内网安全整体解决方案
2.2.2 虚拟化内网安全计算环境总体防护设计
2.2.2.1 划分虚拟安全域
图中提供安全组、连接策略两种方式。安全组类似白名单方式,而连接策略
第 16 页
内网安全整体解决方案
类似黑名单方式。通过添加具体的访问控制规则,支持任意虚拟机之间的访问控制。灵活的配置方式可以满足用户所有的访问控制类需求。
在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术,实现和SDN网络控制器的接口、安全控制平台的接口,并进一步抽象化、池化,实现安全设备的自动化部署。同时,在部署时通过安全管理策略的各类租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。
在安全控制平台部署期的过渡阶段,可以采用手工配置流控策略的模式,实现无缝过渡。在这种部署模式下,安全设备的部署情况与基于SDN技术的集成部署模式相似,只是所有在使用SDN控制器调度流量处,都需要使用人工的方式配置网络设备,使之执行相应的路由或交换指令。
以虚拟防火墙防护为例,可以由管理员通过控制器下发计算节点到安全节点中各个虚拟网桥的流表,依次将流量牵引到虚拟防火墙设备即可。
这一切的配置都是通过统一管理界面实现引流、策略下发的自动化,除了这些自动化操作手段,统一管理平台还提供可视化展示功能,主要功能有,支持虚拟机资产发现、支持对流量、应用、威胁的统计,支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。
? 南北向流量访问控制
第 17 页
内网安全整体解决方案
在云平台内部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制(即南北向流量的访问控制)。防火墙设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出云计算平台,并确定该数据包可以访问的客体资源。
? 东西向流量访问控制
虚拟化场景中的关键安全能力组件集合了ACL、防火墙、IPS、Anti-DDoS、DPI、AV等多项功能,vDFW采用统一安全引擎,将应用识别、内容检测、URL过滤、入侵防御、病毒查杀等处理引擎合并归一,实现对数据中心内部东西向流量的报文进行高效的一次性处理。不仅如此,vDFW支持多虚一的集群模式,突破性能瓶颈的限制,以达到与数据中心防护需求最佳匹配的效果。当数据中心检测平台发现特定虚机发起内部威胁攻击流量后,管理员只需设置相关策略,由安全控制器调度,即可将策略统一下发到整个数据中心内部相关对应虚拟路由器组件上,将可疑流量全部牵引至vDFW进行检测防护与内容过滤。针对数据中心内部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。
2.2.2.2 内网安全资源池
与数据中心中的计算、存储和网络资源相似,各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术,形成一个个具有某种检测或防护能力的安全资源池。当安全设备以硬件存在的时候(如硬件虚拟化和硬件原生引擎系统),可直接连接硬件 SDN 网络设备接入资源池;当安全设备以虚拟机形态存在的时候(如虚拟机形态和硬件内置虚拟机形态),可部署在通用架构(如 x86)的服务器中,连接到虚拟交换机上,由端点的 agent 统一做生命周期管理和网络资源管理。控制平台通过安全应用的策略体现出处置的智能度,通过资源池体现出处置的敏捷度。软件定义的安全资源池可以让整套安全体系迸发出强大的活力,极大地提高了系统的整体防护效率。
通过安全资源管理与调度平台,实现与安全资源的对接,包括vFW、vIPS、vWAF等,各个安全子域的边界防护,通过安全资源管理与调度平台,通过策略路由的方式,实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。
第 18 页
内网安全整体解决方案
如上图所示,在安全子域中将防火墙、WAF、LBS、AV、主机加固等均进行虚拟化资源池配置,通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。针对各个子域内的边界访问控制,由安全资源与管理平台调用防火墙池化资源,分别针对各子域的访问请求设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出本区域,并确定该数据包可以访问的客体资源。
由此可见,安全资源池对外体现的是多种安全能力的组合、叠加和伸缩,可应用于云计算环境,也可应用于传统环境,以抵御日益频繁的内外部安全威胁。当然,在云环境中,安全资源池不仅可以解决云安全的落地,而且能发挥虚拟化和 SDN 等先进技术的优势,实现最大限度的软件定义安全。
2.2.2.3 安全域访问控制
为提升虚拟主机及网络的安全性,针对虚拟网络安全边界设定访问控制策略,对于纵向流量、横向流量进行基于IP与端口的访问路径限制。
? 对于虚拟网络边界进行区域请求控制 ? VPN接入边界访问控制 ? Vlan访问控制
2.2.2.4 iaas系统虚拟化安全规划
虚拟机的镜像文件本质上来说就是虚拟磁盘,虚拟机的操作系统与使用者的系统数据全部保存在镜像文件中,对镜像文件的加密手段是否有效,将直接关系
第 19 页
内网安全整体解决方案
虚拟主机的安全性。建议部署镜像文件加密系统,对iaas区域下的数据盘镜像文件进行加密,采用任何国家认可的第三方加密算法进行加密。同时解密密码与uKey绑定,即使数据中心硬件失窃,也无法被破解。加密行为包括:授权、加密、解密功能。
2.2.2.5 虚拟资产密码管理
为增强虚拟资产的密码防护功能,建议通过密钥管理与资产管理分离的技术方式,实现管理员仅维护信息资产,用户自行管理密钥的工作模式。通过密码机集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全
2.2.2.6 虚拟主机安全防护设计
虚拟主机安全防护设计主要实现如下目标: ? 资产清点
? 自动化的进行细粒度的风险分析 ? 安全合规性基线检查
? 对后门、Webshell、文件完整性和系统权限变更等进行监测行为分析
第 20 页