2020数据中心云基础设施资源安全防护

数据中心云基础设施资源安全防护关于云IaaS的安全思考目录一、数据中心的演变二、云基础设施的安全需求三、云基础设施资源安全建设理念四、云安全产品的选择建议五、实践案例分享三则传统数据中心向云数据中心的演变提动资源的动态伸缩提供弹性的计算能力和计费提供泛在接入，按需自助服务完全不用操心物理设备网络边界是模糊的、资源是池化的责任共担提供IP/宽带/VPN/电力提供安装/调试/监控/温湿控制提供服务器/存储/咨询/托管提供自动化的管理和监控设备是物理托管的/自建自有的网络边界是清晰的、资源独立责任相对清晰云数据中心：支持云计算服务的数据中心云基础设施：由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施，包括为云服务客户提供计算、存储、网络、安全资源所需的软硬件设备及云管理平台数据中心基础设施的物理安全需求房间隔离适合规模：200机柜以上独立机房模块可采用定制化设计单独门禁权限管理全面监控，环境监控平台全方位覆盖基础环境、安防监控，及人员权限和出入记录管理传统场地安全的风、火、水、电、雷、震、磁等。物理隔离，机房内独享物理区域与设备隔离，满足行业最高隔离级别要求栅栏隔离适合规模：50-200机柜冷通道隔离＋钢网隔离/玻璃墙隔离隔离灵活性强，可按需求进行分区单独门禁权限管理机柜隔离适合规模：小于50机柜冷通道隔离+机柜门锁隔离机柜门锁可采用钥匙、门禁卡、指纹等措施隔离动力环境探测配电、湿度、空调等基础环境“风火水电”状态实时监控报警场地安防监控7x24

视频监控，录像保留>90天机房监控无死角，完全满足国标GB50174数据中心设计标准人员访问控制内部门禁权限清单每月审查更新，外部访问严格管控保留>1年进出记录云数据中心在物理和环境安全方面，需求和要求都更加精细化数据中心云基础设施业务连续性的安全需求云基础设施的业务连续性安全需求驱动力驱动1：面临不确定的安全威胁导致事故和灾难等业务可用性中断，也包括数据丢失的威胁。驱动2：业务流程与IT流程互相依赖，客户与服务商风险共担，应用和数据、基础设施互依赖性叠加。驱动3：规划、实现、验证并评估信息安全的连续性控制有效，且不利情况同样有效。确定连续性宏观目标选择成本与风险的平衡点选择关键技术路线明确连续性计划关键指标制定连续性恢复计划数据中心云基础设施的安全合规要求通用合规要求网络安全等级保护商用密码应用安全性评估行业合规需求政务：可信云服务认证医疗：HIPAA金融：PCI

DSS基于云计算的安全责任共担模型，云数据中心基础设施的安全合规要求与客户紧密捆绑。云基础设施不合规，影响用户的合规用户的合规，依赖于云基础设施合规责任IaaSPaaSSaaS数据分类和责任终端和结点保护身份和访问管理应用级控制网络控制主机基础设施物理和环境安全云安全责任共担模型租户云服务数据中心云基础设施的安全防护需求云数据中心架构安全可信连接互依赖性涉密/保密数据/共享/传输司法管辖权中小企业-云数据中心√大型企业-云数据中心√√√特殊机构-云数据中心√√全球-云数据中心√√√√云基础设施资源身份和访问审计监控和预警恶意代码资源控制特权和运维数据流√√API接口√√√端口/协议/服务/线路√√云工作负载√√√√网络及架构√√√不同类型的云数据中心在安全方面的重点考虑方向和设计要点有所不同不同类型的云基础设施资源在安全方面的安全要求实现重点优先级有所不同物理需求连续性需求合规要求安全防护需求云基础设施资源安全建设理念安全体系化和安全能力化是云基础设施资源安全建设的“一体两翼”以安全体系建设满足用户需求为导向以安全能力内嵌云基础设施、沉淀于云工具/平台为引领平台侧安全体系和用户侧安全体系”三同步”平台侧围绕攻防对抗、特权管控为重点内容用户侧以默认安全、增值安全为核心要素云安全治理框

架合

规

性

/

法

律

法

规

符

合

性云资产安

全云

物

理

与

环

境

安

全云

安

全

组

织

/

云

安

全

治

理

委

员

会人力资源安全访问控制云安全运营云网络安全软件开发全生命周期云数据安全/安全事件

应急响应云供应商安全个人隐私安全云业务连续性云审计稽核动态纵深防御能力、安全能力集成和安全服务化能力“共生共荣“夯实动态安全纵深防御，打好基础底座持续安全能力集成，提升/完善为长期目标以安全服务化为窗口输出，坚持内外兼修注：三同步：同步规划、同步建设、同步运行。云基础设施资源安全建设技术实践云WAFWeb漏洞扫描多因子认证数据加密脱敏CA证书1111010代码检测数据审计NGFW抗DDoSNIPS防病毒墙SandboxNTA动态安全纵深防御智能安全分析/

验证能力集成决策引擎策略集威胁检测关联分析智能模型离线分析在线分析安全运营/

调度能力集成业务安全变更管理配置管理工单管理应急响应日志湖……智能监控……安全服务化……APTAPT监测……云基础设施资源的安全运营实践建立统一云安全运营中心，数字化安全运营，具备主动安全防护、智能监控分析、终端管控、应急响应等科学框架体系和持续运营能力7X24小时安全监控，提升漏洞修复率和应急响应与事件处理时效。实现对“多地多中心”做到全面防护覆盖、全面检测有效、全面抽查验证、全面定期审计。高/特权运维账号操作的监控和及时消息推送，运维审计，发挥运维身份鉴别、账号管控、操作审计等功能，对运维操作进行全程纪录与监控，及时审计完备的数据库审计和日志审计机制，及时发现可疑数据泄露行为，完备同城及异地灾备机制，能够快速恢复数据。云基础设施上松耦合、强耦合、半耦合的安全产品选择建议来源：Gartner

2019，云安全的服务和组件经典类安全产品在云环境依然适用，和云自身依赖弱，属于松耦合场景，多由成熟的安全厂商提供监控和合规类安全产品，和云自身依赖强，更贴近云服务商，属于强耦合场景，多由云服务商自身提供新兴类安全产品对云环境有较好的亲和力，和云产品共同发展，更贴近用户使用，属于半耦合场景，多由专注云安全的厂商提供实践分享一：内部云基础设施的安全架构平台侧、用户侧的南北向网络流量进/出双向的安全防御、检测、拦截等措施举例南北向进流量运营商DDoS高防DDoS本地DDoSNGFW检测拦截WAF检测拦截SSL卸载加密流量检测网络APT检测内网蜜罐捕获互联网蜜罐NTA全流量分析邮件网关防病毒检测邮件APT检测南北向出流量NDLP拦截大文件外发API接口监控DNSlog检测安全代理网关邮件DLP拦截注： 高性价比安全措施按需安全措施实践分享一：内部云基础设施的安全架构平台侧、用户侧的东西向网络流量的安全防御、检测、拦截、监控等措施举例EDR检测HIDS检测HDLP拦截AV检测东西向网络流量主机FW拦截DB审计监控堡垒机审计DBFW拦截RASP拦截UEBA审计注： 高性价比安全措施按需安全措施实践分享二：云数据中心基础设施资源的安全应急响应客诉上报事件运维监控威胁情报云安全服务台(一线)工单系统（工单生成/派单/转单

）内部审计法律合规UIOC紧急事件处理中心派单转单一般事件较大事件重大事件特别重大事件升级升级事件关闭支援支援支援生成工单云安全技术支持(二线)事件解决云安全专家(三线)事件解决回顾与总结总结/教育/培训租户白帽子运维人员漏洞预警漏洞提交漏洞修复通告事件关闭通告

反馈安全意识宣传/培训防御措施素材/案例增强/优化司法取证安全组织/协会监管机构…实践分享三：用户环境完全隔离及云端安全通信资源池南北向流量：树型网络架构资源池东西向流量：叶脊型网络架构资源池层次划分：区域（地域，逻辑隔离）可用区（独立供电，物理隔离）主机组（安全域、用途）分布防火墙租户#1私有环境分布防火墙安全区域SF安全区域DMZISP出口防火墙用户用户专线