政务云安全培训胶片课件.pptx

1、政务云安全建设经验分享目录1云计算安全问题、需求及市场分析2电信云安全管理平台及解决方案介绍3云安全等级保护要求解读4政务云安全建设案例分享服务器桌面端15%30%70%85%虚拟化技术应用比例阶段1服务器虚拟化阶段2整合扩张&桌面虚拟化阶段3私有云 公共云云服务租赁n用户对云计算认知度较低n云计算厂商产品单一n云计算产品部署模式简单n以传统的病毒、恶意代码为主要的安全威胁2007年-2010年2011年-2014年n应用案例逐渐增多，用户认知度提高n大批IT厂商推出相应的云计算产品n云计算产品的部署模式逐渐复杂n首例可感染虚拟机的病毒Crisis出现（2012）2014年至今n私有云、公有云

2、大量出现n云服务三层架构完善nSaaS、PaaS等模式服务产品陆续推出nGoogle邮箱数据泄露，Amazon 宕机云计算的发展历程一个典型的云计算平台结构云管理平台（CSM）开源：OpenStack/CloudStack 商业：华为 Fusion Manager，H3C CSM，阿里云 飞天虚拟化管理平台VMware vCenter，华为 Fusion Compute，H3C CAS，微软 Hyper-VSDN控制器VMware NSX，H3C VCF，华为 Agile Controller 计算资源池软件定义的网络虚拟化App 1App NControllerOF-SwitchOF-Swi

3、tchOF-SwitchOpenFlow存储资源池传统理念下的安全防护设计n等级保护测评服务安全基础规划安全防护措施安全服务内容n根据互联网访问数据的流向进行纵向安全域规划；n根据信息系统设备的功能与部署位置进行横向安全域规划；n制定安全访问控制矩阵；n对业务系统进行调研，建立应用端口列表。n漏洞扫描服务；n边界访问控制，边界完整性防护；n流量清洗，DDOS；n网络安全检测，入侵防御；n远程接入控制及远程用户的身份鉴别；n操作系统病毒、恶意代码检测；n虚拟化安全防护；n操作系统身份认证n应用层安全检测，网页防篡改；n应用层身份认证；n数据加密、备份。n系统上线前检测服务；n操作系统加固服务。n

4、网站安全监控服务；VPC 1VMware ESXiVMware ESXiVMware ESXiVMware ESXiVMware ESXiVMware ESXiVMware ESXiVMware ESXiVPC 2安全域边界安全域边界公共服务区业务应用区n 安全域边界无法定义 由于网络扁平化设计，多租户的存在，传统的物理安全设备只能在网络边界进行大颗粒度的访问控制，对于由多个虚拟机组成的安全域已经无法通过物理安全设备或VLAN技术进行有效的安全域边界定义，导致无法进行进行细颗粒度的访问控制。云环境中传统安全防护的痛点安全域边界模糊VMware ESXi（安装后门程序）n 攻击者运用漏洞工具获得

5、漏洞信息n 通过该漏洞获入侵虚拟机，提权。n 从逃逸的虚拟机攻击Hypervisor，获得底层权限。n 控制该Hpervisor控制的其他虚拟机。云环境中传统安全防护的痛点东西向流量不可控安全隐患导致后果n 安装Hypervisor级后门程序n 拒绝服务攻击n 数据窃取n 控制其他虚拟机，其他宿主机，控制整个云平台典型案例n 毒液VENOM（XEN、KVM、QEMU）；n 破天Dome Breaking（XEN）；n 蓝色药丸、红色药丸；n CloudBurst。攻击者应用程序Hypervisor宿主机虚拟机通过扫描工具发现存在于应用程序、虚拟硬件文件中的漏洞。虚拟硬件云环境中传统安全防护的痛

6、点东西向流量不可视云环境中传统安全防护的痛点安全系统资源占用率较高VMware ESXiVMware ESXi防病毒系统病毒扫描3:00am Scan 如果采用传统思路部署杀毒软件，将会导致运行在虚拟桌面上的病毒引擎 和补丁管理程序可能在同一时刻进行病毒扫描和升级，导致资源竞争，占用物理机资源，导致物理机宕机。多个虚拟机之间防病毒系统权限相同，容易导致恶意卸载。n 杀毒（扫描）风暴：资源消耗资源消耗云安全问题导致的安全需求1问题：虚拟化环境内的边界无法通过物理方式划定边界，无法通过硬件设备进行防护和检测需求：需要重塑边界，在边界上通过安全设备NFV化的方式重新建立访问控制规则2问题：云内流量不

7、可视，不知道云内流量是否存在安全问题需求：需要获取流量，并对流量进行安全检测和审计3问题：多租户环境下，安全需求不同，一刀切的安全能力造成资源浪费，安全部署不敏捷需求：安全资源池化，实现安全即服务（SECaaS），按业务需求指配安全能力，定义安全路径4问题：针对虚拟化平台的漏洞攻击，针对云管理平台的不安全接口调用、身份冒用、误操作等需求：选择重视安全的云服务商，强化管理者的身份鉴别、授权管理、访问控制5问题：云安全态势、安全运营、安全监管如何进行需求：需要能够提供云安全统一管理的平台级工具信息安全技术 网络安全等级保护基本要求第2部分：云计算安全扩展要求（专家接受稿）物理和环境安全基础设施位置

8、运营资质要求网络和通信安全网络架构访问控制远程访问入侵防范安全审计设备和计算安全身份鉴别访问控制安全审计恶意代码防范资源控制镜像和快照保护入侵防范应用和数据安全安全审计资源控制接口安全数据完整性数据保密性数据备份恢复安全管理机构和人员授权和审批安全方案设计系统建设管理测试验收云服务商选择供应链管理系统运维管理监控审计管理密码管理技术要求管理要求剩余信息保护GBT31168-2014 云计算服务安全能力要求等级保护对云计算安全的扩展性安全目标集要求。指导各类云服务形态（公有云、社区云、私有云、混合云）的安全建设方向。对社会化运营云计算的服务商（公有云、行业云）需要提供的安全能力，保护等级，保证级

9、别设立标准。云安全：合规政策驱动力-1对云计算服务的建设方和使用方，在整个云平台的生命周期各阶段中的安全管理提出了要求。从立项到废弃，包括如何选择云服务商、信息分类、安全设计、运行监管以及退出机制等方面。GBT31167-2014 云计算服务安全指南2016.9.19中央网信办公布首批通过网络安全审查的党政部门云计算服务名单首批通过的党政部门云计算服务平台名单：1.浪潮软件集团有限公司所建济南政务云平台；2.曙光云计算技术有限公司所建成都电子政务云平台（二期）；3.阿里云计算有限公司所建阿里云电子政务平台。注意：只是对云计算平台的审查通过，并不是针对云计算服务方的审查。党政部门云计算服务安全审

10、查机制的设立是我国网络安全审查制度的一个组成部分，是为了确保更加安全健康的云发展。名单的公布表明经过试点和实践，党政部门云计算服务安全审查的相关制度、技术要求、测评能力都已经完善，安全审查工作将进入全面实施阶段。云安全：合规政策驱动力-22013-2015年政务云市场增长2016-2020年政务云增长预测2013-2015年政务云细分市场2015-2020年政务云投资结构变化预测1、政务云投资进入增长高峰期;2、政务云市场采购软件和服务的比重不断增加，安全同计算、存储一样，也更多的以软件（NFV）和SECaaS的方式递交。云安全：市场驱动力方案方案说明代表厂商实现条件提供的安全能力策略路由引流

11、通过在接入交换机旁路部署硬件设备（如防火墙、IPS等），以相对固化的策略路由方式，将虚拟化网络中的东西向流量引导至硬件设备中进行访问控制和安全过滤。各类传统安全厂商的产品均可适用于所有网络场景，通过VLAN、防火墙定义地址对象（IP地址组）的方式进行虚拟化网络的访问控制；不占用虚拟化计算资源，但是访问控制策略的管理和维护较为繁琐。防火墙、IPS无代理监控利用虚拟化平台自身提供的API实现无代理监控，安全代理部署在宿主机的VMM（Hypervisor）层中趋 势 科 技（支 持VMware平台）、安 贤 科 技（支 持KVM、Xen平台）产品与虚拟化平台紧耦合，根据具体选择的虚拟化平台的不同，实

12、现起来可能需要对接开发；防火墙、主机防病毒、主机入侵防御、完整性监控基于开源管理平台利用原生态的Openstack云管理平台的虚拟化防火墙来进行安全防护山石网科、迪普产品与云管理平台紧耦合，根据具体选择的云管理平台的不同，实现起来可能需要对接开发；只限原生态的OpenStack平台使用，二次开发难度较大防火墙V M w a r e NSX利用VMware NSX的相关接口，将安全能力注入Hypervisor层，或通过SVM的导流方式实现Cisco、Palo alto、飞塔、天融信仅限于VMware技术路线，并且必须使用NSX环境；成本较高，品牌均为国外厂商。国外厂商：防火墙天融信：NGFW（F

13、W、IPS、AV、VPN、上网行为管理、流量管控、日志审计等）SDN引流调用SDN北向接口，实现安全服务链，流量通过安全资源池的访问控制、检测、清洗后，到达目的地H3C、瑞和云图、绿盟网络需要进行SDN改造，涉及到交换设备的更换防火墙、负载均衡、WEB应用防护、入侵检测、网络和数据库审计传统的做云内流量引流，进行安全防护和检测的方法，已过时限定适用范围较窄，与主流云服务方的适用性较差仅适用于Vmware平台，必须使用NSX架构成本较高，推广难度较大，适用场合单一适用范围最广泛，提供的安全能力较完善合规性最好，符合SDN的发展趋势，云安全生态链平台级方案国内市场上主流的虚拟化安全解决方案分析国内

14、主流云服务商在云安全领域的进展和发展趋势云服务商云计算服务平台云安全发展方向阿里云阿里云云计算服务平台云安全能力主要通过并购新兴安全企业，与传统安全企业（绿盟、迪普等）进行合作，但仅限于传统的硬件设备合作。云安全业务以阿里云盾（平台+自有安全产品）为主，以公有云建设经验的转化，进军政务云、私有云建设市场。封闭性非常强，基本上不会向其他安全厂商开放其平台接口。华为Fusion Sphere云计算服务平台与阿里云类似，主要走封闭性的发展道路。最近提出基于Agile Controller的SDN化安全解决方案，除了自有的华为安全产品之外，主要与启明星辰等传统安全厂商合作，构建以华为SDN引流为核心的

15、云安全生态圈。H3CCSM云计算服务平台H3C相对的保持了一定的开放性（限于自有安全产品的不足，以及品牌定位主要是网络厂商），对传统和新兴安全厂商展现出极大的合作倾向。对SDN发展趋势非常激进，其SDN化网络技术的发展程度和成熟度甚至超过了华为。浪潮浪潮云云计算服务平台在云安全方面，提供的能力较为有限，主要集中于云安全检测和安全服务，自有安全产品主要集中于云主机加固产品，主要依托于与天融信、启明星辰、绿盟等传统安全厂商的产品合作构建云安全能力。SDN的发展情况目前在市场和项目中还看不到。曙光Cloudview云计算服务平台与浪潮情况类似。在其云计算架构体系中开发了自有的云安全中心，并由各类安全

16、厂商提供安全能力。SDN的发展情况目前在市场和项目中还看不到。中国联通联通沃云云计算服务平台发展目标瞄准了阿里云安全的方式，但是受限于目前的技术水平和运营模式，在做云安全设计时，仍然以传统安全设备，以策略路由方式引流，进行安全防护和检测。安全能力的提供与云计算业务的冲突性较大，实用性不强。SDN的发展情况目前在市场和项目中还看不到。阿里云和华为，选择封闭性道路，凭借自己的云计算平台+SDN化网络，打包进行云建设。云安全的核心（虚拟化安全、网络安全态势感知、大数据安全）掌握在自己的手中，为了满足合规性要求，专项安全（如用户认证体系、运维管理、数据安全等）通过引入第三方的产品来完善。H3C相对开放

17、一些，但是野心也不小，也有能力走上华为的道路。市场的跟随者，对安全的积累较少，研发的敏捷性也不如民营企业中的巨头。但是掌握了计算核心优势。浪潮和曙光是国产服务器中的佼佼者，凭借服务器并行计算、高性能计算等领域的优势，也在云市场中占有了一席之地。在安全方面，需要与安全厂商高度合作。运营商掌握了大量的IDC，凭借先天优势可以抢占巨大的公有云市场份额，在混合云、行业云和私有云市场，需要考虑开放融合的架构。国内云安全市场的价值链分析供应方需求方云服务商大多封闭性强，安全能力自己做服务商之间存在技术壁垒构建融合性强的异构资源池难度较大安全厂商掌握相对优势的安全人才、安全攻防技术对新型网络技术、虚拟化技术

18、、存储技术的支撑能力较弱云服务商对安全厂商的接口开放程度不高云使用方（客户）掌握相对优势的安全人才、安全攻防技术对新型网络技术、虚拟化技术、存储技术的支撑能力较弱云服务商对安全厂商的接口开放程度不高目录1云计算安全问题、需求及市场分析2电信云安全管理平台及解决方案介绍3云安全等级保护要求解读4政务云安全建设案例分享统计和报表管理安全域管理拓扑自动发现流量/连接关系展现日志管理风险管理安全策略管理告警管理云安全态势管理与展现云资产管理与监控云安全资源池宿主机状态监控虚拟机状态监控虚拟化安全代理配置管理员身份/权限管理云安全监管安全基线检查特权操作监视合规性检查审计报表云安全运营安全资源调度安全事

19、件管理工单流程管理安全服务定制vFWvIDSVM访问控制VM入侵检测虚拟化防病毒WEB应用监控vSwtich流量镜像数据库审计Open Flow交换机vSwitchSDN组件虚拟化安全代理安全虚拟机Hypervisor组件管理展现层n 提供网络拓扑展现功能（支持Overlay网络）；n 管理安全相关组件（安全资源池），监控云安全基础设施运行状态；n 提供等级保护合规性自检和报表展示，提供审计数据外发接口；n 为租户提供弹性云安全资源，辅助云安全管理员，实现半自动化管理流程。安全能力层n 通过将安全设备的池化，安全能力NFV化，形成云安全资源池。云安全资源池内提供各类防护、检测、审计类安全能力。

20、实现云内南北向/东西向流量的安全防护与检测。n 通过Hypervisor层实现虚拟机的病毒与恶意代码防护、入侵检测等功能。云基础设施层n云安全管理平台与SDN控制器对接，通过北向接口的调用，形成安全服务链（定义安全路径）；从而实现云内东西向流量的访问控制。n通过Hypervisor层的安全代理，对vSwitch、vNIC的流量进行监控、并能够对虚拟机提供相应的安全防护能力。云安全管理平台架构电信云安全管理门户界面首页可订制展示管理者关注的安全界面。如：叠加网拓扑图、近期告警信息、近期安全事件信息、系统综合安全评分嵌入瑞和云图的SDN引流串行防护相关页面。可制定各类安全策略，下发到具体的串行防护

21、NFV设备。实现对安全域级别的网络防护。串行防护嵌入瑞和云图的态势感知相关页面。可查看虚拟化拓扑，划分安全域，查看域间、域内的连接关系和安全态势。态势感知嵌入亚信/安贤的产品管理平台页面。可对具体部署的无代理安全防护产品进行管理配置。虚机防护可查看宿主机、虚拟机、安全代理、安全资源池等资产的运行情况。资产监控可查看各模块上交的告警信息，可对告警记录进行实时查看、条件筛选查询，设置告警方式等。告警可查看各模块上交的日志记录，可对日志记录进行实时查看、条件筛选查询，设置日志保存配置等。日志对接各模块各自的报表功能，或通过获取各模块的各类安全相关数据后自行开发报表功能。提供面向风险、资产、运营、合规

22、监管、安全态势等各方面的报表。报表提供管理员账号、身份鉴别、授权等方面的管理配置。用户管理对云安全监管人员提供的对接界面，提供合规性报表、合规自检、合规符合评分等功能。云监管对安全运营过程进行辅助管理，提供工单、待办管理，操作审批管理等功能。运营管理依托云安全管理平台，实现三类云安全方案中国电信云安全管理平台SDN导流串行安全防护方案按业务需求提供防护基于安全域思想提供防护安全能力范围广泛，开放性面向新建CDC，迎合SDN潮流虚拟化网络安全检测与审计方案云内安全态势采集无代理部署方式安全能力范围广泛，开放性同时面向新增和存量市场虚拟化主机安全防护方案基于VM层级的安全防护无代理/SVM部署方式

23、提供的安全能力较为固定同时面向新增和存量市场ESXi虚拟交换机OVSESXi虚拟交换机OVSESXi虚拟交换机OVSSDN控制器云管理平台FusionManege/CSM/vCloud虚拟化管理平台FusionCompte/CAS/vCenter安全资源管理平台vFWvIPSvWAF云安全管理平台串行安全资源池n 调用SDN控制器，以服务链的方式确定安全路径，n 路径上的OF设备以流表方式完成转发，以完成VM流量的导流。n 引流至串行防护安全资源池中，进行访问控制和过滤后，再到达目的VM。n 部署NFV安全设备组成串行安全资源池，用于东西向流量的检测与防护。n 能够支持第三方安全设备的部署。1

24、.SDN导流串行安全防护方案云安全管理平台串行防护资源池1.下发安全服务链2.下发流表，确定安全引流路径3.将需要进行安全控制的流量引流至串行安全资源池，进行访问控制和安全过滤，之后发送至目的VM。SDN网络串行安全防护方案界面展示ESXi虚拟交换机OVSESXi虚拟交换机OVSESXi虚拟交换机OVS云安全管理平台IDS审计设备其他设备根据具体的检测和审计设备，导出相应的流量信息给各设备（物理或NFV），进行安全检测和审计。SVM镜像宿主机内其他VM的流量，进行流量初步整形，随后开始导出流量信息云安全管理平台下发流量镜像和导流策略至镜像导流节点（SVM）。同时提供对SVM的管理。流量信息的全

25、集发送至云安全管理平台，进行进一步的归并、分析和可视化态势展现2.虚拟化网络安全检测和审计方案云安全管理平台 下发流量导流策略到安全虚拟机，完成旁路检测导流以及安全态势信息（流量、连接数、协议、IP等）的收集。审计安全资源池 可部署物理/虚拟化的安全检测/审计设备，由安全虚拟机将流量导流至资源池内进行检测与审计。安全虚拟机 宿主机中的安全虚拟机，与vSwitch对接，将宿主机中其他虚拟机的流量镜像。并完成流量的初步整形，吐出至旁路检测资源池，以及云安全管理平台。虚拟化网络安全检测与审计方案界面展示态势感知安全检测与审计虚拟化层自检SVMOS加强型AVVMAPPOS内核内核BIOSVMAPPOS

26、内核内核BIOSVMAPPOS内核内核BIOSSVM（安全虚拟机）解决方案：适应于VMware平台的主机安全防护，通过部署安全虚拟机（SVM）提供：vFW、恶意代码防护、主机入侵防御、虚拟补丁管理、VM系统完整性监控、日志审计Hypervisor层安全代理解决方案：适应于Xen（华为 Fusion Compute）、KVM（H3C CAS）平台的主机安全防护，通过部署在VMM层部署安全代理提供：vFW、主机入侵防御、恶意代码防护、DPI、日志审计虚拟化主机安全防护方案VMware vSphere 环境华为（Fusion Compute）H3C（CAS）环境虚拟化主机安全防护方案界面展示支持各类

27、主流的商用虚拟化平台，自动化便捷部署。提供多类主机层的安全防护能力。产品部署模式及组件序号条件产品名称产品形态核心模块必选电信云安全管理平台软件形态，可根据云计算平台环境进行定制开发。串行防护模块可选串行防护模块软件模块，集成至电信云安全管理平台串行防护资源池（含管理平台）硬件+软件形态，或纯软件形态NFV安全串行防护设备（vFW、vWAF）软件形态，按实例个数销售安全检测与审计模块可选安全检测与审计模块软件模块，集成至电信云安全管理平台安全检测与审计资源池（含管理平台）硬件+软件形态，或纯软件形态NFV安全检测与审计设备（vIDS、审计）软件形态，按实例个数销售传统硬件安全检测与审计设备硬件

28、形态安全流量镜像节点（SVM）软件形态，可根据Hypervisor版本进行定制开发VM防护模块可选VM防护模块软件形态，集成至电信云安全管理平台VM防护代理软件形态，根据物理CPU数量部署云安全管理平台及云安全方案小结1.注重云安全新问题、新需求的解决重塑安全边界注重态势感知，使云内流量可视瞄准业务安全需求，定制安全能力以安全域、虚拟机等多种粒度构建安全能力以云安全管理平台为核心，注重安全管理2.注重安全合规依托云安全管理平台，实现一个中心、三重防护的等级保护思想有效满足网络安全等级保护第二分册（云计算扩展安全要求）的合规项3.以主流市场和新兴技术为导向与主流的政务云、私有云服务商的云管理平台

29、、虚拟化平台兼容性好同时瞄准新兴的SDN化云数据中心市场，及以VMware为主的庞大存量虚拟化数据中心市场4.保持开放，着眼未来云安全管理平台，以SOA的模块化开发思想为基础，可方便的引入安全领域的新兴发展防护、检测、可视化技术以云内态势感知为起点，以数据驱动安全为发展方向，发展以威胁情报的收集、分析、展现为主的大数据安全电信云安全业务发展规划1.以满足云安全等级保护要求为基础建立以云安全管理平台为核心，以提供网络和通信安全能力、设备和计算环境安全能力为第一步目标，扎下我方在云安全市场的根据地和桥头堡。2.发展云数据的安全防护和检测能力数据泄露、未授权使用、可用性问题已经逐渐成为客户是否使用云

30、计算业务的主要考虑问题。有必要发展以数据防泄漏、数据安全标识、数据加密为首的安全能力，应以安全能力模块化添加的思路将数据安全引入云安全管理平台。3.大数据安全的基础-威胁情报库传统的威胁情报，主要来自于资产日志和传统安全产品的安全事件信息。受限于互操作性问题，安全数据的整合和共享存在难度，业界还没有达成共识，但是正在积极探索中。应着眼于市场中优秀的大数据安全方向的厂商，以合作开放的态度引入新鲜血液，目标是构建动静结合（静态安全数据、动态生成安全数据）、内外结合（数据中心内部威胁情报，外部共享威胁情报）的统一威胁情报库。4.数据驱动安全云安全不仅是SECaaS，不能还是以传统+新鲜的安全防护技术

31、这种被动防御的思想继续做云安全。从以假设、经验等行为模式分析的安全检测，逐步走向以数据驱动的安全检测，充分发挥大数据在态势预测，决策辅助方面的优势。化被动防御（不断升级各类补丁和特征库）为主动防御（主动获取威胁情报，并进行预测）。以云安全管理平台为核心，发展大数据安全。目录1云计算安全问题、需求及市场分析2电信云安全管理平台及云安全解决方案介绍3云安全等级保护要求解读4政务云安全建设案例分享等级保护新版修订概况GB/T 22239.2 网络安全等级保护基本要求第二部分：云计算扩展要求修订过程自2014年底开始修订，历经约两年。到目前为止，已经进展到了专家接受版。应该会于近期正式发布，成为新的G

32、B/T 22239.2标准。对云计算安全的扩展性安全目标集要求。指导各类云服务形态（公有云、社区云、私有云、混合云）的安全建设方向。要点总结l责任主体一分为二：云平台本身和云上的业务系统，都需要定级、备案、过测评；l不同云服务模式，管理主体的责任不同：IaaS、PaaS、SaaS下，云租户和云服务商的职权管理范围做了细致的划分；l平台定级的原则：云平台的定级需与其上业务系统最高定级一致；l云测评对象的增加：将云数据中心内的虚拟化相关组件、云管理平台等对象，添加至测评对象当中，并具体规定安全要求；l技术要求“5类”变“4类”：从物理、网络、主机、应用、数据，汇聚为“物理和环境”、“网络和通信”、

33、“设备和计算”、“应用和数据”。主要参与的编写单位话语权方云技术引领者云服务商主要参与者牵头方BOSS安全厂商安全能力补全IaaS下，云服务商和云租户的安全管理范围划分IaaS负责主体层面对象云租户应用安全主机安全数据安全及备份与恢复应用系统云应用开发框架中间件终端配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等云租户云服务方网络安全主机安全应用安全虚拟化网络结构虚拟网络设备虚拟安全设备虚拟机数据库管理系统终端云服务方网络安全主机安全云管理平台云业务管理系统虚拟机监视器网络结构网络设备安全设备物理机宿主机终端物理安全 机房及基础设施 PaaS下，云服务商和云租户的安全管理范围划分Paa

34、S负责主体层面对象云租户应用安全主机安全数据安全及备份与恢复应用系统终端配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等云租户云服务方应用安全主机安全云应用开发框架中间件数据库管理系统终端云服务方网络安全主机安全虚拟化网络结构虚拟网络设备虚拟安全设备云业务管理系统云管理平台虚拟机监视器网络结构网络设备安全设备物理机宿主机终端物理安全 机房及基础设施 SaaS下，云服务商和云租户的安全管理范围划分SaaS负责主体层面对象云租户云服务方应用安全主机安全数据安全及备份与恢复应用系统数据库管理系统终端配置文件、镜像文件、快照、业务数据、用户隐私、鉴别信息等云服务方应用安全网络安全主机安全云应用

35、开发框架中间件云业务管理系统虚拟化网络结构虚拟网络设备虚拟安全设备虚拟机云管理平台虚拟机监视器网络结构网络设备安全设备物理机宿主机终端物理安全 机房及基础设施 云等保安全要求提纲安全技术要求物理和环境安全网络和通信安全网络架构访问控制远程访问入侵防范安全审计设备和计算安全身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制镜像和快照保护应用和数据安全安全审计资源控制接口安全数据完整性数据保密性数据备份恢复剩余信息保护安全管理要求安全管理机构和人员系统安全建设管理安全方案设计测试验收云服务商选择供应链管理系统安全运维管理技术要求解读1.物理和环境安全a)确保云计算服务器、承载云租户账户信息、鉴别

36、信息、系统信息及运行关键业务和数据的物理设备均位于中国境内。解读：设备得在国境内，至于数据流转到国外，也是云的互联互通的需要。毕竟我们要对外开放，毕竟我们还要靠一带一路，以电子商务作为技术输出打开国外市场，数据不可能不出境。b)IDC应具有国家相关部门颁发的IDC运营资质。解读：对公有云服务商的要求，主要指IDC经营许可证，自2012年12月1日起，拟经营IDC和ISP业务的电信企业，按照相关要求，向电信主管部门申请办理业务经营许可。基本上只要想对公众提供云服务，无论是IaaS、PaaS、SaaS，都需要这个许可证，才可以开始提供。云等保安全要求提纲安全技术要求物理和环境安全网络和通信安全网络

37、架构访问控制远程访问入侵防范安全审计设备和计算安全身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制镜像和快照保护应用和数据安全安全审计资源控制接口安全数据完整性数据保密性数据备份恢复剩余信息保护安全管理要求安全管理机构和人员系统安全建设管理安全方案设计测试验收云服务商选择供应链管理系统安全运维管理技术要求解读2.网络和通信安全-网络架构网络隔离要求对云服务商要求共性安全能力解读a)实现不同云租户之间网络资源的隔离，并避免网络资源的过量占用；c)保证虚拟机只能接收到目的地址包括自己地址的报文；f)根据承载的业务系统安全保护等级划分不同安全级别的资源池区域，并实现资源池之间的网络隔离；宗旨是将

38、虚拟机，按其所属业务系统的等级不同，按租户（或业务系统）的区分，进行安全域的划分，并实现网络逻辑上的隔离。1)VPC或VDC，主流方式是基于SDN和Overlay（虚拟叠加网络），以Vxlan来划分逻辑区域。2)通过部署虚拟化防火墙，实现访问控制隔离。3)通过OpenStack-Nova提供的安全组防火墙提供隔离。d)保证云计算平台管理流量与云租户业务流量分离；g)提供开放接口或开放性安全服务，允许云租户接入第三方安全产品或在云平台选择第三方安全服务。加强云租户虚拟机之间、安全区域之间的网络安全防护能力；对公有云、混合云、行业云中的云服务商的典型要求：l一是要求服务方管理流量和租户方业务流量的

39、分离（也是一种网络隔离要求）。l二是云服务商可以自己承包安全能力，但是需要提供一定程度的开放接口，满足用户对于异构安全、或者对新型安全能力的选择，强调用户的安全自主权利。b)绘制与当前运行情况相符的虚拟化网络拓扑结构图，并能对虚拟化网络资源、网络拓扑进行实时更新和集中监控；e)能识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量；h)根据云租户的业务需求定义安全访问路径。不限于安全能力的提供方或实现方式，只提要求：l主流的商用云管理平台即可提供此功能，或者部署SOC也可实现。三级要求的补充，实现SDN化的网络能更好的实现。l主要由虚拟化平台提供方实现，安全厂商可通过将安全能力部

40、署于Hypervisor层（如vFW）来实现此要求。l避免安全一刀切，最佳途径是通过SDN引流方式实现该要求。技术要求解读2.网络和通信安全-访问控制&远程访问访问控制解读a)避免虚拟机通过网络非授权访问宿主机；b)在虚拟化网络边界部署访问控制机制，并设置访问控制策略；c)保证当虚拟机迁移时，访问控制策略随其迁移；d)允许云租户设置不同虚拟机之间的访问控制策略；e)在不同等级的网络区域部署访问控制机制，设置访问控制规则；宗旨是对云内不同边界均要施加访问控制策略，云内边界一般可分为四类：1)云平台整体边界；2)安全域边界；3)虚拟化网络内租户边界；4)虚拟机边界。a)对虚拟机边界的访问控制，限定

41、可以访问宿主机（管理性访问）管理系统的可信VM组。如何授权，应该是访问控制策略（网络层，可以由vFW提供，也可以是虚拟化平台管理系统提供的安全配置）+宿主机管理系统自身提供的身份鉴别（也可通过堡垒机实现）。b)虚拟化网络边界，就包括租户边界（在私有云中就是业务系统边界）和虚拟机边界两重定义，通过vFW实现。c)对vFW的技术性要求，基本上现在商用的vFW提供商均能够满足。d)强调安全自助管理（自服务），云租户可以对配属给自己的vFW设置租户系统内不同VM间的访问控制策略。e)三级要求：强调对不同等级的网络区域也需要部署vFW，实现访问控制。远程访问解读a)实时监视云计算平台的远程访问，并在发现

42、未授权连接时，采取恰当的应对措施；b)对远程执行特权命令进行限制，并进行审计；c)当进行远程管理时，管理终端和云计算平台边界设备之间应建立双向身份验证机制。宗旨是对远程的访问（业务向和管理向）进行监视和控制（监控方向指由外向内的访问），防止未授权访问、误操作。a)该条目范围很广，业务向访问应通过部署4A系统或业务系统自身提供的身份鉴别、访问授权机制来完成。而管理向访问，访问客体众多：针对云管理平台，应由其自身提供安全机制，针对云内其他资产，则主要通过运维审计堡垒机完成。b)主要是通过运维审计堡垒机提供，三级要求更加强调对特权命令的审计和告警。c)三级要求强调双向认证，就明确要求使用密码学技术的

43、身份验证，强调强身份验证、抗抵赖、访问真实性的要求。实现方式包括SSL+数字证书、802.1AE MACSEC。技术要求解读2.网络和通信安全-入侵防范&安全审计入侵防范解读a)能检测到云租户的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；b)向云租户提供互联网发布内容监测功能，便于云租户对其发布内容的有害信息进行实时监测和告警。限于目前虚拟化安全技术还在发展过程中，目前还不宜提出强制性的入侵防御技术要求。但是要求做到检测。而检测范围也不仅仅是入侵行为，对恶意行为的定义扩展到有害信息的传播（不法言论、谣言、隐私侵犯、黄赌毒信息等）。a)强调在虚拟化环境内能够实现IDS的功能。云租户的网

44、络攻击向量，不仅是东西向的（横向渗透），也可能是对云外的（比如公有云中的肉鸡，发动DDoS攻击）。所以强调对全量流量信息的收集、分析和审计。b)对云服务商提出了要求，目前还没有标准化的解决方案。一个可行的方式是，公安推广的大数据舆情监控平台，这条要求就需要云租户对其内容发布做好自我控制，同时还需将内容上交给公安，进行舆情监控。安全审计解读a)根据云服务方和云租户的职责划分，收集各自控制部分的审计数据；b)为安全审计数据的汇集提供接口，并可供第三方审计；c)根据与服务方和云租户的职权划分，实现各自控制部分的集中审计。强调了审计数据的职权划分，根据不同的服务模式（IaaS、PaaS、SaaS）下云

45、租户和云服务商的管辖范围，划分审计数据。同时也强调了用户对安全审计的自主技术选择权利。另外，二级要求中对网络部分的审计没有要求，该部分要求全是三级要求。a)非私有云环境的要求，强调的是审计数据的负责主体，明确职责。对审计数据的收集和保护，是要由负责主体自己完成的。b)安全厂商争取来的结果，也是强调了用户对于审计技术、产品的自主选择权，从而完成租户自己审计数据的收集、分析、展现、保护等。c)强调的是集中审计，包括流量、日志、事件信息，涵盖各自管理范围内的全部资产。集中审计的用意在于形成各自的威胁情报库的雏形，这是一个很长远的棋局。云等保安全要求提纲安全技术要求物理和环境安全网络和通信安全网络架构

46、访问控制远程访问入侵防范安全审计设备和计算安全身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制镜像和快照保护应用和数据安全安全审计资源控制接口安全数据完整性数据保密性数据备份恢复剩余信息保护安全管理要求安全管理机构和人员系统安全建设管理安全方案设计测试验收云服务商选择供应链管理系统安全运维管理技术要求解读3.设备和计算安全-身份鉴别&访问控制身份鉴别解读a)应在网络策略控制器和网络设备（或设备代理）之间建立双向身份验证机制。网络策略控制器，SDN环境下指SDN控制器（网元设备的控制平面集中），传统网络环境下，指三层交换设备。明确指出，应维护网络策略在传达时的安全性（保密性、完整性），避免诸

47、如路由策略投毒、DNS投毒、中间人攻击、劫持攻击等情况的发生。a)二级并不要求双向身份验证，可以考虑使用AD域认证（或Kerberos、RADIUS、TACACS等方式），对接入网络的设备进行验证。三级要求双向身份验证，进一步强调通信真实性和抗抵赖，则可通过数字证书方式，完成双向身份验证。访问控制解读a)当进行远程管理时，防止远程管理设备同时直接连接其他网络；b)确保云服务方或第三方只有在云租户授权下才可以对云租户数据库资源进行访问、使用和管理；c)提供云计算平台管理用户权限分离机制，为网络管理员、系统管理员建立不同账户并分配相应的权限。强调对云管平台、云设备和云计算资源的访问控制问题。避免未

48、授权访问，规定可信访问路径，缩减攻击向量。a)这一条要求，执行起来难度较大。从字面上理解，远程管理终端必须以专线形式连接云平台，并完成管理运维工作。实际操作起来，应预留专用管理终端，并进行网络逻辑隔离，让这些终端只进行云平台远程管理。b)对租户数据库（计算环境）的保护，强调非租户方需要经过租户授权才可以访问租户的数据库。具体的授权形式并没有规定，但是一般是采用堡垒机做管理，依托临时审批授权的方式，让云服务方或第三方完成运维管理操作。c)云管理平台是云平台的核心平台级管理工具，相当于云平台的大脑，统一管理资源的调配，业务编排。我们都知道，权力过大、过于集中总是会引发权力滥用的问题。所以云管理平台

49、的管理者也讲究分权，职责分离。这里仅说明了一些基本的分权方式，具体执行的时候，除了网络、系统管理员，还可能会有安全管理员、审计员，甚至包括租户自服务的管理员。技术要求解读3.设备和计算安全-安全审计&入侵防范安全审计解读a)根据云服务方和云租户的职责划分，收集各自控制部分的审计数据；b)保证云服务方对云租户系统和数据的操作可被云租户审计；c)保证审计数据的真实性和完整性；d)为安全审计数据的汇集提供接口，并可供第三方审计；e)根据云服务方和云租户的职责划分，实现各自控制部分的集中审计。安全审计的要求在网络和通信、设备和计算、应用和数据部分均有体现，主要都是强调云租户和云服务方的审计数据分离，各

50、自实现集中审计。只是在审计的客体上进行了区分，并根据不同层面审计数据的特点，强调了一些具体要求。a)略，同网络和通信部分的安全审计，仅审计客体有变化。b)客体是系统和数据，在设备和计算层面，主要指租户VM的操作系统，软件系统，数据库。对应职责划分表格中，三种模式下绿色部分（即云租户和云服务方共管的部分）中的设备和计算层面。实现方式主要是堡垒机。c)对云租户方和云服务方的共性要求，通常通过专有的设备或软件（日志集中审计系统），配合审计数据的单独存储，严格的访问控制来完成对审计数据的真实性和完整性保护。d)略，同网络和通信部分的安全审计，仅审计客体有变化。e)略，同网络和通信部分的安全审计，仅审计