業務挑戰

近年來,央企通過基礎設施云平臺的實施和推廣,建設了包括私有云、公有云及專有云在內的“一朵云”整體框架,為集團化應用系統以及集團數據集中收集和利用提供全面的基礎設施支撐服務,為集團各級單位提供先進易用、靈活便捷的云計算服務。面向云的數據中心相比于傳統的數據中心,存在一定的安全風險,如云平臺基礎網絡被網絡入侵,租戶層的虛擬系統和應用被入侵額破壞,云平臺的運維管理操作違規等,具體情況如下:

1.云基礎平臺防護措施不足。

云基礎平臺是云計算的重要系統。云基礎平臺的物理機、系統及管理運維網絡與原有的物理集群都處于數據中心的物理網絡結構中。現有針對云基礎平臺的防護措施尚存在不足,導致云基礎平臺面臨著網絡入侵、系統漏洞等威脅,也存在特權管理運維的越權使用風險。

2.云租戶層缺乏彈性動態的安全能力。

云計算平臺新技術大量運用,針對這些虛擬化、云計算新技術的攻擊成為攻擊者熱衷的突破點。云計算的彈性、動態為業務提供方便的同時,也為安全提出更高的要求。當前企業現有靜態防護的安全措施無法跟上這個變化節奏,在租戶層缺乏可彈性動態調整的虛擬防火墻、web應用檢測、內部流量發現、云內特權用戶管控等措施,且與云平臺的自動適配較少,安全策略無法動態配置,存在較大缺失。

3.云內安全整體狀態的感知和處置能力不足。

云計算平臺增加了大量的內部東西流量,且業務數據進行了內部的邏輯隔離劃分,導致云內的安全威脅、資產態勢、合規情況及風險分析都面臨新的挑戰。現有的物理安全措施無法有效進入云內,導致云內整體安全狀態的感知、處置等管理能力均存在不足。

4.云計算平臺邊界安全防護不完善。

隨著混合云的使用場景增多,使得云平臺及數據中心的邊界發生了變化,數據中心在原有基礎上增加了公有云接入邊界、專有云邊界,以及云平臺與傳統物理機的內部邊界等,同時原有面向企業用戶的物理邊界也需要進行策略和結構調整。這些邊界缺乏針對性的措施和策略部署,邊界防火墻、入侵檢測、流量威脅發現、動態認證等安全措施和策略尚不完善。

5.云數據中心的特權管控缺失。

企業云計算平臺及數據中心中存在著大量的擁有特權操作的用戶,如云平臺管理員、平臺運維人員、云業務管理人員、開發人員等等。這些特權用戶會基于其權限接觸到普通用戶無法接觸的重要、敏感的系統及數據。特權用戶尤其需要進行安全管控,以降低來自這些特權用戶的高風險威脅,而集團在這個層面存在較大缺失。

解決方案

以“國內一流、行業領先”為目標建設滿足央企數據中心的綜合安全防護體系,全面遵循等級保護2.0云安全及行業云安全標準,采用面向云計算的安全技術建設完善云計算平臺邊界、云基礎平臺及云服務交付的安全措施,感知云內整體的安全態勢,以有效適應集團自建云、公有云及專有云的混合云應用場景,確保云計算平臺及數據中心的網絡安全合規和自主可控,有力支撐數字化轉型和業務發展。

央企云數據中心安全建設解決方案

一、安全通信網絡

1.對云基礎平臺進行物理網絡結構優化,按照存儲、計算、管理等網絡區域實施網絡側路由隔離。

2.采用云平臺安全組,結合VxLAN等技術,對云租戶/云內各業務區域進行網絡區域路由隔離,在隔離邊界建設安全組策略,部署白名單訪問控制等策略。

3.在云內建設云安全管理平臺及云安全資源池,部署防火墻、應用安全代理、API安全代理、零信任訪問控制網關等安全組件,提供云平臺的安全接口及第三方服務接口。

二、網絡區域邊界

1.在云基礎平臺邊界部署物理防火墻,執行白名單訪問控制等策略,確保云基礎平臺網絡各網絡區域的安全隔離與安全互訪。

2.在云基礎平臺邊界部署入侵檢測和全流量檢測系統,開展網絡層入侵檢測和威脅檢測,防止網絡入侵,發現網絡層威脅風險。

3.建設云基礎平臺安全管理區,在管理區內建設堡壘機、日志采集等安全措施,實現對云基礎平臺系統安全運維管理和審計支撐。

4.利用云安全管理平臺及安全資源池,在在云邊界建設一個面向整個云內區域的網絡安全區域,在該網絡安全區部署防火墻、WAF、內網VPN、應用安全代理、API安全代理、負載均衡、零信任訪問控制等安全措施。該網絡安全區可進行資源編排,針對進出云內各應用系統區、專有云區、DMZ區、系統安全服務等流量,開展網絡及應用安全層防護。

5.建設面向企業內網的云平臺及數據中心安全邊界,在安全邊界建設部署防火墻、入侵檢測、流量威脅檢測等措施,針對進出云平臺及數據中心的網絡流量進行防護。

6.建設面向互聯網的外部安全邊界,在外部安全邊界建設部署防火墻、入侵檢測、流量清洗、攻擊誘捕、流量威脅檢測、VPN等措施,針對來自互聯網的網絡流量進行防護。

7.建設面向公有云的公有云安全邊界,在公有云安全邊界建設部署防火墻、入侵檢測、流量威脅檢測、VPN等措施,針對連接公有云的網絡流量進行防護。

三、安全計算環境

1.在云平臺安全管理區部署配置核查、基線掃描、補丁分發、等安全措施,實現對云基礎平臺系統安全管理和安全運行的支撐。結合云平臺管理功能,使用安全管理區的安全系統對鏡像和快照進行安全加固和保護,做好訪問控制。

2.在云內建設一個面向整個云內區域的系統安全區域,在該區域部署軟件更新/補丁分發、安全漏洞掃描、配置核查、防病毒、堡壘機、日志采集等安全措施。該系統安全區可進行資源可編排,針對各應用系統區、DMZ區、系統安全服務區等系統、容器,開展系統安全加固、管理和安全運行支撐。

3.建設平臺特權操作管控系統,采用零信任機制開展特權用戶操作管控,有效管控和降低資源管控、運行維護等操作的安全風險。

建設云特權操作管控系統,采用零信任機制開展云內特權用戶操作管控,有效管控和降低資源管控、運行維護等操作的安全風險。

四、安全管理中心

1.使用安全管理平臺覆蓋云內的資產,開展漏洞、配置及安全事件的發現和處置,將云內安全與整體安全打通。

2.建設云安全中心,支撐對混合云環境下的全局安全策略管控,掌控云安全的態勢、威脅及合規變化情況。將云平臺的內部安全數據接入安全態勢感知平臺,實現對云平臺及數據中心的整體安全監控及處置響應。

客戶價值

1.云基礎平臺的防護增強。

2.采取面向云計算技術的安全措施來滿足云租戶層的彈性動態安全需求。

3.提升云內安全整體狀態的感知和處置能力。

4.完善云計算平臺邊界的安全防護。

5.加強云數據中心的特權管控。

方案優勢

1.滿足云計算平臺等級保護2.0為基礎,面向云基礎平臺的安全通信網絡和網絡區域邊界,建設云平臺物理層及云內租戶的網絡安全防御措施;面向云計算環境安全領域,進行云基礎平臺系統的加固及安全運維,在云租戶環境中建設云安全資源的統一管理平臺及安全資源池,提供云內網絡的縱深防御措施,提供云內主機、容器、應用的安全加固和訪問控制措施。

2.全面梳理集團混合云結構的云平臺及數據中心各類邊界,圍繞云平臺及數據中心形成企業內網接入邊界、互聯網接入邊界、公有云接入邊界及專有云接入邊界,建設完善各接入邊界的防火墻、入侵檢測、VPN、全流量威脅檢測等網絡縱深防御措施;管理云內特權用戶,建立云安全中心對接集團態勢感知平臺。