云计算概念于2006年被Google公司正式提出,云计算模式在世界范围内已经成为信息通信(ICT)行业的发展趋势。从本质上来说,云计算是一种以服务为特征的计算模式,它通过对各种计算资源进行抽象,以新的业务模式提供高性能、低成本的持续计算、存储空间及各种软件服务,支撑各类信息化应用,能够合理配置计算资源,提高计算资源的利用率,降低成本,促进节能减排,实现真正理想的“绿色”计算。
然而,云计算带来诸多便利与优势的同时也给信息安全带来了多个层面的冲击与挑战。云计算的服务计算模式、动态虚拟化管理方式以及多层服务模式等引发了新的信息安全问题;云服务级别协议所具有的动态性及多方参与的特点,对责任认定及现有的信息安全体系带来了新的冲击;云计算的强大计算与存储能力被非法利用时,将对现有的安全管理体系产生巨大影响等。为有效应对上述安全风险,我国相关部门积极推进云计算安全标准体系的建设工作,并在各有关单位的共同努力下取得了显著成果。
1.等保2.0云计算安全扩展要求分析
等级保护是我国在网络安全领域实施的重要制度之一,为使网络安全等级保护系列标准能够实现与时俱进,适应新技术、新应用的发展所提出的安全需求,《网络安全等级保护基本要求》2.0版本针对云计算、移动互联、物联网、工业控制系统和大数据共5个技术领域提出了安全扩展要求。云计算安全扩展要求章节针对云计算的特点提出特殊保护要求,对云计算环境主要增加的控制点包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“供应链管理”、“云计算环境管理”等方面。以最典型和最重要的第三级安全要求为例,该标准在7个层面(5个技术层面和2个管理层面)对16个控制点提出了共46条云计算安全扩展要求项。
图注:云计算安全扩展要求控制项目分布
此外,云计算安全扩展要求附录中针对应用场景进行了说明,明确指出:软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。
图注:云计算服务模式与控制范围关系
如上图所示,在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。在基础设施即服务模式下,云计算平台/系统由设施、硬件、资源抽象控制层组成;在平台即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;在软件即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。不同服务模式下云服务商和云服务客户的安全管理责任有所不同。当用户在本地建设自己的私有云平台,用户需要负责设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台全部的安全保障。
2.云计算安全建设需求分析
由于云环境下网络环境变得更加复杂、弹性和动态变化等特点,按照等保2.0标准要求,云计算安全建设需要关注并且满足以下的需求:
2.1 安全物理环境风险与需求分析
由于云计算平台的物理特性引起的网络、设备和线路的不可使用,将会造成云计算平台的不可使用,导致整个用户云上业务的瘫痪。物理和环境安全包括机房选址、机房建设、设备设施的防盗防破坏、防火、防水、电力供应、电磁防护等,需要在数据中心机房的建设过程中严格按照国家相关标准进行机房建设、综合布线、安防建设,并经过相关部门的检测和验收,同时需确保云计算平台所在位置位于中国境内。
2.2 安全通信网络风险与需求分析
首先云计算平台不承载高于其安全保护等级的业务应用系统。云计算平台在安全建设中需要保障云服务客户虚拟网络之间的隔离,并且根据云服务客户需求提供通信传输、边界防护、入侵防范等安全机制的能力。云计算平台可以实现云服务客户根据业务需求自主设置安全策略的能力,同时实现云安全管理与云计算管理的深度集成,以提供更好的用户体验。
2.3 安全区域边界风险及需求分析
(1)访问控制
云服务客户需要在虚拟化网络边界及不同的等级网络区域边界设置访问控制机制,并设置访问控制规则。
(2)入侵防范
在云计算平台内部能检测云服务客户之间、虚拟机与宿主机之间、虚拟机与虚拟机之间、虚拟网络节点之间的攻击进行告警,并且能记录攻击类型、攻击时间、攻击流量等信息。
(3)安全审计
云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;云服务商对云服务客户系统和数据的操作可被云服务客户审计。
2.4 安全计算环境风险及需求分析
(1)身份鉴别
对远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。
(2)访问控制
当云服务客户虚拟机迁移时,访问控制策略随其迁移,云服务客户设置不同虚拟机之间的访问控制策略。
(3)入侵防范
云计算平台安全建设应能检测虚拟机之间的资源隔离失效,并进行告警,能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警;能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。
2.5 安全管理中心风险及需求分析
云计算平台需要对物理资源和虚拟资源按照策略做统一管理调度与分配。在安全建设中云计算平台管理流量与云服务客户业务流量分离。根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计。应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
3.云计算安全建设方案设计
云计算安全建设需要满足等保2.0中通用建设部分并与云计算扩展要求相结合,建立“一个中心三重防护”的理念,即安全管理中心和安全通信网络、安全区域边界、安全计算环境,以安全计算环境为基础,以安全通信网络、安全区域边界为保障,以安全管理中心为核心的信息安全整体保障体系。
图注:云计算安全标准体系框架
3.1 安全通信网络
云计算平台在服务器内部出现了vSwitch层,这使得原本清晰的边界模糊化,为此在安全设计中必须要考虑此挑战,确保安全解决方案的可落地。用户业务在云计算平台实际部署中,服务器内部网络之间安全防护挑战会有两个层级:
第一个层级:在云计算平台内开启VPC模式,根据用户需求构建一个隔离的网络环境,实现用户内不同业务部门或不同业务系统之间的网络隔离。VPC之间的安全隔离可以采用虚拟防火墙的安全隔离能力。在云计算平台VPC之间通过提供虚拟化防火墙、逻辑VPN等服务,将需要保护的虚拟机与外部网络之间进行端口组隔离,实现虚拟化环境中网络安全的需要。山石网科虚拟化下一代防火墙-云·界可以为云数据中心提供隔离功能的逻辑安全边界,支持多租户环境,并可安全地共享网络资源,实现应用系统云服务器群组的安全隔离。
第二个层级:根据等级保护要求,需要考虑用户业务系统所在虚拟机之间隔离。此层级下在云计算平台中部署山石云·格进行虚机之间安全防护。云·格提供的“虚机微隔离”技术为每个虚机提供了“贴身保镖”式的安全防护,通过专利引流技术,山石云·格可将每个业务虚机的流量牵引至虚拟安全业务模块,进行2-7 层的威胁检测,从而发现并阻断东西向流量的安全威胁。云服务客户可以根据自己需求自主设置安全策略能力,提供更好的用户体验。
3.2 安全区域边界
3.2.1访问控制与入侵防范
云服务客户需要在虚拟化网络边界及不同的等级网络区域边界部署访问控制机制,并设置访问控制规则。在云计算平台内部,能检测云服务客户之间、虚拟机与宿主机之间、虚拟机与虚拟机之间、虚拟网络节点之间的攻击进行告警,并且能记录攻击类型、攻击时间、攻击流量等信息。
实现云计算平台内VPC边界防护和边界访问控制防护可以采用山石云·界提供边界流量过滤、网络层防护及应用层防护功能。针对虚拟机之间访问控制与入侵防范,可部署山石云·格为虚拟化环境中构建一个强大且可信赖的“盾牌”。通过对系统流量与策略规则的统计,即每当经过山石云·格的会话与某条策略规则相匹配时,会调用用户自己配置的IPS/AV模板检测是否存在威胁或攻击行为,同时根据用户自己的配置对存在威胁或攻击的会话执行相应的动作,提升云数据中心的防御能力,从而降低用户安全风险。
3.2.2 安全审计
对云计算平台中虚拟安全设备、业务系统进行安全审计也是等保安全建设重要的一部分。山石网科所有虚拟化安全产品自身提供丰富的信息日志,且所有日志均支持本地与syslog协议存储。在关于“内容”的日志类别中,支持针对用户的识别,事件记录包括日期和时间、用户、事件类型、事件结果等,满足“安全审计”中的相关要求。
山石网科提供专业的虚拟化日志审计平台,可对所有用户访问行为和安全事件进行审计,节点设备的日志数据可以通过syslog协议推送到日志审计平台统一作保存与日志分析,日志保存时间要求不少于6个月,满足等保及网络安全法的要求。
3.3 安全计算环境
3.3.1身份鉴别
远程管理云计算平台中设备,可以采用VPN技术实现管理终端和云计算平台之间互联,并且可以实现双向身份验证机制。山石云·界支持开启 VPN 功能,能够实现数据的加密传输,为用户提供安全稳定的连接,用户能够随时随地高效运维。
在运维管理中采用堡垒机/虚拟堡垒机可实现账号权限划分以及双因子认证,通过身份认证、权限控制、账户管理、操作审计等多种手段,完成云内核心资产的统一认证、统一授权、统一审计,全方位提升运维风险控制能力。
3.3.2访问控制
云服务客户设置不同虚拟机之间的访问控制策略,当虚拟机迁移时,访问控制策略也随其迁移。在虚拟化环境中,云·格安全策略可以随虚拟机迁移安全策略也随着迁移。
3.3.3入侵防范
在云计算平台建设中需要检测虚拟机之间的资源隔离失效,并进行告警,并且检测非授权新建虚拟机或者重新启用虚拟机进行告警。检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。
▪针对于云计算平台虚拟主机系统,通过部署网络版杀毒软件或山石网科EDR 产品对终端主动防御型查杀,对恶意程序、免杀木马、钓鱼程序、挖矿程序、勒索程序、黑名单程序等进行检测、拦截。
▪针对部署在云计算平台的WEB 应用安全,可以采用虚拟应用防火墙来防护对应用系统的攻击;采用网页防篡改实现WEB 页面安全防护。
▪针对数据库信息存在的风险,为增强数据库系统的安全,需要对数据库进行防护。可以采用虚拟数据库防火墙对数据库安全防护。
▪山石网科虚拟化远程安全评估系统可以对云中操作系统、业务系统进行安全扫描。协助运维人员高效、准确地对租户内部系统进行实时自检,及时发现安全问题,并提供详细、专业的安全建议和修补方案,有效提升整网的健壮性和安全性。
▪山石网科云计算虚拟安全设备均可以将日志和流量信息发送到智能安全运营系统,从而对云中安全事件进行告警及可视。
3.4 安全管理中心
云计算平台建设中需要对物理资源和虚拟资源按照策略做统一管理调度与分配。在日常运营中,需对云计算平台自身所涉及基础设施进行安全配置、策略变更管理,定期进行配置核查;对云计算平台涉及的物理服务器进行操作系统安全加固及配置核查;及时发现云计算平台及其相关产品组件的安全漏洞,并提供修复;通过故障监控、快速定位、自动化恢复、通知告警等一系列故障管控体系,保证云计算平台及云产品的可用性;提供云计算平台提供数据安全防护,帮助用户保护其云端系统及数据的可用性、机密性和完整性;对云计算平台数据实现集中审计,并对云计算平台中虚拟化网络,虚拟机、虚拟化安全设备的运行状况的集中监测。
在等级保护中明确要求应具备集中管控能力,通过虚拟安全管理平台的建设,真正实现安全技术层面和管理层面的结合,全面提升整网的安全保障能力,满足等保中“集中管控”的相关要求。
4.山石网科云计算安全产品
山石网科自2015年推出了由山石云·格、山石云·界构成的云计算安全解决方案至今,已经积累了大量云安全成功案例。伴随等保2.0政策执行的合规落地,山石网科致力于打造一整套云计算安全解决方案,用以满足云计算安全扩展要求的合规执行。方案覆盖云计算安全扩展要求中的安全通信网络-网络架构,安全区域边界-访问控制与入侵防范,安全计算环境-访问控制与入侵防范,安全管理中心-集中管控等大部分控制项安全措施。
图注:山石网科云安全解决方案合规对应图
山石网科云计算安全解决方案围绕山石云·界、山石云·格、山石云·池、虚拟化Web应用防火墙、虚拟化日志审计、虚拟化数据库审计等云安全产品为核心,面向云服务商、云客户,提供基于云平台、租户、微隔离、云数据库、云安全管理等多种云计算应用场景的解决方案,全面满足未来云计算安全合规落地执行的需求。
