中国老太婆多毛BBWHD

背景介紹

云計算是一種通過網絡按需提供的、可動態調整的計算服務，為用戶提供快速的、按需、可擴展的資源（包括網絡、計算、存儲等），用戶可以簡化管理工作，專注于業務，減少運維和硬件成本。

隨著云計算技術的成熟和應用不斷深入，云計算安全成為用戶采用云計算服務最為關注的問題。

面臨的問題

由于云計算自身的虛擬化、資源共享、多租戶模式等特性，導致物理邊界消失，取而代之的是邏輯邊界，面臨新的安全威脅，主要包括：

1、云服務的濫用和惡意使用；

2、基礎設施共享問題；

3、不安全的接口和API；

4、惡意的內部員工；

5、數據丟失或泄漏；

6、賬號或服務劫持；

7、虛擬化技術帶來新的安全需求（如虛擬機的部署和動態遷移，導致安全設備和策略部署更復雜，需要動態安全機制和虛擬機網絡安全策略自動遷移）；

8、未知的風險（未知的安全漏洞、軟件版本、安全實踐、代碼更新等）。

這些威脅給傳統的防護體系帶來了極大的沖擊。

拓維科技解決方案

云計算數據中心需要綜合采用多種安全技術手段，從物理安全、網絡安全、系統安全、應用安全、虛擬化安全、數據安全、管理安全多個層面，構建層次化的安全防御體系，保障云計算數據中心安全。

通過部署拓維科技的云安全解決方案，可以從下面5個方面來保證云數據中心的安全。

●構建安全可信的云平臺，保障虛擬化平臺安全；

●在系統中引入可信任的TPM芯片，提供基于硬件的云平臺安全；

●在虛擬化平臺提供無代理的反病毒模塊，保障虛擬機的安全；

●構建完善的網絡安全架構；

●在云數據中心的網絡邊界進行基于物理邊界的安全隔離和訪問控制，利用防火墻、IPS、VPN等設備進行安全防護，如跨數據中心互聯和外網接入場景；

●在云數據中心內部，利用邏輯分區、分域進行安全隔離和訪問控制，利用VXLAN／VLAN、虛擬防火墻和安全組等來進行安全防護；

●構建統一安全威脅防護系統；

●由于云計算數據中心內部的安全邊界變得模糊，資源高度整合，物理安全邊界消失，即使對整個數據中心進行分區分域，也只能是基于邏輯的劃分。由于無法針對用戶單獨部署獨立的安全系統，安全設備的部署需要從原來的基于各子系統的安全防護，轉移到基于整個云計算數據中心的安全防護，建設統一安全威脅防護系統；

●構建統一認證管理系統、云加密系統和密鑰管理系統，保證數據安全；

●對用戶進行雙因子身份認證，建立統一的身份和訪問管理平臺，對資源進行訪問控制，對虛擬機加密，通過開機引導認證保護整個虛擬機實例和數據存儲安全。對用戶存儲在云中的數據進行加解密，用密鑰管理系統KMS來集中管理用于加密數據的加密密鑰，使用硬件安全模塊（HSM）來存儲和管理用戶密鑰；

●構建統一的運維審計平臺；

●綜合的統一運維安全管控系統，管理日常安全運維工作中的身份管理、資源及賬號管理、權限管理、合規審計、認證授權、訪問控制和操作審計。

拓維科技云安全解決方案

拓維科技的云安全解決方案從虛擬化平臺安全、安全邊界防護、虛擬機網絡隔離、安全威脅防護、虛擬機安全啟動、云加密、密鑰管理以及運維審計八個方面來保證云計算數據中心的安全。

拓維科技云安全解決方案的總體架構如下：

虛擬化平臺安全——可信云平臺

云平臺的主機服務器不僅要面臨固件、硬件、OS、應用等傳統攻擊，還面臨著虛擬化技術引入的VMM篡改、Guest OS鏡像篡改、主機租戶攻擊等新型威脅。

可信云平臺：在云服務器中引入可信平臺模塊TPM2.0芯片，配合可信驗證服務器和虛擬化管理服務器，提供軟硬件相結合的可信云平臺和可信虛擬機解決方案。

可信云平臺可以有效防止了病毒、后門和木馬對系統運行環境的篡改和攻擊。密鑰封裝在硬件芯片TPM中，防篡改，保證了計算節點的身份真實性，實現了虛擬機監控器VMM和虛擬機的可信啟動、可信運行，通過云平臺的可信管理服務器，監控所有計算節點和虛擬機的可信狀態，保證用戶的應用只運行在可信的計算節點和虛擬機上。

虛擬化平臺安全——無代理反病毒

通過部署在hypervisor的無代理反病毒處理模塊，虛擬機不需要重復更新反病毒數據庫就能獲得物理機的防病毒保護。 該解決方案由一個安全虛擬機負責為所有虛擬機進行殺毒處理。

網絡安全

云計算數據中心的網絡安全主要由安全邊界防護、虛擬化網絡隔離、統一的安全威脅防護平臺組成。

云數據中心的總的網絡安全架構如下：

網絡安全——安全邊界防護

云數據中心與傳統數據中心相同的安全需求，需要保護云數據中心的網絡邊界安全，對內網和外網隔離。

在核心交換機上部署應用層安全設備，如IDS/IPS，WAF，FW，VPN，DDoS等。

網絡安全——統一安全威脅防護系統

由于虛擬化技術，使得安全設備部署更加靈活,邏輯網絡拓撲隨時可變 ，需要動態實時管理安全設備,自動智能的進行安全防護，安全策略隨虛擬機動態遷移。因此，需要構造一個對整個云計算數據中心進行統一的安全威脅防護系統，動態感知虛擬機遷移，實施自動智能的動態安全防護策略。全防護策略。

統一安全管理平臺是用于進行統一的用戶管理和日志審計。

虛擬機網絡隔離

虛擬化技術帶來的網絡安全需求：

●在保證不同用戶或不同業務之間流量訪問控制，支持多租戶；

●網絡安全策略支撐計算集群中成員靈活的加入、離開或者遷移； 

●動態安全策略，網絡安全策略跟隨虛擬機動態遷移；

●虛擬機網絡隔離；

●劃分安全組；

●VLAN和VXLAN隔離；

●虛擬防火墻。

我們主要通過安全組、VLAN／VXLAN隔離、虛擬防火墻對虛擬機進行網絡隔離。

安全組隔離：具有相同安全策略的一組VM，支持安全組間的訪問控制策略和安全組內成員間的通信策略。每個VM一組ACL，跟隨VM遷移；可進行集中的安全策略控制；可與邊界防火墻共同部署。

VLAN隔離

vSwitch通過在Host上虛擬出一個軟件交換機，相當于在物理交換機上級聯了一臺交換機，所有VM通過級聯交換機接入，能夠像配置物理交換機一樣把同一臺Host上的眾多VM分配到不同VLAN中去，實現隔離和流量過濾。v Switch可以實現流量監控和數據包分析。

●同一vSwitch內不同VLAN通信，需要通過外部三層網關完成VLAN間通信；

●不同vSwitch內同一VLAN通信，同時在同一物理交換機內，需要通過二層的物理交換機完成通信；

●不同vSwitch內同一VLAN通信，跨物理交換機時，需要通過外部三層網關完成通信。

VXLAN

VXLAN：VXLAN是將以太網報文封裝成UDP報文進行隧道傳輸，可以對二層網絡在三層范圍進行擴展，不用改變現有網絡架構和設備，支持跨云數據中心的千萬級別租戶隔離。

云計算數據中心需要大規模的租戶間隔離，當前的主流二層網絡隔離技術為VLAN。部署VXLAN，虛擬機數據封裝在IP數據包中，可以解決TOR交換機的MAC表項容量受限、VLAN ID受限和VLAN的廣播數據在整個數據中心內泛濫問題。

虛擬防火墻

虛擬防火墻通過在同一臺物理設備上劃分多個邏輯的防火墻實例來實現把普通區域、重點區域等各種邏輯網絡進行隔離，訪問控制等獨立的安全策略部署。

虛擬防火墻部署的靈活性來實現云數據中心的網絡隔離和訪問控制，實行虛擬安全區域邊界防護。

虛擬防火墻可以實現物理防火墻同樣的應用識別、入侵防御、反病毒、URL過濾等功能。

數據安全——虛擬機安全啟動

虛擬機安全啟動：

通過開機引導認證保護整個虛擬機實例和存儲，對虛擬機鏡像透明加解密，防止非授權訪問和掛載。

數據安全——密鑰管理系統

密鑰管理系統集中管理用于對虛擬和云環境中敏感數據進行保護所使用的加密密鑰。

密鑰管理系統可以劃分為密鑰生成系統、密鑰分發系統、密鑰備份/歸檔系統、密鑰恢復系統、KMS管理系統、KMS審計系統。KMS支持全生命周期的密鑰管理：包括密鑰生產、分發、更新、歸檔、撤銷、恢復等全生命周期功能。

數據安全——統一認證管理系統

統一認證管理系統針對多個信息系統復雜應用環境，以PKI技術為基礎，提供整合身份管理、身份認證、授權管理、應用資源訪問控制及安全審計功能的一體解決方案，構建多信息資源的應用整合、集中管理和安全防護的安全基礎服務平臺。

統一運維審計平臺

統一的綜合運維審計平臺，是對日常安全運維操作進行認證授權、監控、訪問控制、審計。采取事先授權、事中監控、事后審計的方式。具有如下特點：

●運行維護的集中化資源管理；

●運維人員的統一權限管理；

●靈活的訪問控制策略；

●強大的運維操作審計功能；

●維護操作的統一管理平臺。

統一的綜合運維審計平臺的功能：

●密碼管理

運維審計支持對被管資源的密碼托管功能，可以根據事先定義的策略，定期對被管資源的密碼進行修改，從而使密碼管理安全可靠。

●實時監控阻斷

運維審計支持對運維操作進行實時監控，維護人員的操作過程都可以在監控屏幕上實時看到，并提供立即阻斷的功能，在第一時間避免危險的發生。

●全面細致的操作審計

運維審計可以真實記錄運維人員的操作，并提供靈活方便的日志搜索和回放功能以及智能的數據分析，為安全審計和事件調查提供依據。

●滿足安全規范

運維審計提供強大的審計報表功能，可以滿足SOX、COBIT、ISO270001標準、《商業銀行內部控制指引》、《企業內部控制應用指引》等信息安全標準的要求。

統一運維審計平臺的架構如下：