信息时代,网络已经深入到经济社会生活的各个方面,网络安全的威胁已经渗透到经济社会生活的各个层面,网络安全的重要性日益增加。党的十八大以来,以习近平同志为核心的党中央从国家整体安全理念出发,对加强国家网络安全作出了重要部署,对加强网络安全法制建设提出了明确要求。国家广电总局发布的一系列网络安全管理办法,颁布了有关网络安全的法律法规,网络安全的重要性不言而喻。
一、需求分析
从国家政策法规层面,根据国家局、部委发布的各种网络安全法律和要求,国家在网络空间主权、服务提供商义务、运营商义务、个人信息保护、关键基础设施保护等方面提出了相关要求和实施标准。广电应用平台根据网络安全的整体需求,参照相关法律法规,构建可控、可管理的网络安全防护体系。
华数云结合自建的分布式云计算平台的实际情况,对分布式云平台的安全进行了总体规划和设计,云安全的需求实际上就是要合理地解决华数云信息安全与信息共享、开放性之间的矛盾。在保证系统安全性和机密性的基础上,保持信息共享和通讯畅通的效率。然而随着信息技术的发展,Web2. 0、SOA 和云计算技术的涌现,IT 的信息安全一直没有良好的保证。
我们面临着移动设备、远程设备连接,各种应用的浏览器和插件,智能终端和云主机等多种安全威胁,给信息安全带来了新的挑战。然而,内部攻击者和系统漏洞仍然是信息安全的最大威胁。因此,华数云整体安全要求大致可分为以下内容:
(1) 保护信息资源价值不受侵犯;
(2) 保证信息资产的拥有者面临最小的风险和获取最大的安全利益;
(3) 保证信息基础设施、信息应用服务和信息内容为抵御各种安全威胁而具有保密性、完整性、真实性、可用性和可控性的能力。
二、分布式云平台的安全设计与建设
(1)总体目标
根据公安部云计算等级保护的技术要求: 如果云平台同时承载二级和三级安全信息系统,要求云计算平台必须通过等级保护三级安全要求,二级安全信息系统和三级安全信息系统的计算资源要物理隔离;二级安全信息系统和三级安全信息系统的存储资源应当物理隔离。
国家标准“信息系统安全等级保护—云计算安全要求”:云平台合规性要求:提供安全可靠的云平台,业务系统三级保障,需要支持平台通过相应等级保护认证;规范运维:完善云平台的安全体系和管理体系,以提高整体安全管理水平,规范应用系统开发者和运营商的行为,确保系统和承载数据的安全稳定。
(2)云安全总体设计思路
在考虑华数云的安全防护需求时,更需要结合华数云的内部安全架构来实现。华数云在云内建立网络安全防护机制。未经授权,华数云各系统默认不能互相访问。不同的应用系统被添加到不同的安全区域,不同安全区域之间的虚拟机网络默认是隔离的。当需要互通时,可以通过修改域间规则来打开互访通道。华数云不仅仅在南北向流量上做了安全防护,还为东西向流量提供了安全措施,可以为纵向横向所有流量提供入侵防御、防火墙策略限制等安全服务。
各个功能区域都部署了相应的安全产品,区域分别为: 核心交换区、安全运维区、虚拟化区、云平台管理区、存储区。
核心交换区
组网模式:在核心交换区域的边界交换机旁挂相应的安全设备,如负载均衡、核心防火墙、WEB 应用防火墙等设备,来保证核心交换区的安全合规性,同时加固了整体云平台的安全性。
功能概述:负载均衡:可实现多台服务器负载均衡功能,有效利用服务器的负载均衡能力,并通过合理的调度算法和健康检查算法有效地感知服务器的负载,将流量调度到最合适的服务器上,从而提高网络防火墙的灵活性和可用性;核心防火墙:可以控制安全域之间的访问策略;限制租户的开放端口;提供IPS入侵防御功能,可实时查看各种威胁攻击。Web应用防火墙可以为云内Web业务以及云管理平台Web入口提供防护手段,防止SQL注入、XSS、暴力破解等常规Web入侵攻击手段。
安全运维区
组网模式:在安全运维区配置相应的安全设备,如日志审计以及堡垒机等来保证云整体架构在管理整个云基础架构系统的时候,加固了整体云平台的安全性。
功能概述:运维审计:通过堡垒机,可以统一运维界面,对统一的账号管理、统一认证、运维会话命令进行审计,对权限进行精细控制,实现身份管理、访问控制、权限控制和操作审计;综合日志审计:基于先进的深度挖掘和分析技术,安全管理中心集安全事件分析、响应等功能于一体,解决了网络与安全设备隔离、网络安全状态不直观、对安全事件响应慢、网络故障定位困难等问题,使IT和安全管理员摆脱了繁琐的管理工作,大大提高了工作效率,可以专注于核心业务。
………………
基于分布式云平台的安全设计与建设探讨 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/BRoJogy7nLF 提取码: 2s7n