云安全资源池平台建设方案

XX云安全资源池建设方案介绍2021年02月22日目录TOC\o"1-5"\h\z\o"CurrentDocument"1项目概述 4项目背景 4\o"CurrentDocument"云计算及云安全市场的迅猛发展 .4\o"CurrentDocument"法律法规 4\o"CurrentDocument"项目建设目标 5\o"CurrentDocument"项目安全建设现状 7\o"CurrentDocument"2安全需求分析 8\o"CurrentDocument"主要技术问题 8\o"CurrentDocument"网络非法访问风险 8\o"CurrentDocument"网络边界模糊的风险 9\o"CurrentDocument"网络资源共享风险 9\o"CurrentDocument"东西向流量不可见 9\o"CurrentDocument"虚拟化软件安全风险 10\o"CurrentDocument"主要管理问题 11\o"CurrentDocument"安全权责模型 11\o"CurrentDocument"租户环境安全 12\o"CurrentDocument"管理问题应对 13\o"CurrentDocument"结合实际优化安全责任分担模型 13\o"CurrentDocument"租户环境安全应对 14\o"CurrentDocument"技术问题应对 14\o"CurrentDocument"3解决方案总体设计 15\o"CurrentDocument"设计思路 15\o"CurrentDocument"云管端一体化 15\o"CurrentDocument"云安全资源池建设 16\o"CurrentDocument"设计原则 17\o"CurrentDocument"面向云租户等保安全保障方案（云安全资源池） 18部署架构 18\o"CurrentDocument"南北向安全服务设计 21\o"CurrentDocument"东西向安全服务设计 25\o"CurrentDocument"性能与冗余架构设计 26\o"CurrentDocument"方案的优势 27\o"CurrentDocument"领先的智能化运维管理 27\o"CurrentDocument"平台解耦，全面兼容 27\o"CurrentDocument"租户合规安全，服务化交付 28\o"CurrentDocument"全面保障云安全，动态感知威胁及时预警 28\o"CurrentDocument"4设备及安全服务清单 28\o"CurrentDocument"4.1设备清单 281项目概述项目背景云计算及云安全市场的迅猛发展云计算的发展是全球信息化的发展趋势，我国也在2015年由国务院印发国发（2015）号文《国务院关于促进云计算创新发展培育信息产业新业态的意见》，在意见中指出，要探索电子政务企业云计算发展新模式。鼓励应用云计算技术整合改造现有电子政务信息系统，实现各领域企业信息系统整体部署和共建共用，大幅减少自建数据中心的数量。主管部门要加大采购云计算服务的力度，积极开展试点示范，探索基于云计算的政务及企业信息化建设运行新机制，推动政务及企业信息资源共享和业务协同，促进简政放权，加强事中事后监管，为云计算创造更大市场空间，带动云计算产业快速发展。随着全国政务云大面积的建设和发展，信息安全建设成为云平台建设发展的重要组成部分。云平台的信息安全建设主要包括云平台自身的安全防护措施和云租户的安全防护措施两个部分，本方案主要讨论云平台在建设满足等级保护要求的同时，开展自身的安全体系总体规划和建设，同时帮助用户部署于云平台的信息系统满足等级保护的要求，并能通过等级保护的测评，从而保证本租户部署于云平台上的信息系统的可靠、稳定、安全的运行。法律法规随着2017年6月1号《网络安全法》的正式发布，网络安全法第二十一条指出，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。网络安全法第三十一条及第三十二条指出，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系；按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。XXXX作为云平台的运营方，需要对机房的云平台关键信息基础设施做安全保护工作，从而保证整体的安全需求。项目建设目标云计算环境下的信息系统的设计目标是：在落实等级保护GB17859-1999《计算机信息系统安全等级保护划分准则》和GBT22239—2008《信息安全技术信息系统安全等级保护基本要求》对三级信息系统的安全保护要求的基础上，根据GB/T22239.2《信息安全技术信息系统安全等级保护基本要求第2部分》的增强要求，对部署于云上的信息系统实现租户虚拟流量的可视和检测、云计算环境下的新数据安全、虚拟化平台的安全等要求。依照国家《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全保护等级定级指南》《信息安全技术信息系统安全等级保护基本要求第2部分》等标准，以及平台对信息系统等级保护工作的有关规定和要求，对平台的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导平台信息化人员将定级材料提交当地机关备案。通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得平台网络系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面为平台的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。本项目建设将完成以下目标：一：完成对中小企业云平台的加强加固，根据最新的安全标准实现安全整改，保障三级监督审核时能够顺利通过1、以平台信息系统所在中小企业云现有的平台安全措施为基础，建设并完成满足等级保护三级系统基本要求的安全防护体系，确保平台部署于中小企业云的信息系统符合等级保护三级的要求。2、建立对中小企业云部署信息系统的安全管理制度，据信息安全等级保护的要求，制定各项信息系统安全管理制度，对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。3、制定平台信息系统不中断的应急预案。应急预案是安全等级保护的重要组成部分，按可能出现问题的不同情形制定相应的应急措施，在系统出现故障和意外且无法短时间恢复的情况下能确保生产活动持续进行。4、安全培训：为平台信息化技术人员提供信息安全相关专业技术知识培训。总体来说，需求如下：在国家信息系统安全等级保护相关政策和标准的指导下，结合XXXX中小企业云平台系统的安全需求分析，确定企业云平台系统安全等级保护的级别，对信息系统进行差距分析并提出整改建议，对企业云平台系统进行安全整改，达到国家信息安全等级保护相关标准的要求，并通过信息系统等级测评，更好地保障企业云平台系统的正常运行，全面提升企业云平台系统安全保护水平，同时培养内部技术和管理人员，带动安全队伍建设，促使更多的员工掌握信息系统安全相关的标准和知识、具备相关的管理和维护能力，从而落实到日常工作中。二：建立针对租户使用的安全资源池，通过安全资源池实现对租户的云上业务的防护1、租户能够自主实现业务编排，自主选择所需的安全组件，并完成对业务的防护2、云安全管理平台能满足云内多租户的管理需求，安全管理平台中的租户就是一个虚拟的组织，它包含了一组的安全服务，并且可以对得安全服务的对象和安全策略进行管理3、可实现自助服务，租户可以通过安全管理平台提供的管理门户提交安全设备申请，管理员审批完订单后的用户申请的资源即会出现用户的资源列表内，云安全管理平台可以实现从用户资源的申请、审批到分配部署的流程化4、三权分立的管理机制，以最小特权和权值分离为原则,将超级用户特权集进行划分，分别授予系统管理员、安全管理员和审计管理员。在此机制下安全管理软件在实现系统管理、安全管理和审计管理功能的同时，也要保证管理员权限的隔离。5、实现安全策略配置，云应用安全涉及终端安全、网络安全、应用安全等各个层面，对应的安全防护技术包括防病毒、防火墙、VPN、IPS等不同层次的防御部件。这些设备的配置可以通过云安全管理平台完成，用户可以直接在云安全管理平台上打开对应安全设备的配置页面，对设备进行管理需要通过集中部署各部件的安全防护策略，可以简化对安全部件的管理，确保网络安全策略的统一，提高安全管理工作的效率6、安全事件可视化，网络中的各种安全部件产生的众多安全事件，往往使管理员淹没于信息的海洋中。安全管理平台在全面采集安全事件的基础上，重新组织安全事件的类型、威胁严重性、受攻击最多的目标、受攻击最多的租户等信息，为系统的安全事件审计和安全风险状态提供更准确的决策支持。

1.3 项目安全建设现状互联网云安全贾源池Oli安牝等源裆加密■器盅地安全卷卷“志年卒歌据卜.闺审针:库审代劭行为vm聚统小山互联网云安全贾源池Oli安牝等源裆加密■器盅地安全卷卷“志年卒歌据卜.闺审针:库审代劭行为vm聚统小山火堵管牌诚^D“-£-：”・「，-：「.jJ.更以阿培1KE； 卜一代的火墙「.网"为喈汗下-代防火墙;二11支介区域 1比I0GE‘『哥防火结工蚯防火墙核心CE6舐1“算"f蒲W小腿务零。制中小企业后平台Cloud畤尸~~||™IiIT，MI1工；卜机r虚拟同络说明：1）在云平台上部署安全资源池系统，通过该安全资源池系统的终端安全检测EDR,实现虚拟主机杀毒，虚拟化层操作系统安全加固，webshell防护，东西向流量主机防入侵和防火墙功能，从而保障因虚拟化后引入的虚拟主机安全和东西向流量安全。2）在接入交换机旁挂部署安全资源池系统，有需要安全防护的租户的通过交换机引流到安全资源池上做防护，安全资源池包括终端安全检测EDR、日志审计系统、堡垒机、数据库审计、下一代防火墙、上网行为管理和SSLVPN组件。3）安全资源池的上网行为管理组设备，通过该设备实现对网络边界的访问控制，应用带宽管理，及全网应用控制等。4）安全资源池的下一代防火墙组件，并且开启IPS和AV杀毒模块，实现边界网络隔离，边界入侵防范，边界恶意代码过滤等功能，支持网页防篡改。5）安全资源池的VPN设备，实现VPN设备实现通信的完整性和保密性。6）安全资源池的的日志审计设备，实现对相关网络及安全设备的日志审计功能，并做日志留存。7）安全资源池的的堡垒机，实现对内网网络设备及对边界的访问控制的统一管理。8）在安全资源池部署数据库审计设备，通过部署数据库审计系统，实现对用户行为、用户事件及系统状态加以审计，范围覆盖到每个用户，从而把握数据库系统的整体安全。9）安全资源池的WEB应用防火墙组件，支持WEB漏洞检测和防护等功能，支持网页防篡改。2安全需求分析云计算环境的安全，需运营方和租户共担。在某些情况下，云运营方还要依靠其他组织提供计算资源和服务，其他组织也应承担信息安全责任。因此云运营方在进行企业云的安全体系建设时需要从这以下几个方面着手：提供针对云平台的基础安全保障，并为租户提供必要的安全保障能力和手段针对云环境下的特有安全风险进行解决满足云计算安全系列标准、云计算服务安全能力指南/安全能力要求、等级保护系列相关标准的合规性主要技术问题网络非法访问风险云化环境下的网络计算节点和传统的物理网络节点性质相同，因此传统的网络安全风险，包括非授权访问、数据泄露（网络窃听）、网络攻击（DDos拒绝、ARP攻击和APT攻击）、网络漏洞等，在虚拟网络环境中仍然存在。产生此问题的原因：网络没有建立可信认证机制用户有绕行访问行为缺乏对访问用户的策略管控网络传输信道没有对数据进行加密处理用户的访问权限没有区分通过网络发起DDos拒绝、ARP攻击和APT攻击等，使网络服务中断或服务停止。通过网络漏洞等进行非法入侵，发起网络攻击等行为。网络边界模糊的风险目前中小企业云环境中的网络边界线划分有别于基于原传统的物理网络的边界划分，原传统的网络边界可以按照租户要求基于网络安全域的划分进行隔离控制，但在当前企业云环境中的网络边界，租户间及租户内部的安全隔离需求，现状下很难进行区分隔离。产生此类问题的原因：•网络安全域的难以隔离风险•网络缺乏细粒度访问控制风险网络资源共享风险目前企业云环境中的网络资源是共享的，由于是网络计算能力是按弹性供给，当存在多个云用户使用同一个物理设备上的多个虚拟网络节点，会存在资源消耗风险，影响网络性能。产生此类问题的原因：虚拟网络资源资源消耗缺乏控制虚拟网络组件遭遇DDos攻击或ARP攻击、嗅探的大流量冲击重要的网段被非法访问、端口扫描、入侵攻击等行为东西向流量不可见目前云环境中通过在同一服务器上的不同虚拟机之间的二层交换数据访问，不需要经过外置的路由，因此这些流量只存在服务器内部，而不会传送到服务器外部的物理防火墙中，导致物理防火墙无法对其进行安全防护。产生此问题的原因：•虚拟机之间的互访流量无法审计例如，两个虚拟机位于相同的物理机器上，网络流量没有路由到网络之上，可以直接通讯。但这部分流量，由于没有通过路由，会存在无法控制的风险。虚拟化软件安全风险虚拟机逃逸风险虚拟机逃逸是指攻击者突破虚拟机管理器Hypervisor，获得宿主机操作系统管理权限，并控制宿主机上运行的其他虚拟机,攻击者既可以攻击同一宿主机上的其他虚拟机也可控制所有虚拟机对外发起攻击。产生此问题的原因：Hypervisor本身存在漏洞；服务商很难辨别虚拟机申请者的真实身份。虚拟机迁移风险虚拟机迁移技术是指当宿主机资源消耗过高或者出现故障时，为了保证虚拟机上的业务稳定，虚拟机会迁移到其他的宿主机上。一旦发生虚拟机迁移，原有安全管理员配置好的安全域将被完全打破，甚至会出现部分物理服务器和虚拟机服务器处于同一个安全域的情况。产生此问题的原因：当虚拟机迁移时，依靠传统防火墙和VLAN的方式将没有办法维持原来的安全域稳定，使得安全域混乱，安全管理出现风险。虚拟机镜像风险虚拟机镜像是指通过技术手段把操作系统生成全新虚拟镜像文件，通过虚拟化平台加载虚拟机镜像使之可以运行，它具有真实操作系统完全一样的功能，且具有可在现有系统与虚拟镜像之间灵活切换的一类操作系统。由于在云环境中主机全部由虚拟机镜像生成，所以虚拟机镜像的安全至关重要。产生此问题的原因：如果虚拟机镜像、快照遭到恶意攻击者篡改或者非法挂载硬盘，虚拟机镜像中可能存在的敏感资源被非法访问、漏洞风险、木马控制等，会导致创建云主机都有安全风险，因此需要保证其可靠性和安全性。10主要管理问题安全权责模型现有云平台与云租户的安全责任划分采用GBT31168-2014要求划分，这种划分方法，是一种安全责任分担方法，即对云安全，云平台负责一部分，云租户责任一部分，现有安全责任划分如下：云计算服务模式与控制范围的关系图示（摘自GBT31168-2014）云计算安全措施的实施主体常常会有多个，各类主体的安全责任因不同的云计算服务模式而异；云服务方和云租户方的安全责任边界与其控制范围相关。在IaaS模式下，云服务方所需进行的安全体系建设范围，主要包括：1）云平台的基础安全保障，如数据中心边界安全防护、整体安全可视化2）云环境下的特有安全问题解决，如虚拟化网络安全可视与管控3）云环境下的安全合规，如云平台的等保合规（云服务方负责），云租户业务系统的等保合规（云租户负责，云服务方提供必要的安全措施和手段）4）提供实时监测、分析、预警和应急处置的服务，保证各类业务的连续性5）迁移方案的安全评审、协助完成迁移，并对云租户上传的系统安全检测6）接受主管部门对云计算环境使用及安全工作的指导、监督、检查和考核11租户环境安全根据《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》征求意见稿中的要求，云服务提供三种服务模式，包括基础设施即服务（laaS）、平台即服务（PaaS）、软件即服务（SaaS），本次云平台为IAAS模式，具体如下：a）基础设施即服务InfrastructureAsAService（IaaS）。云服务方向云租户提供可动态申请或释放的计算资源、存储资源、网络资源等基础设施的服务模式；其中附录规定了在IAAS模式下云服务方和云租户的安全管理责任主体有所不同。具体如下：表2-2-1IaaS模式下云服务方与云租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务方网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台云服务方云租户虚拟网络安全域云租户设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等云服务方云租户虚拟网络设备、虚拟安全设备、虚拟机等云租户应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等云服务方云租户应用系统及相关软件组件、云租户应用系统配置、云租户业务相关数据等云租户表2-2续12

层面安全要求安全组件责任主体安全管理机构和人员授权和审批授权和审批流程、文档等云服务方系统安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务方云服务商选择及管理流程云租户系统安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务方、云租户如何满足当前云环境下满足云等保合规要求，又要满足租户对自身业务系统安全负责，而安全可视是基础，不可视的安全，检测、防御如何开展？从上述要求来看，云平台运营方要求尽快采取措施，实施相关要求。管理问题应对结合实际优化安全责任分担模型基于信息资产和产品功能建立了如下的信息安全责任共担模型，其中不同颜色定义云服务提供商应负责责任部分、客户应负责责任部分，共同承担责任部分:IaaSPaaSSaaS客户数据安全数据安全数据安全的终端安全终端安全终端安全责任责访问控制安全访问控制安全访问控制安全共担任应用安全应用安全应用安全云平主机OS和网络安全主机OS和网络安全主机OS和网络安全台方物理和基础架构安全物理和基础架构安全物理和基础架构安全责任13租户环境安全应对通过上述云安全责任模型的变化，云平台方和云租户方共同实现主机操作系统和网络安全，通过这种方式，可以在现有网络环境中，利用安全组技术将租户的每一个应用系统在现状中进行逻辑隔离，并进行基于租户需求的个性化安全防护。技术问题应对通过管理优化，实现安全责任共担，利用安全组技术实现租户间的有效隔离，并利用新建的安全资源池对每一个用户实现个性化防护。安全组是一种网络隔离技术。可以针对加入安全组的弹性云服务器资源实现组内和组间的访问控制，加强弹性云服务器资源的安全保护，实现内部的网络隔离。安全组控制云主机网络消息的流入流出，只运行授权的消息通过。当云主机申请成功后，可以将云主机加入到某个安全组内，安全组上配置安全规则。安全组是一组对弹性云服务器的访问规则的集合，为同一个vpc内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组用来实现组内和组间的访问控制，加强弹性云服务器的安全保护，实现VPC内部的网络隔离。系统存在一个默认安全组(default)，当项目管理员创建虚机不指定安全组的时候，系统会自动分配默认的安全组。管理员可以创建自定义的安全组，当一个新的安全组创建时默认有以下几条规则：允许IPv4出方向访问；14不允许IPv4入方向访问；同一个安全组成员可以互相访问；不同安全组成员不可以互相访问；管理员可以在安全组中定义各种访问规则，当弹性云服务器加入安全组后，即受到这些访问规则的保护。安全组默认的一个规则是Drop，当报文在一个安全组内不能匹配任何规则时，此报文会被丢弃。3解决方案总体设计设计思路本次项目为配合迁移到XXXX中小企业云平台的各租户完成云安全项目的建设，在云内搭建一套符合中小企业云环境的安全解决方案。云安全解决方案要能匹配云环境，并能适应以后云环境的发展的基础上适当独立。云管端一体化在基于等级保护合规的基础上，云平台整体的安全防护体系设计主线覆盖云、管、端三个层次的安全能力，其中：15云平台安全整体防御体系：云+管+端恶意代屿查乐失船主机监测云平台揣点安全管道安全能力主机防病毒 主机入侵防事主机防火塔 WEE防护^SKIPWEBSHELL^I帐号权限恶意代屿查乐失船主机监测云平台揣点安全管道安全能力主机防病毒 主机入侵防事主机防火塔 WEE防护^SKIPWEBSHELL^I帐号权限图：安全防护思路云端安全能力主要包含了两个方面：一方面，云端具有丰富的威胁情报数据，包括恶意病毒样本、漏洞信息、APT事件报告等，可以为云平台的防护提供足够情报数据支撑；另一方面，云端防护系统，可以在云端为云平台及租户提供云端的入侵防护、流量清洗等服务。管道安全能力主要是指云平台自身的基础安全防护能力，包括网络边界的访问控制、入侵防护、DDOS攻击等的防护能力，同时也能够实现平台内部的操作行为访问控制、安全日志审计、数据库安全审计等技术措施。端点安全防护主要指具体的VPC或租户内部的主机安全防护能力。包括针对主机系统的防病毒、防火墙、入侵防御、漏洞防护、WEBSHELL检测等安全防护措施，基于主机层面，实现对东西向流量的防护目标。云安全资源池建设与云环境的适配：云安全资源池方案能够很好地与已有的云环境兼容，无需过多改动。解决传统云安全解决方案落地难的问题，保证项目的准时交付。平台可运营：所有安全设备部署在安全资源池内，按照用户的订购关系进行增减、扩容、续费而无需担心安全设备的具体位置。云平台建设方可以对租户的购买行为进行管理。双方安全责任清晰。16提供立体的防护能力：安全资源池能够提供的组件的丰富程度决定了租户网络安全系数，只有提供从边界安全到主机内部安全整体的防御能力才能补足安全的短板。设计原则云平台安全的建设需要充分考虑长远发展需求，统一规划、统一布局、统一设计、规范标准，并根据实际需要及投资金额，突出重点、分步实施，保证系统建设的完整性和投资的有效性。在方案设计和项目建设中应当遵循以下的原则：•统一规划、分步实施原则首先从一个完整的网络系统体系结构出发，全方位、多层次的综合考虑信息网络的各种实体和各个环节，运用信息系统工程的观点和方法论进行统一的、整体性的设计，将有限的资源集中解决最紧迫问题，为后继的安全实施提供基础保障，通过逐步实施，来达到信息网络系统的安全强化。从解决主要的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。标准性和规范化原则信息安全等级保护建设应当严格遵循国家和行业有关法律法规和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化。•重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。适度安全原则任何信息系统都不能做到绝对的安全，在安全规划过程中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从物理、网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要综合考虑业务和成本的因素，针对信息系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。技术管理并重原则信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的信息安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性。17先进形和成熟性原则所建设的安全体系应当在设计理念、技术体系、产品选型等方面实现先进性和成熟性的统一。本方案设计采用国际先进实用的安全技术和国产优秀安全产品，选择目前和未来一定时期内有代表性和先进性的成熟的安全技术，既保证当前系统的高安全可靠，又满足系统在很长生命周期内有持续的可维护和可扩展性。动态调整原则信息安全问题不是静态的。信息系统安全保障体系的设计和建设，必须遵循动态性原则。必须适应不断发展的信息技术和不断改变的脆弱性，必须能够及时地、不断地改进和完善系统的安全保障措施。经济性原则项目设计和建设过程中，将充分利用现有资源，在可用性的前提条件下充分保证系统建设的经济性，提高投资效率，避免重复建设。3.3面向云租户等保安全保障方案（云安全资源池）部署架构图5-1面向租户的部署架构安全资源池部署在核心交换机上，采用物理旁路，逻辑串联的方式，核心交换机采用策略路由的方式将云平台的业务流量引流到云安全资源池，通过安全资源池的云Web防护系统、云DDOS、云堡垒机、云数据库审计、云防火墙、云IPS、云VPN、云防病毒、云APT检测对数据18量进行安全检测，检测完成后在返回给交换机到出口。完成整个数据流的安全防护，实现了南北向和东西向纵深防护体系。以上落实到实际效果主要体现在两个部分：一部是为租户提供了合规安全保障体系，一部分是实现了安全需求服务化交付，具体如下：>实现租户VPC边界防护，虚拟机间的边界防护，形成了纵深多维度防护体系；>通过安全需求服务化交付，实现了租户安全需求按需服务，根据租户需求实现弹性扩展，提供WAF、IPS、FW、APT、VPN、APT等丰富的增值服务内容，满足租户合规需求；通过云端安全云服务，实现未知威胁发现、Web业务系统漏洞扫描和安全监测，动态感知安全威胁，提前预警和防护；通过云安全资源池管理平台，实现全网态势感知动态展示、策略下发、安全事件实时处置；与云端安全云联动，实现安全威胁情报协同，突发安全事件在线应急响应。南北向安全服务流南北向安全服务流即互联网一一租户侧业务（比如web业务）访问流向，租户侧业务南北向安全风险与原有线下安全风险类似，例如web业务需要实现入侵防护、web安全防护、VPN安全接入等功能。面向租户的安全南北向防护，主要通过安全资源池平台上包含的各类安全组件来实现防护。19

3AM3为迎4a4G.QZ薄3».30.Q.1ir30演心Jkdl值三层网济MM1&'3030.30.1二JH网用支至短餐池4D.4DQ1i'3Q可Wil3AM3为迎4a4G.QZ薄3».30.Q.1ir30演心Jkdl值三层网济MM1&'3030.30.1二JH网用支至短餐池4D.4DQ1i'3Q可Wil修g互联网so维之力睨*1h1一^10.10.1.Q24W*2租户2边界潞山剧i!数据同格ti：h3所1号Ml.即.1.疝3030.30.2.a'3Qd.川二急金30加.口臼鼬鼠户1中制略而岑图5-3-1南北向安全服务流东西向安全服务流东西向安全服务流即租户申请的云主机、数据库之间的访问引入的安全服务流，具体服务流可分类为：.同一业务系统前后端访问安全如当web系统运行的虚拟机访问数据库所在虚拟机时，通过访问控制实现数据库仅允许授权的前端web服务器访问.不同业务系统间访问安全如当租户在云上有两套业务系统，这两套业务系统在物理机房是逻辑隔离的（无法直接互相访问）20

省界防火培租户A的虚拟化数据中心图5-3-2东西向服务流业券安全感鱼用嗯供者应用吃势应用使用老照醐昨1户网站亚第臧心ES应用用色[Http.£Q)All御'1户网贴比箝品」居应用角色岫的LITCP,320£j山陛应用角色锵户同贴1k弟过MLLllAllEtfeIE应用国生MySQL(TCP.330t)邮件应用星色施OKIE西域MLALLALLIE空图5-3-3策略规则3.3.2南北向安全服务设计安全服务交付形式安全资源池中的各类安全服务能够如同计算资源服务化的方式进行交付，所谓的服务化，安全不再是一个硬件产品所匹配的策略，也不是一个软件的镜像，真正的让安全以服务的方式进行交付。后端数据流如下图所示：21Ehl-出各■s^lan.图5-3-4安全服务交付形式后端数据流Ehl-出各■s^lan.图5-3-4安全服务交付形式后端数据流丫3浮y恒』-f_T的 JM dhj机砥-七塾安全资源池平台网络整体流量分为四部分：安全资源池内部网络流量（vxlan）云安全资源池最重要的组成部分，网络虚拟化的载体——vxlan技术，通过vxlan技术，允许平台运营方可以自定义引流到安全资源池内部的虚拟网络，配置安全资源池内部私有转发地址等功能。虚拟存储网络流量用于集群内宿主机虚拟存储通信，数据多副本情况下的数据卷的复制等，当集群内硬盘或宿主机故障后，虚拟存储网络用于同步副本数据，避免业务中断。管理网络流量：一般云网络架构中，管理网络与业务网络隔离，具体表现为服务器上至少会为管理网络、业务网络各分配一个网口，用于不同类型流量接入。管理网络主要用于该台宿主机上运行的云租户对自身业务进行日常维护和管理。业务网络流量：租户业务流量入口，负责处理从物理网络引流至云安全资源池平台的流量。安全服务交付流程图5-5交付流程图平台方交付流程主要满足租户在申请资源后的安全资源的释放，逻辑如下:_相户安全服个也陵全图5-5交付流程图平台方交付流程主要满足租户在申请资源后的安全资源的释放，逻辑如下:_相户安全服个也陵全■-日常安全果麻8配，.■件运营▽白运营方按组件、按用分配安至眠急安全担件基本信息配置22

图5-7安全资源释放流程（一）图5-8图5-7安全资源释放流程（一）图5-8安全资源释放流程（二）当平台运营方将安全资源释放后，安全资源计时正式开始，对于平台侧:.能够看到当前共释放了多少安全服务包.当前服务包到期时间，提醒用户续费对于租户侧：.能够看到每个安全服务包的到期时间.到期后续费安全服务包 具体交付服务内容（一）安全接入服务包含服务：SSLVPN/IPSECVPN23安全策略内部业务系统如果直接通过公网访问，部分数据在公网可能被人劫持、利用、篡改，同时如果在公网传输的数据是明文传输的，风险会更大，所以可以利用VPN功能（SSLVPN与IPSECVPN），对公网传输的数据进行加密，构建VPN隧道，避免在访问内部业务系统过程中数据被窃取、篡改。（二）安全防御服务包含服务：基础防御服务涉及具体功能为应用控制、传统防火墙、防病毒网关、IPS功能WEB安全增强服务涉及具体功能为：WAF、防篡改、数据防泄密功能安全策略针对操作系统漏洞（windows漏洞）、应用系统漏洞（apache漏洞、IIS漏洞、FLASH漏洞等）提供防护措施，避免因为未及时更新补丁造成的漏洞被恶意分子利用，对操作系统、应用系统进行恶意修改，比如增加一个操作系统管理员，对操作系统进行修改，达到恶意利用的目的。WAF功能，又称为WEB防火墙功能，只要在云上有web系统对外发布的场景，建议部署WAF服务，web攻击因其攻击手段的多样化，已经成为目前主流攻击形式。一个web系统可以被插入恶意代码，引导用户点击并窃取用户核心信息，也可以通过恶意的数据库请求对数据库进行非法操作，也可以劫持用户浏览器数据，获取后台管理密码等。以上攻击，由于业务系统在开发时对代码检测力度不够以及web攻击不断演变，如果有web系统，一定需要提供对外web系统的web应用防护（WAF防护功能）。防篡改功能，避免网页（门户网站等）被恶意人员篡改，比如网站首页图片被恶意替换、内容被恶意替换，从而给单位带来极其恶略的影响。适用于对外发布网站（门户网站、有web页面的业务系统）：适用于单位对外发布业务的网站篡改监测与保护，通过在网站服务端安装防篡改软件，避免页面被恶意篡改。病毒网关功能，通过在上网/下载流量的出入口提供防病毒网关服务，对服务器外发、用户上传的文件进行病毒识别、查杀，避免用户主动上传/服务器端主动下载的文件中包含各类病毒。用户端无需安装终端软件，不会带来终端CPU、内存资源消耗，也实现了轻量化的防病毒功能。24数据防泄漏功能，针对敏感信息批量外发进行保护，如186、139等有特征的11位的手机号码、18位身份证号，有标准特征的@邮箱等有特征数据进行识别，同时可以针对自身业务系统关键数据进行配置，比如社保卡号，避免服务器被攻击后黑客批量外发敏感数据，该模块可以阻断敏感信息的泄漏。有防护了各单位敏感泄漏的风险。(三)应用交付服务包含服务：应用负载、SSL卸载服务安全策略应用交付服务支持基于IP地址、应用类型和内容等因素实现流量负载。通过这种方式可以为不同类型的应用类型分配不同的服务器资源。应用类型调度支持基于不同协议上的多种应用，包括TCP、UDP、IP、DNS、E-mail、FTP、HTTP、RADIUS等等。在实现L4服务器负载均衡的场景中，应用交付服务负责将客户端的请求转发给服务器，然后客户端与服务器之间建立TCP连接，基于七层内容的调度机制，使得管理员可以通过应用层的内容交换来分配服务器资源，以实现用户请求调度的多元化和个性化，业务应用的场景十分广泛。例如，基于URI、HOST、COOKIE、USER_AGENT等HTTP头部内容的匹配策略来选择服务器，或者通过对HTTP头部进行请求改写和应答改写，执行页面跳转和丢弃等操作，实现不同业务系统之间的交互联动东西向安全服务设计东西向安全流量的设计，采用提供的终端检测响应平台方案，方案由轻量级的端点探针和管理平台共同组成。轻量级的端点探针agent需要安装在用户的云服务器上，管理平台可以部署在云平台内部。安全服务交付形式租户上云后，租户除了关注终端检测响应平台是端点探针记录大量主机和网络事件，并将这些数据发送到管理平台，然后由管理平台进行全面的安全分析，根据已知攻击指示器(IOC)、行为分析和机器学习等技术来检测安全攻击行为，并对这些攻击做出快速的响应动作。解决方案将对主机进行持续的安全检测，并对发生的安全事件进行自动响应加固25安全服务交付内容（一）恶意文件自动隔离响应端点探针部署在服务器终端上，在操作系统用户态稳定运行，轻量级无感知，实时采集部署环境的安全相关数据，全面探测服务器主机和网络上的威胁活动，通过文件信誉库或相似库来防止已知的威胁文件运行，并对已知恶意文件进行自动隔离的响应处理。（二）入侵行为主动IP封堵端点探针实时感知网络威胁活动，对远程攻击的入侵者，可对入侵源进行IP封堵处理，并主动把入侵源加入讦黑名单，实时响应缓解攻击，持续进行安全加固，减少攻击对业务资产运营的影响。（三）应用角色访问控制加固在虚拟化云环境中，可对服务器应用角色之间的东西向流量进行访问控制策略配置，提供对业务安全域之间、业务安全域内不同应用角色之间、业务安全域内相同应用角色之间的访问控制策略配置，提供简单的安全访问策略配置，提高了安全管理的效率。（四）威胁情报智能关联检测云端的安全云平台通过端点返回的事件信息，关联在线数十万台安全设备的云反馈威胁情报数据，以及第三方合作伙伴交换的威胁情报数据，智能分析精准判断，超越传统的黑白名单和静态特征库，为已知/未知威胁检测提供有力支持。并且可与产品进行自动化联动检测和防护，形成应对威胁的云管端立体化纵深防护闭环体系。性能与冗余架构设计由于采用了标准的x86硬件平台，安全资源池整个平台的性能与冗余性可以通过标准硬件的扩容以及借助安全资源池自身虚拟化平台的特性，实现整个租户安全方案的冗余性与高性能保障。高性能架构设计平台高性能架构整个安全资源池平台基于超融合平台设计，超融合平台包含了计算、网络、存储虚拟化功能，同时可以通过多台服务器的堆叠实现整个安全资源池集群的处理能力的线性扩容。大流量下