廣州熱線

云計(jì)算概念于2006年被Google公司正式提出，云計(jì)算模式在世界范圍內(nèi)已經(jīng)成為信息通信（ICT）行業(yè)的發(fā)展趨勢(shì)。從本質(zhì)上來(lái)說(shuō)，云計(jì)算是一種以服務(wù)為特征的計(jì)算模式，它通過對(duì)各種計(jì)算資源進(jìn)行抽象，以新的業(yè)務(wù)模式提供高性能、低成本的持續(xù)計(jì)算、存儲(chǔ)空間及各種軟件服務(wù)，支撐各類信息化應(yīng)用，能夠合理配置計(jì)算資源，提高計(jì)算資源的利用率，降低成本，促進(jìn)節(jié)能減排，實(shí)現(xiàn)真正理想的“綠色”計(jì)算。

然而，云計(jì)算帶來(lái)諸多便利與優(yōu)勢(shì)的同時(shí)也給信息安全帶來(lái)了多個(gè)層面的沖擊與挑戰(zhàn)。云計(jì)算的服務(wù)計(jì)算模式、動(dòng)態(tài)虛擬化管理方式以及多層服務(wù)模式等引發(fā)了新的信息安全問題；云服務(wù)級(jí)別協(xié)議所具有的動(dòng)態(tài)性及多方參與的特點(diǎn)，對(duì)責(zé)任認(rèn)定及現(xiàn)有的信息安全體系帶來(lái)了新的沖擊；云計(jì)算的強(qiáng)大計(jì)算與存儲(chǔ)能力被非法利用時(shí)，將對(duì)現(xiàn)有的安全管理體系產(chǎn)生巨大影響等。為有效應(yīng)對(duì)上述安全風(fēng)險(xiǎn)，我國(guó)相關(guān)部門積極推進(jìn)云計(jì)算安全標(biāo)準(zhǔn)體系的建設(shè)工作，并在各有關(guān)單位的共同努力下取得了顯著成果。

1.等保2.0云計(jì)算安全擴(kuò)展要求分析

等級(jí)保護(hù)是我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域?qū)嵤┑闹匾贫戎唬瑸槭咕W(wǎng)絡(luò)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)能夠?qū)崿F(xiàn)與時(shí)俱進(jìn)，適應(yīng)新技術(shù)、新應(yīng)用的發(fā)展所提出的安全需求，《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)共5個(gè)技術(shù)領(lǐng)域提出了安全擴(kuò)展要求。云計(jì)算安全擴(kuò)展要求章節(jié)針對(duì)云計(jì)算的特點(diǎn)提出特殊保護(hù)要求，對(duì)云計(jì)算環(huán)境主要增加的控制點(diǎn)包括“基礎(chǔ)設(shè)施的位置”、“虛擬化安全保護(hù)”、“鏡像和快照保護(hù)”、“云服務(wù)商選擇”、“供應(yīng)鏈管理”、“云計(jì)算環(huán)境管理”等方面。以最典型和最重要的第三級(jí)安全要求為例，該標(biāo)準(zhǔn)在7個(gè)層面（5個(gè)技術(shù)層面和2個(gè)管理層面）對(duì)16個(gè)控制點(diǎn)提出了共46條云計(jì)算安全擴(kuò)展要求項(xiàng)。

此外，云計(jì)算安全擴(kuò)展要求附錄中針對(duì)應(yīng)用場(chǎng)景進(jìn)行了說(shuō)明，明確指出：軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）是三種基本的云計(jì)算服務(wù)模式。

如上圖所示，在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對(duì)計(jì)算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界。在基礎(chǔ)設(shè)施即服務(wù)模式下，云計(jì)算平臺(tái)／系統(tǒng)由設(shè)施、硬件、資源抽象控制層組成；在平臺(tái)即服務(wù)模式下，云計(jì)算平臺(tái)／系統(tǒng)包括設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源和軟件平臺(tái)；在軟件即服務(wù)模式下，云計(jì)算平臺(tái)／系統(tǒng)包括設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件。不同服務(wù)模式下云服務(wù)商和云服務(wù)客戶的安全管理責(zé)任有所不同。當(dāng)用戶在本地建設(shè)自己的私有云平臺(tái)，用戶需要負(fù)責(zé)設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源和軟件平臺(tái)全部的安全保障。

2.云計(jì)算安全建設(shè)需求分析

由于云環(huán)境下網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜、彈性和動(dòng)態(tài)變化等特點(diǎn)，按照等保2.0標(biāo)準(zhǔn)要求，云計(jì)算安全建設(shè)需要關(guān)注并且滿足以下的需求：

2.1安全物理環(huán)境風(fēng)險(xiǎn)與需求分析

由于云計(jì)算平臺(tái)的物理特性引起的網(wǎng)絡(luò)、設(shè)備和線路的不可使用，將會(huì)造成云計(jì)算平臺(tái)的不可使用，導(dǎo)致整個(gè)用戶云上業(yè)務(wù)的癱瘓。物理和環(huán)境安全包括機(jī)房選址、機(jī)房建設(shè)、設(shè)備設(shè)施的防盜防破壞、防火、防水、電力供應(yīng)、電磁防護(hù)等，需要在數(shù)據(jù)中心機(jī)房的建設(shè)過程中嚴(yán)格按照國(guó)家相關(guān)標(biāo)準(zhǔn)進(jìn)行機(jī)房建設(shè)、綜合布線、安防建設(shè)，并經(jīng)過相關(guān)部門的檢測(cè)和驗(yàn)收，同時(shí)需確保云計(jì)算平臺(tái)所在位置位于中國(guó)境內(nèi)。

2.2安全通信網(wǎng)絡(luò)風(fēng)險(xiǎn)與需求分析

首先云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)。云計(jì)算平臺(tái)在安全建設(shè)中需要保障云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離，并且根據(jù)云服務(wù)客戶需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力。云計(jì)算平臺(tái)可以實(shí)現(xiàn)云服務(wù)客戶根據(jù)業(yè)務(wù)需求自主設(shè)置安全策略的能力，同時(shí)實(shí)現(xiàn)云安全管理與云計(jì)算管理的深度集成，以提供更好的用戶體驗(yàn)。

2.3安全區(qū)域邊界風(fēng)險(xiǎn)及需求分析

（1）訪問控制

云服務(wù)客戶需要在虛擬化網(wǎng)絡(luò)邊界及不同的等級(jí)網(wǎng)絡(luò)區(qū)域邊界設(shè)置訪問控制機(jī)制，并設(shè)置訪問控制規(guī)則。

（2）入侵防范

在云計(jì)算平臺(tái)內(nèi)部能檢測(cè)云服務(wù)客戶之間、虛擬機(jī)與宿主機(jī)之間、虛擬機(jī)與虛擬機(jī)之間、虛擬網(wǎng)絡(luò)節(jié)點(diǎn)之間的攻擊進(jìn)行告警，并且能記錄攻擊類型、攻擊時(shí)間、攻擊流量等信息。

（3）安全審計(jì)

云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟；云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計(jì)。

2.4安全計(jì)算環(huán)境風(fēng)險(xiǎn)及需求分析

（1）身份鑒別

對(duì)遠(yuǎn)程管理云計(jì)算平臺(tái)中設(shè)備時(shí)，管理終端和云計(jì)算平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制。

（2）訪問控制

當(dāng)云服務(wù)客戶虛擬機(jī)遷移時(shí)，訪問控制策略隨其遷移，云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略。

（3）入侵防范

云計(jì)算平臺(tái)安全建設(shè)應(yīng)能檢測(cè)虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警，能檢測(cè)非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)，并進(jìn)行告警；能夠檢測(cè)惡意代碼感染及在虛擬機(jī)間蔓延的情況，并進(jìn)行告警。

2.5安全管理中心風(fēng)險(xiǎn)及需求分析

云計(jì)算平臺(tái)需要對(duì)物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配。在安全建設(shè)中云計(jì)算平臺(tái)管理流量與云服務(wù)客戶業(yè)務(wù)流量分離。根據(jù)云服務(wù)商和云服務(wù)客戶的職責(zé)劃分，收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)各自的集中審計(jì)。應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶的職責(zé)劃分，實(shí)現(xiàn)各自控制部分，包括虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測(cè)。

3.云計(jì)算安全建設(shè)方案設(shè)計(jì)

云計(jì)算安全建設(shè)需要滿足等保2.0中通用建設(shè)部分并與云計(jì)算擴(kuò)展要求相結(jié)合，建立“一個(gè)中心三重防護(hù)”的理念，即安全管理中心和安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境，以安全計(jì)算環(huán)境為基礎(chǔ)，以安全通信網(wǎng)絡(luò)、安全區(qū)域邊界為保障，以安全管理中心為核心的信息安全整體保障體系。

3.1安全通信網(wǎng)絡(luò)

云計(jì)算平臺(tái)在服務(wù)器內(nèi)部出現(xiàn)了vSwitch層，這使得原本清晰的邊界模糊化，為此在安全設(shè)計(jì)中必須要考慮此挑戰(zhàn)，確保安全解決方案的可落地。用戶業(yè)務(wù)在云計(jì)算平臺(tái)實(shí)際部署中，服務(wù)器內(nèi)部網(wǎng)絡(luò)之間安全防護(hù)挑戰(zhàn)會(huì)有兩個(gè)層級(jí)：

第一個(gè)層級(jí)：在云計(jì)算平臺(tái)內(nèi)開啟VPC模式，根據(jù)用戶需求構(gòu)建一個(gè)隔離的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)用戶內(nèi)不同業(yè)務(wù)部門或不同業(yè)務(wù)系統(tǒng)之間的網(wǎng)絡(luò)隔離。VPC之間的安全隔離可以采用虛擬防火墻的安全隔離能力。在云計(jì)算平臺(tái)VPC之間通過提供虛擬化防火墻、邏輯VPN等服務(wù)，將需要保護(hù)的虛擬機(jī)與外部網(wǎng)絡(luò)之間進(jìn)行端口組隔離，實(shí)現(xiàn)虛擬化環(huán)境中網(wǎng)絡(luò)安全的需要。山石網(wǎng)科虛擬化下一代防火墻-云·界可以為云數(shù)據(jù)中心提供隔離功能的邏輯安全邊界，支持多租戶環(huán)境，并可安全地共享網(wǎng)絡(luò)資源，實(shí)現(xiàn)應(yīng)用系統(tǒng)云服務(wù)器群組的安全隔離。

第二個(gè)層級(jí)：根據(jù)等級(jí)保護(hù)要求，需要考慮用戶業(yè)務(wù)系統(tǒng)所在虛擬機(jī)之間隔離。此層級(jí)下在云計(jì)算平臺(tái)中部署山石云·格進(jìn)行虛機(jī)之間安全防護(hù)。云·格提供的“虛機(jī)微隔離”技術(shù)為每個(gè)虛機(jī)提供了“貼身保鏢”式的安全防護(hù)，通過專利引流技術(shù)，山石云·格可將每個(gè)業(yè)務(wù)虛機(jī)的流量牽引至虛擬安全業(yè)務(wù)模塊，進(jìn)行2-7層的威脅檢測(cè)，從而發(fā)現(xiàn)并阻斷東西向流量的安全威脅。云服務(wù)客戶可以根據(jù)自己需求自主設(shè)置安全策略能力，提供更好的用戶體驗(yàn)。

3.2安全區(qū)域邊界

3.2.1訪問控制與入侵防范

云服務(wù)客戶需要在虛擬化網(wǎng)絡(luò)邊界及不同的等級(jí)網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制，并設(shè)置訪問控制規(guī)則。在云計(jì)算平臺(tái)內(nèi)部，能檢測(cè)云服務(wù)客戶之間、虛擬機(jī)與宿主機(jī)之間、虛擬機(jī)與虛擬機(jī)之間、虛擬網(wǎng)絡(luò)節(jié)點(diǎn)之間的攻擊進(jìn)行告警，并且能記錄攻擊類型、攻擊時(shí)間、攻擊流量等信息。

實(shí)現(xiàn)云計(jì)算平臺(tái)內(nèi)VPC邊界防護(hù)和邊界訪問控制防護(hù)可以采用山石云·界提供邊界流量過濾、網(wǎng)絡(luò)層防護(hù)及應(yīng)用層防護(hù)功能。針對(duì)虛擬機(jī)之間訪問控制與入侵防范，可部署山石云·格為虛擬化環(huán)境中構(gòu)建一個(gè)強(qiáng)大且可信賴的“盾牌”。通過對(duì)系統(tǒng)流量與策略規(guī)則的統(tǒng)計(jì)，即每當(dāng)經(jīng)過山石云·格的會(huì)話與某條策略規(guī)則相匹配時(shí)，會(huì)調(diào)用用戶自己配置的IPS/AV模板檢測(cè)是否存在威脅或攻擊行為，同時(shí)根據(jù)用戶自己的配置對(duì)存在威脅或攻擊的會(huì)話執(zhí)行相應(yīng)的動(dòng)作，提升云數(shù)據(jù)中心的防御能力，從而降低用戶安全風(fēng)險(xiǎn)。

3.2.2安全審計(jì)

對(duì)云計(jì)算平臺(tái)中虛擬安全設(shè)備、業(yè)務(wù)系統(tǒng)進(jìn)行安全審計(jì)也是等保安全建設(shè)重要的一部分。山石網(wǎng)科所有虛擬化安全產(chǎn)品自身提供豐富的信息日志，且所有日志均支持本地與syslog協(xié)議存儲(chǔ)。在關(guān)于“內(nèi)容”的日志類別中，支持針對(duì)用戶的識(shí)別，事件記錄包括日期和時(shí)間、用戶、事件類型、事件結(jié)果等，滿足“安全審計(jì)”中的相關(guān)要求。

山石網(wǎng)科提供專業(yè)的虛擬化日志審計(jì)平臺(tái)，可對(duì)所有用戶訪問行為和安全事件進(jìn)行審計(jì)，節(jié)點(diǎn)設(shè)備的日志數(shù)據(jù)可以通過syslog協(xié)議推送到日志審計(jì)平臺(tái)統(tǒng)一作保存與日志分析，日志保存時(shí)間要求不少于6個(gè)月，滿足等保及網(wǎng)絡(luò)安全法的要求。

3.3安全計(jì)算環(huán)境

3.3.1身份鑒別

遠(yuǎn)程管理云計(jì)算平臺(tái)中設(shè)備，可以采用VPN技術(shù)實(shí)現(xiàn)管理終端和云計(jì)算平臺(tái)之間互聯(lián)，并且可以實(shí)現(xiàn)雙向身份驗(yàn)證機(jī)制。山石云·界支持開啟 VPN功能，能夠?qū)崿F(xiàn)數(shù)據(jù)的加密傳輸，為用戶提供安全穩(wěn)定的連接，用戶能夠隨時(shí)隨地高效運(yùn)維。

在運(yùn)維管理中采用堡壘機(jī)/虛擬堡壘機(jī)可實(shí)現(xiàn)賬號(hào)權(quán)限劃分以及雙因子認(rèn)證，通過身份認(rèn)證、權(quán)限控制、賬戶管理、操作審計(jì)等多種手段，完成云內(nèi)核心資產(chǎn)的統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審計(jì)，全方位提升運(yùn)維風(fēng)險(xiǎn)控制能力。

3.3.2訪問控制

云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略，當(dāng)虛擬機(jī)遷移時(shí)，訪問控制策略也隨其遷移。在虛擬化環(huán)境中，云·格安全策略可以隨虛擬機(jī)遷移安全策略也隨著遷移。

3.3.3入侵防范

在云計(jì)算平臺(tái)建設(shè)中需要檢測(cè)虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警，并且檢測(cè)非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)進(jìn)行告警。檢測(cè)惡意代碼感染及在虛擬機(jī)間蔓延的情況，并進(jìn)行告警。

針對(duì)于云計(jì)算平臺(tái)虛擬主機(jī)系統(tǒng)，通過部署網(wǎng)絡(luò)版殺毒軟件或山石網(wǎng)科EDR產(chǎn)品對(duì)終端主動(dòng)防御型查殺，對(duì)惡意程序、免殺木馬、釣魚程序、挖礦程序、勒索程序、黑名單程序等進(jìn)行檢測(cè)、攔截。

針對(duì)部署在云計(jì)算平臺(tái)的WEB應(yīng)用安全，可以采用虛擬應(yīng)用防火墻來(lái)防護(hù)對(duì)應(yīng)用系統(tǒng)的攻擊；采用網(wǎng)頁(yè)防篡改實(shí)現(xiàn)WEB頁(yè)面安全防護(hù)。

針對(duì)數(shù)據(jù)庫(kù)信息存在的風(fēng)險(xiǎn)，為增強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的安全，需要對(duì)數(shù)據(jù)庫(kù)進(jìn)行防護(hù)?？梢圆捎锰摂M數(shù)據(jù)庫(kù)防火墻對(duì)數(shù)據(jù)庫(kù)安全防護(hù)。

山石網(wǎng)科虛擬化遠(yuǎn)程安全評(píng)估系統(tǒng)可以對(duì)云中操作系統(tǒng)、業(yè)務(wù)系統(tǒng)進(jìn)行安全掃描。協(xié)助運(yùn)維人員高效、準(zhǔn)確地對(duì)租戶內(nèi)部系統(tǒng)進(jìn)行實(shí)時(shí)自檢，及時(shí)發(fā)現(xiàn)安全問題，并提供詳細(xì)、專業(yè)的安全建議和修補(bǔ)方案，有效提升整網(wǎng)的健壯性和安全性。

山石網(wǎng)科云計(jì)算虛擬安全設(shè)備均可以將日志和流量信息發(fā)送到智能安全運(yùn)營(yíng)系統(tǒng)，從而對(duì)云中安全事件進(jìn)行告警及可視。

3.4安全管理中心

云計(jì)算平臺(tái)建設(shè)中需要對(duì)物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配。在日常運(yùn)營(yíng)中，需對(duì)云計(jì)算平臺(tái)自身所涉及基礎(chǔ)設(shè)施進(jìn)行安全配置、策略變更管理，定期進(jìn)行配置核查；對(duì)云計(jì)算平臺(tái)涉及的物理服務(wù)器進(jìn)行操作系統(tǒng)安全加固及配置核查；及時(shí)發(fā)現(xiàn)云計(jì)算平臺(tái)及其相關(guān)產(chǎn)品組件的安全漏洞，并提供修復(fù)；通過故障監(jiān)控、快速定位、自動(dòng)化恢復(fù)、通知告警等一系列故障管控體系，保證云計(jì)算平臺(tái)及云產(chǎn)品的可用性；提供云計(jì)算平臺(tái)提供數(shù)據(jù)安全防護(hù)，幫助用戶保護(hù)其云端系統(tǒng)及數(shù)據(jù)的可用性、機(jī)密性和完整性；對(duì)云計(jì)算平臺(tái)數(shù)據(jù)實(shí)現(xiàn)集中審計(jì)，并對(duì)云計(jì)算平臺(tái)中虛擬化網(wǎng)絡(luò)，虛擬機(jī)、虛擬化安全設(shè)備的運(yùn)行狀況的集中監(jiān)測(cè)。

在等級(jí)保護(hù)中明確要求應(yīng)具備集中管控能力，通過虛擬安全管理平臺(tái)的建設(shè)，真正實(shí)現(xiàn)安全技術(shù)層面和管理層面的結(jié)合，全面提升整網(wǎng)的安全保障能力，滿足等保中“集中管控”的相關(guān)要求。

4.山石網(wǎng)科云計(jì)算安全產(chǎn)品

山石網(wǎng)科自2015年推出了由山石云·格、山石云·界構(gòu)成的云計(jì)算安全解決方案至今，已經(jīng)積累了大量云安全成功案例。伴隨等保2.0政策執(zhí)行的合規(guī)落地，山石網(wǎng)科致力于打造一整套云計(jì)算安全解決方案，用以滿足云計(jì)算安全擴(kuò)展要求的合規(guī)執(zhí)行。方案覆蓋云計(jì)算安全擴(kuò)展要求中的安全通信網(wǎng)絡(luò)-網(wǎng)絡(luò)架構(gòu)，安全區(qū)域邊界-訪問控制與入侵防范，安全計(jì)算環(huán)境-訪問控制與入侵防范，安全管理中心-集中管控等大部分控制項(xiàng)安全措施。

山石網(wǎng)科云計(jì)算安全解決方案圍繞山石云·界、山石云·格、山石云·池、虛擬化Web應(yīng)用防火墻、虛擬化日志審計(jì)、虛擬化數(shù)據(jù)庫(kù)審計(jì)等云安全產(chǎn)品為核心，面向云服務(wù)商、云客戶，提供基于云平臺(tái)、租戶、微隔離、云數(shù)據(jù)庫(kù)、云安全管理等多種云計(jì)算應(yīng)用場(chǎng)景的解決方案，全面滿足未來(lái)云計(jì)算安全合規(guī)落地執(zhí)行的需求。