深信服云安全解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服云安全解决方案
深信服电子科技有限公司
2015年11月7日
目录
第一章建设背景
1.1云平台背景
云计算的兴起,给人们的工作方式以及商业模式带来根本性变化,甚至可能掀起信息技术的第三次“浪潮”。目前,云计算在电信、互联网、行业以及金融等方面都扮演着举足轻重的角色。正如业界虚拟化领域的一位资深专家所言:“以前大家对于云计算可谓众说纷纭,都有各自不同的见解和看法,而现在业界已逐渐形成共识:云计算就是下一代运算模式的演变。每家单位都要建立自己的云计算模式,其第一步要做的就是完成内部云或私有云的建制。内部云建制的科技基础就是虚拟化云平台,这也将成为拉动整个虚拟化云平台市场持续走高的成长动力。”
在大企业,虚拟化云平台能帮助单位在业务层面实现弹性架构和资源池化,一方面可以大幅提升存储计算等各种硬件资源的利用效率,另一方面还可明显提升办公、对外服务的开通时间、可用性以及灾难恢复等能力。著名咨询公司将虚拟化云平台技术列为2009年十大战略技术第一位,而在2010年初发布预测中,更是大胆断言到2012年20%的单位将不再拥有资产。尤其在大企业,因为多个内在关联的趋势正在推动大企业逐步减少硬件资产,这些趋势主要是虚拟化云平台、云计算服务、虚拟化的桌面交付等。而虚拟化云平台技术,作为云计算的一个支撑技术,必将成为未来最重要的最值得研究的技术之一。
1.2云平台建设意义
云平台的搭建将有助于系统从粗放式、离散化的建设模式向集约化、整体化的可持续发展模式转变,使管理服务从各自为政、相互封闭的运作方式向跨部门跨区域的协同互动和资源共享转变。
1、云计算能够降低信息化成本
在云环境下,可以将信息技术资源交给专业的第三方云服务商管理,由云服务商提供需要的信息技术基础架构、软硬件资源和信息服务等,各子公司、集团根据按需付费的原则定制需要的信息服务。这带来了两大好处:一是不需要投资建立大量的数据中心和大型机房,购买服务器和存储设备等,从而节省建设费用;二是信息软硬件资源交给专业的云
服务商管理,集团不再负担信息系统维护和升级,节省了运维费用。
2、云计算提高业务系统的部署效率
云平台具有较高的灵活性,集团实施新的应用系统时,不必购买额外的软硬件,而是利用已有云基础设施,快速部署系统,提高应用部署速度。开发者在一个平台上构建和部署应用程序,大大提高了信息系统部署效率。
3、云计算降低信息共享和业务协同难度
长期以来,各应用系统普遍存在各自为政、资源分散等问题。尽管信息难以共享的根源在于业务系统机制问题,但云计算能从技术上降低信息共享和业务协同的难度。通过云平台,多个部门/集团子公司可以共用相应的基础架构,实现各业务系统之间的软硬件共享,提高信息共享的效率,扩大信息共享范围;软硬件资源和信息资源的共享将有利于促进各部门内部与部门之间的业务系统的整合,为各部门业务协同创造条件。
4、云计算有助于提高服务效率
通过云平台实现软硬件资源所有权与使用权的分离,各子公司将在不拥有软硬件资源的情况下享受信息服务。因此,集团的部门能够集中人力物力进行本部门的业务运转,从而减轻行政负担,能有更多的精力专注于面向公众的公共服务,提高效率。同时,在部署了以云计算为技术支撑的云平台以后,后台信息的烟囱式部署方式的壁垒将被打破,从而实现业务数据的统一共享,这对前台服务界面的统一打通有着重要意义,将使得业务系统的统一化不再停留在前台展示层面,而切切实实的实现服务的高效与统一。
第二章需求分析
集团的云平台一般为专有云架构,专有云平台承担集团内部服务的内容如业务应用系统等,为各分公司、集团子公司的应用系统提供基础设施支撑。
云资源共享专区通过安全隔离措施访问公有云(互联网)、公众服务专区;各子公司需要对互联发布的业务系统应根据服务对象逐步迁移至云平台上,实现集中集约部署。
2.1 需求概述
从整个云平台整体安全角度来看,我们需要考虑三个方面的设计:云平台安全、租
户侧安全、安全运维管理和便捷性。
图2.1-2云平台安全需求框架
云计算平台和传统计算平台的最大区别在于计算环境,云平台的计算环境比传统意义上的计算环境要更加复杂。对云平台的计算环境的保护也是云平台下信息安全整体保护体系的重中之重。
除了平台的安全问题,租户侧也面临一些安全问题,比如接入环境是否满足安全要求、业务系统是否安全、用户访问或接入业务的安全风险、虚机之间信息交换是否安全、业务系统服务可靠性等需求。
整个云平台安全运维也成了一大难题,首先平台本身以及平台中的业务系统的安全现状难以实时监测,因此无法做到有效审计,不能追溯安全问题;其次,对于资源池中的安全服务,如何做到动态灵活的统一管理、智能分配,满足云环境下动态高效的需求;再次,租户业务系统迁入后,如何快速的获得所需的安全配额,实现针对性的策略配置和自主运维。
归纳起来,云平台整体安全需求如下图所示:
图2.1-3云平台整体安全需求
2.2 平台侧需求
对于云来说,平台无疑是对外提供服务的基础,无论是建设运营方,还是租户,对于平台自身的可靠性、安全性都是极为关注的。因此平台层的安全建设需要从平台安全防护,平台的接入安全,以及平台服务可靠性方面来建设,保证云平台业务系统安全可靠运行。
2.2.1平台安全需求
平台需要直接连接互联网,面临着非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、应用保护、僵尸木马、攻击等各种安全问题,并且其底层和其上的系统软件可能存在的安全漏洞将影响到整个平台系统的安全,攻击者在利用漏洞入侵到平台之后,可以对整个平台内部的资源进行各种破坏,从而导致系统不可用,或者数据丢失、数据泄露,其潜在的威胁将无法估量。
分区分域需求
在安全设计方案中,我们需要将省级部门的业务通过逻辑隔离划分不同的安全域,首先云平台建设时需考虑将基础设施资源划分为两个独立的区域,分别为互联网业务区、公