云安全防护总体架构设计

打印 上一主题 下一主题

主题 753|帖子 753|积分 2259

安全需求和挑战

从风险管理的角度讲,重要就是管理资产、威胁、脆弱性
和防护措施及其相干关系,最终保障云计算平台的持续安全,以及 其所支持的业务的安全。 云计算
平台是在传统 IT技能的底子上,增长了一个虚拟化层,并且具有了资源池化、按需分配,弹性调配,高可靠等特点。 因此,传统的安全威胁种类依然存在,传统的安全防护方案依然可以发挥肯定的作用。综合考虑云计算所带来的变化、风险,从 保障系统整体安全出发,其面临的重要挑战和需求如下:- 法律和合规


  • 动态、虚拟化
    网络边界安全 - 虚拟化安全
  • 流量可视化
  • 数据保密和防泄露
  • 安全运维和管理
    针对云计算所面临的安全威胁及来自各方面的安全需求,需要对科学设计云计算平台的安全防护架构,选择安全措施,并进 行持续管理,满足云计算平台的全生命周期的安全。
三 云安全防护总体架构设计

云安全防护设计应充实考虑云计算的特点和要求,基于对安全威胁的分析,明确来各方面的安全需求,充实利用现有的、成 熟的安全控制措施,结合云计算的特点和最新技能举行综合考虑和设计,以满足风险管理要求、合规性的要求,保障和促进云计 算业务的发展和运行。
设计思路

在举行方案设计时,将依照以下思路:


  • 保障云平台及其配套设施
         
    • 云计算除了提供 IaaS、PaaS、SaaS服务的底子平台外,另有配套的云管理平台、运维管理平台等。要保障云的安 全,必须从整体出发,保障云承载的各种业务、服务的安全。  
      
  • 基于安全域的纵深防护体系设计
         
    • 对于云计算系统,仍可以根据威胁、安全需求和战略的不同,划分为不同的安全域,并基于安全域设计相应的边 界防护战略、内部防护战略,部署相应的防护措施,从而构造起纵深的防护体系。当然,在云平台中,安全域的
      5 云安全解决方案
      云安全防护总体架构设计 « 安全需求和挑战
      边界大概是动态变化的,但通过相应的技能手段,可以做到动态边界的安全战略跟随,持续有效的包管系统的安 全。  
      
  • 以安全服务为导向,并符合云计算的特点
         
    • 云计算的特点是按需分配、资源弹性、自动化、重复模式,并以服务为中心的。因此,对于安全控制措施选择、 部署、使用来讲必须满足上述特点,即提供资源弹性、按需分配、自动化的安全服务,满足云计算平台的安全保 障要求。  
      
  • 充实利用现有安全控制措施及最新技能
         
    • 在云计算环境中,还存在的传统的网络、主机等,同时,虚拟化主机中也有相应的操纵系统、应用和数据,传统 的安全控制措施仍然可以部署、应用和配置,充实发挥防护作用。另外,部分安全控制措施已经具有了虚拟化版 本,也可以部署在虚拟化平台上,举行虚拟化平台中的东西向流量举行检测、防护。  
      
  • 充实利用云计算等最新技能
         
    • 信息安全措施/服务要保持安全资源弹性、按需分配的特点,也必须运用云计算的最新技能,如 SDN、NFV等, 从而实现按需、简便的安全防护方案。  

安全运营



  • 随着云平台的运营,会出现大量虚拟化安全实例的增长和消失,需要对相干的网络流量举行调度和监测,对风险 举行快速的监测、发现、分析及相应管理,并不停完善安全防护措施,提升安全防护能力。
安全保障目标

通过人员、技能和流程要素,构建安全监测、识别、防护、审计和响应的综合能力,有效抵御相干威胁,将云平台的风险降 低到企业可担当的水平,并满足法律、羁系和合规性要求,保障云计算资源/服务的安全。
安全保障体系框架

云平台的安全保障可以分为管理和技能两个层面。首先,在技能方面,需要按照分层、纵深防御的思想,基于安全域的划分, 从物理底子设施、虚拟化、网络、系统、应用、数据等层面举行综合防护;其次,在管理方面,应对云平台、云服务、云数据的 整个生命周期、安全事件、运行维护和监测、度量和评价举行管理。云平台的安全保障体系框架如下图所示:
图 三.3 云平台安全保障体系框架
简单阐明如下:
6 云安全解决方案
云安全防护总体架构设计 « 安全保障目标


  • 物理环境安全在物理层面,通过门禁系统、视频监控、环境监控、物理访问控制等措施实现云运行的物理环境、环境 设施等层面的安全;
  • 虚拟化安全在虚拟化层面,通过虚拟层加固、虚拟机映像加固、不同虚拟机的内存/存储隔离、虚拟机安全检测、虚 拟化管理安全等措施实现虚拟化层的安全;
  • 网络安全在网络层,基于完全域划分,通过防火墙、 IPS、VLAN ACL手段举行边界隔离和访问控制,通过 VPN技能 保障网络通信完全和用户的认证接入,在网络的重要地区部署入侵监测系统(IDS)以实现对网络攻击的实时监测和告 警,部署流量监测和洗濯装备以抵御 DDoS攻击,部署恶意代码监测和防护系统以实现对恶意代码的防范。需要阐明 的是这里的网络包括了实体网络和虚拟网络,通过整体防御保障网络通信的安全;
  • 主机安全:通过对服务主机/装备举行安全配置和加固,部属主机防火墙、主机 IDS,以及恶意代码的防护、访问控制等 技能手段对虚拟主机举行保护,确保主性能够持续的提供稳定的服务;
  • 应用安全通过 PKI底子设施对用户身份举行标识和鉴别,部署严酷的访问控制战略,关键操纵的多重授权等措施包管 应用层安全,同时接纳电子邮件防护、Web应用防火墙、Web网页防篡改、网站安全监控等应用安全防护措施包管特 定应用的安全;
  • 数据保护从数据隔离、数据加密、数据防泄露、剩余数据防护、文档权限管理、数据库防火墙、数据审计方面加强数 据保护,以及离线、备份数据的安全;
  • 安全管理根据 ISO27001、COBIT、ITIL等标准及相干要求,制定覆盖安全设计与获取、安全开发和集成、安全风险管 理、安全运维管理、安全事件管理、业务一连性管理等方面安全管理制度、规范和流程,并配置相应的安全管理组织和 人员,并建议相应的技能支持平台,包管系统得到有效的管理
    上述安全保障内容和目标的实现,需要基于 PKI、身份管理等安全底子支持设施,综合利用安全成熟的安全控制措施,并构建 精良的安全实现机制,保障系统的精良运转,以提供满足各层面需求的安万能力。
    由于云计算具有资源弹性、按需分配、自动化管理等特点,为了保障其安全性,就要求安全防护措施/能力也具有同样的特点, 满足云计算安全防护的要求,这就需要举行精良的安全框架设计。
安全保障体系总体技能实现架构设计

云计算平台的安全保障技能体系不同于传统系统,它也必须实现和提供资源弹性、按需分配、全程自动化的能力,不仅仅为 云平台提供安全服务,还必须为租户提供安全服务&#

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

正序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

天津储鑫盛钢材现货供应商

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表