业务挑战

目前，许多组织已经将业务系统迁移到云平台上，云平台已经成为组织重要的IT基础设施。云计算技术给传统的IT基础设施、应用、数据以及运营管理都带来了革命性改变，对于安全管理来说，既是挑战，也是机遇。首先，云计算引入了新的威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系，如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等方面；其次，云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护，同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战，也推进了安全服务内容、实现机制和交付方式的创新和发展。

根据调研数据，云计算安全风险是客户所关注的重点，云计算安全已经成为组织规划、设计、建设和使用云计算系统所急需解决的重大问题之一。

解决方案

云计算安全防护方案设计遵循以业务为中心，风险为导向的，基于安全域的纵深主动防护思想，综合考虑云平台安全威胁、需求特点和相关要求，对安全防护体系架构、内容、实现机制及相关产品组件进行了优化设计。

1.方案组成

云计算安全方案主要由安全资源池、安全运营平台、应用APP等组成。

• 安全资源池：支持物理安全设备、虚拟化安全设备、安全类SaaS服务等各种安全资源，接受各安全子平台的管理，对外提供相应的安全能力。
• 安全运营平台：与安全子平台配合，提供安全产品开通、调度、服务编排，以及安全运维功能，并实现与云管理平台、SDN控制器的对接。安全运营平台包含了云安全运营的一些共性功能模块和一些提供特定安全能力的子平台。安全子平台负责管理安全资源，提供安全策略管理、配置管理、安全能力管理、安全日志管理等与特定安全应用密切相关的功能。根据应用场景的不同，可灵活配置和扩展。
• 安全应用：基于安全子平台提供的安全能力，提供管理、控制、分析、呈现功能的组件。用户可根据需要灵活选配。

2.关键能力

• 分层分域防护
  基于对云计算系统的安全域划分结果，通过VLAN、安全组、虚拟化防火墙墙等技术手段隔离，并在区域边界和区域内部部署相应的防护手段，形成纵深防护能力。不同云平台的业务规划、设计和安全要求不同，需要根据具体需求规划相应的物理和虚拟安全区域。

• 全面防护
  云平台的安全保障可以分为管理和技术两个层面。首先，在技术方面，需要按照分层、纵深防御的思想，基于安全域的划分，从物理基础设施、虚拟化、网络、系统、应用、数据等层面进行综合防护；其次，在管理方面，应覆盖云平台、云服务、云数据的全生命周期，对平台开发安全、安全维护、安全事件、安全风险、业务连续性等方面进行管理。

• 虚拟可控
  对于相同物理机上的不同虚拟机，其通信流量不经过传统的防火墙等控制手段，无论是虚拟机之间的攻击数据，还是攻击之后传输数据的隐蔽信道，传统的基于网络的检测、防护技术都会失效。为此，采用虚拟化安全设备方式解决这一问题。主要手段是利用云平台的虚拟化交换机来部署虚拟化安全产品到云内的多个VLAN之间或者VLAN内部，做到虚拟机之间的流量可见可控。

• 弹性安全能力
  通过相应的接口，把各种虚拟化安全组件嵌入到云平台中，并与云平台组成一个有机的整体，在不损失云平台的特点和优势的情况下，可提供全面的、弹性的安全保障能力。

方案亮点

• 适应性广，安全功能多
  支持VMWare、Openstack云平台，以及基于Xen的各种定制化云平台。同时，可以支持物理的、虚拟化、SaaS化的安全资源类型，提供多种安全能力。
• 模块化架构，可灵活扩展
  系统采用模块化架构，根据应用场景和需求的不同，可以选择和部署相应的安全资源、安全子平台、安全应用，满足经济性、合规性要求。
• 弹性能力，收放自如
  通过SDN技术、资源池化、负载均衡技术、热迁移技术，以及通过安全子平台的能力，可以对外提供安全、弹性的安全能力，自如的进行扩容、缩容。
• 全程自动化，可快速部署
  运用SDN、NFV技术，用户通过安全运营平台可以按需、自助的进行安全能力的开通、安全APP的下载、安装和使用。同时，可以根据业务需要，实现多种安全设备的协同防护，抵御各类安全攻击事件。
• 安全策略的动态跟随
  对于云计算系统安全域边界的动态变化，通过区域子网划分、安全隔离、SDN、分布式交换等技术，可以做到边界防护策略的持续有效，保障云平台的安全。

应用场景

适用于私有云、公有云、混合云等各类云平台的安全防护。从技术角度讲，既适用于原生服务器虚拟化、云平台的场景中， 也可以使用使用SDN和NFV技术的场景中。

基于安全域的划分，可以采用合理的手段进行全面的安全防护。对于DDoS攻击，可以采用高性能硬件设备防护南北向攻击，采用虚拟化异常流量监测设备（vNTA）对东西向DDoS攻击进行监测，并与云管理平台协同进行安全防护。可以采用物理/虚拟化防护墙进行不同粒度的边界隔离和防护，采用物理/虚拟化Web应用防火墙进行web防护，采用物理/虚拟化入侵检测设备（IDS）进行网络异常检测，采用虚拟化漏洞安全评估设备（vRSAS）进行云平台、虚机的安全评估。为了有效保障远程租户的管理安全，可以采用堡垒机进行安全控制和防护。另外，可以在web主机上部署网页防篡改系统，以及部署防病毒系统。上述所有设备都可以由云安全管理平台进行统一管理，并提供用户访问界面，以及通过安全态势监测平台为运维人员、用户提供安全态势信息。

经典案例

下图是某客户私有云的安全防护方案。首先采用了传统的ADS、NTA设备对南北向DDoS攻击进行防护，其次采用传统IDS设备进行入侵检测，采用堡垒机对远程客户访问进行控制；其次，将虚拟化区域分成了测试区、生产区A、生产区B，并部署了虚拟化的vWAF等安全设备，在重要服务器上安装了网页防篡改或防病毒客户端，同时设立了管理维护区，部署了云安全管理平台、防病毒服务器和可共用的vWVSS（Web漏洞扫锚系统）等设备。