福建十三水脚本:三級等保云解決方案

十三水马牌赢了怎么算 www.ewtyj.icu Grade Security Solution

綜述

sanji01.jpg 計算的發展勢頭在近幾年來呈現迅猛之勢。一方面,云計算技術的確為如今的企業業務帶來了新的模式,并大大提升了效率與價值;而另一方面,面對云時代所帶來的利好,企業在采用云時對安全問題的擔憂也從未減退。

云計算環境下信息安全特性

與傳統安全相比,由于云計算的資源虛擬化和服務化的特征,云計算的安全具有如下新的特性:

? ?傳統物理安全邊界正在消失

? ?云計算服務具有較強的動態性

? ?數據安全?;ぴ讜萍撲慊肪誠鹵淶糜任匾?/p>

? ?云計算服務需要監管和和審計

國家政策

公安部發布的國家級安全標準文件《信息安全技術 信息系統安全等級?;?第二分冊 云計算安全技術要求》針對云計算信息系統的特點,提出了云計算信息系統安全等級?;さ陌踩?。

其中包含:分為基本技術要求基本管理要求兩大類。

技術類安全要求與云計算信息系統提供的技術安全機制有關,主要通過在云計算信息系統中部署軟硬件并正確的配置其安全功能來實現;管理類安全要求與云計算信息系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面做出規定來實現。

sanji02.jpg

私有云環境安全責任分擔模型

sanji03.jpg

在IAAS基礎架構私有云平臺,云平臺和平臺服務管理者負責整個平臺基礎設施和環境的安全(場地、制冷、網絡接入等等)、物理設備的安全(服務器、存儲、網絡的管理和安全維護)、云管理平臺的總體安全(整體資源、網絡等)。平臺為用戶/租戶提供資源和整體的安全防護,并不對已分配的租戶內部資源和業務有管理和安全責任,但是需要為用戶/租戶提供必要的云安全功能和服務;用戶/租戶對自身業務的云計算安全進行自管理,用戶/租戶需要對自身管理范圍內的業務、數據等方面安全負責。

方案架構

三級等保云解決方案架構圖-1.png

私有云數據中心架構

三級等保.jpg

物理網絡基礎架構設計

三級等保云解決方案架構圖-3.png

云計算安全框架

基礎設施安全

主要?;ね?、主機和存儲的安全,包括基礎設施安全平臺和IT設備安全兩部分。

1.基礎設施安全平臺

從總體層面來統一設計、建設和管理,在主機和存儲層面為云數據中心和地區提供安全?;すδ艿耐騁恢С牌教?。?

2.IT設備安全

針對網絡基礎設施中各系統的獨特或分散、無法形成統一平臺的安全技術措施,此部分主要是指設備安全。

安全管理平臺

覆蓋各個層面,主要提供統一安全管理功能。

統一管理平臺,是承載整個安全體系的支撐平臺,整合策略體系、組織體系、技術體系和運行體系,支持和承載整體安全工作的軟件和工作流支撐平臺。

安全管理平臺建設框架如下:

三級等保云解決方案架構圖-4.jpg

應用和數據安全

主要?;びτ煤褪蕕陌踩?,包括:

應用安全平臺

從總體層面來統一設計、建設和管理,在應用和數據層面為云計算中心和地區提供安全?;すδ艿耐騁恢С牌教?。

——數據備份與冗災,覆蓋數據層面,解決一些重要系統的數據備份和冗災存在的問題,保障重要數據的完整性和可用性。

應用系統安全

針對各應用系統的獨特或分散、無法形成統一平臺的安全技術措施,此部分主要各應用系統的安全增加、加固與改造。

——應用系統安全增強,覆蓋應用層,對目前一些系統的應用平臺存在的安全隱患進行安全改造,對應用軟件和自主開發軟件進行安全功能增強。

平臺安全性方案設計

云管理平臺安全設計

1大規模租戶隔離


2租戶網絡隔離

? ?支持租戶間的計算資源隔離,每個租戶獨立向運營平臺申請資源配額;


每個租戶在創建時都屬于不同的Vlan或Vxlan中,租戶間網絡處于隔離。租戶內部可創建獨立的內部私有網絡,保障租戶內云主機的通信。

? ?支持租戶間的網絡隔離;



? ?支持租戶間的數據隔離;



3網絡安全


4主機安全

? ?支持租戶內部創建獨立的網絡防火墻;


? ?支持主控節點和備控節點的數據同步,實現主控節點的HA;

? ?支持租戶創建防火墻規則,并將規則賦予每個網絡防火墻;


? ?支持計算節點的HA;

? ?支持防火墻及規則綁定或解綁給虛擬路由器,所有云主機的外網訪問都會經過虛擬路由器,并與防火墻規則進行適配。


支持虛擬機的HA;

5應用安全


4數據安全

? ?可創建虛擬機安全組,定制安全規則,并將安全規則綁定至虛擬機;


? ?通過虛擬機的云主機備份、云硬盤備份實現數據的安全,以及可恢復。

? 支持應用的負載均衡,可自定義多種負載均衡策略;



安全準入解決方案

建議在運維管理區旁路部署安全準入系統,它可以根據不同的用戶分配不同的網絡區域(VLAN隔離和下發終端IP),分配不同的網絡訪問權限;同時準入系統還可以對入網請求的終端進行網絡合規性檢查和評估,并根據客戶制定的檢查標準,對不滿足條件的終端提供進行修復向導。

虛擬化分布式防火墻解決方案

建議在私有云數據中心資源平臺(虛擬化平臺)上部署虛擬化分布式防火墻系統作為云管理平臺防火墻的補充和加強。虛擬化分布式防火墻vDFW以虛擬化軟件形態快速靈活的部署私有云平臺,可以為用戶/租戶提供了分層次、全方位、可擴展的安全隔離和安全防護服務。安全引擎包括防火墻引擎、抗DOS攻擊引擎、IDS/IPS引擎、WEB防護引擎等等,支持應用、用戶的訪問控制,入侵防御,web安全防護,惡意代碼防護,基于應用的流量控制,URL過濾,文件過濾,關鍵字過濾,APT防御,流量可視化,內容審計等豐富安全功能,為用戶提供全面的虛擬化平臺全面的安全防護解決方案。?

網絡防病毒解決方案

建議在運維管理區旁路部署網絡防病毒系統(終端威脅檢測防御系統)。終端威脅檢測防御系統負責掃描給定待掃描對象是否包含惡意代碼。一般來說,終端威脅檢測防御系統應至少具備以下屬性:

1)對于給定對象,評估是否包含惡意代碼;

2)能夠明確描述該對象所包含惡意代碼類型,如:木馬、后門、蠕蟲等;

3)對于寄生類惡意代碼(宏病毒、感染型病毒等),可以從宿主對象中剝離惡意代碼,并還原宿主對象數據;