2015 绿盟科技云安全解决方案 2015 NSFOCUS Cloud Security Solution h t i g b u m o c . 5 图表 目录 图 一.1 云典型架构 ......................................................................................................................... 2 1 一 云计算典型体系结构 图 一.2 云典型逻辑结构 ............................................................................................................. 3 图 三.3 云平台安全保障体系框架 ....................................................................................... 6 云计算系统分类 1 云计算系统典型物理架构 1 图 三.5 具有安全防护机制的云平台体系架构 ........................................................... 8 云计算系统逻辑结构 2 图 四.6 云平台安全域逻辑划分 ............................................................................................ 9 3 二 云计算安全威胁和需求分析 安全威胁分析 4 安全需求和挑战 5 5 三 云安全防护总体架构设计 图 三.4 云平台安全技术实现架构....................................................................................... 7 图 四.7 安全域划分示例 .......................................................................................................... 11 图 四.8 传统安全措施的部署 ............................................................................................... 13 图 四.9 虚拟化防火墙部署 .................................................................................................... 14 图 四.10 异常流量监测系统部署 ....................................................................................... 16 图 四.11 网络入侵检测系统部署图 .................................................................................. 17 m o c . 5 图 四.12 虚拟化 Web 应用防火墙部署....................................................................... 19 图 四.13 堡垒机应用场景........................................................................................................ 21 设计思路 5 图 四.14 堡垒机部署图 ............................................................................................................. 22 安全保障目标 6 图 四.15 安全管理子区 ............................................................................................................. 22 安全保障体系框架 6 图 五.16 SDN 典型架构 ........................................................................................................... 25 安全保障体系总体技术实现架构设计 7 图 五.17 软件定义安全防护体系架构 ............................................................................ 25 b u 图 五.18 使用 SDN 技术的安全设备部署图 ............................................................ 26 四 云平台安全域划分和防护设计 8 图 五.19 使用 SDN 技术实现流量牵引的原理图 ................................................. 27 图 五.20 基于手工配置的 IPS 防护模式 ..................................................................... 28 9 安全域划分 五 云计算安全防护方案的演进 虚拟化环境中的安全防护措施部署 软件定义安全体系架构 安全运营 六 云安全技术服务 ti h 13 安全防护设计 g 24 24 28 28 28 私有云平台安全设计咨询服务 29 33 作者和贡献者 33 关注云安全解决方案 34 八 关于绿盟科技 图 六.22 云计算关键领域安全 ........................................................................................... 31 图 六.23 安全咨询服务思路 ................................................................................................. 32 24 私有云安全评估和加固 七 云安全解决方案 图 六.21 服务提供者与客户之间的安全控制职责范围划分 ......................... 30 34 关键信息 本方案首先研究了云计算系统的典型结构,分析了云计 算系统面临的安全威胁、安全需求和挑战,进而对云安全防护 总体架构,包括保障内容和实现机制、部署方法进行了设计和 详细阐述,并介绍了云安全相关的安全技术服务内容和范围, 最后给出了典型的云安全防护场景。 其中关于软件定义安全体系架构,在之前发布的《2015 绿盟科技软件定义安全 SDS 白皮书》中有详述。 “ 随着云计算技术的不断完善和发展,云计算已经得到了广泛的认可和接收,许多 组织已经或即将进行云计算系统建设。同时,以信息/服务为中心的模式深入人心,大 量的应用正如雨后春笋般出现,组织也开始将传统的应用向云中迁移。同时,云计算 技术仍处于不断发展和演进,系统更加开放和易用,功能更加强大和丰富,接口更加 规范和开放。例如软件定义网络(简称 SDN)技术、NFV(网络功能虚拟化)等新技 术。这必将推动云计算技术的更加普及和完善。 b u m o c . 5 h t i g 云计算技术给传统的 IT 基础设施、应用、数据以及 IT 运营管理都带来了革命性改 变,对于安全管理来说,既是挑战,也是机遇。首先,作为新技术,云计算引入了新 的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维 管理体系,如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、 安全评估和审计、安全监测和安全运维等方面;其次,云计算的资源弹性、按需调配、 高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升 级、安全应用设计和实现、安全运维和管理等带来了问题和挑战,也推进了安全服务 内容、实现机制和交付方式的创新和发展。 根据调研数据,信息安全风险是客户采用云计算所考虑重大问题之一,且国家和 行业安全监管愈加严格,安全已经成为组织规划、设计、建设和使用云计算系统而急 需解决的重大问题之一,尤其是不断出现的与云计算系统相关事件让组织更加担心自 身的云计算系统安全保障问题。 本方案基于绿盟科技长期对云计算安全的探索和研究,借鉴行业最佳实践,结合 绿盟科技近期云计算安全建设经验,提出了云计算安全保障框架和方法。 一 云计算典型体系结构 云计算主要是通过网络,将 IT 以抽象化的方式交付给客户,为基于 IT 的服务交付模式带来了巨大变革。云计算的一些独特 优势,使其广为接受,包括:大规模资源池化、资源弹性、按需分配、自动化部署、高可靠性、高运营效率及技术和 IT 的高透明 度。 云计算平台的实现主要包括两个方式:虚拟化构成的云和应用程序/服务器构成的云,其中后者的安全防护与传统方式基本相 同,不再赘言,这里主要对虚拟化构成的云进行讨论。 目前,计算虚拟化已经成熟,并为组织所广泛采用,如 VMware vSphere、Citrix Xen 等。另外,一些用户开始尝试采用 SDN、 NFV 等新型技术,旨在通过软件控制方式解决现网中遇到的存储、网络不能自动部署和分权分域管理问题。 云计算系统分类 m o c . 5 根据 NIST 发布的相关规范,云计算系统按照部署方法可分为私有云、公有云、社区云、混合云。为了便于说明,以下内容将 主要以私有云为例进行说明。 云计算系统所采用虚拟化技术的不同,对安全防护设计和部署具有一定影响。根据有无才采用 SDN、NFV 技术,可分为两类: 原生虚拟化系统和基于 SDN 技术的虚拟化系统。如无特别说明,下述描述均指原生虚拟化系统。 b u 云计算系统典型物理架构 h t i g 下图给出了一个典型
绿盟 2015绿盟科技云安全解决方案
文档预览
中文文档
38 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共38页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-07-17 01:16:34上传分享