2020數(shù)據(jù)中心云基礎(chǔ)設(shè)施資源安全防護(hù)

數(shù)據(jù)中心云基礎(chǔ)設(shè)施資源安全防護(hù)關(guān)于云IaaS的安全思考目錄一、數(shù)據(jù)中心的演變二、云基礎(chǔ)設(shè)施的安全需求三、云基礎(chǔ)設(shè)施資源安全建設(shè)理念四、云安全產(chǎn)品的選擇建議五、實(shí)踐案例分享三則傳統(tǒng)數(shù)據(jù)中心向云數(shù)據(jù)中心的演變提動(dòng)資源的動(dòng)態(tài)伸縮提供彈性的計(jì)算能力和計(jì)費(fèi)提供泛在接入，按需自助服務(wù)完全不用操心物理設(shè)備網(wǎng)絡(luò)邊界是模糊的、資源是池化的責(zé)任共擔(dān)提供IP/寬帶/VPN/電力提供安裝/調(diào)試/監(jiān)控/溫濕控制提供服務(wù)器/存儲(chǔ)/咨詢/托管提供自動(dòng)化的管理和監(jiān)控設(shè)備是物理托管的/自建自有的網(wǎng)絡(luò)邊界是清晰的、資源獨(dú)立責(zé)任相對清晰云數(shù)據(jù)中心：支持云計(jì)算服務(wù)的數(shù)據(jù)中心云基礎(chǔ)設(shè)施：由硬件資源和資源抽象控制組件構(gòu)成的支撐云計(jì)算的基礎(chǔ)設(shè)施，包括為云服務(wù)客戶提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全資源所需的軟硬件設(shè)備及云管理平臺(tái)數(shù)據(jù)中心基礎(chǔ)設(shè)施的物理安全需求房間隔離適合規(guī)模：200機(jī)柜以上獨(dú)立機(jī)房模塊可采用定制化設(shè)計(jì)單獨(dú)門禁權(quán)限管理全面監(jiān)控，環(huán)境監(jiān)控平臺(tái)全方位覆蓋基礎(chǔ)環(huán)境、安防監(jiān)控，及人員權(quán)限和出入記錄管理傳統(tǒng)場地安全的風(fēng)、火、水、電、雷、震、磁等。物理隔離，機(jī)房內(nèi)獨(dú)享物理區(qū)域與設(shè)備隔離，滿足行業(yè)最高隔離級(jí)別要求柵欄隔離適合規(guī)模：50-200機(jī)柜冷通道隔離＋鋼網(wǎng)隔離/玻璃墻隔離隔離靈活性強(qiáng)，可按需求進(jìn)行分區(qū)單獨(dú)門禁權(quán)限管理機(jī)柜隔離適合規(guī)模：小于50機(jī)柜冷通道隔離+機(jī)柜門鎖隔離機(jī)柜門鎖可采用鑰匙、門禁卡、指紋等措施隔離動(dòng)力環(huán)境探測配電、濕度、空調(diào)等基礎(chǔ)環(huán)境“風(fēng)火水電”狀態(tài)實(shí)時(shí)監(jiān)控報(bào)警場地安防監(jiān)控7x24

視頻監(jiān)控，錄像保留>90天機(jī)房監(jiān)控?zé)o死角，完全滿足國標(biāo)GB50174數(shù)據(jù)中心設(shè)計(jì)標(biāo)準(zhǔn)人員訪問控制內(nèi)部門禁權(quán)限清單每月審查更新，外部訪問嚴(yán)格管控保留>1年進(jìn)出記錄云數(shù)據(jù)中心在物理和環(huán)境安全方面，需求和要求都更加精細(xì)化數(shù)據(jù)中心云基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的安全需求云基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性安全需求驅(qū)動(dòng)力驅(qū)動(dòng)1：面臨不確定的安全威脅導(dǎo)致事故和災(zāi)難等業(yè)務(wù)可用性中斷，也包括數(shù)據(jù)丟失的威脅。驅(qū)動(dòng)2：業(yè)務(wù)流程與IT流程互相依賴，客戶與服務(wù)商風(fēng)險(xiǎn)共擔(dān)，應(yīng)用和數(shù)據(jù)、基礎(chǔ)設(shè)施互依賴性疊加。驅(qū)動(dòng)3：規(guī)劃、實(shí)現(xiàn)、驗(yàn)證并評估信息安全的連續(xù)性控制有效，且不利情況同樣有效。確定連續(xù)性宏觀目標(biāo)選擇成本與風(fēng)險(xiǎn)的平衡點(diǎn)選擇關(guān)鍵技術(shù)路線明確連續(xù)性計(jì)劃關(guān)鍵指標(biāo)制定連續(xù)性恢復(fù)計(jì)劃數(shù)據(jù)中心云基礎(chǔ)設(shè)施的安全合規(guī)要求通用合規(guī)要求網(wǎng)絡(luò)安全等級(jí)保護(hù)商用密碼應(yīng)用安全性評估行業(yè)合規(guī)需求政務(wù)：可信云服務(wù)認(rèn)證醫(yī)療：HIPAA金融：PCI

DSS基于云計(jì)算的安全責(zé)任共擔(dān)模型，云數(shù)據(jù)中心基礎(chǔ)設(shè)施的安全合規(guī)要求與客戶緊密捆綁。云基礎(chǔ)設(shè)施不合規(guī)，影響用戶的合規(guī)用戶的合規(guī)，依賴于云基礎(chǔ)設(shè)施合規(guī)責(zé)任IaaSPaaSSaaS數(shù)據(jù)分類和責(zé)任終端和結(jié)點(diǎn)保護(hù)身份和訪問管理應(yīng)用級(jí)控制網(wǎng)絡(luò)控制主機(jī)基礎(chǔ)設(shè)施物理和環(huán)境安全云安全責(zé)任共擔(dān)模型租戶云服務(wù)數(shù)據(jù)中心云基礎(chǔ)設(shè)施的安全防護(hù)需求云數(shù)據(jù)中心架構(gòu)安全可信連接互依賴性涉密/保密數(shù)據(jù)/共享/傳輸司法管轄權(quán)中小企業(yè)-云數(shù)據(jù)中心√大型企業(yè)-云數(shù)據(jù)中心√√√特殊機(jī)構(gòu)-云數(shù)據(jù)中心√√全球-云數(shù)據(jù)中心√√√√云基礎(chǔ)設(shè)施資源身份和訪問審計(jì)監(jiān)控和預(yù)警惡意代碼資源控制特權(quán)和運(yùn)維數(shù)據(jù)流√√API接口√√√端口/協(xié)議/服務(wù)/線路√√云工作負(fù)載√√√√網(wǎng)絡(luò)及架構(gòu)√√√不同類型的云數(shù)據(jù)中心在安全方面的重點(diǎn)考慮方向和設(shè)計(jì)要點(diǎn)有所不同不同類型的云基礎(chǔ)設(shè)施資源在安全方面的安全要求實(shí)現(xiàn)重點(diǎn)優(yōu)先級(jí)有所不同物理需求連續(xù)性需求合規(guī)要求安全防護(hù)需求云基礎(chǔ)設(shè)施資源安全建設(shè)理念安全體系化和安全能力化是云基礎(chǔ)設(shè)施資源安全建設(shè)的“一體兩翼”以安全體系建設(shè)滿足用戶需求為導(dǎo)向以安全能力內(nèi)嵌云基礎(chǔ)設(shè)施、沉淀于云工具/平臺(tái)為引領(lǐng)平臺(tái)側(cè)安全體系和用戶側(cè)安全體系”三同步”平臺(tái)側(cè)圍繞攻防對抗、特權(quán)管控為重點(diǎn)內(nèi)容用戶側(cè)以默認(rèn)安全、增值安全為核心要素云安全治理框

架合

規(guī)

性

/

法

律

法

規(guī)

符

合

性云資產(chǎn)安

全云

物

理

與

環(huán)

境

安

全云

安

全

組

織

/

云

安

全

治

理

委

員

會(huì)人力資源安全訪問控制云安全運(yùn)營云網(wǎng)絡(luò)安全軟件開發(fā)全生命周期云數(shù)據(jù)安全/安全事件

應(yīng)急響應(yīng)云供應(yīng)商安全個(gè)人隱私安全云業(yè)務(wù)連續(xù)性云審計(jì)稽核動(dòng)態(tài)縱深防御能力、安全能力集成和安全服務(wù)化能力“共生共榮“夯實(shí)動(dòng)態(tài)安全縱深防御，打好基礎(chǔ)底座持續(xù)安全能力集成，提升/完善為長期目標(biāo)以安全服務(wù)化為窗口輸出，堅(jiān)持內(nèi)外兼修注：三同步：同步規(guī)劃、同步建設(shè)、同步運(yùn)行。云基礎(chǔ)設(shè)施資源安全建設(shè)技術(shù)實(shí)踐云WAFWeb漏洞掃描多因子認(rèn)證數(shù)據(jù)加密脫敏CA證書1111010代碼檢測數(shù)據(jù)審計(jì)NGFW抗DDoSNIPS防病毒墻SandboxNTA動(dòng)態(tài)安全縱深防御智能安全分析/

驗(yàn)證能力集成決策引擎策略集威脅檢測關(guān)聯(lián)分析智能模型離線分析在線分析安全運(yùn)營/

調(diào)度能力集成業(yè)務(wù)安全變更管理配置管理工單管理應(yīng)急響應(yīng)日志湖……智能監(jiān)控……安全服務(wù)化……APTAPT監(jiān)測……云基礎(chǔ)設(shè)施資源的安全運(yùn)營實(shí)踐建立統(tǒng)一云安全運(yùn)營中心，數(shù)字化安全運(yùn)營，具備主動(dòng)安全防護(hù)、智能監(jiān)控分析、終端管控、應(yīng)急響應(yīng)等科學(xué)框架體系和持續(xù)運(yùn)營能力7X24小時(shí)安全監(jiān)控，提升漏洞修復(fù)率和應(yīng)急響應(yīng)與事件處理時(shí)效。實(shí)現(xiàn)對“多地多中心”做到全面防護(hù)覆蓋、全面檢測有效、全面抽查驗(yàn)證、全面定期審計(jì)。高/特權(quán)運(yùn)維賬號(hào)操作的監(jiān)控和及時(shí)消息推送，運(yùn)維審計(jì)，發(fā)揮運(yùn)維身份鑒別、賬號(hào)管控、操作審計(jì)等功能，對運(yùn)維操作進(jìn)行全程紀(jì)錄與監(jiān)控，及時(shí)審計(jì)完備的數(shù)據(jù)庫審計(jì)和日志審計(jì)機(jī)制，及時(shí)發(fā)現(xiàn)可疑數(shù)據(jù)泄露行為，完備同城及異地災(zāi)備機(jī)制，能夠快速恢復(fù)數(shù)據(jù)。云基礎(chǔ)設(shè)施上松耦合、強(qiáng)耦合、半耦合的安全產(chǎn)品選擇建議來源：Gartner

2019，云安全的服務(wù)和組件經(jīng)典類安全產(chǎn)品在云環(huán)境依然適用，和云自身依賴弱，屬于松耦合場景，多由成熟的安全廠商提供監(jiān)控和合規(guī)類安全產(chǎn)品，和云自身依賴強(qiáng)，更貼近云服務(wù)商，屬于強(qiáng)耦合場景，多由云服務(wù)商自身提供新興類安全產(chǎn)品對云環(huán)境有較好的親和力，和云產(chǎn)品共同發(fā)展，更貼近用戶使用，屬于半耦合場景，多由專注云安全的廠商提供實(shí)踐分享一：內(nèi)部云基礎(chǔ)設(shè)施的安全架構(gòu)平臺(tái)側(cè)、用戶側(cè)的南北向網(wǎng)絡(luò)流量進(jìn)/出雙向的安全防御、檢測、攔截等措施舉例南北向進(jìn)流量運(yùn)營商DDoS高防DDoS本地DDoSNGFW檢測攔截WAF檢測攔截SSL卸載加密流量檢測網(wǎng)絡(luò)APT檢測內(nèi)網(wǎng)蜜罐捕獲互聯(lián)網(wǎng)蜜罐NTA全流量分析郵件網(wǎng)關(guān)防病毒檢測郵件APT檢測南北向出流量NDLP攔截大文件外發(fā)API接口監(jiān)控DNSlog檢測安全代理網(wǎng)關(guān)郵件DLP攔截注： 高性價(jià)比安全措施按需安全措施實(shí)踐分享一：內(nèi)部云基礎(chǔ)設(shè)施的安全架構(gòu)平臺(tái)側(cè)、用戶側(cè)的東西向網(wǎng)絡(luò)流量的安全防御、檢測、攔截、監(jiān)控等措施舉例EDR檢測HIDS檢測HDLP攔截AV檢測東西向網(wǎng)絡(luò)流量主機(jī)FW攔截DB審計(jì)監(jiān)控堡壘機(jī)審計(jì)DBFW攔截RASP攔截UEBA審計(jì)注： 高性價(jià)比安全措施按需安全措施實(shí)踐分享二：云數(shù)據(jù)中心基礎(chǔ)設(shè)施資源的安全應(yīng)急響應(yīng)客訴上報(bào)事件運(yùn)維監(jiān)控威脅情報(bào)云安全服務(wù)臺(tái)(一線)工單系統(tǒng)（工單生成/派單/轉(zhuǎn)單

）內(nèi)部審計(jì)法律合規(guī)UIOC緊急事件處理中心派單轉(zhuǎn)單一般事件較大事件重大事件特別重大事件升級(jí)升級(jí)事件關(guān)閉支援支援支援生成工單云安全技術(shù)支持(二線)事件解決云安全專家(三線)事件解決回顧與總結(jié)總結(jié)/教育/培訓(xùn)租戶白帽子運(yùn)維人員漏洞預(yù)警漏洞提交漏洞修復(fù)通告事件關(guān)閉通告

反饋安全意識(shí)宣傳/培訓(xùn)防御措施素材/案例增強(qiáng)/優(yōu)化司法取證安全組織/協(xié)會(huì)監(jiān)管機(jī)構(gòu)…實(shí)踐分享三：用戶環(huán)境完全隔離及云端安全通信資源池南北向流量：樹型網(wǎng)絡(luò)架構(gòu)資源池東西向流量：葉脊型網(wǎng)絡(luò)架構(gòu)資源池層次劃分：區(qū)域（地域，邏輯隔離）可用區(qū)（獨(dú)立供電，物理隔離）主機(jī)組（安全域、用途）分布防火墻租戶#1私有環(huán)境分布防火墻安全區(qū)域SF安全區(qū)域DMZISP出口防火墻用戶用戶專線