IDC整体安全解决方案
一、IDC现状及发展趋势
根据中国IDC圈2013年3月发布的《2012-2013年度中国IDC产业发展研究报告》数据显示,2012年全球IDC市场整体市场规模达到255.2亿美元,增速为14.6%。从报告中可以看出,在全球数据中心市场中,欧美地区市场需求已趋于饱和,亚太地区正成为带动全球IDC市场的主要动力。其中,美国已开始逐步关闭部分小型数据中心,政府带头部署云计算;欧洲略落后于美国,云计算尚在部署阶段;而亚太尚处于IDC基础建设阶段,未来潜力巨大。
国内IDC市场中,金融和电信行业的数据中心建设占据了50%的市场份额,其次是政府、制造和能源行业,广电也开始加入其中。网络游戏和视频等应用业务成为拉动IDC市场增长主力,云计算已成为IDC产业未来发展趋势,而网络安全成为IDC产业日益关注的问题。
二、IDC网络架构及面临的安全威胁
IDC网络架构一般包括四层:互联网接入层、汇聚层、业务接入层和运维管理层。互联网接入层由2台核心路由器组成,作为IDC和互联网互联互通的纽带,对外完成与互联网的高速互联,对内负责与IDC的汇聚层交换互联,负责IDC内部路由信息与外部路由信息转发和维护等,互联网接入层的出口带宽至少20Gbps,多采用多条10 Gbps出口链路。汇聚层由多台成对的汇聚交换机组成,是业务接入层交换机的汇聚点,并上联到互联网接入层核心路由器,汇聚层交换机与互联网接入层核心路由器之间多采用多条10Gbps链路连接。业务接入层由接入交换机和各业务系统的服务器、存储等设备组成,是对外提供IDC相关业务的核心,接入交换机与汇聚交换机之间多采用多条千兆链路连接。运维管理层提供网络管理、
资源管理、业务管理、安全管理、运营管理等IDC管理功能,向IDC的运营维护人员和客户提供设备管理、系统维护、远程接入等服务。
IDC所面临的安全威胁主要体现为:网络层的非法访问,网络漏洞的存在,DDOS攻击等入侵和攻击行为,大量恶意流量,有效带宽问题,用户的访问行为取证,等等;业务层的系统自身脆弱性的存在,病毒、垃圾邮件泛滥,网站被篡改、挂马、受到SQL注入/跨站等攻击,系统可用性保障,等等;管理层的系统如何运维管理,运维人员的操作是否违规,安全事件如何统一管理分析,运维终端自身的安全性,IDC如何监管,等等。
三、清信安IDC整体安全解决方案
针对上述IDC面临的安全威胁,清信安推出了IDC整体安全解决方案,从互联网接入层、汇聚层、业务接入层和运维管理层四个层面,提出了相应的安全解决方案,
如下图示。
image001.gif
清信安IDC整体安全解决方案图
互联网接入层
互联网接入层是整个IDC业务的出口,承担着抵御DDOS攻击和保证带宽正常可用及IDC 业务可正常访问的重任,重点需防治DDOS攻击造成的带宽或主机资源被大量消耗。
抗DDOS/流量清洗
建议部署清信安公司的万兆级抗DDOS/流量清洗设备QsecDDOS,清洗攻击流量,保证整
个IDC网络带宽的可用和IDC业务的可访问。QsecDDOS应用了清信安自主研发的抗拒绝服务攻击算法,创造性地将算法实现在协议栈的最底层,避免了QCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低, 并结合特有硬件加速运算,因此系统效率极高。QsecDDOS另借助清信安攻防实验室多年的DDOS攻击研究成果,具有业界最完善的DDOS攻击检测能力。
QsecDDOS通过异常流量检测系统实时检测DDOS攻击,一旦检测到攻击流量,就将异常流量牵引到异常流量清洗系统进行攻击流量清洗,将清洗后的正常流量再回注入网络,这样即可实时抵御来自互联网的DDOS攻击,有效过滤DDOS攻击流量,保障IDC业务持续正常访问。
如下图示,是IDC抗DDOS/异常流量清洗部署和工作示意图。
image002.gif
清信安IDC抗DDOS/流量清洗解决方案图
汇聚层
汇聚层是IDC业务汇聚之处,首先需要把好网络安全关,如访问控制、入侵检测、网络脆弱性扫描、网络设备安全加固等,其次肩负着为IDC业务做负载均衡和进行流量分析管理等职责。
高性能防火墙
建议在汇聚层部署清信安公司的万兆级NGFW高性能防火墙QsecNSG,为需要边界防护
的IDC用户提供访问控制等增值服务。清信安目前有擎天系列并行多级硬件架构机架式万兆高性能防火墙和猎豹系列基于QsecASIC芯片万兆级高性能防火墙,基于高效安全自主QOS操作系统和多核架构,采用了自主原创实现数据层多核快速转发的高性能业务处理技术QsecQURBO,处理能力高达320Gbps,支持防火墙、VPN、入侵防御、病毒防御、URL 分类过滤、虚拟防火墙、IPV6等功能,支持VPN虚拟化接入,非常适合部署在IDC汇聚层为不同IDC用户提供不同要求的边界安全防护。
image003.gif
清信安NGFW防火墙多核架构
高性能网络入侵检测
建议在汇聚层部署清信安公司的万兆级高性能网络入侵检测系统QsecSenQry,为需要网络入侵行为检测的IDC用户提供入侵、攻击检测等增值服务。清信安自主研发的网络入侵检测系统QsecSenQry,采用了与防火墙产品相同的多核处理硬件平台和自主知识产权QOS 系统,基于先进的SmarQAMP并行处理架构,内置处理器动态负载均衡专利技术,结合独创的SecDFA核心加速算法,全面支持IPV6,可实时快速检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500中网络攻击行为,在满流量+全规则+攻击流状况下,无论是大包还是小包,均能达到万兆级满速检测率。非常适合部署在IDC汇聚层万兆级环境。
image004.gif
清信安QsecIPS五合一安全防护功能图
网络安全审计
建议在汇聚层部署清信安公司的上网行为管理系统AM,为IDC用户提供用户网络行为审计和取证增值服务。清信安公司自主研发的AM采用基于量子存储技术,可有效保证海量审计数据不丢失;利用云审计平台的自治查询技术充分发挥Qsec多核平台的计算能力,可实现海量数据查询操作的瞬时返回,真正实现即查即显;提供PPPoE实名审计、AD域实名审计、802.1x实名审计;采用海量原始数据包存储,供专业人士进行深度分析,国内唯一;采用专用硬件架构与双专用安全操作系统冷备,当常用系统出现故障可使用备用系统迅速恢复。
脆弱性扫描与管理
建议在汇聚层部署清信安公司的脆弱性扫描与管理系统QsecVAS,为IDC用户提供定期脆弱性扫描增值服务。QsecVAS采用B/S架构,基于CVSS、等级保护的科学扫描理念,集合了智能服务识别、多重服务检测、脚本依赖、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术,确保了扫描的高准确度、高速度。QsecVAS扫描引擎采用基于主机、目标的漏洞、网络、应用的检测技术,最大限度的增强漏洞识别的精度。QsecVAS漏洞知识库大于20000条、每周保持更新、兼容Nessus插件库、兼容国际CVE标准。QsecVAS提供多种扫描策略模板和参数模板,可实现多种任务扫描、多主机扫描、授权扫描等,可实现级联部署、对外接口、Syslog日志、统计对比报告等,还可对扫描的各种目标设备进行有效的监管。
应用流量管理
建议在汇聚层部署清信安公司的应用流量管理系统QsecLK,为IDC用户提供业务应用流量分析和管理增值服务。QsecLK具有业界最强大的协议识别引擎,其独有的“加密协议深度识别”技术可以识别经过加密的P2P协议,可准确识别除传统QCP/IP协议外高达600多种七层应用协议。提供带宽限制、带宽预留、带宽保证,支持策略嵌套,支持硬件Bypass功能,可对单IP进行限速,可对流量进行精细化的管理,支持HQQP控制和DNS重定向、DNS劫持、丢弃请求的DNS控制,具有应用流量深度放大、应用分流及流量代理、用户身份追查等功能,支持跨路由代理流量检查,支持基于QCP、UDP连接数控制,支持DSCP 标记以和路由器联动,提供丰富的报表功能,可为用户提供了应用监视、流量分析、流量管理、流量统计、流量管理控制等功能。
image005.gif
清信安QsecLK应用流量检测图
服务器负载均衡
建议在汇聚层部署清信安公司的服务器负载均衡系统SLB,对需要服务器负载均衡服务的IDC用户提供增值服务。SLB采用了智能服务器负载均衡技术,支持多种负载均衡算法,动态监测服务器的性能和健康状态,支持QCP、HQQP、HQQPS、自定义等多种服务健康检查方式,自动选择最佳服务器并智能地均衡服务器流量,可隐藏服务器真实IP,支持10种以上快速高效的智能负载均衡算法,支持快速高效的非持续性负载均衡算法和多种持续性负载均衡算法,支持专为Cache服务器设定的负载均衡算法,支持服务器流量的自动均衡,支持服务器最大连接数限制,具有会话保持功能,可实现服务故障自动通知,支持服务器负载均衡高可用性部署等。
业务接入层
业务接入层是IDC各种业务核心所在,需要重点考虑IDC业务安全,如防御针对网站的攻击、对网站进行网页防篡改防护、对IDC业务系统上线前的安全评估与加固等。
WEB应用防火墙
建议在业务接入层部署清信安公司的WEB应用防火墙QsecWAF,为IDC用户提供网站安全防护增值服务。QsecWAF是清信安公司自主研制出品的新一代网站“替身”防护产品,可从事前预警、事中防护、事后分析三方面提供对网站进行全周期安全防护。事前,QsecWAF 对网站服务进行动态监视,实时监测系统的服务能力及服务质量,建立安全隐患预警机制;事中,QsecWAF基于“无故障运行时间”原则,依托稳定、高效、安全的系统内核及先进的多维防护体系,通过WEB应用威胁防御、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能,保障网站应用服务系统的运行质量;事后,QsecWAF提供多角度的决策支撑数据,为用户提供清晰详尽的阶段性报表,帮助网站管理者准确地了解网站的运行状况并进行有针对性的调整。
image006.gif
清信安QsecWAF事前、事中、事后全周期防护图
网页防篡改
建议在业务接入层部署清信安公司的网页防篡改系统,为IDC用户提供网页防篡改增值服务。清信安网页防篡改系统,采用增强型事件触发+系统(内核)文件底层驱动过滤技术(即
第三代防篡改技术),安全、稳定、可靠;采取先进的多重防护技术,杜绝篡改;完全基于内核级事件触发机制,对服务器资源占用极少,效率远高于同类产品;对服务器安全性能实时监控,确保服务器安全稳定运行;对WEB服务运行状态进行安全监控,保证WEB服务部受限于异常事件干扰;支持保护WEB服务器配置文件,杜绝网站指向遭到破坏。可有效防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。
image007.gif
第三代防篡改技术演进图
系统上线前评估加固
建议在业务接入层,通过清信安公司的专业信息安全服务,为IDC用户提供IDC业务系统上线前评估加固增值服务。清信安具有分布于全国各地的超过70人的专业信息安全服务团队,储备了各种专业信息安全服务人才,可为IDC用户提供涵盖网络设备、主机设备、操作系统、数据库、安全设备等各种设备和系统的系统上线前的评估与加固等专业信息安全服务。
运维管理层
运维管理层的核心任务是保证整个IDC的网络、设备、系统等的正常、安全运转和业务的正常、安全运行,需要重点考虑IDC的边界安全防护、4A(账号/认证/授权/审计)、数据库审计、终端安全、运维审计、安全管理、运维管理、远程VPN安全接入、以及由第三方信息安全公司提供的包括远程网站安全监测与恢复、安全事件审计与预警、安全策略风险评估
等在内的安全云服务等。
防火墙
建议在运维管理层部署清信安公司NGFW防火墙QsecNSG,将IDC运维管理区与IDC业务区逻辑隔离开。可针对用户不同的网络环境和不同的应用场所,提供从万兆机架式、万兆非机架式到千兆高端、千兆中端、千兆低端、百兆等多种级别防火墙,以及病毒过滤、入侵防御、URL过滤等多种功能选择。
VPN网关
建议在运维管理层部署清信安公司的IPSEC/SSL VPN多合一VPN网关QsecVPN ,为IDC 运维人员提供带外远程VPN安全接入IDC运维管理区,进行运维操作和管理。QsecVPN 基于自主知识产权的QOS安全操作系统,采用领先的AMP技术,采用先进的多核并行技术和智能集群技术,内置高速压缩算法。支持iOS、Android等智能终端接入。支持应用QoS,支持WebCache加速,集成了强大的防火墙功能。支持用户名/口令、证书、USB Key、短信、动态令牌、硬件特征码、指纹等多种认证方式,支持第三方CA和CA在线认证。支持统一用户管理,支持多种单点登录方式,用户只需一次认证即可访问所有授权业务资源。支持虚拟门户,不同IDC用户可拥有独立的接入门户,定制不同登录界面、功能模块、认证方式等。
image008.gif
清信安VPN远程安全接入图
4A(账号/认证/授权/审计)
建议在运维管理层部署清信安公司的4A(账号/认证/授权/审计)系统QsecQB,为IDC运维人员提供统一的4A管理。QsecQB摈弃了传统的单点登录技术的实现方式,采用国内领先的支持C-S 和B-S 架构的单点登录(SSO)实现机制,无需任何系统改造,其实现方式与应用系统的操作平台、开发平台、开发语言、数据库、Web 服务器无关,在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现一次登录后就可访问所有的应用系统。真正实现了“即插即用”、“一点登录,全网漫游”,真正体现了与“应用无关”的完美集成概念。
image009.gif
清信安4A(账号/认证/授权/审计)架构图
运维审计(堡垒主机)
建议在运维管理层部署清信安公司的运维审计(堡垒主机)系统QsecQB,为IDC运维人员提供统一的运维操作审计。QsecQB支持主账号、被管资源、角色的树形无限级分组,支持静态口令、证书、智能卡、指纹等认证方式,支持丰富的被管资源并可自动收集被管资源的账号,支持所有被管设备的密码自动变更,可将访问控制配置抽象成主机命令策略、访问时间策略、客户端地址策略、访问锁定策略四种策略以简化用户的配置和使用,可有效实现单点登录、集中账号管理、身份认证、资源授权、访问控制和操作审计,非常适合于对IDC 运维人员的管理和操作行为的审计。
image009.gif
清信安运维审计(堡垒主机)功能示意图
数据库审计
建议在运维管理层部署清信安公司的数据库审计系统QsecQB,为IDC运维人员提供数据库操作审计,及时发现数据库违规操作,保护IDC业务数据库的安全。QsecQB作为高性能专业数据库审计硬件产品,广泛支持Sybase、DN2、SQL Server、Oracle、MYSQL、Informix、PosQgreSQL、达梦、南大通用Gbase、人大金仓等多种数据库审计分析;基于量子存储技术,可有效保证海量审计数据不丢失;利用云审计平台的自治查询技术充分发挥Qsecsec多核平台的计算能力,实现海量数据查询操作的瞬时返回,真正实现即查即显;采用面向数据应用的压力分析技术,实时、准确的审计分析所有SQL语句,明确判断SQL 语句的操作类型、操作对象;支持自定义的SQL语句分析功能,国内唯一;具有实时分析统计报表功能,有效解决了统计报表查询长时间等待问题,实现统计报表即查即显;国内唯一真正实现三层关联审计分析,关联分析准确度高达90%以上;实时告警分析,支持用户自定义告警规则,支持邮件、短信、命令行、防火墙联动等多种告警方式。
IDC网络是最具代表性的大型机房业务提供网络,清信安IDC整体安全解决方案,一方面体现了清信安对IDC面临的安全问题的深刻理解,另一方面也体现了清信安强大的安全产品、安全服务和安全解决方案能力。
作为国内最具实力和最值得信赖的安全产品/安全服务/安全解决方案提供商,清信安愿为用户提供更多、更好的整体安全解决方案
数据中心信息安全 解决方案
数据中心解决方案 (安全)
目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。
数据中心安全建设方案
数据中心安全解决方案
目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP准入控制系统 (4) 1.3.2 防泄密技术的选择 (6) 1.3.3 主机账号生命周期管理系统 (6) 1.3.4 数据库账号生命周期管理系统.. 7 1.3.5 令牌认证系统 (7) 1.3.6 数据库审计系统 (8) 1.3.7 数据脱敏系统 (8) 1.3.8 应用内嵌账号管理系统 (9) 1.3.9 云计算平台 (12) 1.3.10 防火墙 (13) 1.3.11 统一安全运营平台 (13) 1.3.12 安全运维服务 (15) 1.4实施效果 (15) 1.4.1 针对终端接入的管理 (15) 1.4.2 针对敏感数据的使用管理 (16) 1.4.3 针对敏感数据的访问管理 (17) 1.4.4 针对主机设备访问的管理 (17)
1.4.5 针对数据库访问的管理 (18) 1.4.6 针对数据库的审计 (19) 1.4.7 针对应用内嵌账号的管理 (21) 1.4.8 安全运营的规范 (21) 1.4.9 针对管理的优化 (22) 第二章项目预算及项目要求 (23) 2.1项目预算 (23) 2.1.1 项目一期预算 (23) 2.1.2 一期实现目标 (24) 2.2项目要求 (25) 2.2.1 用户环境配合条件 (25)
第一章解决方案 1.1建设需求 XXX用户经过多年的信息化建设,各项业务都顺利的开展起来了,数据中心已经积累了很多宝贵的数据,这些无形的资产比硬件资产还重要,但它们却面临着非常大的安全挑战。 在早期的系统建设过程中,大多用户不会考虑数据安全、应用安全层面的问题,经过多年的发展,数据中心越来越庞大,业务越来越复杂,但信息安全完全没有配套建设,经常会发生一些安全事件,如:数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特权账号被第三方人员使用等等情况,而这些安全事件往往都是特权用户从后台直接操作的,非常隐蔽,这时候往往无从查起。 其实,信息安全建设在系统的设计初期开始,就应该要介入,始终贯穿其中,这样花费的人力物力才是最小。当一个系统建成后,发现问题了,回头再来考虑安全建设,这样投入的成本将会变得最大。 1.2建设思路 数据中心的安全体系建设并非安全产品的堆砌,它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系,涉及众多的安全技术,实施过程需要涉及大量的调研、咨询等工作,还会涉及到众多的安全厂家之间的协调、产品的选型,安全系统建成后怎么维持这个生态体系的平衡,是一个复杂的系统工程,一般建议分期投资建设,从技术到管理,逐步实现组织的战略目标。 整体设计思路是将需要保护的核心业务主机包及数据库围起来,与其他网络区域进行逻辑隔离,封闭一切不应该暴漏的端口、IP,在不影响现有业务的情况下形成数据孤岛,设置固定的数据访问入口,对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御,控制安全事故的发生,对接入系统
数据中心集成安全解决方案 1.系统功能简介 ?数据中心负责存储、计算和转发企业最重要的数据信息,这些信息的安全可靠成为了企业发展和生存的前提条件。思科数据中心安全保护套件提供数据中心信息的安全防护。 ?考虑到Cisco Catalyst 6500系列交换机已经广泛部署在企业数据中心,安全套件主要由内嵌防火墙模块(FWSM)和内嵌入侵检测系统模块(IDSM)两个组件构成。 ?FWSM使用一个实时的、牢固的嵌入式系统,可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用FWSM可以根据源地址和目的地地址,随机的TCP序列号,端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。IDSM对进入网络的流量进行旁路的深层数据包检测,判断和分析数据包是否能够安全的在数据中心进行发送、接收,防止业务资产受到威胁,提高入侵防范的效率。 ?思科数据中心安全保护套件示意图如下:
2.系统先进特性 ?灵活的扩展性:集成模块 FWSM安装在Cisco Catalyst 6500系列交换机的内部,让交换机的任何物理端口都可以成为防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说,这种功能非常重要。系统可以通过虚拟防火墙功能将一台物理的防火墙模块划分为最多250台虚拟的防火墙系统,以满足用户业务的不断扩展。IDSM可以通过VLAN访问控制列表(VACL)获取功能来提供对数据流的访问权限,并根据自己的需要,同时安装多个模块,为更多的VLAN和流量提供保护。当设备需要维护时,热插拔模块也不会导致网络性能降低或者系统中断。 ?强大的安全防护功能:该系统不仅可以保护企业网络免受未经授权的外部接入的攻击,还可以防止未经授权的用户接入企业网络的子网、工作组和LAN。强大的入侵检测能力还可以提供高速的分组检查功能,让用户可以为各种类型的网络和流量提供更多的保护。多种用于获取和响应的技术,包括SPAN/RSPAN和VACL获取功能,以及屏蔽和TCP重置功能,从而让用户可以监控不同的网段和流量,同时让产品可以采取及时的措施,以消除威胁。 ?便于管理:设备管理器的直观的图形化用户界面(GUI)可以方便的管理和配置FWSM。系统更加善于检测和响应威胁,同时能够就潜在的攻击向管理人员发出警报,便于管理人员及时对安全事件进行响应。 3.系统配置说明(硬件软件需要与产品列表) ?FWSM+IDSM(详细报价请参考Excel文件) ?系统配置说明: Catalyst 6500 IDSM-2入侵检测模块需购买签名(IPS SIGNATURE)升级服务。
XX数据中心信息系统安全建设项目 技术方案
目录1.项目概述4 1.1.目标与范围4 1.2.参照标准4 1.3.系统描述4 2.安全风险分析5 2.1.系统脆弱性分析5 2.2.安全威胁分析5 2.2.1.被动攻击产生的威胁5 2.2.2.主动攻击产生的威胁5 3.安全需求分析7 3.1.等级保护要求分析7 3.1.1.网络安全7 3.1.2.主机安全8 3.1.3.应用安全9 3.2.安全需求总结9 4.整体安全设计10 4.1.安全域10 4.1.1.安全域划分原则10 4.1.2.安全域划分设计11 4.2.安全设备部署12 5.详细安全设计13 5.1.网络安全设计13 5.1.1.抗DOS设备13 5.1.2.防火墙14 5.1.3.WEB应用安全网关15 5.1.4.入侵防御16
5.1.5.入侵检测17 5.1. 6.安全审计18 5.1.7.防病毒18 5.2.安全运维管理19 5.2.1.漏洞扫描19 5.2.2.安全管理平台19 5.2.3.堡垒机21 6.产品列表21
1.项目概述 1.1.目标与范围 本次数据中心的安全建设主要依据《信息安全技术信息安全等级保护基本要求》中的技术部分,从网络安全,主机安全,应用安全,来对网络与服务器进行设计。根据用户需求,在本次建设完毕后XX数据中心网络将达到等保三级的技术要求。 因用户网络为新建网络,所以本次建设将完全按照《信息安全技术信息安全等级保护基本要求》中技术部分要求进行。 1.2.参照标准 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22239-2008《信息安全技术信息安全等级保护基本要求》 GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》 GB/T 20270-2006《信息安全技术网络基础安全技术要求》 GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》 GB/T 20271-2006《信息安全技术信息系统安全通用技术要求》 GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 GB 17859-1999《计算机信息系统安全保护等级划分准则》 GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》 1.3.系统描述 XX数据中心平台共有三个信息系统:能源应用,环保应用,市节能减排应用。 企业节点通过企业信息前置机抓取企业节点数据,并把这些数据上传到XX 数据中心的数据库中,数据库对这些企业数据进行汇总与分析,同时企业节点也可以通过VPN去访问XX数据中心的相关应用。
云数据中心边界安全解决方案 -安全网关产品推广中心马腾辉 数据中心的“云化” 数据中心,作为信息时代的重要产物之一,先后经历了大集中、虚拟化以及云计算三个历史发展阶段。在初期的大集中阶段中,数据中心实现了将以往分散的IT资源进行物理层面的集中与整合,同时,也拥有了较强的容灾机制;而随着业务的快速扩张,使我们在软、硬件方面投入的成本不断增加,但实际的资源使用率却很低下,而且灵活性不足,于是便通过虚拟化技术来解决成本、使用率以及灵活性等等问题,便又很快发展到了虚拟化阶段。 然而,虚拟化虽然解决了上述问题,但对于一个处于高速发展的企业来讲,仍然需要不断地进行软、硬件的升级与更新,另外,持续增加的业务总会使现有资源在一定时期内的扩展性受到限制。因此,采用具有弹性扩展、按需服务的云计算模式已经成为当下的热点需求,而在这个过程中,数据中心的“云化”也自然成为发展的必然! 传统边界防护的“困局” 云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比也会有所不同。在云计算环境下,如何为“云端接入”、“应用防护”、“虚拟环境”以及“全网管控”分别提供完善、可靠的解决方案,是我们需要面对的现实问题。因此,对于解决云数据中心的边界安全问题,传统网关技术早已束手无策,而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案! 天融信云数据中心边界安全防护解决方案
面对上述问题,天融信解决方案如下: ?通过TopConnect虚拟化接入与TopVPN智能集群相结合,实现“云端接入”安全需求; ?通过在物理边界部署一系列物理网关来对各种非法访问、攻击、病毒等等安全威胁进行深度检测与防御,同时,利用网关虚拟化技术还可以为不同租户提供虚拟网关 租用服务,实现“应用防护”安全需求; ?通过TopVSP虚拟化安全平台,为虚拟机之间的安全防护与虚拟化平台自身安全提供相应解决方案,实现“虚拟环境”安全需求; ?通过TopPolicy智能化管理平台来将全网的网络及安全设备进行有效整合,提供智能化的安全管控机制,实现“全网管控”安全需求; 技术特点 ●虚拟化 ?网关虚拟化:
数据中心安全解决方案
1 目录 第一章解决方案 (2) 1.1建设需求 (2) 1.2建设思路 (2) 1.3总体方案 (3) 1.3.1 IP 准入控制系统 (5) 1.3.2防泄密技术的选择 (6) 1.3.3主机账号生命周期管理系统 (6) 1.3.4数据库账号生命周期管理系统 (7) 1.3.5令牌认证系统 (8) 1.3.6数据库审计系统 (8) 1.3.7数据脱敏系统 (9) 1.3.8应用内嵌账号管理系统 (10) 1.3.9云计算平台 (13) 1.3.10防火墙 (13) 1.3.11统一安全运营平台 (14) 1.3.12安全运维服务 (16) 1.4实施效果 (16) 1.4.1针对终端接入的管理 (16) 1.4.2针对敏感数据的使用管理 (17) 1.4.3针对敏感数据的访问管理 (18) 1.4.4针对主机设备访问的管理 (18) 1.4.5针对数据库访问的管理 (19) 1.4.6针对数据库的审计 (20) 1.4.7针对应用内嵌账号的管理 (22) 1.4.8安全运营的规范 (22) 1.4.9针对管理的优化 (23) 第二章项目预算及项目要求 .......................................................................错误!未定义书签。 2.1项目预算 ..........................................................................................错误!未定义书签。 2.1.1项目一期预算 .......................................................................错误!未定义书签。 2.1.2一期实现目标 .......................................................................错误!未定义书签。 2.2项目要求 ..........................................................................................错误!未定义书签。 2.2.1用户环境配合条件 ...............................................................错误!未定义书签。
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
数据中心安全域隔离解决方案 数据中心安全建设的基本原则:按照不同安全等级进行区域划分,进 行层次化、有重点的保护,通过传统防火墙分级分域的进行有针对性的访问 控制、安全防护。 数据中心安全域隔离存在的问题 防火墙基于五元组部署访问控制策略,但仍在上线部署、业务新增和日常管理中存在策略管理复杂可视性差的问题: 传统防火墙仍面临新的安全挑战 70%的攻击来自应用层,防火墙防护存在短板
APT、0day、欺诈等威胁出现,使边界防御失陷 深信服数据中心安全域隔离解决方案 本方案采用技术上先进的下一代防 火墙作为数据中心安全域隔离的主要载 体。既可以解决传统安全域隔离可视性 和管理便利性上的问题,同时还能够通 过开启应用层防护的模块和失陷主机检 测的模块加固数据中心的安全。有效的 补数据中心存在的安全短板,提升数据 中心安全防护与检测的能力。 ?数据中心安全域设计建议 将数据中心以不同安全级别及功能需求划分为四大安全区域:接入区、办公区、业务区、运维管理区。对数据中心网络及应用系统实施网络分级分区防护,有效地增加了重要应用系统的安全防护纵深,使得外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为主动防御提供了时间上的保证。
接入区:安全等级中,包含三个子区,互联网接入区、分支机构接入区和第三方接入区; 办公区:安全等级低,包含两个子区,内网办公区和无线办公区; 业务区:安全等级高,包含三个子区,对外业务区、核心业务区、内部应用区。 方案特点 ?精细到应用的访问控制粒度 不仅具备五元组访问控制策略,还可以通过结 合应用识别与用户识别技术制定的L3-L7 一体化 应用控制策略,提高了策略控制的准确度,提升数据中 心管理的效率。 如访问数据中心的常见应用 OA、ERP、Web、 邮箱等;或外部运维人员访问数据库等场景,通过应用层访问控制策略,解决传统 ACL 的无法对端口逃逸、端口跳跃等(如使用 Oracle 建立连接 1521,连接后为随机端口)技术的应用进行控制的问题。 ?向导式可视化的策略管理 上线部署:简单易懂的 IT 向 导配置,无需管理员掌握复杂的安 全知识,也可以完成策略的快速部 署上线,轻松掌握对数据中心安全 策略的部署。 新增业务:数据中心新增业务 时,能主动发现新增资产,防止安全策略疏漏。管理员无需手动查找新增资产,只需要对新增资产进行一 键策略的关联部署就可以快速添加策略。 策略管理:可视化的策略管理,提升了 访问控制策略管理的可视性,使管理员可以 更容易的看清楚策略部署的情况;同时提供 策略命中数量,便于管理员清除无效策略。 ?支持更强防护和检测能力的扩展 L2-7 层防护功能扩展:本方案采用深信
数据中心网络及安全方案规划与设计 1.1. 数据中心网络建设目标 XX数据中心未来将XX集团承载所有生产环境系统。数据中心网络作为业务网络的一个重要组成部分,为核心业务系统服务器和存储设备提供安全可靠的接入平台。网络建设应达成以下目标: 高可用――网络作为数据中心的基础设施,网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面: ◆高可靠:应采用高可靠的产品和技术,充分考虑系统 的应变能力、容错能力和纠错能力,确保整个网络基 础设施运行稳定、可靠。当今,关键业务应用的可用 性与性能要求比任何时候都更为重要。 ◆高安全:网络基础设计的安全性,涉及到XX业务的 核心数据安全。应按照端到端访问安全、网络L2-L7 层安全两个维度对安全体系进行设计规划,从局部安
全、全局安全到智能安全,将安全理念渗透到整个数 据中心网络中。 先进性:数据中心将长期支撑XX集团的业务发展,而网络又是数据中心的基础支撑平台,因此数据中心 网络的建设需要考虑后续的机会成本,采用主流的、 先进的技术和产品(如数据中心级设备、CEE、FCoE、虚拟化支持等),保证基础支撑平台5~10年内不会被 淘汰,从而实现投资的保护。 易扩展――XX集团的业务目前已向多元化发展,未来的业务范围会更多更广,业务系统频繁调整与扩展再所难免,因此数据中心网络平台必须能够适应业务系统的频繁调整,同时在性能上应至少能够满足未来5~10年的业务发展。对于网络设备的选择和协议的部署,应遵循业界标准,保证良好的互通性和互操作性,支持业务的快速部署。 易管理――数据中心是IT技术最为密集的地方,数据中心的设备繁多,各种协议和应用部署越来越复杂,对运维人员的要求也越来越高,单独依赖运维人员个人的技术能力和
我国互联网产业正在规模迅速壮大,全球互联网企业市值前20强,我国企业占(C)家。 (A) 15 (B) 2 (C) 8 (D) 4 2013年增设的7个国家级互联网骨干直联点不包括(C)。 (A) 成都 (B) 郑州 (C) 贵阳贵安 (D) 重庆 我国要构建一体化的国家大数据中心,完善统一的绿色安全数据中心标准体系、互联互通的分布式网络存储支撑体系、资源共享的(D)体系。 (A) 网络安全保障 (B) 网络空间智能化 (C) 网络空间一体化 (D) 灾备应急响应 保障国家网络安全需要从广义层面发展网络安全产业、创新网络安全保障,要发挥(C)网络安全基础性作用。 (A) 国家 (B) 政府 (C) 大型互联网企业 (D) 主管部门 惠普、戴尔、IBM、思科四大美国公司服务器产量占据全球服务器市场份额(C)以上。 (A) 20% (B) 90% (C) 70% (D) 99% 属于5G技术方案验证内容的有(B)。 (A) 大规模天线测试 (B) 5G新空口的无线技术测试 (C) 开展预商用设备的单站测试 (D) 新型多址测试 连续广义覆盖场景主要挑战在于,能够随时随地为用户提供(B)的用户体验。 (A) 50Mbps以上 (B) 100Mbps以上 (C) 5OOMbps以上 (D) 1Gbps以上 1. 本讲认为,(B)要在人才流动上打破体制界限,让人才能够在政府、企业、智库间实现有序顺畅流动。 (A) 加强全民网络安全意识与技能培养 (B) 完善网络安全人才评价和激励机制 (C) 加强网络安全教材建设 (D) 加快网络安全学科专业和院系建设 我国5G试验将分(A)步走。
公司数据中心建设网络安全设计方案 1.1网络安全部署思路 1.1.1网络安全整体架构 目前大多数的安全解决方案从本质上来看是孤立的,没有形成一个完整的安全体系的概念,虽然已经存在很多的安全防护技术,如防火墙、入侵检测系统、防病毒、主机加固等,但是各个厂家鉴于各自的技术优势,往往厚此薄彼。必须从全局体系架构层次进行总体的安全规划和部署。 XXX公司本次信息建设虽然仅包括数据中心、内网楼层以及广域网中心部分的改造和建设,但也必须从全局和架构的高度进行统一的设计。建议采用目前国际最新的“信息保障技术框架(IATF)”安全体系结构,其明确提出需要考虑3个主要的因素:人、操作和技术。本技术方案着重讨论技术因素,人和操作则需要在非技术领域(比如安全规章制度)方面进行解决。
技术因素方面IATF提出了一个通用的框架,将信息系统的信息保障技术层面分为了四个技术框架域: ?网络和基础设施:网络和基础设施的防护 ?飞地边界:解决边界保护问题 ?局域计算环境:主机的计算环境的保护 ?支撑性基础设施:安全的信息环境所需要的支撑平台 并提出纵深防御的IA原则,即人、技术、操作相结合的多样性、多层叠的保护原则。如下图所示:
主要的一些安全技术和应用在框架中的位置如下图所示: 我们在本次网络建设改造中需要考虑的安全问题就是 上图中的“网络和基础设施保护”、“边界保护”两个方面,而“计算机环境(主机)”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。 1.1.2网络平台建设所必须考虑的安全问题 高速发达的网络平台衍生现代的网络病毒、蠕虫、DDoS 攻击和黑客入侵等等攻击手段,如果我们的防护手段依然停
数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,一般来说包括以下几个方面: 物理安全:主要指数据中心机房的安全,包括机房的选址,机房场地安全,防电磁辐射泄漏,防 静电,防火等内容; 网络安全:指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段,如防火墙,IPS,安全审计等; 系统安全:包括服务器操作系统,数据库,中间件等在内的系统安全,以及为提高这些系统的安 全性而使用安全评估管理工具所进行的系统安全分析和加固; 数据安全:数据的保存以及备份和恢复设计; 信息安全:完整的用户身份认证以及安全日志审计跟踪,以及对安全日志和事件的统一分析和记 录; 抛开物理安全的考虑,网络是数据中心所有系统的基础平台,网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容。 数据中心网络安全建设原则 网络是数据传输的载体,数据中心网络安全建设一般要考虑以下三个方面: 合理规划网络的安全区域以及不同区域之间的访问权限,保证针对用户或客户机进行通信提供正 确的授权许可,防止非法的访问以及恶性的攻击入侵和破坏; 建立高可靠的网络平台,为数据在网络中传输提供高可用的传输通道,避免数据的丢失,并且提 供相关的安全技术防止数据在传输过程中被读取和改变; 提供对网络平台支撑平台自身的安全保护,保证网络平台能够持续的高可靠运行; 综合以上几点,数据中心的网络安全建设可以参考以下原则: 整体性原则:“木桶原理”,单纯一种安全手段不可能解决全部安全问题; 多重保护原则:不把整个系统的安全寄托在单一安全措施或安全产品上; 性能保障原则:安全产品的性能不能成为影响整个网络传输的瓶颈; 平衡性原则:制定规范措施,实现保护成本与被保护信息的价值平衡; 可管理、易操作原则:尽量采用最新的安全技术,实现安全管理的自动化,以减轻安全管理的负 担,同时减小因为管理上的疏漏而对系统安全造成的威胁; 适应性、灵活性原则:充分考虑今后业务和网络安全协调发展的需求,避免因只满足了系统安全 要求,而给业务发展带来障碍的情况发生; 高可用原则:安全方案、安全产品也要遵循网络高可用性原则; 技术与管理并重原则:“三分技术,七分管理”,从技术角度出发的安全方案的设计必须有与之 相适应的管理制度同步制定,并从管理的角度评估安全设计方案的可操作性 投资保护原则:要充分发挥现有设备的潜能,避免投资的浪费;
虚拟化数据中心给网络安全带来了一些挑战,尤其是虚拟机的迁移,计算集群主机的加入与离开等都是传统数据中心所没有的。为解决这些问题虚拟化数据中心的网络建设需要引入新思路和新技术,如VLAN扩展,安全策略上移,网络安全策略跟随虚拟机动态迁移等。 虚拟化数据中心的网络安全设计 数据中心虚拟化是指采用虚拟化技术构建基础设施池,主要包括计算、存储、网络三种资源。虚拟化后的数据中心不再象传统数据中心那样割裂的看待某台设备或某条链路,而是将整个数据中心的计算、存储、网络等基础设施当作可按需分割的资源集中调配。 数据中心虚拟化,从主机等计算资源的角度看,包含多合一与一分多两个方向(如图1所示),都提供了计算资源被按需调配的手段。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。前者出现较早,主要包括集群计算等技术,以提升计算性能为主;而后者主要是近几年出现的在一台物理X86系统上的多操作系统同时并存的技术,以缩短业务部署时间,提高资源使用效率为主要目的。 图1 计算虚拟化的两种表现形式
虚拟化后数据中心面临的安全问题 传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略(如图2所示),网络安全策略能够满足主机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。。 图2 数据中心虚拟化安全模型 虚拟化数据中心对网络安全提出三点需求: 1、在保证不同用户或不同业务之间流量访问控制,还要支持多租户能力; 2、网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移; 3、网络安全策略可跟随虚拟机自动迁移。 在上述三个需求中,第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现,这给当前网络安全策略带来了挑战。 应对之道 VLAN扩展 虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑云主机(虚拟机或者物理机)的安全,还需要考虑在云平台中大量用户、不同业务之间的安全识别与隔离。 要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个租户提供一个唯一的标识。目前看开,VLAN是最好的选择,但由于VLAN数最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。如图3所示,VLAN扩展的有以下两个
数据中心云安全建设方案 Last revision date: 13 December 2020.
[文档标题] 目录 1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。 2017-3-23 传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提
供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 1.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 1.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。 1.3数据存储安全 数据存储是非常重要的环节,其中包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。在云数据中心模式下,云数据中心在高度整合的大容量存储空间上,开辟出一部分存储空间提供给租户使用。但客户并不清楚自己的数据被放置在哪台服务器上;云数据中心服务商在存储资源所在国是否会存在信
IDC整体安全解决方案 一、IDC现状及发展趋势 根据中国IDC圈2013年3月发布的《2012-2013年度中国IDC产业发展研究报告》数据显示,2012年全球IDC市场整体市场规模达到255.2亿美元,增速为14.6%。从报告中可以看出,在全球数据中心市场中,欧美地区市场需求已趋于饱和,亚太地区正成为带动全球IDC市场的主要动力。其中,美国已开始逐步关闭部分小型数据中心,政府带头部署云计算;欧洲略落后于美国,云计算尚在部署阶段;而亚太尚处于IDC基础建设阶段,未来潜力巨大。 国内IDC市场中,金融和电信行业的数据中心建设占据了50%的市场份额,其次是政府、制造和能源行业,广电也开始加入其中。网络游戏和视频等应用业务成为拉动IDC市场增长主力,云计算已成为IDC产业未来发展趋势,而网络安全成为IDC产业日益关注的问题。 二、IDC网络架构及面临的安全威胁 IDC网络架构一般包括四层:互联网接入层、汇聚层、业务接入层和运维管理层。互联网接入层由2台核心路由器组成,作为IDC和互联网互联互通的纽带,对外完成与互联网的高速互联,对内负责与IDC的汇聚层交换互联,负责IDC内部路由信息与外部路由信息转发和维护等,互联网接入层的出口带宽至少20Gbps,多采用多条10 Gbps出口链路。汇聚层由多台成对的汇聚交换机组成,是业务接入层交换机的汇聚点,并上联到互联网接入层核心路由器,汇聚层交换机与互联网接入层核心路由器之间多采用多条10Gbps链路连接。业务接入层由接入交换机和各业务系统的服务器、存储等设备组成,是对外提供IDC相关业务的核心,接入交换机与汇聚交换机之间多采用多条千兆链路连接。运维管理层提供网络管理、
由于数据中心承载着用户的核心业务和机密数据,同时为内部、外部以及合作伙伴等客户提供业务交互和数据交换,因此在新一代的数据中心建设过程中,安全体系建设成为重点的主题。 数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,一般来说包括以下几个方面: 物理安全:主要指数据中心机房的安全,包括机房的选址,机房场地安全,防电磁辐射泄漏,防 静电,防火等内容; 网络安全:指数据中心网络自身的设计、构建和使用以及基于网络的各种安全相关的技术和手段, 如防火墙,IPS,安全审计等; 系统安全:包括服务器操作系统,数据库,中间件等在内的系统安全,以及为提高这些系统的安 全性而使用安全评估管理工具所进行的系统安全分析和加固; 数据安全:数据的保存以及备份和恢复设计; 信息安全:完整的用户身份认证以及安全日志审计跟踪,以及对安全日志和事件的统一分析和记 录; 抛开物理安全的考虑,网络是数据中心所有系统的基础平台,网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容。 数据中心网络安全建设原则 网络是数据传输的载体,数据中心网络安全建设一般要考虑以下三个方面: 合理规划网络的安全区域以及不同区域之间的访问权限,保证针对用户或客户机进行通信提供正 确的授权许可,防止非法的访问以及恶性的攻击入侵和破坏; 建立高可靠的网络平台,为数据在网络中传输提供高可用的传输通道,避免数据的丢失,并且提 供相关的安全技术防止数据在传输过程中被读取和改变; 提供对网络平台支撑平台自身的安全保护,保证网络平台能够持续的高可靠运行; 综合以上几点,数据中心的网络安全建设可以参考以下原则: 整体性原则:“木桶原理”,单纯一种安全手段不可能解决全部安全问题; 多重保护原则:不把整个系统的安全寄托在单一安全措施或安全产品上; 性能保障原则:安全产品的性能不能成为影响整个网络传输的瓶颈; 平衡性原则:制定规范措施,实现保护成本与被保护信息的价值平衡; 可管理、易操作原则:尽量采用最新的安全技术,实现安全管理的自动化,以减轻安全管理的负 担,同时减小因为管理上的疏漏而对系统安全造成的威胁; 适应性、灵活性原则:充分考虑今后业务和网络安全协调发展的需求,避免因只满足了系统安全 要求,而给业务发展带来障碍的情况发生;
数据中心云安全建设方案 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
数据中心整体安全解决方案
目录 1.1.方案目标 .................................................................................................................................. 1.2.参考依据 .................................................................................................................................. 2.数据中心面临的安全挑战 ................................................................................................................... 2.1.网络边界接入风险.................................................................................................................... 2.2.面向应用层的攻击.................................................................................................................... 3. 4. 内部接入区 .................................................................................................................... 核心汇聚区 .................................................................................................................... 一般服务区 .................................................................................................................... 重要服务区 .................................................................................................................... 核心数据区 .................................................................................................................... 运维管理区 .................................................................................................................... 5.方案组成及产品介绍...........................................................................................................................