云数据中心网络安全技术

云数据中心网络安全业务需求

云数据中心安全现状

  1. 云平台安全威胁逐年加剧
  2. 云数据中心威胁主要来自于黑客攻击、恶意用户和用户误操作
  3. 主要威胁有特权滥用、DDoS攻击、数据泄露和误操作等。

云数据中心网络概述

数据中心(Data Center):是一整套包括建筑在内复杂的设施。它不仅包括计算机系统和其它与之配套的设备(例如通信和存储系统),还包含冗余的数据通信连接、环境控制设备、监控设备以及各种安全装置

数据中心的使用分层架构。一般L1特指云数据中心基础设施,L2指云数据中心的ICT设备

云计算的四类部署模式

私有云(Private Cloud)

— 企业利用自有或租用的基础设施资源自建的云

私有云是为某个特定用户 / 机构建立的,只能实现小范围内的资源优化,因此并不完全符合云的本质 -- 社会分工。托管型私有云在一定程度上实现了社会分工,但是仍无法解决大规模范围内物理资源利用效率的问题。

社区云/行业云(Community cloud)

— 为特定社区或行业所构建的共享基础设施的云

社区云是介于公有、私有之间的一个形式,每个客户自身都不大,但自身又处于敏感行业,上公有云在政策和管理上都有限制和风险,所以就多家联合做一个云平台。

公有云(Public cloud)

— 出租给公众的大型的基础设施的云

公有云是为大众建的,所有入驻用户都称租户,不仅同时有很多租户,而且一个租户离开,其资源可以马上释放给下一个租户。公有云是最彻底的社会分工,能够在大范围内实现资源优化。

混合云(Hybrid cloud)

— 由两种或两种以上部署模式组成的云

混合云是公有云、私有云、社区云几种的任意混合,这种混合可以是计算的、存储的,也可以两者兼而有之。在公有云尚不完全成熟、而私有云存在运维难、部署实践长、动态扩展难的现阶段,混合云是一种较为理想的平滑过渡方式,短时间内的市场占比将会大幅上升。

云数据中心

业务呈现/协同层

支持对接社区或第三方商业OpenStack云平台+第三方云管理平台。

支持对接华为FusionSphere云平台+华为ManageOne云管理平台。

FabricInsight的采集器将网络中的TCP SYN、FIN、RST报文镜像到分析器进行大数据分析,从而实现基于真实业务流量发现网络异常。

AC北向与OpenStack Neutron对接,完成网络的建模和实例化自动编排下发网络配置,并负责将流量引流到VAS设备。

SecoManager对接AC,实现VAS服务的编排和策略管理,完成VAS业务的建模、实例化和配置下发

网络服务层

由物理设备组成的基础物理组网,用以承载VXLAN Overlay网络。

由物理或虚拟设备提供VAS服务。

( Value-added logistics service) 暂时没有统一的定义,但其核心内容是指根据客户需要,为客户提供的超出常规服务范围的服务,或者采用超出常规的服务方法提供的服务。 1994 我国物流协会对增值物流的定义为“在完成物流基本功能基础上,根据 客户需求 提供的各种延伸业务活动”

 

计算接入层

支持虚拟化服务器和物理服务器的接入,并支持裸金属服务器的自动化发放。

vSwitch实现VM接入的网络和策略配置

云数据中心的服务模式

IaaS(基础架构即服务)

PaaS(平台即服务)

SaaS(软件即服务)

云服务基本概念

VDCVirtual Data Center,虚拟云数据中心。VDC是一个组织可使用资源的集合,一般包括计算、存储和网络资源

VPCVirtual Private Cloud,虚拟私有云。VPC使用VDC中的资源,一个VPC只能属于一个VDC,而一个VDC可包含多个VPC。每个VPC为一个安全域,对应于一个业务/应用/部门。

VDC是VPC的集合

vRouter
vRouter 作为业务子网的网关,用于子网间的三层互通。
一个 VPC 只能有一个 vRouter.
Subnet
Subnet 用于二层广播域的隔离,对应于一个子网网段。
同一 VPC 内不同 Subnet 的三层网关,都在同一个 vRouter 上。
同一 Subnet 内默认互通;不同 Subnet 间默认互通,也可通过配置安全组进行隔离。
vFW
vFW 作为 VPC 的边界,除了可提供外部访问 VPC 内的安全访问控制,还可提供外部访问 VPC 内的接入服务。
可提供的特性有: FW EIP SNAT IPsec VPN 等。
vLB
vLB 用于对外提供内部服务器间的负载均衡能力。
一个 vLB 可以带多个监听器,用户可给不同业务申请不同的监听器。

云数据中心网络安全部署方案

云数据中心网络安全

设备组件

NGFW:提供安全隔离、非法访问防护和访问权限管理等;集成3G/LTE,可以提供主备双链路上行业务承载。

Anti-DDoS:为威胁DCN的DDoS攻击提供检测及流量清洗服务。

SVN:为从非安全区接入DC网络提供安全解决方案;远程分支接入与运维安全通道。

FireHunter:华为沙箱,检测绕过NGFW、IPS和SMG的恶意软件、基于0-Day漏洞的威胁和定向型APT威胁等。

WAF(Web Application Firewall):对静态页面防篡改、阻断SQL注入,XSS攻击。

NIP:对入侵攻击、恶意威胁行为,提供检测及入侵防御能力。

Agile Controller:园区Controller的接入控制组件

UMA(Unified Maintenance and Audit):提供全统一的网络运维、管理及审计能力

LogCenter:整网设备及业务系统信息进行采集、告警呈现

CIS(Cybersecurity Intelligence System):终端异常检测、行为异常检测、流量异常检测、事件异常检测;自定义可疑行为检测;威胁可视化。

华为HiSec@CloudFabric解决方案(该方案满足等保三级要求)

方案总体架构分为三个层次:

业务呈现/协同层:提供安全业务的展现功能,在云网场景下可由云平台直接协同下发安全业务;

FusionSphere:由ManageOne提供统一Portal,租户通过ManageOne Portal订阅、动态打通VAS业务。

第三方Openstack:租户通过第三方Portal或者第三方云平台订阅VAS业务,第三方OpenStack云平台调用Agile Controller-DCN接口动态开通VAS业务。

控制/管理/分析层:承担安全分析以及安全、网络策略下发功能,向上对接云平台、向下纳管安全及网络设备;

Agile Controller:完成网络建模、实例化,自动编排下发网络配置,负责引流至vas。

SecoManager:通过和Agile Controller-DCN融合部署的方式,将界面集成到Agile Controller-DCN中来实现VAS服务的编排和策略管理。

CIS:大数据安全分析系统,动态监测分析APT安全威胁, 实现整网安全态势可视,支持联动网络自动阻断安全威胁。

网络/设备层:cloudfabric的基础架构层,为上层提供大数据安全分析的数据源,并接受上层的统一管理。

由物理和虚拟网络设备组成的承载Overlay网络。

安全设备获取数据流量,基于安全策略执行安全功能;提供硬件和软件两种形态,满足DC边界、租户边界和租户内安全防护需求。

 

云安全服务

租户流量隔离

当创建一个VPC时,网络设备会相应地创建一个VPN实例用于租户流量隔离。而在防火墙上则表现为创建一个虚拟系统,同时虚拟系统也为VPC提供安全防护能力。

安全组

具有相同的安全策略的一组VM的集合,支持安全组间的访问控制策略和安全组内成员间的互访策略。

安全组与vFW用于东西向流量防护。

每个VM一组ACL,互不影响,VM迁移时安全策略自动刷新。

提供VM粒度的隔离机制,解决VLAN资源不足、配置工作量大的问题。

分布式策略控制,报文无需迂回到集中的策略控制点,避免形成性能瓶颈。

可以和边界防火墙共同部署,构筑立体安全防护能力(南北向流量控制+东西向流量控制)。

SNAT
支持在云平台上编排 SNAT ,通过 AC-plugin 对接 Agile Controller-DCN 发放 SNAT 服务。
EIP
支持在云平台上编排 EIP ,通过 AC-plugin 对接 Agile Controller-DCN 发放 EIP 服务。
IPsec VPN :
支持在云平台上编排 IPsecVPN ,通过 AC-plugin 对接 AC 发放 IPsecVPN 服务,包含 IPsec policy IKE policy ipsec-site-connection 等对象。

云数据中心网络安全配置案例

VPC内不同子网互访配置举例

同一VPC内所有虚拟机默认都处于default安全组,不同子网之间可以通信。

  1. 创建安全组

“控制台 > 网络 > 安全组”,单击“创建”

  1. 将云主机加入安全组

控制台 > 计算 > 云主机”界面,单击展开云主机详情,点击网卡后符号,在更多中选择加入安全组。

  1. 退出default安全组

默认有default安全组有4条规则(IPv4和IPv6各两条):

加入“default”安全组的云主机可以访问其他任何子网或安全组中的云主机。

仅加入“default”安全组的云主机不允许其他任何子网或安全组的云主机进行访问。

 

 

相关推荐
1 项目综述 4 1.1 项目背景 4 1.2 安全目标 4 1.3 建设范围 5 1.4 建设依据 5 1.4.1 国家相关政策要求 5 1.4.2 等级保护及信息安全相关国家标准 5 2 云安全等保风险分析 6 2.1 合规性风险 8 2.2 系统建设风险 8 2.2.1 应用迁入阻力风险 8 2.2.2 虚拟化平台品牌选择风险 9 2.2.3 建设质量计量、监督风险 9 2.2.4 安全规划风险 9 2.2.5 建设计划风险 9 2.3 安全技术风险 10 2.3.1 物理安全风险 10 2.3.2 网络安全风险 10 2.3.3 主机安全风险 11 2.3.4 应用安全风险 12 2.3.5 数据安全风险 13 2.3.6 虚拟化平台安全风险 14 2.3.7 虚拟化网络安全风险 14 2.3.8 虚拟化主机安全风险 15 2.3.1 安全管理风险 16 2.3.2 云环境下的特有安全管理风险 16 2.3.3 安全组织建设风险 16 2.3.4 人员风险 17 2.3.5 安全策略风险 17 2.3.6 安全审计风险 17 2.4 安全运维风险 18 2.4.1 云环境下的特有运维风险 18 2.4.2 环境与资产风险 19 2.4.3 操作与运维风险 19 2.4.4 业务连续性风险 19 2.4.5 监督和检查风险 19 2.4.6 第三方服务风险 20 3 解决方案总体设计 21 3.1 设计原则 21 3.2 安全保障体系构成 22 3.2.1 安全技术体系 23 3.2.2 安全管理体系 26 3.2.3 安全运维体系 26 3.3 安全技术方案详细设计 27 3.3.1 信息安全拓扑设计 27 3.3.2 安全计算环境设计 38 3.3.3 安全区域边界设计 46 3.3.4 安全通信网络设计 49 3.3.5 安全管理中心设计 52 3.4 安全管理体系详细设计 54 3.4.1 安全管理建设设计指导思想 55 3.4.2 建立安全管理制度及策略体系的目的 55 3.4.3 设计原则 55 3.4.4 安全方针 56 3.4.5 信息安全策略框架 56 3.4.6 总体策略 56 3.4.7 安全管理组织机构 57 3.4.8 服务交付物 59 3.5 安全运维体系详细设计 61 3.5.1 门户网站安全监控 62 3.5.2 应急响应服务 65 3.5.3 安全通告服务 67 3.5.4 网络及安全设备维护 68 3.5.5 系统安全维护 69 3.5.6 网络防护 69 3.5.7 系统加固 70 4 本期采购安全产品清单 75
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页