公有云、私有云安全防护方案

安全防护方案TOC\o"1-5"\h\z\o"CurrentDocument"系统概述 31.1建设背景 31.2安全保护等级 3\o"CurrentDocument"防护需求 32.1防护依据 32.2风险分析 42.3防护目标 4\o"CurrentDocument"防护措施 53.1总体防护架构 53.2边界安全 63.3应用安全 73.4数据安全 73.5密码安全 93.6安全监测 93.7主机安全 103.8容器安全 113.9网络安全 12物理安全 13安全管理 131系统概述1.1建设背景1.2安全保护等级表1业务信息安全保护等级矩阵表(S)业务信息安全(S)被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表2系统服务安全保护等级矩阵表(A)系统服务安全(A)被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2防护需求2.1防护依据《网络安全法》《信息安全技术-信息安全事件管理指南》-GB/Z20985-2007《信息安全技术-信息安全事件分类分级指南》-GB/Z20986-2007《信息安全技术-信息系统应急响应规范》-GB/T20988-2007《信息安全技术-信息安全应急响应计划规范》-GB/T24364-20092.2风险分析云上用户普遍面临以下问题：＞缺少全局云安全方案，影响安全防护体系建设及防护效果传统厂商对云环境不熟悉，在安全技术防护体系建设过程中，原有的安全防御方案是否可以继续使用、如何在云上建立牢固的安全防御体系，这些问题都急需解决。＞安全方案不确定性导致成本增加在制定整体安全解决方案时，关于现有业务安全问题描述分析缺乏，造成安全策略落地没有针对性，增加企业在安全管理工作中投入的成本。＞专业安全管理人员缺失或难求对于缺少专业、高水平的安全人才的企业或组织，当发生信息安全事件后，不能保障及时响紧急安全事，给企业或组织带来影响和损失。2.3防护目标通过安全的方式配置和使用各种云上产品，并基于这些云产品的安全能力以安全可控的方式构建自己的云上应用和业务，保障云上安全保障云平台硬件、软件和网络安全，包括操作系统及数据库的补丁管理、网络访问控制、DDoS防护、灾难恢复等。及时发现云平台的安全漏洞并修复，修复漏洞过程不影响客户业务可用性。提供云上账户安全管理能力，包括但不限于云账号支持主子账号、多因素认证、分组授权、细粒度授权、临时授权等账户安全管控手段。提供安全监控和运营能力，包括安全审计手段，提供数据加密手段。3防护措施3.1总体防护架构传统IT服务使用的安全解决方案，是以检测技术为主的网络边界安全防护，通过防火墙、入侵防御等硬件安全产品将攻击者挡在网络边界之外。随着云计算的发展，云计算具有低成本、按需灵活配置和高资源利用率等优势，越来越多的企业和组织从传统IT服务转向云计算服务。然而在实现云计算之后，网络边界的概念变得越来越模糊，传统的安全解决方案无法很好的保护云上资产的安全。

云盾结合云计算平台强大的数据分析能力以及专业的安全运营团队，从网络层、应用层、主机层等多个方面为专有云提供一体化的安全解决方案。11DDgS防护「 态势感知WAFri广 1"l1SLB SLB. lJIH\ "…fS云防火墙…* *\堡垒机ECS ECS ECS....・ •・・・■—:■i . J ■二、一SDDP安骑士jHLRDS……fOSS……1i数据库市计RDS…… RDS安全审计OSS……|OSS3.2边界安全3.2.1边界管理安全堡垒机服务集中了运维身份鉴别、账号管控、系统操作审计等多种功能。基于协议正向代理实现，通过正向代理的方式实现对SSH、Windows远程并通过协议数据流桌面、及SFTP等常见运维协议的数据流进行全程记录，并通过协议数据流重组的方式进行录像回放，达到运维操作审计的目的。3.2.2边界网络安全云盾外挂在云平台边界设备；外部网络进来的流量，经过分光器之后会被分成两份（被分光后的数据与分光前的数据内容不变），一份经过分流器之后到达beaver进行攻击检测，一份到达边界设备；如果beaver上检测到该流量为攻击流量，就会通知guard将到达边界设备这部分的流量牵引至guard进行流量清洗，清洗完成后会在将流量回注到边界设备。3.3应用安全Web应用防火墙（WebApplicationFirewall，简称WAF），基于云安全大数据和智能计算能力，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见Web攻击，过滤海量恶意访问，避免网站资产数据泄露，保障云上应用的安全性与可用性。3.4数据安全3.4.1云数据库审计云数据库审计服务是一款专业、主动、实时监控数据库安全的审计工具。针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。云数据库审计支持RDS云数据库、ECS自建数据库，将数据库监控、审计技术与云环境相结合，为云上数据库提供安全诊断、维护、管理能力。3.4.2OSS安全加密基于OSS安全加密方式，是Object的一种属性。OSS服务器端加密使用行业标准的强加密算法AES-256（即256位高级加密标准）加密每个对象，并为每个对象使用不同的密钥进行加密。作为额外的保护，它使用定期轮转的主密钥对加密密钥本身进行加密。该方式适合于批量数据的加解密。该加密方式下，数据加密密钥的生成和管理由OSS负责。3.4.3ECS云盘加密ECS云盘加密功能默认使用服务密钥为用户数据进行加密，云盘的加密机制中，每一块云盘会有相对应的用户主密钥（CMK）和数据密钥（DK），并通过信封加密机制对用户数据进行加密。在信封加密机制中，CMK受密钥管理服务（KeyManagementService，简称KMS）提供的密钥管理基础设施的保护，实施强物理安全和逻辑安全保护。3.4.4NAS存储加密NAS的加密功能默认使用服务密钥为用户的数据进行加密。NAS的加密机制中，每一卷（Volume）会有相对应的用户主密钥（CMK）和数据密钥（DEK），过信封加密机制对云上数据进行加密。3.4.5数据库加密RDS提供MySQL和SQLServer的安全套接层协议。用户可以使用RDS提供的服务器端根证书来验证目标地址和端口的数据库服务是否为RDS提供，从而有效避免中间人攻击。RDS提供了服务器端SSL/TLS证书的启用和更新能力，保障SSL/TLS证书安全有效性。3.4.6敏感数据保护（SDDP）通过智能化敏感数据识别，基于业务需求实现分类分级，并在精准识别基础上实现动态与静态脱敏、全域流转监控与异常检测，达到精准识别、精准检测、精准分析、有效保护，实现可见、可控、合规的安全保护要求。3.5密码安全云平台遵循一人一账号原则，每个账号都有明确的持有者。所有用户集中下发密码策略，强制要求设置符合密码长度、复杂度要求的密码，并定期修改密码且不能与上一次密码相同。同时，云平台支持账号密码登录、一次性口令登录、数字证书登录等多种认证登录方式。3.6安全监测云平台侧的安全监控，主要目的是及时发现平台自身的应用和主机、网络等资源被恶意攻击的安全事件，并在发现安全事件之后，触发云平台内部应急响应流程进行妥善处置，及时消除影响。态势感知全面集成了企业漏洞监控、黑客入侵监控、Web攻击监控、DDoS攻击监控、威胁情报监控、企业安全舆情监控等安全态势监控手段，通过建模分析方法，从流量特征、主机行为、主机操作日志等获取关键信息，识别无法单纯通过流量检测或文件查杀发现的入侵行为，借助云端分析模型输入并结合情报数据，发现攻击威胁来源和行为，并评估威胁程度。3.7主机安全3.7.1入侵检测云安全中心（安骑士）服务，通过在云主机上安装轻量级云安全中心Agent，实现和云端安全中心联动，提供实时的入侵检测的安全能力。主机入侵检测中主要包括了异常登录检测、网站后门查杀（Webshell）、主机异常行为检测、主机系统及应用的关键文件篡改检测和异常账号检测等功能。同时，安骑士提供智能学习应用白名单能力，识别可信和可疑/恶意程序形成应用白名单，防止未经白名单授权的程序悄然运行，可避免云主机受到不可信或恶意程序的侵害。3.7.2病毒检测云安全中心（安骑士）服务提供对主流勒索、挖矿、DDoS木马等病毒的实时拦截能力。在系统内核层面实现云上文件和进程行为的全局监控和实时分析，有效绕过顽固木马和恶意程序的反查杀能力；基于程序行为分析，挖掘出黑名单未能辨识的恶意威胁，实现主动拦截。3.7.3漏洞管理云安全中心（安骑士）服务，通过在主机上安装轻量级云安全中心Agent,实现和云端安全中心联动，为云上应用提供漏洞扫描能力。基于云平台的漏洞扫描及修复引擎，能够实现同时对多个系统和应用进行扫描和修复的安全运维工作。3.7.4宕机迁移云服务器部署在物理服务器上，物理服务器因性能异常或者硬件等原因导致故障宕机，系统会启动保护性迁移，把云服务器迁移到其它正常的物理服务器上，恢复实例正常运行，保障应用的高可用性。3.8容器安全3.8.1安全沙箱容器容器服务（ACK）基于专有云安全沙箱技术实现，不同于传统的Docker共用内核架构，每个安全容器都有独享的内核，对内存、网络、IO等实现了更强的隔离。使用容器服务保障云上应用多租户安全隔离。3.8.2入侵检测容器服务基于云安全中心的入侵检测，云安全中心在容器服务产品支持容器内Web-CMS漏洞检测和修复、Webshell检测和修复、云查杀、进程异常行为、异常网络连接、进程启动日志、网络连接日志的功能。3.9网络安全3.9.1专有网络（VPC）专有网络（VirtualPrivateCloud,简称VPC）基于隧道技术，实现数据链路层的隔离，为每个用户提供一张独立隔离的安全网络环境。在VPC内部，可以自定义IP地址范围、网段、路由表等；可以通过高速通道物理专线将云下网络和云上VPC打通，实现云上云下应用互访。3.9.2安全组安全组是实例级别虚拟化防火墙，具备状态检测和数据包过滤功能，用于在云端划分各个ECS实例、容器集群间的安全域。安全组是一个逻辑上的分组，这个分组是由同一个地域（Region）内具有相同安全保护需求并相互信任的实例组成。使用安全组可设置单台或多台云服务器的网络访问控制，是重要的网络安全隔离手段，用于在云端划分网络安全域。每个实例至少属于一个安全组。同一安全组内的实例之间网络互通，不同安全组的实例之间默认内网不通。3.9.3DDoS防御DDoS防护系统支持防护全类型DDoS攻击，通过AI智能防护引擎对攻击行为进行精准识别和自动加载防护规则，保证网络的稳定性；支持通过安全报表，实时监控风险和防护情况。云上业务结合AI智能防护引擎，通过全流量代理的方式实现大流量攻击防护和精细化Web应用层资源耗尽型攻击防护。3.10物理安全数据中心建设满足GB50174《电子信息机房设计规范》A类和TIA942《数据中心机房通信基础设施标准》中T3+标准。3.10.1机房容灾为保障专有云业务7*24小时持续运行，云平台数据中心采用双路市电和冗余的电力系统，提供主、备电源和系统供电能力。若电源发生故障，会由带有冗余机制的电池组和柴油发电机对设备进行供电，保障数据中心在一段时间内的持续运行能力。云平台数据中心采用精密空调来保障恒温恒湿的环境，并对温湿度进行电子监控，一旦发生告警立即采取应对措施。空调机组均采用热备冗余模式。3.10.2网络隔离专有云网络架构通过模块化设计定义综合接入类和业务服务类；通过综合接入类的外网接入区、内网接入区，对云平台经典网络和VPC网络进行安全隔离。3.11安全管理身份认证系统进行账号生命周期管理。所有用户按照一人一账号、数据分离原则进行账号分配和使用，账号一旦分配，不得共享账号并对账号做统一的登录管理、账号密码管理和访问控制。一旦内部用户离职、转岗或工作内容发生变更，其所使用或管理的各项账