CP云安全解决方案

©2016CheckPointSoftwareTechnologiesLtd.Allrightsreserved|2

CheckPointCheckPoint云安全解决方案客户名称：

文档信息与变更记录文档名称CheckPoint云安全解决方案作者Ares邮箱yabinz@版本V0.1变更记录文档描述本文档是CheckPoint云安全解决方案建议书，对应于checkpointvSEC

前言随着云计算技术的不断完善和发展，云计算已经得到了广泛的认可和接收，许多组织已经或即将进行云计算系统建设。同时，以信息/服务为中心的模式深入人心，大量的应用正如雨后春笋般出现，组织也开始将传统的应用向云中迁移。同时，云计算技术仍处于不断发展和演进，系统更加开放和易用，功能更加强大和丰富，接口更加规范和开放。例如软件定义网络（简称SDN）技术、NFV（网络功能虚拟化）等新技术。这必将推动云计算技术的更加普及和完善。云计算技术给传统的IT基础设施、应用、数据以及IT运营管理都带来了革命性改变，对于安全管理来说，既是挑战，也是机遇。首先，作为新技术，云计算引入了新的威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系，如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等方面；其次，云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护，同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战，也推进了安全服务内容、实现机制和交付方式的创新和发展。根据调研数据，信息安全风险是客户采用云计算所考虑重大问题之一，且国家和行业安全监管愈加严格，安全已经成为组织规划、设计、建设和使用云计算系统而急需解决的重大问题之一，尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云计算系统安全保障问题。本方案基于中国《GBT31167-2014信息安全技术云计算服务安全指南》、《GBT31168-2014信息安全技术云计算服务安全能力要求》模型，参考了CSA《云计算关键领域安全指南_V3.0》，借鉴行业最佳实践，结合checkpoint10多年安全建设经验，提出了云计算安全保障框架和方法。云计算体系结构概述云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。NIST给云计算定义了五个关键特征、三个服务模型、四个部署模型。如下图所示：云计算通过网络将IT以抽象化的方式交付给客户的方式，为基于IT的服务交付模式带来了巨大变革。用户可以通过使用云计算体系架构获得更好的客户体验，同时能更便捷的运行自己的数据中心。这些体验包括：减少开销和能耗：采用云计算服务可以将硬件和基础设施建设资金投入转变为按需支付服务费用，客户无需承担建设和维护基础设施的费用，只对使用的资源付费，避免了客户自建数据中心的资金投入。云服务商使用多种技术提升资源利用效率，如云基础设施使用虚拟化、动态迁移和工作负载整合等技术，关闭空闲资源组件，使运行资源利用效率提高并降低能耗；多租户共享机制、资源的集中共享可以满足多个客户不同时间段对资源的峰值要求，避免按峰值需求设计容量和性能而造成的资源浪费。资源利用效率的提高有效降低云计算服务的运营成本，减少能耗，实现绿色IT。增加业务的灵活性：客户采用云计算服务不需要建设专门的信息系统，缩短业务系统建设周期，使客户能专注于业务的功能和创新，提升业务响应速度和服务质量，实现业务系统的快速部署。提高业务系统的可用性：云计算的资源池化和可伸缩性特点，使部署在云计算平台上的客户业务系统可动态扩展，满足业务需求资源的迅速扩充与是否，能避免因需求突增导致客户业务系统的异常或中断。云计算的备份和多副本机制可提高业务系统的健壮性，避免数据丢失和业务失效，提高业务系统可用性。提升专业性：云服务商具有专业技术团队，能够及时更新或采用先进技术和设备，可以提供更加专业的技术、管理和人员支撑，使客户能获得更加专业和先进的技术服务。云计算服务模型想要更好的理解云计算的架构，就一定要理解云计算的服务模型，因为这些服务模型决定了客户最终云计算数据中心的应用场景。云计算的服务模型可以分为三种模式以及不同的衍生组合。这三种基本类型经常被称为“SPI”模型，其中SPI分别代表软件、平台和基础设施（作为服务），。它们的定义如下： 软件即服务(SaaS).提供给用户的能力是使用服务商运行在云基础设施之上的应用。用户使用各种客户端设备通过“瘦”客户界面（例如浏览器）等来访问应用（例如基于浏览器的邮件）。用户并不管理或控制底层的云基础设施，例如网络、服务器、操作系统、存储、甚至其中单个的应用能力，除非是某些有限用户的特殊应用配置项。 平台即服务(PaaS).提供给用户的能力是在云基础设施之上部署用户创建或采购的应用，这些应用使用服务商支持的编程语言或工具开发，用户并不管理或控制底层的云基础设施，包括网络、服务器、操作系统、或存储等，但是可以控制部署的应用，以及应用主机的某个环境配置。 基础设施即服务(IaaS).提供给用户的能力是云供应了处理、存储、网络，以及其它基础性的计算资源，以供用户部署或运行自己任意的软件，包括操作系统或应用。用户并不管理或控制底层的云基础设施，但是拥有对操作系统、存储和部署的应用的控制，以及一些网络组件的有限控制（例如主机防火墙等）。云计算部署模型从上文来看，服务模型更多的是针对与用户不同需求提出的相关的服务场景的归纳，但落到云数据中心实现，就要熟悉以下的四个部署模型，同样在之后章节的云安全的实施方案也需要从以下几个模型上进行分析。1、公有云：在此种模式下，应用程序、资源、存储和其他服务，都由云服务供应商来提供给用户，这些服务多半都是免费的，也有部分按需按使用量来付费，这种模式只能使用互联网来访问和使用。同时，这种模式在私人信息和数据保护方面也比较有保证。这种部署模型通常都可以提供可扩展的云服务并能高效设置。2、私有云：这种云基础设施专门为某一个企业服务，不管是自己管理还是第三方管理，自己负责还是第三方托管，都没有关系。只要使用的方式没有问题，就能为企业带来很显著的帮助。不过这种模式所要面临的是，纠正、检查等安全问题则需企业自己负责，否则除了问题也只能自己承担后果，此外，整套系统也需要自己出钱购买、建设和管理。这种云计算模式可非常广泛的产生正面效益，从模式的名称也可看出，它可以为所有者提供具备充分优势和功能的服务。3、社区云：这种模式是建立在一个特定的小组里多个目标相似的公司之间的，他们共享一套基础设施，企业也像是共同前进。所产生的成本由他们共同承担，因此，所能实现的成本节约效果也并不很大。社区云的成员都可以登入云中获取信息和使用应用程序。4、混合云：混合云是两种或两种以上的云计算模式的混合体，如公有云和私有云混合。他们相互独立，但在云的内部又相互结合，可以发挥出所混合的多种云计算模型各自的优势。

云安全概述“云安全”是继“云计算”“云存储”之后出现的“云”技术的重要应用，是传统IT领域安全概念在云计算时代的延伸，已经在反病毒软件中取得了广泛的应用，发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。由于最早提出“云安全”这一概念的趋势科技是专注于终端反病毒的厂商，所以“云安全”的概念在早期曾经引起过不小争议，各个厂商都在对云安全的概念进行自己的解读，一时之间各个厂商的云安全标准在业界甚嚣尘上，但随着整个云计算技术的普及，大家开始理性的思考这个概念，所以以下的概念得到了大多数用户和厂商的认可。云安全（Cloudsecurity）---------云计算领域的安全，是指基于云计算商业模式应用的安全软件，硬件，用户，机构，安全云平台的总称。云计算的安全风险云计算作为一种新兴的计算资源利用方式，还在不断发展之中，传统信息系统的安全问题在云计算环境中大多依然存在，与此同时还出现了一些新的信息安全问题和风险，这些领域也是云安全和传统安全领域最大的区别。。客户对数据和业务系统的控制能力减弱传统模式下，客户的数据和业务系统都位于客户的数据中心，在客户的直接管理和控制下。在云计算环境里，客户将自己的数据和业务系统迁移到云服务商的云计算平台上，失去了对这些数据和业务系统的直接控制能力。数据和业务迁移到云计算环境后，安全性主要依赖于云服务商及其所采取的安全措施。云服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密，客户难以了解和掌握云服务商安全措施的实施情况和运行状态，难以对这些安全措施进行有效监督和管理，不能有效监管云服务商的内部人员对客户数据的非授权访问和使用，增加了客户数据和业务的风险。客户与云服务商之间的责任难以界定传统模式下，按照谁主管谁负责、谁运行谁负责的原则，信息安全责任相对清楚。在云计算模式下，云计算平台的管理和运行主体与数据安全的责任主体不同，相互之间的责任如何界定，缺乏明确的规定。不同的服务模式和部署模式、云计算环境的复杂性也增加了划分云服务商与客户之间责任的难度。云服务商可能还会采购、使用其他云服务商的服务，如提供SaaS服务的云服务商可能将其服务建立在其他云服务商的PaaS或IaaS之上，这种情况导致了责任更加难以界定。可能产生司法管辖问题在云计算环境里，数据的实际存储位置往往不受客户控制，客户的数据可能存储在境外数据中心。一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径，甚至要求云服务商提供位于他国数据中心的数据，改变了数据和业务的司法管辖关系。客户数据的所有权面临挑战迁移到云计算环境的客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下，云服务商具有访问、利用或操控客户数据的能力。相反，客户对自己数据的访问、利用、管理可能还需要得到云服务商的授权。如果缺乏明确的管理要求，客户对自己数据的所有权和支配权很难得到保证。云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计，可以获取客户的大量相关信息，对这些信息的归属往往没有明确规定，容易引起纠纷。在服务终止或发生纠纷时，云服务商还可能以删除或不归还客户数据为要挟，损害客户对数据的所有权和支配权。数据保护更加困难云计算平台采用虚拟化等技术实现多客户共享计算资源，虚拟机之间的隔离和防护容易受到攻击，跨虚拟机的非授权数据访问风险突出。云服务商可能会使用其他云服务商的服务，使用第三方的功能、性能组件，使云计算平台复杂且动态变化。随着复杂性的增加，云计算平台实施有效的数据保护措施更加困难，客户数据被未授权访问、篡改、泄露和丢失的风险增大。数据残留存储客户数据的存储介质由云服务商拥有，客户不能直接管理和控制存储介质。当客户退出云计算服务时，云服务商应该完全删除客户的数据，包括完全删除备份数据。目前，还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作，客户退出云计算服务后其数据仍然可能完整保存或残留在云计算平台上。容易产生对云服务商的过度依赖由于缺乏统一的标准和接口，不同云计算平台上的客户数据和业务难以相互迁移，同样也难以从云计算平台迁移回客户的数据中心。另外云服务商出于自身利益考虑，往往不愿意为客户的数据和业务提供可移植能力。这种对特定云服务商的潜在依赖可能导致客户的业务随云服务商的干扰或停止服务而停止运转，也可能导致数据和业务迁移到其他云服务商的代价过高。由于云计算服务市场还未成熟，供客户选择的候选云服务商有限，也可能导致客户对云服务商的过度依赖。云安全参考模型当我们了解到了云计算的相关风险后就需要对应这样的安全风险进行相应的风险规避和安全管控，这时理解云计算模型之间的关系和依赖性对于理解云计算的安全风险非常关键。IaaS是所有云服务的基础，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上，它们之间的关系可参考下面图示。沿着这个思路，如同云服务能力是继承的那样，信息安全风险和问题也是继承的。值得重点注意的是，商用云提供商可能并没有与这个模型的层次准确对应。然而，云参考模型对于将真实服务和某个架构框架联系在一起，进而理解需进行安全分析的资源和服务是非常重要的。因此，在三个模型中，在集成的功能特征、复杂性与开放性（可扩展性）和安全性等方面会有一些明显的权衡。一般来说，SaaS会在产品中提供最为集成化的功能，最小的用户可扩展性以及相对来说较高的集成化的安全（至少提供商承担安全的职责）。PaaS提供的是开发者在平台之上开发自己应用的能力。因此，它倾向于提供比SaaS更多的可扩展性，其代价是没有了SaaS那些用户即买即用的功能。这种权衡也会延伸到安全特色和能力上，虽然内置安全能力变得不够完备，但是用户却拥有更多的灵活性去实现自己的强化安全。IaaS几乎不提供那些和应用类似的特色功能，但却有极大的“可扩展性”。这一般是指IaaS在除了基础设施自身的保护之外，提供更少的集成安全保护能力和功能。IaaS模型要求云用户自己管理和保护操作系统、应用和内容。云安全架构的一个关键特点是云服务提供商所在的等级越低，云服务用户自己所要承担的安全能力和管理职责就越多。云安全控制范围云计算环境的安全性由云服务商和客户共同保障。不同服务模式下云服务商和客户对计算资源的控制范围不同，控制范围决定了安全风险的边界。上图所示图中两侧的箭头示意了云服务商和客户的云安全风险范围。具体为：在SaaS模式下，客户仅需要负责自身数据安全、客户端安全等相关风险；云安全厂商承担其他安全风险。在PaaS模式下。软件平台的安全风险由客户和云服务商分担。客户负责自己开发和部署的应用及其运行环境的安全，其他安全由云服务商负责。在IaaS模式下虚拟化计算资源层的安全风险由客户和云服务商分担。客户负责自己部署的操作系统、运行环境和应用的安全，对这些资源的操作、更新、配置的安全和可靠负责。云服务商负责虚拟机监视器及底层的安全。

云安全总体架构设计云安全设计应充分考虑云计算的特点和要求，基于对安全威胁的分析，明确来各方面的安全需求，充分利用现有的、成熟的安全控制措施，结合云计算的特点和最新技术进行综合考虑和设计，以满足风险管理要求、合规性的要求，保障和促进云计算业务的发展和运行。设计思路在进行方案设计时，将遵循以下思路：保障云平台及其配套设施：云计算除了提供IaaS、PaaS、SaaS服务的基础平台外，还有配套的云管理平台、运维管理平台等。要保障云的安全，必须从整体出发，保障云承载的各种业务、服务的安全。基纵深防护体系设计：对于云计算系统，仍可以根据威胁、安全需求和策略的不同，划分为不同的安全域，并基于安全域设计相应的边界防护策略、内部防护策略，部署相应的防护措施，从而构造起纵深的防护体系。当然，在云平台中，安全域的边界可能是动态变化的，但通过相应的技术手段，可以做到动态边界的安全策略跟随，持续有效的保证系统的安全。以安全服务为导向，并符合云计算的特点：云计算的特点是按需分配、资源弹性、自动化、重复模式，并以服务为中心的。因此，对于安全控制措施选择、部署、使用来讲必须满足上述特点，即提供资源弹性、按需分配、自动化的安全服务，满足云计算平台的安全保障要求。充分利用现有安全控制措施及最新技术：在云计算环境中，还存在的传统的网络、主机等，同时，虚拟化主机中也有相应的操作系统、应用和数据，传统的安全控制措施仍旧可以部署、应用和配置，充分发挥防护作用。另外，部分安全控制措施已经具有了虚拟化版本，也可以部署在虚拟化平台上，进行虚拟化平台中的东西向流量进行检测、防护。充分利用云计算等最新技术：信息安全措施/服务要保持安全资源弹性、按需分配的特点，也必须运用云计算的最新技术，如SDN、NFV等，从而实现按需、简洁的安全防护方案。安全运营：随着云平台的运营，会出现大量虚拟化安全实例的增加和消失，需要对相关的网络流量进行调度和监测，对风险进行快速的监测、发现、分析及相应管理，并不断完善安全防护措施，提升安全防护能力。设计关键原则为了优化私有云的好处,安全需求必须以一种新的方式来解决。随着企业私有云的网络基础设施,它是必不可少的安全来克服上述挑战和与SDN集成架构,网络虚拟化和编制平台。解决方案必须建立在五个关键原则:1。自动插入到网络安全服务。安全service-chaining使安全的所有流量自动数据中心。现在我们可以创建安全策略,含蓄地在后台配置网络。2。政策和环境敏感。理解应用程序的状态和上下文通过融入云编排和工具,如票务系统,用户目录,SDN控制器。学习和应用最好的策略基于状态和上下文。这也使安全、可扩展的部署,并允许您的应用程序数量增长数据安全中心。3值得信赖的自动化和编制。有效地实现自动化,它需要被信任。以信任为基础的api实现自助服务与第三方系统集成和自动化政策变化范围内的特权。这意味着管理员可以在政策允许改变特定的规则。4遵从性和可见性的威胁。如果检测到妥协的虚拟机,它必须被隔离和修复的选项。报告和分析是必要的发现和理解交通趋势。5。集中管理。安全管理是简化和统一管理和监控的物理和虚拟安全网关和公共IAAS如AWS,Azure,Rackspace和VMwareCloudAir保护范围物理环境安全：在物理层面，通过门禁系统、视频监控、环境监控、物理访问控制等措施实现云运行的物理环境、环境设施等层面的安全；虚拟化安全：在虚拟化层面，通过虚拟层加固、虚拟机映像加固、不同虚拟机的内存/存储隔离、虚拟机安全检测、虚拟化管理安全等措施实现虚拟化层的安全；网络安全：在网络层，基于完全域划分，通过防火墙、IPS、VLANACL手段进行边界隔离和访问控制，通过VPN技术保障网络通信完全和用户的认证接入，在网络的重要区域部署入侵监测系统（IDS）以实现对网络攻击的实时监测和告警，部署流量监测和清洗设备以抵御DDoS攻击，部署恶意代码监测和防护系统以实现对恶意代码的防范。需要说明的是这里的网络包括了实体网络和虚拟网络，通过整体防御保障网络通信的安全；主机安全：通过对服务主机/设备进行安全配置和加固，部属主机防火墙、主机IDS，以及恶意代码的防护、访问控制等技术手段对虚拟主机进行保护，确保主机能够持续的提供稳定的服务；应用安全：通过PKI基础设施对用户身份进行标识和鉴别，部署严格的访问控制策略，关键操作的多重授权等措施保证应用层安全，同时采用电子邮件防护、Web应用防火墙、Web网页防篡改、网站安全监控等应用安全防护措施保证特定应用的安全；数据保护：从数据隔离、数据加密、数据防泄露、剩余数据防护、文档权限管理、数据库防火墙、数据审计方面加强数据保护，以及离线、备份数据的安全；安全管理：根据ISO27001、COBIT、ITIL等标准及相关要求，制定覆盖安全设计与获取、安全开发和集成、安全风险管理、安全运维管理、安全事件管理、业务连续性管理等方面安全管理制度、规范和流程，并配置相应的安全管理组织和人员，并建议相应的技术支撑平台，保证系统得到有效的管理。上述安全保障内容和目标的实现，需要基于PKI、身份管理等安全基础支撑设施，综合利用安全成熟的安全控制措施，并构建良好的安全实现机制，保障系统的良好运转，以提供满足各层面需求的安全能力。由于云计算具有资源弹性、按需分配、自动化管理等特点，为了保障其安全性，就要求安全防护措施/能力也具有同样的特点，满足云计算安全防护的要求，这就需要进行良好的安全框架设计。

vSEC云安全解决方案现代数据中心正经历着急速的变化。虚拟化为私有云铺平了道路,使得应用程序能够以较少的时间和成本交付给用户。虚拟化将工作负载从硬件资源池中按需动态分配的，资源池成为了虚拟化数据中心和私有云重要的基础。已经部署了虚拟化的用户开始尝试采用SDN、NFV等新型技术，旨在通过软件控制方式解决现有环境中遇到的存储、网络不能自动部署和分权分域管理问题。这种持续的进化就是软件定义的数据中心(SDDC),所有的基础设施元素——网络、存储、计算和安全都将作为服务交付给用户。整个基础设施是由软件驱动的,对应到安全领域就是软件定义的安全。云安全挑战新兴技术的发展,提高了IT的敏捷性,灵活性和效率,也生出了新的挑战:静态安全政策:云是一个动态的环境。快速部署的新应用程序、基础环境不停的变化、虚拟服务器在整个数据中心移动，都要求安全服务必须跟上变化，同时也要考虑弹性伸缩。这需要自动化，否则安全要么被忽视,要么成为提供的应用程序过程中的瓶颈。内部通讯的可见性:云数据流量和移动办公意味着虚拟化数据中心不停的在变化。除了保护数据中心南北向的安全,虚拟网络安全防护还必须提供数据中心内部的东西向的威胁抵御。传统网络划分不在适合云环境:传统网络层面，安全部分是紧密耦合网络拓扑结构的，但一旦网络环境变化，就需要手动更网络配置部署。而虚拟化环境中的网络拓扑，经常性的会发生，网络变化也意味着安全的变化,再使用传统的网络划分的模式管理安全，将导致很高的操作开销和影响业务敏捷性。更隐蔽的威胁:复杂的攻击可以轻易攻陷云平台中最脆弱的VM系统;一旦获得控制，受感染的VM将会成为跳板,从虚拟机层面横向移动(VM-to-VM)，窃取有价值的数据而不被传统的防护手段所发现。vSEC产品功能介绍虚拟机之间的数据流量检查利用细粒度的防火墙策略和一流的集成入侵防御功能，对所有虚拟机之间的数据流量进行检查，从而确保虚拟机的安全性。CheckpointvSEC支持您分离虚拟应用，从而避免相互感染以及外部威胁。集成的IPS利用基于签名和协议异常的入侵防御功能，来保护FTP、HTTP和VoIP等关键业务服务免遭已知和未知攻击。CheckPoint的更新服务提供实时更新，以便实施最新的防护措施。增强动态虚拟化环境的安全性当虚拟机从一个主机向另一个主机进行实时迁移或者新增虚拟机时，对虚拟机的保护是持续不断的。完全支持Vmotion和动态迁移，使安全策略能够在保持开放连接的情况下实施。当虚拟机在主机之间移动时，它还能够确保零宕机时间，以便进行维护和动态资源分配。创建虚拟机非常容易，以至于有时会导致虚拟机蔓延。CheckpointvSEC通过确保新增虚拟机与现有虚拟机相分离并且自动实施安全策略，从而减轻了对此问题的顾虑。完全虚拟化的安全网关CheckpointvSEC在软件刀片架构的基础上提供全面的安全性，同时保护虚拟机之间的数据流量以及外部网络和资产。除了不可见的管理程序层安全性之外，VSEC还提供了被部署为第2层或第3层默认网关的灵活性。CheckpointvSEC通过在单一解决方案中整合可靠的安全功能，简化了安全部署和管理。利用一流的集成防火墙、IPS、VPN、防病毒、防垃圾邮件、URL过滤和Web安全等功能，保护虚拟机免遭外部威胁以及互相感染。如果服务器与数据相分离是合规性的要求，那么VSEC则会对相互分离的应用与信息进行保护，而无需物理的安全设备。对虚拟机提供即插即用的安