物联网-平台云服务安全设计
一、云服务安全设计原则
1.1 安全域划分原则
所谓安全域(Security Domain),是指网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域可划分为若干安全子域,安全子域也可继续依次细化为次级安全域、三级安全域等。安全域的划分,就是从安全角度将系统划分成不同的区域,以便实行分门别类的防护。
根据上述原则,目前建设的云平台安全防护保护对象确立比较明晰,首先参考“运行环境相似”原则,也就是把云平台上运行的业务系统放在一起保护,其次参考“安全策略一致”原则,将面向不同网络的业务系统分开
从整体网络规划上,依据等级保护的要求,利用一个中心三重防护的思想结合业务功能和网络安全风险将数据中心划分为多个安全区域,实现物理和逻辑控制并用的隔离手段,提升网络面对入侵和内鬼的分区自我保护和容错恢复能力。
1. 安全计算环境---计算域网络、服务器与数据中心对定级系统的信息进行存储、处理及实施安全策略的相关部件。
2、安全区域边界---计算域边界安全措施对安全计算环境边界以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。
3、安全通信网络---即计算域网络的出口,系统安全计算环境之间进行信息传输及实施安全策略的相关部件。
4、安全管理中心---支撑对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。
1.2 安全域细粒度划分
根据业务功能以及不同的安全级别,不同的安全域内部又可以进一步划分不同的安全子域:
网络中内部安全域可划分为数据中心核心交换区、网络服务区、数据中心计算区、数据中心存储区;
云管理安全域可划分为运维运营管理区、公共服务区、管理服务隔离区。
管理服务隔离区部署面向外网和用户的前置部件,如负载均衡器、代理服务器等,以及服务部件,如服务控制台、API 网关等。用户对 隔离区的访问行为不可信,所以需要对隔离区单独划分平面。
公共服务区:该区域主要部署IaaS/PaaS/SaaS 服务化组件,如IaaS/PaaS/SaaS 服务控制部件,以及一些基础设施服务部件如DNS、NTP、补丁服务等。此区域内的部件根据业务需要受限开放给用户。云管理员可以从内网区访问该区域进行操作和管理。
运维运营管理区:该区域主要部署运维运营组件,管理员可以通过此区域对其他区域进行统一的业务系统运维运营管理。
1.3 安全域内业务平面划分
为保证用户业务不影响管理操作,确保设备、资源和流量不会脱离有效监管,将其网络的通信平面基于不同业务职能、不同安全风险等级和不同权限需要划分为用户数据平面、管理面(BMC、业务控制面、平台运维中心)、数据存储平面等,以保证关乎不同业务的网络通信流量得到合理且安全的分流,便于实现职责分离
用户数据平面:作为用户提供业务通道和虚拟机之间通信平面,对其用户提供业务应用。
业务控制平面:支撑云服务 API 的安全交互。
平台运维平面:实现基础设施和平台(网络设备、服务器、存储)的后台运维管理。
BMC 管理平面:作为云平台基础设施服务器的硬件后端管理平面,用于应急维护。
数据存储平面:仅供计算区内计算节点与存储节点间的数据安全传输与存储。
二、云安全服务提升
2.1 云安全服务体系
云平台安全服务体系,可以从安全技术、安全管理以及安全服务三个维度进行设计。根据《网络安全等级保护安全设计技术要求》(GB/T 25070-2019),等级保护三级安全技术从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面进行构建。
安全技术体系的建设简单来说就是“一个中心,三重保护”。
“一个中心”指的是安全管理中心,是对信息系统的安全策略及安全机制实施统一管理的平台。按照等保的《基本要求》,第三级(含)以上的信息系统安全保护环境需要设置安全管理中心。
建议从全局的角度出发,对不同保护等级、不同安全区域的信息系统实施统一的安全管理,即建立全网集中的统一安全管理平台,通过资产管理、脆弱性管理、事件管理、风险管理、策略管理、运维管理、应急管理等手段,实现全网集中的安全监控、风险管理、事件响应。在安全管理平台的基础上,建立安全运营中心,协调信息系统各个环节所采用的安全防护措施和安全管理要素,形成相互关联、高度融合的安全防护平台,实现对安全事件的实时检测、及时响应和综合防护,对网络系统安全防护体系的动态更新,降低安全风险,提升的信息安全监管能力。
“三重保护”指的是按照分域保护的思想,将信息系统从结构上划分为不同的安全区域,各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境,各个安全区域之间的访问关系形成区域边界,各个安全区域之间的连接链路和网络设备构成了通信网络,因此整体安全保障技术体系将从保护计算环境、保护区域边界、保护通信网络三个层面分别进行构建,最终形成三重纵深防御的安全体系,并且它们始终都在安全管理中心的统一管控下有序地运行。
保护计算环境:计算环境是对信息系统的信息进行存储、处理的相关部件,包括网络平台、系统平台和业务应用。不同安全等级信息系统的计算环境有着不同级别的保护要求,在进行计算环境保护措施设计时,可以将根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求,提出各信息系统计算环境内部的安全技术保护措施。
保护区域边界:区域边界是信息系统计算环境与通信网络之间实现连接的相关部件。不同安全等级信息系统的区域边界有着不同级别的保护要求,在进行区域边界保护措施设计时,可以根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求,对各信息系统区域边界实施安全保护技术措施。考虑到相邻的信息系统存在区域边界设备共享的情况,如果不同安全级别的信息系统通过同一套安全措施进行边界保护,这个边界保护措施及其所采用的保护策略应满足最高级别信息系统的安全保护要求。
保护通信网络:通信网络是对信息系统计算环境之间进行信息传输的相关部件,包括骨干网/城域网及局域网主干核心系统。不同安全等级的通信网络有着不同级别的保护要求,在进行通信网络保护措施设计时,需要根据等级保护基本要求、行业安全规范要求和信息系统自身安全风险防护需求,实施通信网络安全保护技术措施。考虑到不同安全级别的信息系统共享同一网络线路和网络设备传输数据的情况,该通信网络的安全保护措施及其所采用的保护策略应满足最高级别信息系统的安全保护要求。
2.2 云安全区域划分
根据业务功能和网络安全风险将云数据中心划分为多个安全区域,在这里介绍以下四个重要安全区域:
网络出口安全域:该区域为云平台外网边界与云平台内网之间的安全接入域。
云管理区:该区域主要部署操作运维部件,云数据中心运维人员必须先通过虚拟专用网络(VPN)接入该区域,再通过堡垒机访问被管理节点,管理员可从此区域访问所有区域的运维接口。
计算域:此区域提供用户所需的基础设施资源,包括计算、存储、网络资源,如业务虚拟机、磁盘、虚拟网络。用户之间通过多层安全控制手段实现资源隔离,用户不能访问其它用户的资源;平台侧管理平面、数据存储平面隔离,且与用户数据平面隔离。
核心交换区:政务外网和互联网之间跨网系间安全、可控、高效的信息交换通过该区域完成,建设安全隔离与交换平台支撑电子政务外网和电子政务互联网业务,构建一体化信息基础设施。
除了上述网络分区,同时也对不同区域的安全级别进行了划分,根据不同的业务功能,确定不同的攻击面以及不同的安全风险,比如说直接暴露在互联网的区域,安全风险最高,而与互联网几乎没有交互并且不向其他区域开放接口的内部区,攻击面最小,安全风险相对容易控制。
2.3 云安全解决方案
云安全从应用、数据、负载、安全态势四方面进行安全加固,构建风险全面可控的网站安全架构,保障网站业务连续可用。
【1】应用安全
● Web应用防火墙:防爬虫、防SQL注入、防CC;
● DDoS防护:无需调整网站基础架构,一键添加防护,透明接入,抵御大流量攻击;
● SSL证书&云证书管理:域名HTTPS认证,加密传输。
【2】数据安全
● 数据安全中心:支持敏感数据分类、数据加密等功能,为网站数据提供全生命周期防护;
● 数据库安全:通过用户行为发现审计保障云上数据库的安全。
【3】多维度保护服务器
● 主机安全:实现一键修漏洞、防勒索、防入侵;
● 主机安全网页防篡改:实时检测应用程序行为,能够检测针对数据库等动态数据的篡改行为,实时阻断攻击者通过应用程序篡改网页内容的行为,实现静动态网页的全守护;
● 云堡垒机:实现细粒度的权限控制及运维审计。
【4】安全告警一体化管理
● 提供云上安全基线检查和加固建议,满足等保合规要求;
● 安全告警统一管理平台,快速响应与闭环安全问题;
● 风险可视化的态势大屏,云上态势一目了然;
● 周报、月报功能帮助企业快速了解周期内问题。
三、云安全服务实现
3.1云安全服务要求
安全服务能力可扩展,可按需部署主机安全、数据库安全等安全服务,保护云主机和云上数据库的安全。
3.2.安全通信网络防护
1.结构安全及安全域划分设计
在核心交换、边界安全设备均采用双机冗余,安全域的详细划分请见“安全域划分原则”章节
2.通信网络数据传输保密性、完整性保护、可信接入保护设计
互联网区建设安全接入平台,通过部署VPN系统、接入认证管理系统、移动安全管理系统和防火墙系统,对远程接入用户提供远程接入和数据加密传输功能,防止数据篡改和数据窃听等风险。华为云平台已经集成了业界的奇安信、安恒等多个安全产品,与合作伙伴共同构建云平台及云用户安全防御体系
3.运维安全审计
考虑到《基本要求》和《电子政务外网实施指南》有针对运维管理的要求,因此需要考虑针对运维人员的运维审计系统。审计内容包括运维人员行为、网络设备系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件,审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等,并能够根据记录数据进行分析,并生成审计报表,同时具备审计进程保护,避免受到未预期的中断,具备审计记录的保护功能,避免受到未预期的删除、修改或覆盖等操作。对于支持用户收集和查看与用户资源相关的审计信息的功能,则由云平台的安全即服务扩展能力提供。
3.3.安全区域边界防护
云平台提供面向外部的业务承载,面临着黑客入侵、病毒入侵、网络攻击及内部管理等多种安全威胁,需要提供完善的边界安全防护方案,实现对整个云平台中承载的所有应用的安全防护服务。
实现云平台边界安全防护,主要包括以下几方面设计:
【1】出口防火墙
传统防火墙是一种用于监控出入数据中心网络流量的网络安全设备,一般是串行部署模式的。其可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上,可基于定义好的安全规则来决定特定流量是否可以允许,例如可以利用封包的多样属性来进行过滤,例如:来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 HTTP 或是 FTP)。一直以来,防火墙是网络安全的第一道防线。 它们在安全、可控的可信任内部网络与不可信任的外部网络(如互联网)之间建立了一道屏障。
在云平台与互联网的边界处部署下一代防火墙,通过出口防火墙的安全域划分提供基础安全隔离,对进出数据中心的流量进行访问控制与安全防护,提供从数据链路层、网络层到传输层的安全,包括ARP欺骗、扫描攻击、多种畸形报文攻击、端口过滤、抗IP分片攻击,同时提供NAT等功能,同时防火墙采用双机热备方式部署,备机实时同步主机安全策略与配置,当主机出现故障时自动升主接替主机工作,保障客户业务连续性。
【2】多用户边界隔离
在业务区内承载多个下属单位的业务应用,按照下属单位业务隔离的概念,在云平台核心交换机旁挂的防火墙上,为每个单位划分虚拟防火墙,这样各单位的业务就可以完全隔离。
核心交换机为每个VPC划分不同的VRF,实现VPC之间网络空间隔离;核心交换机旁挂防火墙,通过一虚多为每个VPC创建不同的vFW,vFW和VRF一一对应,为VPC提供虚拟网络流量隔离与访问控制:
1.外部用户访问VPC内VM流量;
2.不同VPC之间互访流量;
可以通过分布式vFW或安全组对VM进一步进行隔离,实现同一子网内不同安全属性VM之间的隔离与访问控制,例如可以将WEB/APP/DB对应的VM分别放在不同子网。
3.4.安全计算环境防护
在考虑计算环境的安全防护时,需要考虑包括底层承载的云操作系统自身的安全保障以及承载在计算、存储、网络资源之上的业务主机、业务数据(数据库)、业务网络的安全性,其中云操作系统安全性依靠自身的安全性设计以及基本的业务隔离等安全措施,并提供安全服务目录提供端到端的额外安全防护组件。
【1】云操作系统安全
云操作系统安全是保障业务计算环境安全的基础,云OS安全责任主体是云平台供应商,云平台供应商需要建设一个安全可靠的健壮专有云平台,保障自身的安全性。需要对平台进行安全加固包括安全隔离、加固等内容,其安全设计可基于云平台系统自身安全特性、安全加固来实现。
【2】业务宿主机安全加固
云平台计算节点物理机均使用欧拉操作系统,为保证此类设备的安全,必须对Linux操作系统进行基础的安全配置,基础安全配置的主要内容如下:
- 最小化服务:禁用多余或危险的系统后台进程和服务,如邮件代理、图形桌面、telnet、编译工具等。
- 服务加固:对SSH、Xinetd等常用服务进行安全加固。
- 内核参数调整:修改内核参数,增强操作系统安全性,如禁用IP转发、禁止响应广播请求、禁止接受/转发ICMP重定向消息。
- 文件目录权限设置:结合业界加固规范及应用要求,保证文件权限最小化。
- 帐号口令安全:启动口令复杂度检查、密码有效期、登录失败重试次数等。
- 系统认证和授权:禁止root远程登录、尽量不用root账号安装运行进程。
- 日志和审计:记录服务、内核进程运行日志,可以与日志服务器对接。
【3】业务资源安全隔离
(1)虚拟化隔离
虚拟化平台通过对服务器物理资源的抽象,将CPU、内存、I/O 等物理资源转化为一组统一管理、可灵活调度、可动态分配的逻辑资源,并基于这些逻辑资源,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。通过CPU 隔离、内存隔离和I/O 隔离等技术手段实现虚拟主机操作系统与访客虚拟机操作系统之间的隔离,并通过Hypervisor 让虚拟主机操作系统与访客虚拟机操作系统使用不同的权限运行,来保证平台系统资源的安全。
(2)CPU 隔离
虚拟化平台直接运行于物理服务器之上,基于硬件辅助虚拟化技术提供虚拟化能力,为虚拟机提供运行环境。基于硬件虚拟化的CPU 隔离主要是指虚拟化平台与虚拟机之间的隔离,虚拟机内部的权限分配和虚拟机与虚拟机之间的隔离。CPU隔离是通过Root和Non-Root两种运行模式的切换、各运行模式下的运行权限分配以及以VCPU(VirtualCPU)的形式呈现的虚拟计算资源的分配与切换等方式来实现的。通过CPU 隔离机制,虚拟化平台可以控制虚拟机对物理设备以及虚拟化运行环境的访问权限,从而实现虚拟化平台与虚拟机之间以及不同虚拟机之间在信息和资源上的隔离,也就是说,一个虚拟机无法获取到其他虚拟机或虚拟化平台的信息和资源,保证了虚拟机运行在合法的空间内,避免某个虚拟机对UVP 或其他虚拟机发起攻击。
(3)内存隔离
虚拟化平台还负责为虚拟机提供内存资源,保证每个虚拟机只能访问到自身分配的内存。为实现这个目标,虚拟化平台管理虚拟机内存与真实物理内存之间的映射关系。保证虚拟机内存与物理内存之间形成一一映射关系。虚拟机对内存的访问都会经过虚拟化层的地址转换,保证每个虚拟机只能访问到分配给它的物理内存,无法访问属于其他虚拟机或虚拟化平台使用的内存。
(4)镜像安全
虚拟化平台还给虚拟机提供了虚拟I/O 设备,包括磁盘、网卡、鼠标、键盘等。虚拟化平台为每个虚拟机提供独立的设备,避免多个虚拟机共享设备造成的信息泄露。
每个虚拟磁盘对应虚拟化平台上的一个镜像文件或逻辑卷,虚拟化平台控制只有一个虚拟机的一个虚拟磁盘设备跟一个镜像文件关联。实现了虚拟机使用的虚拟设备与虚拟化平台I/O 管理对象之间一一对应的关系,保证虚拟机之间无法相互访问I/O 设备,实现I/O 路径的隔离。
说明:资源安全隔离特性以及宿主机的安全加固都为云平台自身的特性,无需额外的特性设计。
【4】云业务安全
在考虑计算环境的安全防护时,除了安全部署的影响,需要考虑安全能力在云化场景的使用体验。在云化场景中,用户的虚拟网络之间隔离、IP等资产可以重叠,对于以IP的资产、主机以防护对象的传统的安全管理设备来说因缺少用户侧信息,安全策略的下发无法区分用户以及相应资产,无法定制化下发,并且管理端看到的安全问题也无法快速对应,最终导致很多安全产品几乎无法使用。因此在进行计算环境的安全防护时,安全方案的设计需要与云平台尤其是云平台的网络进行联动,才能适应云数据中心对安全的整体诉求。通过与云管理平台的联动,安全能力融入云平台,安全防护能力云安全管理平台统一调度,实现“云网安’体验融合,并提供业务VPC主机安全、网络安全、应用安全、数据安全、安全审计等功能。构建形成云平台“风险发现、入侵检测、数据保护、攻击响应、事件恢复”的安全闭环能力。融合后,安全资源的调用、运维就和云主机一致,实现一个账号管理计算、存储、网络、安全。
3.5 主机安全服务
【1】服务应用场景
主机安全服务(HSS)主要适用于以下场景:
- 防外部网络用户恶意攻击
应用服务器承载客户外网业务,向外网开放允许大量外部用户进行业务访问,此时该服务器存在被外部恶意用户进行攻击的风险。黑客可以通过外部网络使用端口扫描等攻击手段入侵该应用服务器。在该场景下,通过使用HSS主机安全服务,对主机进行安全加固使用专业的主机安全防护功能防止对应用服务器的恶意攻击,阻止恶意程序在业务主机上的执行,保障业务系统的正常运行。
- 预防内部恶意用户攻击系统
业务服务器需要经常作为客户端主动访问外部网络,终端用户如果违反企业安全要求,很容易下载安装恶意程序,被黑客破坏相应的业务系统,并以此为跳板攻击其他业务主机。通过部署主机安全服务可以有效的解决该类问题。
【2】服务架构和服务能力
主机安全服务(Host Security Service)是终端安全防护服务,通过集成第三方主机安全产品,提供主机防病毒、防火墙、入侵防御(IPS)等安全功能保障弹性云主机的安全性。
主机安全服务的主要功能如下:
- 多引擎病毒查杀
依靠多年在杀毒领域的技术积累,使用了QVM人工智能引擎、云查杀引擎、AVE文件修复引擎、QEX宏病毒检测引擎四大杀毒引擎,进行病毒的安全防御。四大杀毒引擎在运行时可进行数据交互,对虚拟机及服务器进行扫描结果缓存共享,在整个数据中心进行增量扫描从而提高扫描效率。同时,本地查杀引擎可增强不连接外网情况下病毒查杀的效果,优化本地虚拟化环境支持。
为了保证安全防护不对云环境造成影响,主机安全防护组件根植于云主机中,在安全组件的启动和查杀时,会通过管控中心对安全防护组件进行“排队”,避免启动风暴和查杀风暴。另外,更新时可以设置内、外网限速,避免网络拥塞的出现。
- 云主机防火墙
基于云主机安全防护组件的模式,安全防护组件中的安全策略和云主机无缝绑定,无论云主机漂移至资源池中的任何宿主机均可保证云主机防护策略稳定有效,提供云主机对云主机的访问控制能力。同时可依据用户业务的需要,从IP、端口、协议、方向等方面制定云主机间的防火墙细粒度的访问控制策略,根据安全域的安全标准批量下发给云主机。
- 云主机入侵防御
安全防护组件中的入侵防御功能能够对外部向云主机发起的常见的拒绝服务攻击、缓冲区溢出攻击、木马后门攻击、WEB攻击等进行检测和防护。并针对云主机存在的系统、应用漏洞进行攻击点防护,防止外部对这些薄弱点进行定向攻击。支持入侵防御白名单配置;支持与漏洞管理扫描结果进行联动提供虚拟补丁防护。
- 上网行为管理
支持上网行为管理,可以针对每个虚拟机用户统一配置管理策略,阻止、放行特定的应用程序,提高工作效率。对应用协议进行分类,可以针对分类配置阻断、放行策略,对于新增的应用,能自动应用分类的配置策略。支持2300多种国内主要网络应用协议的内容解析及精确识别。
- 系统加固
支持失陷主机检测:实时检测内部被 APT 组织、僵尸网络、木马软件、后门工具等控制的失陷主机。通过监控云主机向外访问的网络流量,并结合威胁情报数据库,检查判断是否存在非法外联情况。支持对失陷主机进行隔离处理。
应用程序控制:支持根据应用程序路径和应用程序名制定规则,并预置操作系统信任应用程序列表;支持白名单和黑名单方式,可针对不同的用户场景灵活配置管控规则。
完整性监控:支持实时文件变化监控,支持定期对文件、windows注册表、进程、服务、监听端口变化监控,并进行事件告警。
主机漏洞管理:提供对Windows,Linux系统安全风险的全面洞察,帮助快速和准确地识别、调查、划分优先级和纠正漏洞。支持主机入侵防御(IPS)与漏洞扫描结果联动,在未安装实体补丁情况下,提供已知漏洞风险的安全防护。
3.6.数据库审计服务
【1】服务应用场景
数据库审计服务主要适用于以下场景:
- 云上用户在ECS/BMS上自建数据库业务审计场景
用户在弹性云服务器(ECS)或裸金属服务器(BMS)上自建了一个数据库(支持数据库类型包含oracle、mysql、postgresql、sqlserver等),需要对数据库的访问进行详细审计,并对内部违规和不正当操作进行定位追责,保障数据资产安全。
- RDS关系型数据业务审计场景
用户购买了华为华为云Stack关系型数据库(RDS),需要对数据库的访问、攻击进行详细审计,并对内部违规和不正当操作进行定位追责,保障数据资产安全。
- 重点行业客户等保合规要求
政务、金融、安平等重要行业,需具数据库审计能力,满足等保合规等要求。
【2】服务架构和服务能力
数据库审计服务(Database Audit Service),为用户的基于ECS/BMS自建数据库、RDS数据库,提供用户行为发现审计、多维度分析、实时告警和报表等功能,保障云上数据库的安全,满足用户合规要求。
数据库审计服务的主要功能如下:
- 审计信息展示:
数据库审计的审计内容包括会话的终端信息、会话的主机信息、会话的其它信息、操作信息等;支持从会话维度、语句类型纬度、风险纬度三个纬度进行导航展示,支持基于时间、客户端IP、目标数据库IP、客户端MAC、目标数据库MAC,操作类型、客户端端口、操作信息大小、返回状态、结果信息、客户端执行命令等详细信息内容。
- 审计报表:
支持(系统级)多数据库聚合报表展现和单数据库综合性报表展现;支持基于总体概况、性能、会话、语句、风险多层面展现报表;支持报表定时推动功能,自定义推送周期推送报表文档;支持多种关联分析,对异常行为体统精细化报表,如会话(客户端和数据库用户)行为报表、风险操作风险分布情况分析报表、合规报表(满足数据安全标准如Sarbanes-Oxley)等;
- 风险操作、攻击检测及告警:
风险操作(操作类型、操作对象、风险等级等)告警;能够检测SQL注入(命令特征或风险等级)发现并告警;系统资源(CPU、内存和磁盘)阈值告警;支持自定义风险规则。
- 管理员三权分立:
支持系统、安全、审计管理员三员权限分离,并基于云IAM进行统一身份认证管理;
- 隐私数据保护:
用户可以通过内置规则或自定义规则对审计平台(审计日志)存储和展示的敏感信息脱敏;严控个人数据收集、存储;
- 合规及认证:
国内:满足网安法、等保三级数据库审计需求,公安部《计算机信息系统安全专用产品销售许可证》要求;
国外:满足SOX、Sarbanes等国外法案,CSA STAR、ISO 27001、ISO27017、ISO27018安全认证。