当前位置:
文档之家› 基于等保要求下的云平台安全架构设计
基于等保要求下的云平台安全架构设计
1 基于等保要求的云安全架构设计 2 XX保障云安全的能力介绍
保护云的核心—云操作系统端到端的安全能力
FusionSphere Cloud OS
#
FS安全框架
类别
安全方案
2
应用监控
Keystone Glance
1 Swift
3 Web Portal
Nova
Nova-Compute Driver
OpenStack OM
专线接 入网络
网络身份信任体系
基础网络安全防护 城域网
城
域
汇 聚
城
域
城
核
域
心
汇
聚
云平台安全防护
公共服务
专网服务
应用 系统
数据 交换 平台
Apps
Apps
Win7
Linux
基础云平台
大数 据库
云计算 平台
CA/RA中心
安全态势 管理中心
用户域
接入域
网络域
云中心域
管理域
安全态 势感知 和审计
平台
基于等保要求下构建四位一体的云智能安全体系
用户管理
OpenStack Cinder
Cinder-Volume Driver
保护云的核心—云操作系统端到端的安•• 网 V全L络AN平隔面能离隔离力
异构硬件适配
安全管理
网络安全
• 安全组
• 防IP和MAC仿冒
• DHCP隔离
Heat
• vCPU调度隔离
Neutron
Neutron Plug-in
滥用权限获取信息
云中信息传输的泄密
安全风险
大数据安全风险
数据载体安全
数据库安全缺陷 存储设备安全缺陷
数据自身安全
数据的非授权访问 迁移过程数据泄漏 云中残留的数据安全
等保要求下的云平台通用安全框架
基础安全保障要求
平台承载 数据安全
平台承载 应用安全
网络 安全
主机通用 虚拟主机 终端接入
构建全流程安全能力,提供安全产品
安全能力成为XXDNA的一部分
书
计 划
念概 划计
开发
IPD流程
验证
发布 生命周期
确保产品自身的安全性
原生攻击
高级持续攻击 2013年-棱镜
1.直接接入谷歌、雅
2010年-震网
虎等9家互联网公司
伊朗核设施被攻击, 获取数据
离心机被破坏,已 2.通过入侵骨干路由
被证实美国、以色 列所为 2012年-火焰
器这一网络中枢,获 得以十万计电脑的数
在中东多个国家发 据
现,是迄今发现最 为智能和复杂的病 毒,目的是为了获 取各种情报
Ceilometer Ironic
1 平台安全
虚拟化安全
• 内存隔离 • 内部网络隔离 • 磁盘IO隔离
计算虚拟化 FusionCompute
存储虚拟化 FusionStorage
网络虚拟化 FusionNetwork
数据安全
• 数据访问控制 • 剩余信息保护 • 数据备份 • 控制台密码认证
服务器
外防 内管
可信 可控
云平台 安全
统一网络 安全
网络信任 体系
安全态势 感知审计
• 建立智能隔离、主动防护的云中心
基于虚拟化的智能安全隔离 实现大数据系统的攻击防护和数据保护 采用应用安全网关保护网站、邮件系统等应用系统安全
• 建立全面防御、品质保证的网络安全平台
纵深防御的边界安全防护体系 合理的流量管控保证管道的通畅
• 操作系统加固 • Web安全 • 数据库加固 • 安全补丁
构建独特的云安全能力—全球化云清洗联盟的支撑
10+ 清洗中心
全局智能资源调度
4 大洲
4 10+ 2T+ 大洲,
清洗中心,
云清洗能力
EN
涉足 运营商 市场 20+ 年 在 企业 市场飞速崛起 在 安全 领域有着深厚技术积累
安全不仅仅是技术,安全已成为XX成功的基因
3.监控能力令人震惊, 在机器中植入漏洞来 侵入你的机器
2006
2008
获取经济利益
2010
2013
政治对抗目的
新应用环境下云平台面临的安全风险
网络安全风险
互联网外部威胁
木马-窃取信息 DDos-阻塞网络 APT-盗取情报
联网单位的威胁
蠕虫、木马侵入 P2P等流量滥用 移动、远程接入攻击点增
基于等保要求下的云平台 安全架构设计
1 基于等保要求的云安全架构设计 2 XX保障云安全的能力介绍
新形势下云平台面临新的机遇和挑战
云计算
新计算
大数据
新数据 新的信息化时代
网际空间
新空间
攻击方式的演进给云平台应用发展带来严峻挑战
CIH病毒
1998年 盗版光盘 破坏硬盘数据
爱虫病毒
2000年
电子邮件 传播自身并破坏 数据文件
1998
2000
炫耀技术为目标
冲击波
2003年 利用SQL 2000远 程堆栈缓冲区溢 出漏洞,通过网 络传播公用互联 网络瘫痪
2004
熊猫烧香
2006年 感染系统中的可 执行文件,破坏 系统,并导致局 域网瘫痪,病毒 制造者李俊获利 10多万
木马群
2009年
1.利用第三方应 用程序漏洞挂马 传播、传播自身 2.逐步构建完整 的黑色产业链, 形成从漏洞到病 毒文件的一条龙 服务,攻击成本 大大降低
加
应用安全风险
云计算安全风险
应用外部威胁
计算虚拟化威胁
Web网站被入侵
物理保护边界模糊
操作系统不安全带来的应
虚拟机自身的安全
用威胁
虚拟机迁移的安全
应用平台威胁
虚拟资源被滥用
应用接口代码安全
公共云平台威胁
承载恶意应用带来的风险
云中数据的隐私
使用应用的身份和权限滥 用
• 建立准入管控、安全可信的用户网络访问平台
采用智能NAC技术进行接入认证 采用虚拟专网技术,建立用户业务对的逻辑安全隔离 基于统一的认证与授权体系建立用户业务安全访问平台
• 建立智能感知、威胁可控的安全集中管理平台
通过安全态势感知平台,把控全网安全状况
基于态势感知和威胁联动,及时清除威胁侵袭
存储
网络
为了应对云计算带来的新的安全威胁,XXFusionSphere设计了总体安全 框架。在云平台、运维管理、基础设施层面提供了有效的的安全防护。
2 运维管理安全
运维管理
3
FusionSphere 基础设施安全
基础设施
• 管理员分权分域 • 账号密码管理 • 日志管理 • 传输加密 • 数据库备份
安全
安全
安全
安全运维管理要求
安全态势 感知平台
安全应急 响应平台
安全设备 运维平台
安全审 计 平台
安全支撑平台要求
电子证书
CA平台
RA平台
密码平台
风险评估
云平台安全管理要求
责任边界
管理制度
人员管理
组织机构
配置管理
基于云应用环境下的安全体系设计
内
部 委办局 专
线
用
事业 单位
户
移动 办公
非 专 线
Inter net
