云计算安全解决方案

云计算安全解决方案2云计算的安全风险4方案设计和实现5云计算安全的未来6案例1云计算与虚拟化3云计算的安全标准美国NIST发布的云计算模型公有云私有云混合云社区云SaaSPaaSIaaS宽带接入快速弹性架构可计费服务按需自服务资源池Source：SP-800-145_cloud-definition（NIST）虚拟化技术应用虚拟化应用虚拟化提供了API的一个虚拟实现，JVM就是一个例子。它作为JAVA应用程序与操作系统之间的中介。服务器虚拟化全虚拟化半虚拟化网络虚拟化虚拟化系统上所提供的网络功能。如相同物理主机上VM之间的网络通信、VLAN、NAT等功能。存储虚拟化对现有的存储方式（NAS、SAN、磁盘镜像、GuestOS直接访问磁盘）的虚拟化。简单的私有云某私有云私有云私有云逻辑架构2云计算的安全风险4方案设计和实现5云计算安全的未来6案例1云计算与虚拟化3云计算的安全标准数据泄露数据丢失账户或服务流量劫持中间人攻击不安全的接口和API目录遍历拒绝服务恶意的内部人员信息窃取云服务的滥用僵尸网络拒绝服务攻击暴力破解不够充分的审查共享技术漏洞关键云安全威胁TOPTHREATSSource：TopThreatstoCloudComputingV1.0（CSA）云计算带来的影响和问题云计算采用了新技术、新服务模式，在带来益处的同时，也导致和引发了新的安全风险和挑战。云计算技术导致的问题：用户失去对物理资源的直接控制云服务商的信任问题虚拟化环境下的技术及管理问题：资源共享虚拟化安全漏洞虚拟机逃逸云计算服务模式引发的安全问题：多租户的安全隔离作恶的云云计算的特有的安全风险和需求SSaaS应用软件开发接口负载均衡分布式文件系统数据分析通信能力服务器资源存储资源网络资源虚拟化和操作系统缓存管理数据库PaaSIaaS运营管理应用管理监管公有云、私有云、混合云虚拟化风险数据与信息风险业务与资源滥用运营与管理风险合规性风险传统风险智能终端风险❶❸❷❹❺云计算应用安全风险一、虚拟化风险：自身风险完整性漏洞、配置虚拟机镜像/模板安全虚拟机间隔离失效，逃逸虚拟机间隐蔽信道虚拟边界、动态迁移虚拟机同质化对上层应用资源争用监听、攻击虚拟机及区域间通信监控和边界防护虚拟化安全域划分与安全策略的部署离线/在线虚拟机安全管理病毒代码库、补丁、漏洞扫描、配置变更云计算应用安全风险数据保护和信息泄露防护自主可控的数据存贮、备份与恢复数据加密、检索数据可靠删除二、数据与信息风险：数据集中，存储失效、可控备份黑客攻击，窃取信息云服务商、代维方等作案资源复用、信息泄露云计算应用安全风险求云计算应用安全监控内容、数据三、业务与资源滥用利用云计算特点，对计算、网络和存储能力进行滥用可导致如下安全问题暴力破解垃圾邮件Botnet恶意代码存储数据存储、备份可靠性云计算应用安全风险焦点与需求四、运营管理所有权、使用权分离，带来的安全措施部署困难人员身份冒用、权限滥用运维事件处理应急响应变更管理配置管理与现有运维流程的融合……4A、堡垒机SOC虚拟机安全策略迁移云计算应用安全风险焦点与需求五、法规遵循合规尚未出现专门适合应用与云计算的合规标准，目前主要参考ISO/IEC27000审计机构在条款使用和技术上存在瓶颈，被审计者无法提供证据或无意愿和责任提供法律信息使用和知识产权可能造成纠纷双方在合同和SLA（服务水平协议）上可能存在控制真空，导致风险无人承受虚拟化带来的物理位置不确定性和国际相关法律法规的复杂性司法取证问题第三方审计安全评测（CSA）安全监控服务监测、预警、分析、响应面临的挑战技术方面动态、虚拟化网络边界安全虚拟化安全流量可视化数据保密和防泄露管理方面法律和合规安全运维和管理2云计算的安全风险4方案设计和实现5云计算安全的未来6案例1云计算与虚拟化3云计算的安全标准20NIST云计算参考架构DataSource:NISTSP500-292ISO/IEC相关云计算安全标准云计算面临的安全威胁ITU-T云计算讨论组云计算的要求ITU-T云计算讨论组安全研究课题的建议ITU-T云计算讨论组ITU-T云计算讨论组X.ccsec:安全架构云计算安全联盟（CSA）设施硬件抽象APIs中间件数据元数据内容应用APIs展现形式展现平台信息应用管理网络计算&存储可信计算物理层核心连接&交付物理机房安全、监控、警卫主机防火墙·、主机IDS/IPS完整性&文件/日志管理加密、掩盖硬件&软件RoT&APIs网络IDS/IPS、防火墙、DPI、Anti-DDoS、QoS、DNS、OAuthGRC、IAM、漏洞管理、补丁管理、配置管理、监视DLP、CMF、数据库活动监视、加密SDLC、二进制分析、扫描器、Web应用防火墙、交易安全云计算模型安全控制模型法规遵从模型……在线交易相关电子政务相关等级保护寻找差距，控制风险，按需采用风险评估解决方案方案实施定期检查27CSACCM–云控制矩阵COBIT4.1 HIPAA/HITECHAct ISO/IEC27001-2005 NISTSP800-53R3 FedRAMPPCIDSSv2.0 "BITSSharedAssessmentsSIGv6.0""BITSSharedAssessmentsAUPv5.0"GAPP(Aug2009) JerichoForum NERCCIP云安全指南GB/T31167:2014信息安全技术云计算服务安全指南GB/T31168:2014信息安全技术云计算服务能力要求信息系统安全等级保护基本要求

云计算要求（草案）信息系统等级保护安全设计技术要求云计算要求（草案）公有云服务安全防护要求（草案）公有云服务安全防护检测要求（草案）国内标准2云计算的安全风险4方案设计和实现5云计算安全的未来6案例1云计算与虚拟化3云计算的安全标准总体设计——逻辑架构以业务为中心，风险为导向的，基于安全域的纵深防护技术体系设计思想安全保障体系框架安全防护架构弹性、按需分配、全程自动化安全运营总体技术实现架构设计内嵌入云计算平台，可提供弹性的安全服务/能力与云平台逻辑架构的融合方案实现——产品实现安全域划分安全域划分示例在虚拟环境中网络安全控制的5种架构传统物理设备VM上的Agent使用虚拟交换机本身的功能基于Hypervisor的安全控制非基于Hypervisor的安全控制安全防护技术措施传统盒子虚拟化硬件资源Hypervisor(HostOS)虚拟机监视器（硬件模拟）VMAPPGuestOSVMAPPGuestOSVMAPPGuestOS+云安全防护产品预防远程安全评估系统NSFOCUSRSAS安全配置核查系统NSFOCUSBVS网站安全监测系统NSFOCUSWSMWEB应用漏洞扫描系统NSFOCUSWVSS网站安全监测服务NSFOCUSWebSafeService检测网络入侵检测系统NSFOCUSNIDS网络流量分析系统NSFOCUSNTA保护网络入侵防护系统NSFOCUSNIPS下一代防火墙NSFOCUSNF抗拒绝服务系统NSFOCUSADS云监护抗拒绝服务系统NSFOCUSMSSforADS云监护WEB应用防护系统NSFOCUSMSSforWAF响应安全审计系统NSFOCUSSAS安全审计-堡垒机NSFOCUSSAS-HWEB应用防火墙NSFOCUSWAFWEB应用防火墙主机版NSFOCUSHWAF企业安全中心NSFOCUSESPC抗拒绝服务管理中心NSFOCUSADS-M威胁分析系统NSFOCUSTAC数据库审计系统NSFOCUSDAS数据库防火墙NSFOCUSDBFW在传统的安全区域使用传统安全设备外部接口区维护终端接入区安全管理子区运维管理子区管理维护区核心交换区业务平台-A业务平台-B计算服务区AASSAS-HFWFWADSIDS

ADSNTAWAF

HypervisorHypervisorAPPOSAPPOSAPPOS业务平台-CWAF

WVSS内部网互联网外部网IDS

WAF

FWFWFWFWFW：防火墙ADS：抗拒绝服务NTA：流量监测分析IDS：入侵检测系统WAF：Web应用防火墙

：主机防病毒SAS-H：堡垒主机AAS：漏洞扫描&配置检查WVSS：Web漏洞扫描系统FWFWFWWAF

WAF

抗DDoS：流量异常检测+流量阻断/牵引清洗UseCase：抗拒绝服务攻击ISP-1ISP-2ADSNFNF计算虚拟化网络虚拟化vSwitchVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMADSADSADSNTAADS-M攻击检测流量清洗综合管理ADSADSADSADSNTAADS-M攻击检测流量清洗综合管理异常流量监测系统（NTA）异常流量检测系统的部署物理虚拟化DistributeVirtualSwitchVMESXVM异常流量监测系统（NTA）NetflowNetflowDistribute

VirtualSwitch综合分析平台NTANetflow互联网接入区广域网接入区Distribute

VirtualSwitchUseCase:云内安全域隔离VM四级保护区VM工作服务器区AppApp服务器区DataData服务器区WebWeb服务器区物理虚拟化虚拟防火墙Virtual

SwitchESXDistribute

VirtualSwitch云内定点安全防护VM三级保护区AppApp服务器区WebWeb服务器区物理虚拟化虚拟交换机ESXVlan：30VMVlan：20VMVM虚拟防火墙/vNIPSVlan：10Distribute

VirtualSwitchUseCase：Web安全InternetWebServerApplicationServerDatabases端口扫描拒绝服务欺骗固定特征攻击

SQL注入

跨站脚本

参数篡改Cookie毒化WAFNGFWADSWVSS抗DDoS攻击系统下一代防火墙Web应用防护系统Web应用漏洞扫描系统H网页防篡改系统漏洞分析专家攻击防护专家漏洞扫描挂马监测篡改监测内容监测钓鱼监测网站安全监测服务HHHDAS安全审计系统平稳度检测DNS检测安全管理平台Web安全防护物理虚拟化Distribute

VirtualSwitchvWAFESXDistributeVirtualSwitchWebserverAppserverDBserver数据库审计系统Use

Case：网络入侵检测系统部署虚拟化方式和传统方式相结合，提供全面的安全检测。检测数据流图例：物理虚拟化Distribute

VirtualSwitchVMESXVMvNIDSDistribute

VirtualSwitchNIDS综合分析平台DistributeVirtualSwitch管理数据流互联网路由器路由器互联网接入区网管接口计费接口银行接口VPN接入远程接入运维终端接入区安全管理中心客户工作区管理维护区交换机交换机核心交换区业务平台-A业务平台-B业务接入区AASSAS-HFWFW

ADSIDS

IDS

ADSNTAADS

ADS

WAF

HypervisorHypervisorAPPOSAPPOSAPPOS业务平台-CWAF

WVSSUseCase:用户运维接入1、在运维接入区部署双机的NF（下一代防火墙），通过NF做细粒度的访问控制。2、通过NF的SSLVPN来把远程用户的接入到运维管理区。3、可以自动或者半自动方式连接到堡垒机，通过堡垒访问用户自己的资源池的业务主机。用堡垒机来做集中账户管理，访问控制和安全审计。堡垒机堡垒机NFNF堡垒机堡垒机运维区防火墙+SSLVPN运维区堡垒机群集堡垒机堡垒机……云平台租户对其应用的管理行为的审计NF

Use

Case：租户管理访问的安全控制物理虚拟化Distribute

VirtualSwitchVMESXVMDistribute

VirtualSwitch堡垒机管理数据流链路图例：Distribute

VirtualSwitch审计控制台Internet租户运维终端接入区VPN设备UseCase:合规要求合规要求确定是否合格，满足上线要求判断依据资产管理帐号口令检查堡垒机、网管安全接入漏洞管理系统漏洞漏扫web应用扫描渗透测试配置管理设备配置安全基线安全域检查服务端口清理检查防火墙交换机访问控制策略检查云平台自动化安全准入业务开通前，自动化进行安全检查用户自行加固完成后，进行检查确认。登录申请虚机部署应用申请公网地址业务开通登陆申请虚拟机部署应用申请公网地址自动化安全准入业务开通持续监控云平台管理系统扫描web扫描配置核查申请开通下发指令进行准入扫描扫描完成后，用户进行加固用户申请开通自动化扫描用户加固完成后申请复测自动化复测云平台审核是否满足开通条件业务开通自助式复测，直至加固完成满足条件后，开通业务安全管理区物理虚拟化Distribute

VirtualSwitchVMESXVMDistribute

VirtualSwitch安全管控平台安全检查平台安全态势监测平台大院式防护，节省成本与原有安全管理平台无缝集成SMP/4A云管理平台安全管理子区与云管理平台集成持续安全运营大数据安全分析平台传统产品的功能优势适用于VMWare、Xen、KVM等各种虚拟化环境自动化部署和管理统一的管理平台传统设备+虚拟化产品可以无缝演进到下一代云计算安全解决方案软件定义安全技术特点技术服务安全技术服务风险评估安全加固代码审计安全培训安全服务安全咨询服务安全设计咨询服务等级保护ISO27001安全合规审计服务2云计算的安全风险4方案设计和实现5云计算安全的未来6案例1云计算与虚拟化3云计算的安全标准网络虚拟化(NFV+SDN)控制平面和数据平面走向分离网络资源池化，并可弹性分配网络逻辑结构的灵活定义（数据流的按需调度）SDN带来的变化OpenflowhandlingsystemSpecialpacketforwardinghardwareOpenflowSwitchAPP…NetworkcontrollerAPPAPPOpenflowhandlingsystemSpecialpacketforwardinghardwareOpenflowSwitchOpenflowhandlingsystemSpecialpacketforwardinghardwareOpenflowSwitchOpenflowhandlingsystemSpecialpacketforwardinghardwareOpenflowSwitch

vIPS云管理平台对接运营平台抗APTAPP访问控制APP

IPS

IPS

WA

vWAF

WAFF

W

vFW

FW服务编排支持设备资源池化知识库网络模块策略模块资产模块日志模块SDN控制器VMVM

VMSwitchSwitchSwitchvSwitchvSwitchTEAPPSecAPP适配overlayVMVM

VM资源池控制应用物理设施软件定义安全技术的架构安全控制平台安全技术体系基于SDN的安全方案设计通过SDN流量调度，使得安全设备形态和部署较为灵活与IaaS和SDN服务整合，整体架构松耦合技术实现原理HypervisorAPPOS

APPOS

IDSOS

VM1VM2VM3HypervisorFirewallOS

IPSOS

VM1VM2PhysicalnetworkComputenodeSecuritynode

WAFOSVM3SDNcontrollerSecuritymanager安全架构由安全应用、安全控制平台和安全设备组成安全架构与SDN和网络虚拟化结合，且松耦合技术实现原理SecurityControllerNetworkControllerNetworkdeviceCommandsSecurityDeviceDataRequestStatusReportsAlertsCommandsSecAgentData,TopologyStatsDataSecurityDeviceSecurityDeviceDataflowsPoliciesNetworkAppSecAppSecAppSecAppSeceventscommandsinputoutputIaaSNVTenantInfo技术实现原理数据中心的设备部署图使用SDN技术实现流量牵引的原理图技术实现原理IPSbr-intbr-tunL2Networkbr-tunbr-inbr-outeth1eth2VM1VM2GRETunnelDataflowControllercommand(bothProactiveandreactive)L7filter+iptablesSecurityController安全设备可以通过升级，进行无缝演进。安全体系的演进APPAPP…OperatingSystemSpecialpacketforwardinghardwareSecuritydeviceAPPSecurityrulehandlingsystemSpecialpacketforwardinghardwareSD-securitydevice策略日志、告警策略规则安全设备判断逻辑计算决策层数据数据规则库决策逻辑Orchestration控制层反馈知识库信誉库安全状态机APPAPPPortal策略管理安全分析过渡期，可以辅助于手动配置方式安全体系的演进IPSbr-intbr-tunL2Networkbr-tunbr-inbr-outeth1eth2VM1VM2GRETunnelDataflowAdmincommandL7filter+iptables#ovs-ofctladd-flowsbr-intVM1->VM2output:br-tun#ovs-ofctladd-flowsbr-tunVM1->VM2output:GREtunnel#ovs-ofctladd-flowsbr-tunVM1->VM2output:br-in#ovs-ofctladd-flowsbr-inVM1->VM2output:IPS:eth1安全资源池化、弹性、按需分配、自动化部署和运维安全功能模块化、接口标准化、可扩展，与已有系统的无缝集成未来的演进目标控制层应用层接收上层应用的安全策略并下发根据安全策略需求按需调配安全能力资源，对转发资源进行基于流的调度实现数据的集中存储、处理，并向上层应用提供接口，实现数据的融合分析各类安全应用APP、安全库及安全管理模块，实现各种个性化的安全分析控制能力通过控制层实现安全策略的下发网络安全资源层接收控制层下发的策略，并转换为可执行指令，执行安全策略向控制层上传安全采集信息网络转发资源层根据控制层指令进行数据包转发

InternetvIPS云管理平台对接运营平台抗APTAPP访问控制APP

IPS

IPS

WA

vWAF

WAFF

W

vFW

FW服务编排支持设备资源池化知识库网络模块策略模块资产模块日志模块SDN控制器VMVM

VMSwitchSwitchSwitchvSwitchvSwitchTEAPPSecAPP适配overlayVMVM

VM资源池控制应用设施安全运营安全控制平台云安全服务平台举例：Web服务的自动化、实时防护WAFInternetweb集群SecurityControllerSDNControllerautomationorchestrationRewritepkgdestinationtoWAFLaunchinstancesPushcommandsWAFWAF当租户点击订购了在线WAF防护时，安全控制器通过IaaS按需创建一个或多个WAF虚拟机；并通过SDN控制器将数据流牵引到WAF的输入口，实现在线防护EntityDatabase举例：APT攻击防护FlowDatabaseIDSTACDataAbnormalDataSuspiciousDataReputationDatabaseFlowsFlowcommandDetectingrulesDetectingrulesSuspiciousreportsMaliciousreportsRSASScantasksSecurityController安全控制平台可灵活调度安全设备和细粒度的网络流量，使得检测、分析和响应机制能够在较短时间协同配合2云计算的安全风险4方案设计和实现5云计算安全的未来6案例1云计算与虚拟化3云计算的安全标准某移动公司的安全防护CMNetNTAADSIP承载网IP承载网其他资源专线外部专线ADSADSIDSIDS云资源池FWFWVPN设备vWAFvWAFvWAF网页防篡改系统LiveCloud公有云安全防护与LiveCloud的合作－WAFLiveCloud公有云安全防护异常流量检测异常流量清洗小结与云平台逻辑架构的融合安全域划分云安全防护产品预防远程安全评估系统NSFOCUSRSAS安全配置核查系统NSFOCUSBVS网站安全监测系统NSFOCUSWSMWEB应用漏洞扫描系统NSFOCUSWVSS网站安全监测服务NSFOCUSWebSafeService检测网络入侵检测系统NSFOCUSNIDS网络流量分析系统NSFOCUSNTA保护网络入侵防护系统NSFOCUSNIPS下一代防火墙NSFOCUSNF抗拒绝服务系统NSFOCUSADS云监护抗拒绝服务系统NSFOCUSMSSforADS云监护WEB应用防护系统NSFOCUSMSSforWAF响应安全审计系统NSFOCUSSAS安全审计-堡垒机NSFOCUSSAS-HWEB应用防火墙NSFOCUSWAFWEB应用防火墙主机版NSFOCUSHWAF企业安全中心NSFOCUSESPC抗拒绝服务管理中心NSFOCUSADS-M威胁分析系统NSFOCUSTAC数据库审计系统NSFOCUSDAS数据库防火墙NSFOCUSDBFW

vIPS云管理平台对接运营平台抗APTAPP访问控制APP

IPS

IPS

WA

vWAF

WAFF

W

vFW

FW服务编排支持设备资源池化知识库网络模块策略模块资产模块日志模块SDN控制器VMVM

VMSwitchSwitchSwitchvSwitchvSwitchTEAPPSecAPP适配overlayVMVM

VM资源池控制应用物理设施软件定义安全技术架构安全控制平台安全技术体系根据Gartner对虚拟化环境的安全架构分类，对于虚拟化环境，其安全控制（control）和监测（monitoring）设备的实现和部署方法可以分为五类：传统物理安全设备（SeparateVirtualEnvironmentsW