 过安 全基 线模 块展 示全 网宿 主机 操作 系统 安全 基线扫描的相关状态信息 ,对不合规 内容进行一键修复 ,以 构建最 基本 的安全 防范保 护层 。
防 爆力破 解 (账户 安全 )、云加 固等 主要 功能 。其 中病毒 查 杀模 块能 展示 全 网云主 机杀 毒相关 的状 态信 息 ,并 且 可 以针 对选定 云 主机 进行快 速扫描 、全盘扫 描 、隔离 区恢复 等操作 ; Webshell扫描 可以展 示全 网云 主机 Webshell扫描相 关 的状态 信息 ,并可 以针对 选定 的云 主机进 行 Webshell扫 描操作 。此 外 ,可 以查 看相应 云主机 的后 门列 表及 隔离 区列表 ,并进 行 加 白和删 除等操 作 ;防暴力 破解 (账 户安 全 )可 以展示被 暴 力 破解 的云主机 情况 ,包括 攻击 IP、被 攻击 IP、攻 击 时间 、 次 数等 ,并可 查看 详细 信息 ,后续 通 过审计 模块 对结 果进 行 分 析。
二 、云 平台安全系统总体 方案
(一 )内外 网安 全 隔 离 。把 云 平 台分 为两 个 大 的 安 全 区域 ,一 个是 内部 服务 区域 ,供 内部信 息 系统使 用 ;一个 是 外 部 服务 区域 ,供 互联 网信 息系统 使用 。两个 区域之 间通 过 多层 次 的隔离 技术 对云 服务器 、数 据库 和存储 等计 算 和存储 资源进 行 安全 隔离 ,完全 不能 互访 。 内部 信 息系统 不分 配公 网 IP,因此 无法 从公 网访 问 内部 应用 。互联 网应用 分配 公 网 IP,可 以从 公 网发起访 问 。
(二 )区域 内安全 隔离 。服务 区域 内 的每一个 信息 系统 作 为一 个单 独 的安全 组 ,安全 组 内可 以互 相访 问 ,安全组 之 间 默认 无法互 访 。 同一 服务 区域 内的不 同应用 之间 如果有 互 访需要 ,则 可 以通过安 全组 防火墙授权 访 问。
(三 )互 联 网应 用安全 防护 。包括 防 DDoS、入 侵 防御 、 网站 安全 防护等 功能模 块组成 ,保护互 联 网人 口。