云安全解决方案安全保障体系框架

安全需求和挑战

从风险管理
的角度讲，主要就是管理资产、威胁、脆弱性和防护措施及其相关关系，最终保障云计算平台的持续安全，以及其所支撑的业务的安全。云计算
平台是在传统 IT技术的基础上，增加了一个虚拟化层，并且具有了资源池化、按需分配，弹性调配，高可靠等特点。因此，传统的安全威胁种类依然存在，传统的安全防护方案依然可以发挥一定的作用。综合考虑云计算所带来的变化、风险，从保障系统整体安全出发，其面临的主要挑战和需求如下：- 法律和合规

动态、虚拟化
网络边界安全 - 虚拟化安全
流量可视化
数据保密和防泄露
安全运维和管理
针对云计算所面临的安全威胁及来自各方面的安全需求，需要对科学设计云计算平台的安全防护架构，选择安全措施，并进行持续管理，满足云计算平台的全生命周期的安全。

三云安全防护总体架构设计

云安全防护设计应充分考虑云计算的特点和要求，基于对安全威胁的分析，明确来各方面的安全需求，充分利用现有的、成熟的安全控制措施，结合云计算的特点和最新技术进行综合考虑和设计，以满足风险管理要求、合规性的要求，保障和促进云计算业务的发展和运行。

设计思路

在进行方案设计时，将遵循以下思路：

保障云平台及其配套设施
- 云计算除了提供 IaaS、PaaS、SaaS服务的基础平台外，还有配套的云管理平台、运维管理平台等。要保障云的安全，必须从整体出发，保障云承载的各种业务、服务的安全。
基于安全域的纵深防护体系设计
- 对于云计算系统，仍可以根据威胁、安全需求和策略的不同，划分为不同的安全域，并基于安全域设计相应的边界防护策略、内部防护策略，部署相应的防护措施，从而构造起纵深的防护体系。当然，在云平台中，安全域的
  5 云安全解决方案
  云安全防护总体架构设计 « 安全需求和挑战
  边界可能是动态变化的，但通过相应的技术手段，可以做到动态边界的安全策略跟随，持续有效的保证系统的安全。
以安全服务为导向，并符合云计算的特点
- 云计算的特点是按需分配、资源弹性、自动化、重复模式，并以服务为中心的。因此，对于安全控制措施选择、部署、使用来讲必须满足上述特点，即提供资源弹性、按需分配、自动化的安全服务，满足云计算平台的安全保障要求。
充分利用现有安全控制措施及最新技术
- 在云计算环境中，还存在的传统的网络、主机等，同时，虚拟化主机中也有相应的操作系统、应用和数据，传统的安全控制措施仍旧可以部署、应用和配置，充分发挥防护作用。另外，部分安全控制措施已经具有了虚拟化版本，也可以部署在虚拟化平台上，进行虚拟化平台中的东西向流量进行检测、防护。
充分利用云计算等最新技术
- 信息安全措施/服务要保持安全资源弹性、按需分配的特点，也必须运用云计算的最新技术，如 SDN、NFV等，从而实现按需、简洁的安全防护方案。

安全运营

随着云平台的运营，会出现大量虚拟化安全实例的增加和消失，需要对相关的网络流量进行调度和监测，对风险进行快速的监测、发现、分析及相应管理，并不断完善安全防护措施，提升安全防护能力。

安全保障目标

通过人员、技术和流程要素，构建安全监测、识别、防护、审计和响应的综合能力，有效抵御相关威胁，将云平台的风险降低到企业可接受的程度，并满足法律、监管和合规性要求，保障云计算资源/服务的安全。

安全保障体系框架

云平台的安全保障可以分为管理和技术两个层面。首先，在技术方面，需要按照分层、纵深防御的思想，基于安全域的划分，从物理基础设施、虚拟化、网络、系统、应用、数据等层面进行综合防护；其次，在管理方面，应对云平台、云服务、云数据的整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。云平台的安全保障体系框架如下图所示：
图三.3 云平台安全保障体系框架
简单说明如下：
6 云安全解决方案
云安全防护总体架构设计 « 安全保障目标

物理环境安全在物理层面，通过门禁系统、视频监控、环境监控、物理访问控制等措施实现云运行的物理环境、环境设施等层面的安全；
虚拟化安全在虚拟化层面，通过虚拟层加固、虚拟机映像加固、不同虚拟机的内存/存储隔离、虚拟机安全检测、虚拟化管理安全等措施实现虚拟化层的安全；
网络安全在网络层，基于完全域划分，通过防火墙、 IPS、VLAN ACL手段进行边界隔离和访问控制，通过 VPN技术保障网络通信完全和用户的认证接入，在网络的重要区域部署入侵监测系统（IDS）以实现对网络攻击的实时监测和告警，部署流量监测和清洗设备以抵御 DDoS攻击，部署恶意代码监测和防护系统以实现对恶意代码的防范。需要说明的是这里的网络包括了实体网络和虚拟网络，通过整体防御保障网络通信的安全；
主机安全：通过对服务主机/设备进行安全配置和加固，部属主机防火墙、主机 IDS，以及恶意代码的防护、访问控制等技术手段对虚拟主机进行保护，确保主机能够持续的提供稳定的服务；
应用安全通过 PKI基础设施对用户身份进行标识和鉴别，部署严格的访问控制策略，关键操作的多重授权等措施保证应用层安全，同时采用电子邮件防护、Web应用防火墙、Web网页防篡改、网站安全监控等应用安全防护措施保证特定应用的安全；
数据保护从数据隔离、数据加密、数据防泄露、剩余数据防护、文档权限管理、数据库防火墙、数据审计方面加强数据保护，以及离线、备份数据的安全；
安全管理根据 ISO27001、COBIT、ITIL等标准及相关要求，制定覆盖安全设计与获取、安全开发和集成、安全风险管理、安全运维管理、安全事件管理、业务连续性管理等方面安全管理制度、规范和流程，并配置相应的安全管理组织和人员，并建议相应的技术支撑平台，保证系统得到有效的管理
上述安全保障内容和目标的实现，需要基于 PKI、身份管理等安全基础支撑设施，综合利用安全成熟的安全控制措施，并构建良好的安全实现机制，保障系统的良好运转，以提供满足各层面需求的安全能力。
由于云计算具有资源弹性、按需分配、自动化管理等特点，为了保障其安全性，就要求安全防护措施/能力也具有同样的特点，满足云计算安全防护的要求，这就需要进行良好的安全框架设计。

安全保障体系总体技术实现架构设计

云计算平台的安全保障技术体系不同于传统系统，它也必须实现和提供资源弹性、按需分配、全程自动化的能力，不仅仅为云平台提供安全服务，还必须为租户提供安全服务，因此需要在传统的安全技术架构基础上，实现安全资源的抽象化、池化，提供弹性、按需和自动化部署能力。
总体技术实现架构
充分考虑云计算的特点和优势，以及最新的安全防护技术发展情况，为了达成提供资源弹性、按需分配的安全能力，云平台的安全技术实现架构设计如下：
图三.4 云平台安全技术实现架构
7 云安全解决方案
云安全防护总体架构设计 « 安全保障体系总体技术实现架构设计
说明：

安全资源池：可以由传统的物理安全防护组件、虚拟化安全防护组件组成，提供基础的安全防护能力；
**安全平台：**提供对基础安全防护组件的注册、调度和安全策略管理。可以设立一个综合的安全管理平台，或者分立的安全管理平台，如安全评估平台、异常流量检测平台等；
安全服务：提供给云平台租户使用的各种安全服务，提供安全策略配置、状态监测、统计分析和报表等功能，是租户管理其安全服务的门户
通过此技术实现架构，可以实现安全服务/能力的按需分配和弹性调度。当然，在进行安全防护措施具体部署时，仍可以采用传统的安全域划分方法，明确安全措施的部署位置、安全策略和要求，做到有效的安全管控。对于安全域的划分方法详见第五章。
对于具体的安全控制措施来讲，通常具有硬件盒子和虚拟化软件两种形式，可以根据云平台的实际情况进行部署方案选择。与云平台体系架构的无缝集成
云平台的安全防护措施可以与云平台体系架构有机的集成在一起，对云平台及云租户提供按需的安全能力。

云平台的安全保障体系最终落实和实现应借鉴工程化方法，严格落实“三同步”原则，在系统规划、设计、实现、测试等阶段把落实相应的安全控制，实现安全控制措施与云计算平台的无缝集成，同时做好运营期的安全管理，保障虚拟主机/应用/服务实例创建的同时，同步部署相应的安全控制措施，并配置相应的安全策略。

四云平台安全域划分和防护设计

安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域，在同一安全域中的系统共享相同的安全策略，通过安全域的划分把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全保护的
8 云安全解决方案
云平台安全域划分和防护设计 « 安全保障体系总体技术实现架构设计
有效方法。安全域划分是按照安全域的思想，以保障云计算业务安全为出发点和立足点，把网络系统划分为不同安全区域，并进行纵深防护。
对于云计算平台的安全防护，需要根据云平台安全防护技术实现架构，选择和部署合理的安全防护措施，并配置恰当的策略，从而实现多层、纵深防御，才能有效的保证云平台资源及服务的安全。

安全域划分

安全域划分的原则

业务保障原则：安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率；
结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难；
等级保护原则：安全域划分和边界整合遵循业务系统等级防护要求，使具有相同等级保护要求的数据业务系统共享防护手段；
生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑云平台扩容及因业务运营而带来的变化，以及开发、测试及后期运维管理要求
安全域的逻辑划分
按照纵深防护、分等级保护的理念，基于云平台的系统结构，其安全域的逻辑划分如下图所示：
图四.6 云平台安全域逻辑划分
9 云安全解决方案
云平台安全域划分和防护设计 « 安全域划分
按照防护的层次，从外向内可分为外部接口层、核心交换层、计算服务层、资源层。根据安全要求和策略的不同，每一层再分为不同的区域。对于不同的区域，可以根据实际情况再细分为不同的区域。例如，根据安全等级保护的要求，对于生产区可以在细分为一级保护生产区、二级保护生产区、三级保护生产区、四级保护生产区，或者根据管理主体的不同，也可细分为集团业务生产区、分支业务生产区。
对于实际的云计算系统，在进行安全域划分时，需要根据系统的架构、承载的业务和数据流、安全需求等情况，按照层次化、纵深防御的安全域划分思想，进行科学、严谨的划分，不可死搬硬套，下面给出一个安全域划分的示例，可参考。
安全域的划分示例
根据某数据中心的实际情况及安全等级防护要求，安全域划分如下图所示：
10 云安全解决方案
云平台安全域划分和防护设计 « 安全域划分
图四.7 安全域划分示例
说明如下：
互联网接入区：主要包括接入交换机、路由器、网络安全设备等，负责实现与 163、169、CMNET等互联网的互联；
内联网接入区：主要包括接入交换机、路由器、网络安全设备等，负责实现与组织内部网络的互连；
广域网接入区：主要包括接入交换机、路由器、网络安全设备等，负责与本组织集团或其他分支网络的接入；
外联网接入区：主要包括接入交换机、路由器、网络安全设备等，负责本组织第三方合作伙伴网络的接入，如银行、合作网络等；
核心交换区：由支持虚拟交换的高性能交换机组成。负责整个云计算系统内部之间、内部与外部之间的通信交换；
生产区：主要包括一系列提供正常业务服务的虚拟主机、平台及应用软件，使提供 IaaS、PaaS、SaaS服务的核心组件。根据业务主体、安全保护等级的不同，可以进行进一步细分。例如：可以根据保护等级的不同，细分为四级保护子区、三级保护子区、二级保护子区。另外，为了保证不同生产子区之间的通信，可以单独划分一个负责交换的数据交换子区；
非生产区：非生产区主要为系统开发、测试、试运行等提供的逻辑区域。根据实际情况，一般可分为系统开发子区、系统测试子区、系统试运行子区；
支撑服务区：该区域主要为云平台及其组件提供共性的支撑服务，通常按照所提供的功能的不同，可以细分为：
- 通用服务子区：一般包括数字证书服务、认证服务、目录服务等；
- 运营服务子区：一般包括用户管理、业务服务管理、服务编排等；
管理区：主要提供云平台的运维管理、安全管理服务，一般可分为：
- 运维管理子区：一般包括运维监控平台、网管平台、网络控制器等；
- 安全管理子区：一般包括安全审计、安全防病毒、补丁管理服务器、安全检测管理服务器等。
资源区：主要包括各种虚拟化资源，涉及主机、网络、数据、平台和应用等各种虚拟化资源。按照各种资源安全策略的不同，可以进一步细分为生产资源、非生产资源、管理资源。不同的资源区对应不同的上层区域，如生产区、非生产区、管理区等；
DMZ区：主要包括提供给 Internet用户、外部用户访问代理服务器、Web服务器组成。一般情况下 Internet、Intranet 用户必须通过 DMZ区服务器才能访问内部主机或服务；
堡垒区：主要提供内部运维管理人员、云平台租户的远程安全接入以及对其授权、访问控制和审计服务，一般包括 VPN 服务器、堡垒机等；
运维终端接入区：负责云平台的运行维护终端接入针对具体的云平台，在完成安全域划分之后，就需要基于安全域划分结果，设计和部署相应的安全机制、措施，以进行有效
防护。
云平台不同于一般的 IT系统，会涉及多个网络，下面对此进行简要说明，再讨论云平台的安全防护。
网络隔离
为了保障云平台及其承载的业务安全，需要根据网络所承载的数据种类及功能，进行单独组网。
管理网络 物理设备是承载虚拟机的基础资源，其管理必须得到严格控制，所以应采用独立的带外管理网络来保障物理设备管理的安全性。同时各种虚拟资源的准备、分配、安全管理等也需要独立的网络，以避免与正常业务数据通信的相互影响，因此设立独立的管理网络来承载物理、虚拟资源的管理流量；
存储网络 对于数据存储，往往采用 SAN、NAS等区域数据网络来进行数据的传输，因此也将存储网络独立出来，并于其他网络进行隔离；
迁移网络 虚拟机可以在不同的云计算节点或主机间进行迁移，为了保障迁移的可靠性，需要将迁移网络独立出来；
控制网络 随着 SDN技术的出现，数据平面和数据平面数据出现了分离。控制平面非常重要，关于真个云平台网络服务的提供，因此建议组建独立的控制网络，保障网络服务的可用性、可靠性和安全性

云平台安全域划分和防护设计 « 安全域划分
上面适用于一般情况。针对具体的应用场景，也可以根据需要划分其他独立的网络，
安全防护设计
云计算系统具有传统 IT系统的一些特点，从上面的安全域划分结果可以看到，其在外部接口层、核心交换层的安全域划分是基本相同的，针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。如下图所示：
图四.8 传统安全措施的部署
当然，从上面的安全域划分结果可以看到，相对于传统的网络与信息系统来讲，云平台由于采用了虚拟化技术，在计算服务层、资源层的安全域划分与传统 IT系统有所不同，这主要体现在虚拟化部分，即生产区、非生产区、管理区、支撑服务区、堡垒区、DMZ区等。下面在对这些采用了虚拟化技术的区域进行重点设计。当然，对于不同的区域，应按照根据 4.3节安全保障技术框架的要求，选择、落实适用的安全控制措施，下面重点说明。
生产区
生产区部署了虚拟化主机、软件平台、应用层，应基于虚拟化技术实现，因此其安全防护应考虑虚拟化安全、网络安全、主机安全、应用安全、数据安全等内容。
虚拟化安全
虚拟化安全主要涉及虚拟化组件及其管理的安全，包括了虚拟化操作系统、虚拟化交换机、虚拟主机、虚拟存储及虚拟化安全管理系统的安全。
对于虚拟化安全主要采用的是安全配置和加固、虚拟化映像防护等。详细内容参见第七章介绍。
网络安全网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、VPN接入、安全审计等内容。
防火墙及边界防护
安全域需要隔离，并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有 VLAN、网络设备 ACL、防火墙、IPS设备等，这里主要对防火墙的功能、部署进行说明
功能访问控制系统的安全目标是将云计算中心与不可信任域进行有效地隔离与访问授权。访问控制系统由防火墙系统组成，防火墙在网络入口点或者安全域的边界，根据设定的安全规则，检查经过的通信流量，在保护内部网络安全的前提下，对两个或多个网络之间传输的数据包和联接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。
产品形态 对于云计算环境的边界隔离，主要采用传统防火墙、虚拟化防火墙。
部署对于云平台，防火墙需要实现对传统网络环境中的安全域的隔离，也需要实现对虚拟化环境中的安全域（如生产域及其子区、生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ域及其子区等）的隔离。对于传统网络环境中的安全域可采用传统防火墙、传统的部署方式即可，而对于虚拟化环境中的安全域可采用虚拟化防火墙实现。
以 VMWare ESXi虚拟化平台为例，虚拟化防护墙的部署方式如下图所示：
图四.9 虚拟化防火墙部署
网络异常流量监测与分析
云计算中心部署的应用和业务非常丰富，如基于流媒体的音视频服务， VPN业务等等，必然会受到各种网络攻击，如 DDOS，进而出现大量异常流量。在这种流量成分日益复杂，异常流量海量涌现的情况下，对网络流量进行实时监测和分析，从而全面了解流量的各种分布以及变化趋势就显得十分必要了。
功能网络流量分析系统在云计算中心运营维护中的作用体现在两个方面：异常流量监测分析和流量统计分析。由于互联网上存在大量的异常流量，尤其是大流量的抗拒绝服务（DDoS）攻击经常造成链路拥塞，以至于网络无法正常提供服务甚至造成整个网络环境完全瘫痪。因此异常流量监测分析是网络流量分析系统的首要任务，下面详细阐述流量统计分析和异常流量检测分析的功能。

流量统计分析流量统计分析的任务是实时监控进出云计算中心流量的地域分布，应用组成分布、变化趋势，并生成相应的统计报表。统计对象的粒度可以为 IP地址、IP地址段、用户（用 IP地址或地址段的组合来定义）。流量的地域分布显示对某个主机（或地址段、用户）的访问流量来自哪些地域。流量统计结果对流量工程具有很重要的参考价值。应用组成分布显示云计算中心内部各种业务的开展情况，结合地域分布的信息，也可以指导流量工程。流量的变化趋势显示流量随时间的变化规律以及峰值时段对带宽的占用情况，这些数据有助于进行云计算中心容量规划。
异常流量监测分析
- 双向异常流量监测异常网络流量分析系统应对网络中的由内至外、由外至内的流量进行双向监测，即可监测外发异常流量，也可监测外来异常流量；
- 异常流量定位异常网络流量分析系统应对网络中的流量进行持续监控和实时分析，并对异常流量进行及时的发现、告警和定位，使网管人员能够准确的发现异常流量进入网络的端口和攻击目标；
- 异常流量分析异常网络流量分析系统对异常流量进行详细的分析，对异常流量的行为进行记录和分析，使网管人员能够准确的了解异常流量的行为特征；
- 异常流量防范异常网络流量分析系统能够针对网络中的异常流量提供防范方法和建议，使网管人员能够快速应对网络中的异常流量，将异常流量对网络和用户的影响减少到最低；
- 异常流量记录异常网络流量分析系统应对网络中发生的异常流量进行记录，网管人员可以查询系统的历史记录，分析网络异常流量的类型、特点和趋势，总结长期预防异常流量的手段和方法；
- 异常流量过滤异常网络流量分析系统能够根据异常流量的特点、方向，通知其他安全设备对异常流量进行过滤、清洗或压制。或者通知运维人员进行手动处理，以防止或减少云计算中心受异常流量的影响
  目前业界的通常解决方案是异常流量检测分析系统与抗拒绝服务攻击系统联动部署实现异常流量分析和过滤，异常流量检测分析系统将异常告警信息实时通告给抗拒绝服务攻击系统，由抗拒绝服务攻击系统实施异常流量过滤净化，将净化后的流量回注。抗拒绝服务攻击系统的在后面的章节详细阐述。
  产品技术选型
  目前网络流量分析产品主要有两大类型：
类型一：基于流（FLOW）信息的流量分析产品，流（FLOW）信息由网络中的路由器和交换机产生，流量分析设备根据流（FLOW）信息进行流量分析；
类型二：基于应用层分析的深度包检测产品（DPI），采用端口镜向或分光方式将需要分析的数据流转发给流量分析设备
基于流（FLOW）信息的流量分析产品具有如下特性，1）采用旁路方式进行部署，不会影响业务；2）能够支持大流量大范围网络的分析需求，由于流（FLOW）数据是对网络实际转发数据流的聚合与抽象，相对于 DPI设备投资较少；3）对于大流量监测来讲，其检测准确率可以达到 99.99%。

云平台安全域划分和防护设计 « 安全防护设计
对于云平台，其数据流量较大，且内置的虚拟交换机可以直接输出 Netflow数据流，因此建议在云计算中心采用基于流（FLOW）信息的流量分析产品。
系统组成和形态
基于 Netflow技术安全检测与分析系统主要包括异常流量检测系统和综合分析平台。对于异常网络流量监测系统，其产品形态目前主要有传统物理设备形态，以及虚拟化产品形态。考虑的设备的性能以及与流量清洗设备联动的要求，可同时采用两种形态。
部署建议 综合分析云计算中心的实际情况，其异常流量主要来自互联网、第三方网络、企业广域网，还包括虚拟机之间互相攻击的异常流量。因此需要在云平台的互联网出口、外联网出口、广域网出口，以及生产区域边界、DMZ区域边界上部署异常流量监测系统（旁路部署 Netflow流量采样检测模块），实现流量统计分析、路由分析、异常流量检测。它既可以作为流量监控分析产品对网络流量进行深入分析，从而全面了解各类流量的分布以及变化趋势；也可分析诸如 DDoS攻击、网络滥用误用、P2P流量等异常流量。
异常流量检测系统基于 Netflow数据，其采集点是主要物理/虚拟交换机上，可根据需要灵活部署。以 VMWare ESXi虚拟化平台为例，一般部署情况如下图所示：
图四.10 异常流量监测系统部署
网络入侵检测
云计算对外提供服务，完全面向互联网，所面临的威胁被无限放大，在云计算中心网络出口采用入侵检测机制，收集各种信息，由内置的专家系统进行分析，发现其中潜在的攻击行为。由网络入侵检测系统捕获分析网络中的所有报文，发现其中的攻击企图，根据事先制定的策略通知管理员或自行采取保护措施。
功能入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到更高的重视。
入侵检测系统可实时监控云计算中心网络中的数据访问和系统事件，及时发现攻击行为并作为分析证据并对可疑的访问行为进行自动响应。
利用入侵检测系统的攻击结果判定功能重点关注攻击成功的安全事件。针对某些特定的安全规则单独设定安全策略，针对云计算中心业务特点过滤一些低风险或者不可能成功的攻击行为，从而减少管理员关注日志告警的工作量，也使得重要攻击行为能够得到重点体现。
同时，可以针对业务特点自定义某些特定的安全规则。如敏感内容信息过滤，设置自定义的关键字过滤检测规则，通过与防火墙的联动或自身发送的 TCP Killer数据包，将涉及敏感信息的 TCP会话阻断，防止信息泄露或者一些非法的网络信息传递。
产品组成和形态 网络入侵检测系统一般包括网络入侵检测设备和综合分析平台。网络入侵检测设备主要有传统硬件网络入侵检测设备（NIDS）和虚拟化网络入侵检测设备（ vNIDS）两种产品形态。
部署建议 入侵检测系统应部署在已被入侵的高危区域或者关键区域。包括互联网接入区、外联网接入区，以及关键的计算服务域。对于互联网接入区、外联网接入区，可采用传统的 IDS，而对于位于虚拟化平台上的关键计算服务域可以用虚拟化入侵检测系统，并可部署一套综合分析系统，对系统所有入侵检测日志进行统一存储、分析和呈现。以 VMWare ESXi虚拟化平台为例，一般部署情况如下图所示：
图四.11 网络入侵检测系统部署图
主机安全主机安全与传统安全相同，这里不再赘述。
应用安全
Web应用防护
云计算中心一般都是采用 Web的方式来对外提供各类服务，特别是在 Web 2.0的技术趋势下，75%以上的攻击都瞄准了网站（Web）。这些攻击可能导致云计算服务提供商遭受声誉和经济损失，可能造成恶劣的社会影响。Web应用防护技术通过深入分析和解析 HTTP的有效性、提供安全模型只允许已知流量通过、应用层规则、基于会话的保护，可检测应用程序异常情况和敏感数据（如信用卡、网银帐号等）是否正在被窃取，并阻断攻击或隐蔽敏感数据，保护云计算平台的 Web服务器，确保云计算平台 Web应用和服务免受侵害。
Web防护技术
与传统防火墙/IPS 系统相比较，Web应用防护技术将提供一种安全运维控制手段，基于对 HTTP/HTTPS流量的双向分析，为 WEB应用提供实时的防护。

对 HTTP有本质的理解：能完整地解析 HTTP，包括报文头部、参数及载荷。支持各种 HTTP 编码（如 chunked encoding）；提供严格的 HTTP协议验证；提供 HTML限制；支持各类字符集编码；具备 response过滤能力；
提供应用层规则：WEB应用通常是定制化的，传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则，且具备检测变形攻击的能力，如检测 SSL加密流量中混杂的攻击；
提供正向安全模型（白名单模型）：仅允许已知有效的输入通过，为 WEB应用提供了一个外部的输入验证机制，安全性更为可靠；
提供会话防护机制：HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF为此进行有效补充，防护基于会话的攻击类型，如 cookie篡改及会话劫持攻击
Web 应用防护技术将以一个可闭环又可循环的方式去降低潜在的威胁，对于事中疏漏的攻击，可用事前的预发现和事后的弥补，形成环环相扣的动态安全防护。事前是用扫描方式主动检查网站并把结果形成新的防护规则增加到事中的防护策略中，而事后的防篡改可以保证即使疏漏也让攻击的步伐止于此，不能进一步修改和损坏网站文件，对于要求信誉高和完整性的用户来说，这是尤为重要的环节。
产品形态 对于网络应用防火墙，其产品形态目前主要有传统物理设备形态，以及虚拟化产品形态。在虚拟化的环境中，应选择虚拟化产品形态，并可以实现和网站安全检测系统、Web安全扫描系统进行联动。
产品部署
Web 应用防火墙应部署在 Web服务器之前，并逻辑串联。根据需要可选择透明模式、路由模式或者反向代理模式。以 VMWare ESXi虚拟化平台为例，其部署方式如下图所示：

云平台安全域划分和防护设计 « 安全防护设计
图四.12 虚拟化 Web应用防火墙部署
网页防篡改
网页防篡改系统可以仍旧部署在 Web服务上，实现防篡改功能，其功能、技术实现与部署与传统方式相同，这里不再赘述。
网站安全监测技术见安全管理区的描述。
数据安全
对于数据安全，需要涉及数据的产生、传输、存储、使用、迁移、销毁以及备份和恢复的全生命周期，并在数据的不同生周期阶段采用数据分类分级、标识、加密、审计、擦除等手段。另外，在采用了这些基础防护技术措施之外，还应考虑数据库审计、数据防泄露以及数据库防火墙的手段，最大限度地保证云平台中的数据安全。
非生产区
对于非生产区部署的主机、应用一般与生产区基本相同，因此，对于非生产区的安全防护可以借鉴生产区的防护方法，这里不再赘述。
DMZ区
DMZ区主要部署了生产区核心应用的一些代理主机、web 主机等，其直接面向来自互联网的网络访问，受到的威胁程度高，应进行重点防护。
对于 DMZ区的安全防护可以借鉴生产区的防护方法，这里不再赘述。需要说明是的：为了保证系统安全防护的可靠性，其安全防护措施，如防火墙，应与网络接入区、生产区等防护措施形成多层异构模式。
堡垒区
VPN接入
VPN接入可以采用传统 VPN接入设备，也可以采用虚拟化的 VPN接入设备。其实现方式与传统方式基本相同，这里不再赘
述。
堡垒机
云平台的管理运维人员、第三方运维人员以及租户需要多云计算平台的主机、应用及网络设备进行管理、维护操作。为了发现和防止不当操作、越权操作的发生，需要对此类用户进行认证、授权、访问控制和审计。堡垒机就是完成上述功能的关键设备，典型应用场景如下图所示：
网络设备和服务器区
UNIX/LINUX Server Windows 网络设备安全设备 DB
返回结果
执行访问操作： SSH/TELNET/RDP // VNC /FTP/SFTP ……
堡垒机
审计控制台
WEB登录
返回结果
维护人员
云平台管理 /运维人员第三方代维人员云平台租户
图四.13 堡垒机应用场景
功能
堡垒机可以提供一套先进的运维安全管控与审计解决方案，目标是帮助云计算中心运维人员转变传统 IT 安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障企业效益，主要实现功能如
下：

集中账号管理建立基于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、网络设备等无缝连接；
集中访问控制通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运维操作管理，让正确的人做正确的事；
集中安全审计基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件地及时发现预警，及准确可查
产品形态 对于堡垒机，其产品形态目前主要有传统物理设备形态，以及虚拟化产品形态。根据需要可以选择相应的产品形态。
部署云计算平台的管理用户类型主要包括：云平台运维管理人员、第三方管理人员以及云平台租户。从网络访问途经讲，有内部网络访问和来自互联网的访问。堡垒机部署在管理终端和被管理设备之间，并实现逻辑上的串联部署，同时，堡垒机应部署在管理平面，实现和用户数据的隔离。
以 VMWare ESXi虚拟化平台为例，一般部署情
云平台安全域划分和防护设计 « 安全防护设计
图四.14 堡垒机部署图
支撑服务区
支撑服务区的安全防护与传统 IT系统的支撑服务区相同，主要部署防火墙、入侵检测等防护、数据库审计、信息防泄露等防护措施，这里不再赘述。
管理区
管理区可以细分为运维管理子区、安全管理子区。运维管理子区主要部署虚拟化管理平台、云运维管理平台、网络管理平台等，其防护与传统的 IT系统基本相同，不再赘述。
对于安全管理子区，一般会集中化部署安全防护措施的管理服务器、提供通用安全服务的服务平台，如综合安全管理服务器、防病毒服务器、安全检查/评估系统、安全态势监测系统等，实现“大院式”防护，降低防护成本。
图四.15 安全管理子区

对于云平台来讲，这里采用的安全防护措施可与虚拟化管理平台、云管理平台有机集成，如实现虚拟机配置/活动信息的获取、租户信息的获取、虚拟机所部署应用的信息的获取等，以实现全程自动化实现。
安全检查/评估系统
所有的 IT组件都会有安全漏洞或者配置弱点，需要部署安全检查/评估系统对系统进行持续安全检查、扫描，并自动化分析系统存在的问题，给出应对策略。
功能安全扫描技术主要是用来评估计算机网络系统的安全性能，是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞/配置弱点进行逐项检查。安全扫描系统可对云平台主机/设备/应用进行定期扫描、评估，分析客户业务系统当前的设置和防御，指出潜在的安全漏洞，以改进系统对入侵的防御能力。扫描的目标包括工作站、服务器、路由器、交换机、数据库应用等各种对象，根据扫描结果向系统管理员提供安全性分析报告，为提高网络安全整体水平产生重要依据。
产品形态 对于安全评估系统，其产品形态目前主要有传统物理设备形态，以及虚拟化产品形态。根据需要可以选择相应的产品形态。
部署建议 在共享式工作模式下，只要将安全评估系统接入云平台安全管理子区网络并进行正确的配置即可正常使用，其工作范围可以覆盖到云平台网络地址可达之处。运维人员可以从任意地址登录安全评估系统并下达扫描任务。
网站安全监测技术云计算平台所部署了大量网站，需要对这些网站进行持续、动态侦测，提早发现问题和漏洞，增强客户访问体验。
技术原理与功能
传统的网站安全监管方式通常是采用 Web 应用安全扫描工具周期性的对网站进行安全扫描与评估，然后根据评估结果进行安全加固和风险管理。这种安全检查工作是一种静态的检查工作，能够反映站点被检查那一时期站点的安全问题，但是缺少风险的持续监测性。
网站安全监测技术根据网站系统监管要求，通过对目标站点进行页面爬取和分析，为用户提供透明模式的远程集中化安全监测、风险检查和安全事件的实时告警，并为用户提供全局视图的风险度量报告，非常适用于为租户提供安全增值服务。
网站安全监测技术具体包括 Web爬虫与链接智能分析、Web页面预处理与分级检测、网页木马检测与分析，实现网站漏洞扫描、网页挂马监测、网页敏感内容监测、网页篡改监测、网站平稳度监测、网站域名解析监测等功能，能够从站点的脆弱性、完整性、可用性三方面全方位的对站点的安全能力要求进行监管，并且可为一个大型的站点群同时提供安全监测的能力。
产品形态 对于网站安全检测，其产品形态目前主要有传统物理设备形态，以及虚拟化产品形态。根据需要可以选择相应的产品形态。
部署网站安全监测系统可根据云计算平台网站的规模进行独立部署和分布式部署。独立部署方式就是在网络中部署一台同时具备监测及数据分析能力的设备，即一台设备实现所需要的监测能力。系统具有管理网口和扫描网口，管理口可接入用户内容，用于用户对监测任务的管理。扫描口接入外网，对重要网站进行监测。分布式部署方式，即采用单台控制中心，多台引擎的
23 云安全解决方案
云平台安全域划分和防护设计 «