等保2.0与云安全方案
目录
一、等保2.0时代安全内外环境发生变化 (3)
二、全面布局应对云安全挑战 (4)
一、等保2.0时代安全内外环境发生变化
今年《网络安全法》颁布实施,新修订的网络安全等级保护标准也陆续出台,以适应新技术变化的应用环境,标志着等级保护工作进入到了2.0时代。
与等保 1 . 0 时代不同,当前的信息系统架构更加复杂,新技术不断得到应用,安全威胁也更加强大。因此,2.0版本的等级保护标准采取了更加灵活的模式,通用要求与面向云计算、工业控制、物联网、移动互联网等新技术的扩展要求相结合,为不同的应用场景提供差异化的安全防护最佳实践。在安全能力方面,等级保护2.0标准也提出了更高的要求。一方面,检测深度进一步加强,增加了对未知攻击、内部攻击的检测要求;另一方面,防护能力进一步提升,增加了对无线安全、邮件安全等的防护要求。总之,等级保护2.0是应对当前主要网络安全威胁的重要指导方针。
云计算安全是等级保护2.0的核心内容之一。等级保护2.0对云计算技术的主要安全风险做了分析,并提出了相应的防护要求。可以说,云计算技术正在或已成为当前数据中心建设的核心技术。如何识别云计算技术的安全风险,并将其纳入到数据中心整体风险管理体系,通过一系列的安全治理将其控制到一个可以接受的范围,是当前数据中心建设运营团队的重要关注点。
这样的应用环境对网络安全厂商而言,既是机遇也是挑战。Gartner市场预测提出,全球云安全服务将保持强劲增长势头,整体增速高于信息安全总体市场,一方面是安全合规需求,另一方面就是高端数据泄漏的压力。如何把握时代新需求,调整产品和服务策略,即是当前各网络安全厂商重点考虑的工作重心。
二、全面布局应对云安全挑战
作为国内网络安全的领军企业,绿盟积极参与等级保护2.0标准的制定工作,将自己在
云安全方面的实践经验展现出来,为标准的最终形成贡献了自己的力量。同时,结合等级保护2.0云计算标准的防护要求,绿盟也形成了自己对云安全的理解,围绕云计算的安全需求
打造预警、防护、检测、响应闭环的自适应防御能力体系。
安全预警能力主要针对云计算平台和云上应用自身脆弱性的检测和防护。既要考虑平台和应用组件自身固有的脆弱性,如操作系统、数据库、中间件的漏洞等;也要考虑平台和
应用由于设计不当导致的特有缺陷,如工作流设计导致的数据泄露等;还要考虑平台和应用组件自身安全功能配置不当导致的人为问题,如弱口令、安全策略配置错误等。针对这些问题,绿盟通过外部的公网监测和内部的本地扫描协同分析可能存在的各种安全漏洞,并由绿盟安全专家对云平台和云上应用开发过程中产生的安全问题进行检测、发现和评估,及时修复存在的重大高危漏洞。为了提高解决脆弱性缺陷的时效性,绿盟威胁情报对发现的安全漏洞进行评估,对于在黑客社区活跃度高、出现漏洞利用代码或出现相关安全事件的漏洞提升优先级,快速修补。
对于提升安全防护能力,绿盟通过使用虚拟化、SDN、服务编排等技术,建设形成泛
在接入、弹性可伸缩、安全可配置的安全资源池,实现安全即服务的按需配置、自动化管理。可以为云计算平台、云上WEB应用、数据存储提供量身定制的安全服务。同时,面向
在公有云上部署应用的客户,绿盟与阿里云、腾讯云、亚马逊(AWS)云、微软(AZURE)云等知名公有云服务商展开合作,基于公有云平台为客户提供定制化的安全防护。
对于安全检测,绿盟通过本地的安全产品和云端的安全服务两个方向全面提升检查能力。从安全产品角度看,一是加强了产品的双向检测能力,不仅检测从外到内的流量,同时检测从内到外的流量;二是加强了未知攻击检测,通过行为模型分析样本执行过程中的异常,从
而发现未知攻击;三是加强了联合检测,实现了DFI(深度流检测)和DPI(深度包检测)
的结合,实现了已知攻击检测和未知攻击检测,实现了攻击检测和内容检测的结合。在云端检测方面,一是加强了对WEB应用的检测,实现了分钟级的平稳度、挂马、篡改检测;二
是加强了即时检测,通过绿盟云实施紧急漏洞在线检测,协助客户第一时间确认高危漏洞是否影响云平台和云上应用;三是加强了恶意样本检测,为云计算运营团队提供安全专家的
安全专业分析,准确识别各种恶意代码。
在安全响应能力方面,绿盟围绕云平台和云上应用对安全事件处理的需求,在现有的应急预案体系和应急响应机制的基础上,进一步增加基于互联网的绿盟安全专家团队协同响应模式,实现安全事件和安全风险的快速识别和确认,安全应急措施的快速拟制和应用,安全修复结果的快速确认和验证,以及网络攻击事件过程的全面取证和溯源,总体上达到小时级的安全响应和事件处置速度。
围绕等级保护2.0开展云计算安全建设的过程,也是绿盟智慧安全2.0战略全面落地的过程。绿盟科技的智慧安全2.0战略,旨在协助客户完成合规建设的基础上,进一步构建预警、防护、检测、响应自适应闭环安全防护体系。同时,通过绿盟云提供的威胁情报服务、安全监测服务、可管理安全服务等方式将绿盟安全专家的能力加入到客户的安全体系之中,通过建立云、地、人、机间的有机协同,最终实现智能、敏捷、可运营的云计算整体安全架构,全面履行绿盟“巨人背后的安全专家,保障客户业务顺畅运行”的公司使命。
近一阶段以来,绿盟就等保2.0和云计算安全落地事宜,在公司内部已经形成了研究院、产品服务等多部门一体联动的运行机制,力图在新一轮技术创新的浪潮中抢得先机。全文
完
云安全解决方案白皮书Cloud Security Solution
目录 —云计算典型体系结构1 云计算系统分类 云计算系统典型物理架构云计算系统逻辑结构1 1 2 二云计算安全威胁和需求分析3 安全威胁分析安全需求和挑战4 5 三云安全防护总体架构设计5 设计思路 安全保障目标 安全保障体系框架 安全保障体系总体技术实现架构设计5 6 6 7 四云平台安全域划分和防护设计8 安全域划分安全防护设计 9 13 五云计算安全防护方案的演进24 虚拟化环境中的安全防护措施部署软件定义安全体系架构 安全运营24 24 28 六云安全技术服务28 私有云安全评估和加固 私有云平台安全设计咨询服务28 29 七云安全解决方案33 作者和贡献者 关注云安全解决方案33 34 八关于科技34图表 图一.1 云典型架构 (2) 图一.2 云典型逻辑结构 (3) 图三.3 云平台安全保障体系框架 (6) 图三.4 云平台安全技术实现架构 (7) 图三.5 具有安全防护机制的云平台体系架构 (8) 图四.6 云平台安全域逻辑划分 (9) 图四.7 安全域划分示例 (11) 图四.8 传统安全措施的部署 (13) 图四.9 虚拟化防火墙部署 (14) 图四.10 异常流量监测系统部署 (16) 图四.11 网络入侵检测系统部署图 (17) 图四.12 虚拟化Web 应用防火墙部署 (19) 图四.13 堡垒机应用场景 (21) 图四.14 堡垒机部署图 (22) 图四.15 安全管理子区 (22) 图五.16 SDN 典型架构 (25) 图五.17 软件定义安全防护体系架构 (25) 图五.18 使用SDN 技术的安全设备部署图 (26) 图五.19 使用SDN 技术实现流量牵引的原理图 (27) 图五.20 基于手工配置的IPS 防护模式 (28) 图六.21 服务提供者与客户之间的安全控制职责范围划分. 30图六.22 云计算关键领域安全 (31) 图六.23 安全咨询服务思路 (32) 关键信息 本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑战,进而对云安全防护总体架构,包括保障内容和实现机制、部署方法进行了设计和详细阐述,并介绍了云安全相关的安全技术服务内容和范围,最后给出了典型的云安全防护场景。
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计算服务必须达到三级的要求。
2015绿盟科技云安全解决方案 2015 NSFOCUS Cloud Security Solution Word专业资料
目录 一云计算典型体系结构1 云计算系统分类1云计算系统典型物理架构1云计算系统逻辑结构3 二云计算安全威胁和需求分析4 安全威胁分析4安全需求和挑战7 三云安全防护总体架构设计7 设计思路8安全保障目标9安全保障体系框架9安全保障体系总体技术实现架构设计11 四云平台安全域划分和防护设计14 安全域划分14安全防护设计21 五云计算安全防护方案的演进39 虚拟化环境中的安全防护措施部署39软件定义安全体系架构40安全运营44 六云安全技术服务45 私有云安全评估和加固45私有云平台安全设计咨询服务46 七云安全解决方案53 作者和贡献者53关注云安全解决方案54 八关于绿盟科技54图表 图一.1云典型架构 (2) 图一.2云典型逻辑结构 (3) 图三.3云平台安全保障体系框架 (10) 图三.4云平台安全技术实现架构 (12) 图三.5具有安全防护机制的云平台体系架构 (13) 图四.6云平台安全域逻辑划分 (15) 图四.7安全域划分示例 (18) 图四.8传统安全措施的部署 (21) 图四.9虚拟化防火墙部署 (24) 图四.10异常流量监测系统部署 (27) 图四.11网络入侵检测系统部署图 (29) 图四.12虚拟化Web应用防火墙部署 (31) 图四.13堡垒机应用场景 (34) 图四.14堡垒机部署图 (35) 图四.15安全管理子区 (36) 图五.16SDN典型架构 (41) 图五.17软件定义安全防护体系架构 (41) 图五.18使用SDN技术的安全设备部署图 (42) 图五.19使用SDN技术实现流量牵引的原理图 (43) 图五.20基于手工配置的IPS防护模式 (44) 图六.21服务提供者与客户之间的安全控制职责围划分 47图六.22云计算关键领域安全 (50) 图六.23安全咨询服务思路 (51)
信息系统安全等级保护安全建设项目 技术方案
目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)
4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
云安全防护系统方案设计(信息安全建设整体规划方案)
目录 1.项目背景 (3) 2.功能框架 (4) 3.云环境的多层安全防护体系 (6) 4.安全域之间的防护设计 (8) 5.多租户之间的安全防护 (9) 6.虚拟机之间的安全防护 (12) 7.统一管理 (14) 8.部署模式 (15)
1.项目背景 虽然云计算给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。 为此,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,电子政务信息系统构筑至少应达到二级或以上防护要求。 所以,在云计算的信息化建设过程中,我们应当正视可能面临的各种安全风险,对网络威胁给予充分的重视。为了云计算中心信息网络的安全稳定运行,确保云平台建设的顺利实施,结合具体的网络和应用系统情况,根据云计算中心目前的计算机信息网网络特点及安全需求,本着切合实际、保护投资、着眼未来的原则,提出本技术方案。
2.功能框架 云计算数据中心安全架构设计中,需要解决几个方面的问题: ●应用程序安全保护 ●虚拟化系统安全 ?云计算环境的安全域的规划和保护(内部虚拟机之间的防护) ●主机安全整合 ?使用虚拟化技术提供云安全网关 ●物理环境安全防护 ?虚拟系统内部的审计和合规性 ●集中管理 与传统网络通过安全设备做各个业务区域的隔离、流量的分析不同,云计算环境下同一个物理机当中的多个虚拟机中可能部署多个业务,而业务之间的流量直接通过虚拟化操作系统的vSwitch进行转发,不出物理机,无法进行有效的网络隔离以及流量的分析。因此,需要一种软件定义安全的方式,在每台物理机上分配一台单独的虚拟机作为集中安全网关模块,该网关模块会与Hypervisor深度结合,对进出每一个虚拟机的所有流量进行捕获、分析及控制,从而实现虚拟平台内部东西向流量之间的防护。 利用先进的云安全技术,可为虚拟数据中心提供以下安全防护功能: 1)通过云安全网关保障云计算环境的安全域的规划和保护(内部虚拟机之间的防护)。 ●作为运行在云计算平台管理上的云安全网关,可为云计算环境提供了全 面的安全保护,为云计算环境的安全域划分提供控制手段。与采用硬件 安全设备不同,可以根据用户对虚拟主机的信任关系级别,把虚拟主机 划分为不同的安全域,并进行精细粒度的访问控制。 ●为云计算环境的安全域划分和安全控制提供技术保障。可以有效隔离虚 拟主机,并提供从网络层到应用层的安全面安全保护。 ●为虚拟网络环境提供了深度的监控和审计能力,为云环境的合规性需求
数据中心云安全建设方案 Last revision date: 13 December 2020.
[文档标题] 目录 1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。 2017-3-23 传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提
供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 1.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 1.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。 1.3数据存储安全 数据存储是非常重要的环节,其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。在云数据中心模式下,云数据中心在高度整合的大容量存储空间上,开辟出一部分存储空间提供给租户使用。但客户并不清楚自己的数据被放置在哪台服务器上;云数据中心服务商在存储资源所在国是否会存在信
2015绿盟科技云安全解决案 2015 NSFOCUS Cloud Security Solution Word专业资料
目录 一云计算典型体系结构1 云计算系统分类1云计算系统典型物理架构1云计算系统逻辑结构3 二云计算安全威胁和需求分析4 安全威胁分析4安全需求和挑战7 三云安全防护总体架构设计7 设计思路8安全保障目标9安全保障体系框架9安全保障体系总体技术实现架构设计11 四云平台安全域划分和防护设计14 安全域划分14安全防护设计21 五云计算安全防护案的演进39 虚拟化环境中的安全防护措施部署39软件定义安全体系架构40安全运营44 六云安全技术服务45 私有云安全评估和加固45私有云平台安全设计咨询服务46 七云安全解决案53 作者和贡献者53关注云安全解决案54 八关于绿盟科技54图表 图一.1云典型架构 (2) 图一.2云典型逻辑结构 (3) 图三.3云平台安全保障体系框架 (10) 图三.4云平台安全技术实现架构 (12) 图三.5具有安全防护机制的云平台体系架构 (13) 图四.6云平台安全域逻辑划分 (15) 图四.7安全域划分示例 (18) 图四.8传统安全措施的部署 (21) 图四.9虚拟化防火墙部署 (24) 图四.10异常流量监测系统部署 (27) 图四.11网络入侵检测系统部署图 (29) 图四.12虚拟化Web应用防火墙部署 (31) 图四.13堡垒机应用场景 (34) 图四.14堡垒机部署图 (35) 图四.15安全管理子区 (36) 图五.16SDN典型架构 (41) 图五.17软件定义安全防护体系架构 (41) 图五.18使用SDN技术的安全设备部署图 (42) 图五.19使用SDN技术实现流量牵引的原理图 (43) 图五.20基于手工配置的IPS防护模式 (44) 图六.21服务提供者与客户之间的安全控制职责围划分 47图六.22云计算关键领域安全 (50) 图六.23安全咨询服务思路 (51)
数据中心云安全建设方案 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
等保2.0与云安全方案
目录 一、等保2.0时代安全内外环境发生变化 (3) 二、全面布局应对云安全挑战 (4)
一、等保2.0时代安全内外环境发生变化 今年《网络安全法》颁布实施,新修订的网络安全等级保护标准也陆续出台,以适应新技术变化的应用环境,标志着等级保护工作进入到了2.0时代。 与等保 1 . 0 时代不同,当前的信息系统架构更加复杂,新技术不断得到应用,安全威胁也更加强大。因此,2.0版本的等级保护标准采取了更加灵活的模式,通用要求与面向云计算、工业控制、物联网、移动互联网等新技术的扩展要求相结合,为不同的应用场景提供差异化的安全防护最佳实践。在安全能力方面,等级保护2.0标准也提出了更高的要求。一方面,检测深度进一步加强,增加了对未知攻击、内部攻击的检测要求;另一方面,防护能力进一步提升,增加了对无线安全、邮件安全等的防护要求。总之,等级保护2.0是应对当前主要网络安全威胁的重要指导方针。 云计算安全是等级保护2.0的核心内容之一。等级保护2.0对云计算技术的主要安全风险做了分析,并提出了相应的防护要求。可以说,云计算技术正在或已成为当前数据中心建设的核心技术。如何识别云计算技术的安全风险,并将其纳入到数据中心整体风险管理体系,通过一系列的安全治理将其控制到一个可以接受的范围,是当前数据中心建设运营团队的重要关注点。 这样的应用环境对网络安全厂商而言,既是机遇也是挑战。Gartner市场预测提出,全球云安全服务将保持强劲增长势头,整体增速高于信息安全总体市场,一方面是安全合规需求,另一方面就是高端数据泄漏的压力。如何把握时代新需求,调整产品和服务策略,即是当前各网络安全厂商重点考虑的工作重心。
实用文档 数据中心云安全建设方案 2017-3-23
目录 1 项目建设背景 (2) 2 云数据中心潜在安全风险分析 (2) 2.1 从南北到东西的安全 (2) 2.2 数据传输安全 (2) 2.3 数据存储安全 (3) 2.4 数据审计安全 (3) 2.5 云数据中心的安全风险控制策略 (3) 3 数据中心云安全平台建设的原则 (3) 3.1 标准性原则 (3) 3.2 成熟性原则 (4) 3.3 先进性原则 (4) 3.4 扩展性原则 (4) 3.5 可用性原则 (4) 3.6 安全性原则 (4) 4 数据中心云安全防护建设目标 (5) 4.1 建设高性能高可靠的网络安全一体的目标 (5) 4.2 建设以虚拟化为技术支撑的目标 (5) 4.3 以集中的安全服务中心应对无边界的目标 (5) 4.4 满足安全防护与等保合规的目标 (6) 5 云安全防护平台建设应具备的功能模块 (6) 5.1 防火墙功能 (6) 5.2 入侵防御功能 (7) 5.3 负载均衡功能 (7) 5.4 病毒防护功能 (8) 5.5 安全审计 (8) 6 结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
第一章项目基本信息 一、项目概况 (一)项目名称 云安全产品项目 (二)项目选址 某产业基地 场址应靠近交通运输主干道,具备便利的交通条件,有利于原料和产成品的运输,同时,通讯便捷有利于及时反馈产品市场信息。 (三)项目用地规模 项目总用地面积39659.82平方米(折合约59.46亩)。 (四)项目用地控制指标 该工程规划建筑系数79.64%,建筑容积率1.62,建设区域绿化覆盖率6.77%,固定资产投资强度197.38万元/亩。 (五)土建工程指标 项目净用地面积39659.82平方米,建筑物基底占地面积31585.08平方米,总建筑面积64248.91平方米,其中:规划建设主体工程41611.38平方米,项目规划绿化面积4352.77平方米。 (六)设备选型方案
项目计划购置设备共计143台(套),设备购置费4613.94万元。 (七)节能分析 1、项目年用电量946530.68千瓦时,折合116.33吨标准煤。 2、项目年总用水量24296.74立方米,折合2.08吨标准煤。 3、“云安全产品项目投资建设项目”,年用电量946530.68千瓦时, 年总用水量24296.74立方米,项目年综合总耗能量(当量值)118.41吨标准煤/年。达产年综合节能量29.60吨标准煤/年,项目总节能率29.55%, 能源利用效果良好。 (八)环境保护 项目符合某产业基地发展规划,符合某产业基地产业结构调整规划和 国家的产业发展政策;对产生的各类污染物都采取了切实可行的治理措施,严格控制在国家规定的排放标准内,项目建设不会对区域生态环境产生明 显的影响。 (九)项目总投资及资金构成 项目预计总投资17351.62万元,其中:固定资产投资11736.21万元,占项目总投资的67.64%;流动资金5615.41万元,占项目总投资的32.36%。 (十)资金筹措 该项目现阶段投资均由企业自筹。 (十一)项目预期经济效益规划目标