云安全等保防護解決方案

精品文檔精品文檔#歡迎下我概述隨著美國棱鏡門事件以來，信息安全受到越來越多的國家和企業(yè)的重視，特別是今年從國家層面成立了網絡安全與信息化領導小組，因此就某種程度而言，2014年可以說是真正的信息安全元年。就當前的信息安全建設驅動來看，主要來自政策性合規(guī)驅動和市場需求驅動是兩個重要的驅動點。?從政策層面看國家成立了網絡安全與信息化領導小組，強調自主可控是信息安全領域國家的基本意志體現(xiàn)。同時也出臺了相關的政策要求對信息安全產品、云計算服務等進行安全審查，通過政策、法律、規(guī)范的合規(guī)性要求加強對信息安全的把控。?從需求層面來看，隨著愈演愈烈各種的信息泄密事件、大熱的APT攻擊等,大量的企業(yè)對信息安全的認識己經從過去的“被動防御”轉變成“主動防御”，尤其是新型的互聯(lián)網金融、電商業(yè)務、云計算業(yè)務等都前瞻性企業(yè)都把安全當做市場競爭的重要不去碼，并尋求各種資源不斷提升用戶對其信任性。?用戶選擇云計算服務的角度來看，我們了解了很多的云計算用戶或潛在的云計算用戶，用戶的一項業(yè)務在往云計算中心遷移時考慮的前三位的要素一般是安全、技術成熟度和成本，其中首要考慮的是安全。因為由于云服務模式的應用，云用戶的業(yè)務數(shù)據都在云端，因此用戶就擔心自己的隱私數(shù)據會不會被其他人看到，數(shù)據會不會被篡改，云用戶的業(yè)務中斷了影響收益怎么辦，云計算服務商聲稱的各種安全措施是否有、能否真正起作用等，云用戶不知道服務提供商提供的云服務是否真的達到許諾的標準等擔憂。1.云環(huán)境下的等級保護問題研究綜上所述，用戶在選擇云計算的時候首先會考慮安全性，對普通用戶來說，云計算服務的合規(guī)性是安全上很重要的參考依據。云計算服務的安全合規(guī)目前主要有等級保護、27001、CSA云計算聯(lián)盟的相關認證。其中等級保護是一項基本政策，比如用戶的一個等級保護三級的業(yè)務，采用云計算模式時，一定要求云計算服務必須達到三級的要求。1.1等級保護挑戰(zhàn)傳統(tǒng)的等級保護標準主要面向靜態(tài)的具有固定邊界的系統(tǒng)環(huán)境。然而，對于云計算而言，保護對象和保護區(qū)域邊界都具有動態(tài)性。因此，云計算環(huán)境下的等級保護面臨新的挑戰(zhàn)：?業(yè)務可控性云計算環(huán)境下，數(shù)據可能會在數(shù)據中心和物理主機之間移動，導致用戶無法知道數(shù)據真實存儲位置。另外，云平臺引入了虛擬抽象層，其覆蓋范圍可以涵蓋不同區(qū)域的物理設施，傳統(tǒng)的等級保護并沒有考慮這種情況。?核心技術的自主可控由于云計算中許多核心技術仍然控制在國外企業(yè)手中，許多所謂的自主產品也叮能是對國外購買的商業(yè)產品的改良，本質就是買下了推廣他人產品的權利，隨著國內云市場的不斷發(fā)展，對云環(huán)境的自主可控性帶來很大的挑戰(zhàn)。?虛擬化安全在云計算安全保障中，僅僅采用傳統(tǒng)的安全技術是不夠的，虛擬化帶來了新的安全風險。當前，對云計算虛擬化安全技術還不成熟，對虛擬化的安全防護和保障技術測評則成為云環(huán)境等級保護的一大難題。1.2等級保護研究現(xiàn)狀分析當前，云計算依然面臨各種安全風險。等級保護作為應對云計算安全的重要手段，得到了人們廣泛的關注。對于云計算環(huán)境下的等級保護建設問題，沈昌祥提出云計算中心是特殊的信息系統(tǒng)，可參照GB/T25070-2010《信息系統(tǒng)安全等級保護設計技術要求》,把云計算中心從用戶網絡接入、訪問應用邊界、計算環(huán)境和管理平臺進行劃分，構建在安全管理中心支持下的可信通信網絡、 可信應用邊界和可信計算環(huán)境三重安全防護框架，并按照GB/17859評估準則進行評估。對于云計算安全中的等級保護要求和評測問題，朱圣才從應用安全和系統(tǒng)安全兩個角度給出了云計算安全中的等級保護要求。張京海等人設計了基于云服務架構的等級保護要求。從5個層面的技術要求和5個層面的管理要求對傳統(tǒng)等級保護要求進行了擴展。趙繼軍等人指出了等級保護測評中需要關注的控制項和風險。姜政偉等人則提出了基于等級保護的云計算安全評估模型。構建了云計算安全評估指標體系。上述工作表明，云計算環(huán)境下的等級保護問題得到了廣泛的關注。2.云計算的等級保護建設方案闡述2.1云業(yè)務模式的發(fā)展云計算已經深刻的影響到了IT架構、業(yè)務系統(tǒng)部署方式，以及服務模式。形成了端（終端）、管（管道）、云（云端）的rr架構。業(yè)務系統(tǒng)和數(shù)據集中部署在云端，即云數(shù)據中心的資源池內。有利于統(tǒng)一的數(shù)據安全保護和業(yè)務系統(tǒng)的統(tǒng)一部署、管理，提升rr資源利用率降低成本、資源消耗。同時，移動互聯(lián)網絡、4G技術的發(fā)展極大拓寬了管道的寬度，使得更加豐富的終端接入提供了良好條件。在終端側，對終端設備的性能、規(guī)格要求更加寬泛，終端類型也在不斷豐富，尤其各類移動終端使得終端用戶可以更加靈活、隨時隨地的享用云端各類服務?！岸?、管、云”的新型模式，可以讓用戶快速、彈性、按需、隨時隨地的獲取到rr資源和服務，實現(xiàn)rr即服務的轉變，是重要的一次信息化變革。但這種新型的rr架構，也帶來了新的安全挑戰(zhàn)和安全需求。2.2云計算安全需求?終端側：主要考慮用戶終端的安全。采用桌面云的方式是解決云計算環(huán)境下終端安全問題的很好的辦法。終端的處理能力（包括CPU和碩盤）集中到云計算資源中心，個人終端變成瘦客戶端，終端本地不保存數(shù)據，保障信息安全性，并且不提供計算能力；通過桌面云平臺，給每個終端提供虛擬化的 “計算機”或推送應用的界面，每個終端所使用的資源都是共享的，計算資源動態(tài)伸縮，實現(xiàn)對資源的“按需分配”的管理。?傳輸（管道）：主要考慮用戶側到云端傳輸信息加密、用戶接入的認證和授權等安全措施。?云計算中心（云端）:針對云計算中心區(qū)域邊界、計算環(huán)境、虛擬化環(huán)境，云計算中心綜合采用身份認證、訪問控制、入侵檢測、惡意代碼防范、安全審計、防病毒、數(shù)據加密等多種技術和措施，實現(xiàn)業(yè)務應用的町用性、完整性和保密性保護。?云數(shù)據安全建設，依據客戶實際需求和相關安全合規(guī)標準，進行數(shù)據創(chuàng)建、傳輸、存儲、使用、共享和銷毀在內的全生命周期的云環(huán)境下的數(shù)據安全設計，以及數(shù)據安全體系建設。保障用戶數(shù)據在云環(huán)境下的安全使用，保護云環(huán)境中的數(shù)據的機密性、可用性、完整性。2.3云環(huán)境下的等保安全防護思路云計算從安全域的角度，可以分為安全計算域、安全網絡域和安全管理域。安全計算域是相同安全保護等級的物理主機/服務器的集合，安全網絡域是由通

信網絡和接入網絡構成。安全管理域是對整體云計算中安全事件收集與管控報警的系統(tǒng)平臺。云計算安全部署結構，如下圖所示:圖云計算部署架構云計算的各安全域涵蓋了云計算中的計算環(huán)境、云邊界、云通信網絡及管理中心，對應的安全措施如下：云計算計算環(huán)境安全云計算計算環(huán)境包含私有云安全計算域、公共云安全計算域。其中私有云安全計算域是進行安全設備部署的重點，可采取的安全措施主要包括：4A系統(tǒng)、虛擬安全網關、主機加固和加密機等設備和手段。公共云安全計算域，應采取基礎平臺安全審查、評定，托管鏡像加密和租用應用加固的安全措施， 保障擴散到公共云平臺上的資源、數(shù)據安全可靠。云計算邊界安全云計算邊界環(huán)境由物理的接入網絡邊界和虛擬化網絡邊界組成，物理網絡接入邊界的防護，采取傳統(tǒng)安全網關即可。針對虛擬化平臺中，應在虛擬平臺中部署虛擬安全網關進行虛擬安全邊界防護。云計算通信網絡安全在云計算環(huán)境下，通信網絡包括傳統(tǒng)網絡和虛擬網絡兩部分。對于從外部網絡接入云計算中心的通信網絡，應借助在網絡接入邊界處部署的VPN設備實現(xiàn)SSL、IPSEC的安全隧道通信；在云計算平臺節(jié)點內部的虛擬網絡，可通過部署在虛擬化平臺內部的VPN組件實現(xiàn)安全隧道功能。云計算安全管理中心云計算環(huán)境安全管理中心對私有云和公共云中的所屬資產、資源的運行狀況，以及相關行為、安全事件、安全預警等進行集中監(jiān)管。通過 SNMP、Syslog、ODBC、API等協(xié)議接口和數(shù)據文件，進行綜合分析形成安全報表、整體安全態(tài)勢報告。使得安全風險可視化、風險告警全面化和風險處置專業(yè)化，從而實現(xiàn)安全風險集中化管控。3.總結云計算的高速發(fā)展需要有等級保護措施提供基本保障?，F(xiàn)有的許多等級保護建議和方案主要針對獨立的云環(huán)境。本文闡述了云計算環(huán)境下等級保護面臨的挑戰(zhàn)，指出了當前云環(huán)境的等級保護要求研究工作