基於雲架構的系統安全設計

為了更好的保障整體資訊保安的需要，作為安全基礎設施，我們還要從資料保護、應用安全以及使用者管理等多方入手，才能確保基於雲架構的應用建設真正達到安全、穩定、智慧。 小編下面為大家整理基於雲架構的系統安全設計的文章，歡迎閱讀參考!

　　1 安全框架簡介

本文認為資料中心安全解決方案要從整體出發，作為安全基礎設施，服務於整體資訊保安的需要。分析資訊保安的發展趨勢，可以看到安全合規、安全管理、應用與資料安全、雲端計算安全、無邊界的網路安全、安全產品與服務資質是安全關注的重點，其中包含了安全服務、物理設施安全、應用安全、主機安全、網路安全、虛擬化安全、資料保護、使用者管理、安全管理等九大安全子模組。作為整體安全體系架構的每一個安全子模組是各種工具、系統及裝置的集合，在技術層面提供安全控制。

　　2 系統網路安全設計

系統網路安全設計主要就是安全域劃分，採用合理的安全域劃分，將資料中心的網路功能分別劃分到各自安全區域內。安全域是邏輯上的區域，同一個安全域內的資產具有一樣或類似的安全屬性，如自身的安全級別、來自外部的安全威脅、安全弱點及安全風險等，同一安全域內的系統相互信任。

2.1 劃分安全區域

資料中心的網路功能分割槽可劃分為公共區、過渡區、受限區和核心區四個安全區域。

公共區是指公有網路與資料中心直接連線的區域，其安全實體包括自身所擁有的網際網路接入裝置。該區域將不在網路直接控制範圍內的實體和區域進行連線，包括來自網際網路的使用者及線路資源。此區域安全風險等級高，屬於非安全區域，需要進行嚴格的資料流控制。

過渡區用於分割公共區與受限區及核心區的直接聯絡，在邏輯上位於它們的中間地帶。設定過渡區是為了保護受限區及核心區的資訊，使之不被外部掌握，避免直接的網路資料流在這兩個分隔的區域間通過。所有能被非信任來源直接訪問並提供服務的系統和裝置構成了它安全實體，是易受攻擊的半信任區，機密資料應儘量不放置於此。

受限區是被信任區域，其在內部網路中的安全級別較高，僅次於核心區，安全實體由業務終端、辦公終端等內部終端構成，非核心的`OA辦公應用、開發測試伺服器區域也可以定義為受限區。資料流一般不允許從公共區到受限區直接通過，需使用代理伺服器或閘道器進行中轉，否則，必須進行嚴格的安全控制。

核心區是安全級別最高的網路區域，包含了重要的應用伺服器，提供關鍵的業務應用;也包含核心的資料庫伺服器，儲存有機密資料;還包含管理控制檯和管理伺服器，具有管理所有系統的許可權和功能。因此核心區應該受到最全面的安全技術手段的保護，同時對其內部系統和裝置的訪問及操作都需要通過嚴格的安全管理流程。

2.2 劃分安全子域

每個安全域類別內部可定義安全子域。

公共區為Internet安全域，資料中心網路Internet接入區內與Internet連線的接入裝置歸屬該安全域。區為Internet DMZ安全域，資料中心網路中所定義的Internet接入區內的DMZ區(部署外部伺服器)歸屬該安全域。受限區內包含遠端接入區，辦公網接入區和開發測試區三個受限區安全子域：(1)遠端接入區包含生產資料中心與合作單位、分支機構和災備資料中心相連線的網路裝置;(2)辦公網接入區包含生產資料中心與辦公網相連線的網路裝置;(3)開發測試區包含資料中心中所提供的用於開發測試目的的各類裝置，該區域可定義多個受限區安全域例項，以隔離開發、測試、或支撐多個並行進行的開發測試工作。

核心區包含OA區、一般業務生產區、執行管理區和高安全業務生產區三個安全子域，其中高安全業務生產區、執行管理區在安全防護級別上應高於一般業務生產區和OA區。(1)OA辦公應用區包含支撐各類OA應用的伺服器和其他裝置，對於有較高安全要求的OA類應用也可以劃入到高安全業務生產區;(2)一般業務生產區包含非關鍵的業務應用，可以按照需求定義多個安全域例項，以實現業務應用的隔離;(3)執行管理區內包含資料中心執行管理系統的各類裝置，包含網路管理、系統管理、安全管理，可以按照需求定義多個安全域例項，隔離上述不同管理目的的系統應用。(4)高安全業務生產區包含安全要求最高的核心業務應用、資料等資產，可以按照需求定義多個安全域例項各類不同的高安全業務。

安全域劃分後，安全域間的資訊流控制遵循如下原則：(1)由邊界控制組件控制所有跨域經過的資料流;(2)在邊界控制組件中，預設情況下，除了明確被允許的流量，所有的流量都將被阻止;(3)邊界控制組件的故障將不會導致跨越安全域的非授權訪問;(4)嚴格控制和監管外部流量，每個連線必須被授權和審計。

2 虛擬化安全設計

2.1 虛擬化安全威脅

使用者在利用虛擬化技術帶來好處的同時，也帶來新的安全風險。首先是虛擬層能否真正把虛擬機器和主機、虛擬機器和虛擬機器之間安全地隔離開來，這一點正是保障虛擬機器安全性的根本。另預防雲內部虛擬機器之間的惡意攻擊，傳統意義上的網路安全防護裝置對虛擬化層防護已經不能完全滿足要求。

資料中心生產資料部署在虛擬化平臺，目前，針對虛擬化平臺的安全風險主要包括以下幾個方面： 　　1)攻擊虛擬機器Hypervisor;

2)虛擬機器與虛擬機器的攻擊和嗅探;

3)Hypervisor自身漏洞產生的威脅;

4)可以導致虛擬機器無法提供正常服務，資料的機密性、完整性和可用性被破壞;

5)病毒蠕蟲帶來的資料完整性和可用性損失，以及虛擬化網路可用性損失;

6)系統自身存在安全缺陷，使攻擊、濫用、誤用等存在可能。

2.2 虛擬化安全設計

綜上，虛擬機器安全設計應該包括：

1)支援VLAN的網路隔離，通過虛擬網橋實現虛擬交換功能。

2)支援安全組的網路隔離：若干虛擬機器的集合構成虛擬機器安全組，也是安全組自身網路安全規則的集合。同一安全組中的虛擬機器無須部署在同一位置，可在多個物理位置分散部署。因此，虛擬機器安全組的作用是在一個物理網路中，劃分出相互隔離的邏輯虛擬區域網，提高網路安全性。本功能允許終端使用者自行控制自己的虛擬機器與自己的其他虛擬機器，或與其他人員的虛擬機器之間的互聯互通關係。虛擬機器之間的互通限制是通過配置安全組組間互通規則來實現的。一個使用者可以建立多個安全組，但一個安全組僅屬於一個使用者所有。使用者在建立虛擬機器時，可以制定該虛擬機器所在的安全組。屬於同一個安全組的虛擬機器，是預設全部互聯互通的。屬於不同安全組的虛擬機器，是預設全部隔離的。安全組規則屬於單向的白名單規則。使用者可以設定允許自己的某個安全組內的虛擬機器接收來自其他安全組內的虛擬機器的請求，或來自某個IP地址段的請求。請求型別也是可以配置的，比如TCP，ICMP等等。安全組規則隨虛擬機器啟動而自動生效，隨虛擬機器的遷移在計算伺服器間遷移。使用者只需要設定規則，無須關心虛擬機器在哪裡執行。

3)虛擬機器防護：客戶在虛擬機器中安裝的作業系統與實際物理系統同樣存在安全風險，無法通過虛擬化來規避風險。但是，針對某獨立虛擬機器安全風險的攻擊只會對該虛擬機器自身造成危害，而不會它所在的虛擬化伺服器。虛擬機器病毒防護系統由端點保護伺服器和虛擬化伺服器上的端點保護客戶端構成，端點保護伺服器統一管控整個網路的端點保護客戶端，包括主機防病毒、主機IPS、主機防火牆策略的設定和配置，日誌的收集，病毒碼、掃描引擎等元件的更新。通過在每一個執行的虛擬機器上部署防病毒客戶端，用於保護虛擬機器的安全。

4)虛擬機器系統模型加固：通過制定基本系統模型，並對模型進行必要的安全加固，不安裝其他未知應用程式，供使用者建立虛擬機器時使用，可以確保所有新建虛擬機器都具有基本安全防護水平。其他特定應用程式模型可以使用該模型進行建立，並在虛擬機器中部署，確保隨時更新模型中的修補程式和安全工具。

5)虛擬機器資源管理：利用雲平臺的資源管理功能，虛擬化平臺可以準確控制各虛擬主機的資源分配。當某臺虛擬機器受到攻擊時，不會影響同一臺物理主機上的其他虛擬機器的正常執行。這一特點可用來防止拒絕服務攻擊，避免因此攻擊導致虛擬機器資源的大量消耗，致使同一臺主機上的其他虛擬機器無法正常執行。

6)虛擬機器與物理主機間的通訊管理：虛擬機器通常把排除故障資訊存入虛擬機器日誌，並在雲平臺系統中儲存。對虛擬機器使用者和程序有意或無意的配置會導致其濫用日誌記錄功能，將大量資料注入日誌檔案。經過長時間執行，物理主機檔案系統會被日誌檔案大量佔用，致使主機系統無法正常執行，也就是通常所說的拒絕服務攻擊。可通過系統配置定期或當日志文件佔用空間較大時輪換或刪除日誌檔案加以解決。