<在分析業界方案的不足之後,我們提出自己的解決思路>
三、雲計算安全解決方案的設計思路
雲計算架構的顯著特點是資料和業務的集中處理,加上VM的動态遷移,各個的業務VM就混在一起,要将這些VM之間完全隔離是十分困難的。業務VM之間是需要互通的,如虛拟桌面需要與伺服器連通,網站伺服器要與資料庫伺服器通信,中間件伺服器要提供服務支援等等。雖然可以通過虛拟交換機上的通路控制,讓VM之間邏輯隔離開來,互通時到外邊的三層網關上做流量過濾,但這會成倍地增加循環流量,讓虛拟交換機不堪重負。
局部難以解決的問題,我們可以開拓眼界,把它放到更大的領域中,問題或許就變得簡單了。是以,我們方案思路是先做安全的預處理,将重大的隔離問題放在整體網絡安全規劃中解決,先整體,再局部,将安全問題逐漸分解。至于雲的内部,能做到實時地動态監控,對VM之間的不安全流量報警,及時處理即可。
1、網絡安全規劃------雲朵方案
虛拟化網絡隻是延展了網絡邊界,并沒有改變網絡的路由交換模式,傳統的安全域規劃同樣是非常必要的。為了彌補在一個虛拟化池内部,做到兩個資訊系統之間強隔離的困難,我們在網絡安全總體規劃時,建議安全需求較大的兩個資訊系統就不要部署在一個虛拟化池中。比如等級保護二級系統與三級系統不要部署在一個虛拟化池中,可以部署在不同的虛拟化池裡,每個虛拟化池都形成了一個“雲朵”,這個設計思路就稱為“雲朵”方案。
<a href="http://s3.51cto.com/wyfs02/M00/6D/9C/wKioL1Vnz_TQBwoiAAGxSlu84y4153.jpg" target="_blank"></a>
雲朵方案的設計思想如下:
分别按照安全需求建立不同的虛拟池,如二級的辦公業務池、三級的核心業務池;每個虛拟池如同一個傳統安全域,有自己的雲朵管理平台;(也可以在一個虛拟化池内,設立不同的服務區,同一區内的業務VM不能遷移到其他區域裡,這樣就形成實體伺服器的不同區域)
建立統一的安全運維管理中心,通過與各個雲朵管理平台的互通,了解雲朵内部的運作狀态;
核心互聯域與外網互聯域與“3+1”安全域功能基本一緻;
使用者接入域分為兩個:一是傳統的實體終端接入域,一是虛拟終端接入域。
采用雲朵方案的設計思路,将安全問題分為兩個方面:一是雲朵之間的安全,因為域邊界位置明确,采用傳統邊界安全設計思路即可;二是雲朵内的安全,是我們接下來的設計的重點。此時雲朵内的各個業務系統安全需求接近,可通路的使用者群大多一樣,互相之間的隔離需求相對較弱。實作安全監控與審計,就可以滿足業務系統的安全需求了。
2、雲朵内安全方案:兩頭加強,中間導流控制
一個雲朵就是一個虛拟化資源池,就是一個獨立的安全域,包括伺服器資源池、存儲資源池,也包括安全資源池,還包括作為支撐虛拟資源池連接配接的虛拟網絡。對于使用者來講,可以看見的隻是雲朵的門戶而已。
<a href="http://s3.51cto.com/wyfs02/M01/6D/9C/wKioL1Vn0DKDdZ8-AAE71lXKkxY916.jpg" target="_blank"></a>
雲朵内的安全包括三部分:
使用者端與門戶:門戶是通路雲朵的大門,使用者端是通路的起點。使用者端到門戶可以通過多種網絡路徑,專網、網際網路、移動網絡等。其最大的特點,就是終端與通路網絡的安全狀态是不可控的。但在使用者端與門戶,可以做一些“門檻式”的安全加強措施,為雲朵内的安全提供一些“初級攻擊者的流量清洗與未授權行為的阻斷”。
使用者端:專用的辦公電腦可以安裝指定的安全措施,如終端安全管理,強制終端的環境是安全可控的。但個人電腦、手機等智能終端,嚴格限制使用者安裝軟體的方法就不太現實了,采用“容器”式終端軟體運作模式,或者是虛拟終端模式,能夠讓使用者通路服務時,盡量少地受終端上其他不安全軟體的影響;
雲朵的門戶:作為進入雲計算服務的大門,流量很大,不适合做細粒度的安全措施,但部署網絡層的控制與流量清洗是可以的:
身份鑒别與授權管理:確定通路者有合法的授權;
Anti_DDOS:清洗以阻斷帶寬為目的DDOS攻擊流量,保證門戶的暢通;
惡意代碼檢測:針對檔案型的惡意代碼進行APT檢測,一般采用并聯方法,不影響業務性能;對于已知的,采用特征檢測方法,對于未知的,采用“沙箱”技術,釋放檔案,通過行為判斷是否為惡意代碼,可以檢測未知的木馬、病毒、蠕蟲等(建立已經檢測檔案的特征庫,減少線上檢測的數量)。發現惡意代碼,立即報警,通知安全管理中心,針對具體的通路連接配接進行進一步處理。
虛拟機:業務系統“看到”的是伺服器,就是VM,由于系統更新相容等問題,OS與DB的很多漏洞無法及時打更新檔,是以針對性的安全加強是必須的:
安全基線增強:VM服務于特定的應用,對于不需要的服務端口、不需要的賬戶、不需要的第三方軟體等應該關閉,對于不能修改的系統檔案應該安全保護;
反控制加強:伺服器安全底線是不做“殭屍電腦”,是以,建立程序的黑白紅政策,禁止賬戶權限随意更改,禁止木馬程序啟動,保護系統資料庫,保護系統檔案不被替換等政策,都是必須的;若每個VM都做到這樣的“自律”,入侵者即使有幸入侵到你的雲内部,也會寸步難行,無所建樹的;
敏感資訊防護:入侵者多以擷取系統管理者權限為攻擊目标,我們建立強制性通路控制政策(系統權限與敏感資訊通路權限分開管理),把系統管理者的敏感資訊通路權限降低,這樣即使入侵者獲得管理者權限,仍然不能看到敏感資訊的目錄或檔案。等保三級的資訊系統就需要支援強制性通路控制的安全加強。
網絡區域:雲朵内的網絡不僅有實體網絡,而且有虛拟網絡。如何讓每個使用者的通路流量先流經相應的安全措施,再進入VM?再明确一點,就是讓使用者流量不再按照原來的IP方式路由轉發,而是按照我們定義的安全政策重新安全路徑。這就是我們雲朵内安全解決方案的核心支援平台:雲導流(流引導與控制)
總結起來:雲朵内部的安全是兩頭加強,中間導流的模式。門戶的加強提高了入侵者的攻擊門檻,伺服器的安全加強提高了入侵者攻擊的技術難度,中間網絡層通過流量引導,将傳統的安全措施部署進來,進一步提高通路控制、安全檢測、行為審計的能力。
3、流引導與控制------先定義流
顧名思義,流引導是以流為控制的核心,流是什麼?流就是跟某個資訊系統相關的所有網絡流量。因為業務系統提供服務都是通過網絡進行的,是以可以說伺服器網卡上的所有流量就是我們需要控制的流。其内容無非一下幾個方面:
使用者通路業務伺服器的流量;
伺服器與其他資料庫、中間件伺服器通信的流量;
系統與其他系統資料共享的流量,如資料交換、資料備份等;
業務系統運維管理的流量
伺服器系統運維管理的流量;
日志輸出的流量;
系統維持各種網絡協定、系統管理的通信流量。
流在網絡裡分為外部使用者通過門戶進入的“南北流量”,有虛拟機之間的“東西流量”;由于VM的遷移,流量在那個交換機上是不确定的,可以說,在網絡層上看,流是交織在一起的。我們希望通過流量的引導,讓每個業務系統還原出邏輯的網絡拓撲,可以部署了安全措施的網絡拓撲。
<a href="http://s3.51cto.com/wyfs02/M01/6D/A0/wKiom1VnzuTQKyjPAADD87IPzAM567.jpg" target="_blank"></a>
用流的概念讓每個資訊系統從“複雜”的網絡裡脫離出來,每個資訊系統的流是分離的,安全管理人員看到的是一個邏輯網絡層,展示的是每個資訊系統的邏輯網絡拓撲圖。有了這個邏輯網絡層,我們就可以按照業務系統自身的安全需求定義其安全屬性。
<a href="http://s3.51cto.com/wyfs02/M02/6D/A0/wKiom1VnzyPQt5h6AAFZTHflY84979.jpg" target="_blank"></a>
定義了流,如何引導流呢?
TCP/IP協定規定了資料包是按目的IP進行路由轉發的,每個網絡裝置(交換機、路由器等)都有自己的路由表,保證資料包從自己裝置轉發出去時是正确的下一跳。這就好比練車場上,本來車是可以随便走的,但畫上行道線,車就要按照定義好的行車線,先過紅綠燈,再到立交橋…是以,流的引導與控制就是對資料包重新路由的一個過程。這樣我們可以讓安全措施不再跟着VM去遷移,可以固定在某給位置,而是讓資訊流繞個彎,流經相應的安全裝置。
<下部分将介紹整個雲計算安全解決方案實作的核心部分---雲導流部分的組成與原理......>
本文轉自 zhaisj 51CTO部落格,原文連結:http://blog.51cto.com/zhaisj/1656235,如需轉載請自行聯系原作者
![網絡流量分析之流量采集到流量還原[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)