云安全解决方案白皮书（ word 可编辑版）.docxVIP

云安全解决方案白皮书 Cloud Security Solution 目录— 云计算典型体系结构 目录 — 云计算典型体系结构 1 云计算系统分类 云计算系统典型物理架构云计算系统逻辑结构 二云计算安全威胁和需求分析 1 1 2 3 安全威胁分析 安全需求和挑战 三云安全防护总体架构设计 4 5 5 设计思路 安全保障目标 安全保障体系框架 安全保障体系总体技术实现架构设计 四云平台安全域划分和防护设计 5 6 6 7 8 安全域划分 安全防护设计 五云计算安全防护方案的演进 9 13 24 虚拟化环境中的安全防护措施部署 软件定义安全体系架构安全运营 六云安全技术服务 24 24 28 28 私有云安全评估和加固 私有云平台安全设计咨询服务 七云安全解决方案 28 29 33 作者和贡献者 关注云安全解决方案 八关于科技 33 34 34 图 一.1 云典型架构 2 图 一.2 云典型逻辑结构 3 图 三.3 云平台安全保障体系框架 6 图 三.4 云平台安全技术实现架构 7 图三.5 具有安全防护机制的云平台体系架构 8 图 四.6 云平台安全域逻辑划分 9 图 四.7 安全域划分示例 11 图 四.8 传统安全措施的部署 13 图 四.9 虚拟化防火墙部署 14 图 四.10 异常流量监测系统部署 16 图 四.11 网络入侵检测系统部署图 17 图 四.12 虚拟化Web 应用防火墙部署 19 图 四.13 堡垒机应用场景 21 图 四.14 堡垒机部署图 22 图 四.15 安全管理子区 22 图 五.16 SDN 典型架构 25 图 五.17 软件定义安全防护体系架构 25 图 五.18 使用SDN 技术的安全设备部署图 26 图 五.19 使用SDN 技术实现流量牵引的原理图 27 图 五.20 基于手工配置的IPS 防护模式 28 图六.21 服务提供者与客户之间的安全控制职责范围划.分30 图 六.22 云计算关键领域安全 31 图 六.23 安全咨询服务思路 32 关键信息 本方案首先研究了云计算系统的典型结构，分析了云计算系统面临的安全威胁、安全需求和挑战，进而总对云安全防体架构，包括保障内容和实现机制、部署方法详进细行阐了设计和述，并介绍了云安全相关的安全技术服务内最容后和给范围， 出了典型的云安全防护场景。 “ 随着云计算技术的不断完善和发展，云计算已经得到了广泛的认可和接收，许多组织已经或即将进行云计算系统建设。同/时服，务以为信中息心的模式深入人心量，大 的应用正如雨后春笋般出现，组织也开始将传统的应用向云中迁移技。术同时，云计算仍处于不断发展和演进，系统更加开放和易用，功能更加强大和规丰范富和，接口更加开放。例如软件定义网络（S简DN）称技术、NFV（网络功能虚拟化）等术新。技这必 将推动云计算技术的更加普及和完善。 云计算技术给传统I的T 基础设施、应用、数据IT以运及营管理都带来了革命性改 变，对于安全管理来说，既是挑战，也是机遇。首先，作为新技术，的云计算引入了新威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、管实理现方法和运维 体系，如网络与信息系统的安全边界的划分和防护、安全控制措施安选全择评和部署、 估和审计、安全监测和安全运维等方面；其次，云计算的资源高弹可性靠、性按及需调配、资源集中化等都间接增强或有利于安全防护，同时也给安全级措、施安改全进应和用升 设计和实现、安全运维和管理等带来了问题和挑战，也推内进容了、安实全现服机务制和交付方式的创新和发展。 根据调研数据，信息安全风险是客户采用云计算所考虑重大问题行之一，且国家和业安全监管愈加严格，安全已经成为组织规划、设计、建设和使用需云解计算系统而急 决的重大问题之一，尤其是不断出现的与云计算系统相关事件让身组的织云更加担心自 计算系统安全保障问题。 云计算典型体系结构 云计算主要是通过网络，IT将以抽象化的方式交付给客户，为IT基的于服务交付模式带来了巨大变革。云计算的一些独特优势，使其广为接受，包括：大规模资源池化、资源弹性、按需分配、自动化部署、高可I靠T性的、高高透运明度营。效率及技术和 云计算平台的实现主要包括两个方式：虚拟化构成的/服云务和器应构用成程的序云，其中后者的安全防护与传统方同式，基本相 不再赘言，这里主要对虚拟化构成的云进行讨论。 目前，计算虚拟化已经成熟，并为组织所广泛采VM用wa，re如vSpher、eCitrix Xen等。另外，一些用户开始尝试S采DN、用 NFV 等新型技术，旨在通过软件控制方式解决现网中遇到的存储、网络不能自动部署和分权分域管理问题。 云计算系统分类 根据 NIST发布的相关规范，云计算系统按照部署方法可分为私有云、公有云、社区云、混合云。主为要了便于说明， 以私有云