系统架构师

基于云架构的系统安全设计

时间:2024-08-19 04:42:17 系统架构师 我要投稿
  • 相关推荐

基于云架构的系统安全设计

  为了更好的保障整体信息安全的需要,作为安全基础设施,我们还要从数据保护、应用安全以及用户管理等多方入手,才能确保基于云架构的应用建设真正达到安全、稳定、智能。 小编下面为大家整理基于云架构的系统安全设计的文章,欢迎阅读参考!

  1 安全框架简介

  本文认为数据中心安全解决方案要从整体出发,作为安全基础设施,服务于整体信息安全的需要。分析信息安全的发展趋势,可以看到安全合规、安全管理、应用与数据安全、云计算安全、无边界的网络安全、安全产品与服务资质是安全关注的重点,其中包含了安全服务、物理设施安全、应用安全、主机安全、网络安全、虚拟化安全、数据保护、用户管理、安全管理等九大安全子模块。作为整体安全体系架构的每一个安全子模块是各种工具、系统及设备的集合,在技术层面提供安全控制。

  2 系统网络安全设计

  系统网络安全设计主要就是安全域划分,采用合理的安全域划分,将数据中心的网络功能分别划分到各自安全区域内。安全域是逻辑上的区域,同一个安全域内的资产具有一样或类似的安全属性,如自身的安全级别、来自外部的安全威胁、安全弱点及安全风险等,同一安全域内的系统相互信任。

  2.1 划分安全区域

  数据中心的网络功能分区可划分为公共区、过渡区、受限区和核心区四个安全区域。

  公共区是指公有网络与数据中心直接连接的区域,其安全实体包括自身所拥有的互联网接入设备。该区域将不在网络直接控制范围内的实体和区域进行连接,包括来自互联网的用户及线路资源。此区域安全风险等级高,属于非安全区域,需要进行严格的数据流控制。

  过渡区用于分割公共区与受限区及核心区的直接联系,在逻辑上位于它们的中间地带。设置过渡区是为了保护受限区及核心区的信息,使之不被外部掌握,避免直接的网络数据流在这两个分隔的区域间通过。所有能被非信任来源直接访问并提供服务的系统和设备构成了它安全实体,是易受攻击的半信任区,机密数据应尽量不放置于此。

  受限区是被信任区域,其在内部网络中的安全级别较高,仅次于核心区,安全实体由业务终端、办公终端等内部终端构成,非核心的OA办公应用、开发测试服务器区域也可以定义为受限区。数据流一般不允许从公共区到受限区直接通过,需使用代理服务器或网关进行中转,否则,必须进行严格的安全控制。

  核心区是安全级别最高的网络区域,包含了重要的应用服务器,提供关键的业务应用;也包含核心的数据库服务器,保存有机密数据;还包含管理控制台和管理服务器,具有管理所有系统的权限和功能。因此核心区应该受到最全面的安全技术手段的保护,同时对其内部系统和设备的访问及操作都需要通过严格的安全管理流程。

  2.2 划分安全子域

  每个安全域类别内部可定义安全子域。

  公共区为Internet安全域,数据中心网络Internet接入区内与Internet连接的接入设备归属该安全域。区为Internet DMZ安全域,数据中心网络中所定义的Internet接入区内的DMZ区(部署外部服务器)归属该安全域。受限区内包含远程接入区,办公网接入区和开发测试区三个受限区安全子域:(1)远程接入区包含生产数据中心与合作单位、分支机构和灾备数据中心相连接的网络设备;(2)办公网接入区包含生产数据中心与办公网相连接的网络设备;(3)开发测试区包含数据中心中所提供的用于开发测试目的的各类设备,该区域可定义多个受限区安全域实例,以隔离开发、测试、或支撑多个并行进行的开发测试工作。

  核心区包含OA区、一般业务生产区、运行管理区和高安全业务生产区三个安全子域,其中高安全业务生产区、运行管理区在安全防护级别上应高于一般业务生产区和OA区。(1)OA办公应用区包含支撑各类OA应用的服务器和其他设备,对于有较高安全要求的OA类应用也可以划入到高安全业务生产区;(2)一般业务生产区包含非关键的业务应用,可以按照需求定义多个安全域实例,以实现业务应用的隔离;(3)运行管理区内包含数据中心运行管理系统的各类设备,包含网络管理、系统管理、安全管理,可以按照需求定义多个安全域实例,隔离上述不同管理目的的系统应用。(4)高安全业务生产区包含安全要求最高的核心业务应用、数据等资产,可以按照需求定义多个安全域实例各类不同的高安全业务。

  安全域划分后,安全域间的信息流控制遵循如下原则:(1)由边界控制组件控制所有跨域经过的数据流;(2)在边界控制组件中,缺省情况下,除了明确被允许的流量,所有的流量都将被阻止;(3)边界控制组件的故障将不会导致跨越安全域的非授权访问;(4)严格控制和监管外部流量,每个连接必须被授权和审计。

  2 虚拟化安全设计

  2.1 虚拟化安全威胁

  用户在利用虚拟化技术带来好处的同时,也带来新的安全风险。首先是虚拟层能否真正把虚拟机和主机、虚拟机和虚拟机之间安全地隔离开来,这一点正是保障虚拟机安全性的根本。另预防云内部虚拟机之间的恶意攻击,传统意义上的网络安全防护设备对虚拟化层防护已经不能完全满足要求。

  数据中心生产数据部署在虚拟化平台,目前,针对虚拟化平台的安全风险主要包括以下几个方面:   1)攻击虚拟机Hypervisor;

  2)虚拟机与虚拟机的攻击和嗅探;

  3)Hypervisor自身漏洞产生的威胁;

  4)可以导致虚拟机无法提供正常服务,数据的机密性、完整性和可用性被破坏;

  5)病毒蠕虫带来的数据完整性和可用性损失,以及虚拟化网络可用性损失;

  6)系统自身存在安全缺陷,使攻击、滥用、误用等存在可能。

  2.2 虚拟化安全设计

  综上,虚拟机安全设计应该包括:

  1)支持VLAN的网络隔离,通过虚拟网桥实现虚拟交换功能。

  2)支持安全组的网络隔离:若干虚拟机的集合构成虚拟机安全组,也是安全组自身网络安全规则的集合。同一安全组中的虚拟机无须部署在同一位置,可在多个物理位置分散部署。因此,虚拟机安全组的作用是在一个物理网络中,划分出相互隔离的逻辑虚拟局域网,提高网络安全性。本功能允许最终用户自行控制自己的虚拟机与自己的其他虚拟机,或与其他人员的虚拟机之间的互联互通关系。虚拟机之间的互通限制是通过配置安全组组间互通规则来实现的。一个用户可以创建多个安全组,但一个安全组仅属于一个用户所有。用户在创建虚拟机时,可以制定该虚拟机所在的安全组。属于同一个安全组的虚拟机,是默认全部互联互通的。属于不同安全组的虚拟机,是默认全部隔离的。安全组规则属于单向的白名单规则。用户可以设置允许自己的某个安全组内的虚拟机接收来自其他安全组内的虚拟机的请求,或来自某个IP地址段的请求。请求类型也是可以配置的,比如TCP,ICMP等等。安全组规则随虚拟机启动而自动生效,随虚拟机的迁移在计算服务器间迁移。用户只需要设定规则,无须关心虚拟机在哪里运行。

  3)虚拟机防护:客户在虚拟机中安装的操作系统与实际物理系统同样存在安全风险,无法通过虚拟化来规避风险。但是,针对某独立虚拟机安全风险的攻击只会对该虚拟机自身造成危害,而不会它所在的虚拟化服务器。虚拟机病毒防护系统由端点保护服务器和虚拟化服务器上的端点保护客户端构成,端点保护服务器统一管控整个网络的端点保护客户端,包括主机防病毒、主机IPS、主机防火墙策略的设定和配置,日志的收集,病毒码、扫描引擎等组件的更新。通过在每一个运行的虚拟机上部署防病毒客户端,用于保护虚拟机的安全。

  4)虚拟机系统模型加固:通过制定基本系统模型,并对模型进行必要的安全加固,不安装其他未知应用程序,供用户创建虚拟机时使用,可以确保所有新建虚拟机都具有基本安全防护水平。其他特定应用程序模型可以使用该模型进行创建,并在虚拟机中部署,确保随时更新模型中的修补程序和安全工具。

  5)虚拟机资源管理:利用云平台的资源管理功能,虚拟化平台可以准确控制各虚拟主机的资源分配。当某台虚拟机受到攻击时,不会影响同一台物理主机上的其他虚拟机的正常运行。这一特点可用来防止拒绝服务攻击,避免因此攻击导致虚拟机资源的大量消耗,致使同一台主机上的其他虚拟机无法正常运行。

  6)虚拟机与物理主机间的通信管理:虚拟机通常把排除故障信息存入虚拟机日志,并在云平台系统中保存。对虚拟机用户和进程有意或无意的配置会导致其滥用日志记录功能,将大量数据注入日志文件。经过长时间运行,物理主机文件系统会被日志文件大量占用,致使主机系统无法正常运行,也就是通常所说的拒绝服务攻击。可通过系统配置定期或当日志文件占用空间较大时轮换或删除日志文件加以解决。

【基于云架构的系统安全设计】相关文章:

云计算架构技术与实践08-28

基于EDA技术的现代电子设计方法07-17

IMS系统中PCC架构及引入07-17

系统架构师与产品经理的区别08-01

基于采购层面的库存管理方式09-03

刘震云北大毕业典礼演讲(全文)02-09

JAVA认证基础知识:基于反射机制的服务代理调用07-18

H3C云计算销售专家认证06-01

《聊斋志异之云翠仙》原文及译文07-20

广告设计有哪些设计技巧08-31