容器云下电子政务云安全 解决方案 - egag.org.cn ·...
Transcript of 容器云下电子政务云安全 解决方案 - egag.org.cn ·...
5
1. 更轻量
2. 更快速
3. 更便捷
传统虚拟化技术
以OS为中心
新一代容器技术(Docker)
以应用为中心
Server
Host OS
Hypervisor
Guest OS
Bin/Libs
App A
Guest OS
Bin/Libs
App B
Server
Host OS
Docker Engine
Bin/Libs
App A
Bin/Libs
App B
被替换
Docker VS Hypervisor
6
容器云优势
用户体验 应用快速迭代
业务扩展成本控制
应用持续集成/持续部署关键技术:DevOps
更高效的资源利用率,有效减少设备投入,实现成本可控关键技术:Docker
轻松应对大并发的应用访问关键技术:负载均衡、弹性伸缩
应用解耦,扩展业务,即插即用关键技术:微服务
7
蓝盾云平台总体架构设计
Kubernetes
Calico+
Spring Cloud
Newben
Tomcat
ELKK
ELK
Discuss
Jenkins
Wordpress
Nginx
HAProxy
MySQL
Hypertable
Redis
MongoDB
Hadoop
Storm
MapReduce
Spark
Deeplearning4j
Caffe
TensorFlow
H2O
框架与核心 中间件 大数据 机器学习
PaaS/CaaS
基础设施
SaaS
计算资源
存储资源
网络资源
虚拟化层
IaaS层管理平台
VM VM VM VM VM
IaaS
公有云
VM VM VM VM VM公有云
第三方SaaS应用
行业SaaS应用
…... …...
大数据分析决策
大数据模型识别
云安全体系
综合云管平台
安全集中管理
应用安全
容器安全
数据安全
虚拟安全
服务器安全
网各安全
机房安全
物理服务器
ØPaaS :以Docker云平台为依托,建立业务管理与服务应用云平台。PaaS平台秉承“大平台、微服务、轻应用”的建设思路,支持敏捷开发、弹性扩展,确保平台能够满足业务需求。
Ø基础设施 :可同时接入IaaS虚拟机、公有云主机、物理服务器等各种基础资源,实现混合云管理和资源池化。
ØSaaS :以Docker云平台为基础,建立大数据业务管理与服务应用平台。应用端以增值拓展,开发服务,合作运营为主要功能,确保能够满足各种场景客户的业务需求。
8
容器云平台方案特点
平台将致力于在高效率、低成本、大安全、大数据、标准化和定制化等六个方面为用户解决痛点、提供服务,免费力助用户转型升级。
高效率:ü 多语言SDKü 多协议接入方
式ü 消息分发
大安全: ü 提供安全的设备端ü 提供安全的数据存
储策略ü 提供综合云安全解
决方案ü 支持行业标准的对
称数据加密
大数据:ü 提供弹性大数据平台
标准化:ü 协议标准化ü 产品标准化ü 数据模型标
准化
定制化:ü 支持产品功能定制ü 支持APP面板定制个
性化定义
低成本:ü 按需购入,成本可控ü 高效开发运维,快速交付ü 设备高效利用,无需重复
投资
容器云平台
9
容器云平台在政务云应用-DevOps
基于EcOS云平台的全流程自动化Devops,将新应用/新模块开发周期缩短至以前的1/8
代码提交
代码提交
模块构建 单元测试 代码审核
模块构建 单元测试 代码审核
测试环境构建
系统测试 代码审核
代码合并
应用发布
容器云平台
大幅度提升构建效率 更优的测试环境管理 便利地版本升级、回滚
10
SOA架构单体应用 微微服务架构
应用优化的优势:
ü消除冗余,应用减负;
ü增强核心,无限扩展;
ü多种技术,无缝融合;
ü敏捷交付,闪电上市;
ü持续集成,持续部署;
ü应用启动,秒级完成;
容器云平台在政务云应用-应用优化
11
蓝盾容器云平台解决方案价值
政府企业上云
加速企业业务互联网化,打造企业云、行业云、政
务云
效率提升
提升开发、测试和运维效率的60%
DevOps战略
微服务、容器化和CI/CD一体化,产品上
市时间缩短至1/6
企业级容器平台
企业级Docker商用决方案,达到99.9999%电信
级稳定性
成本节约
相比VMWare和KVM虚拟化密度提升20倍
混合云管理
实现跨云平台可移植性不受限与云厂商,
节省成本30%
多元化支撑
支持大数据、人工智能和高性能计算集群平台
专业服务
专业咨询与管理服务,实现客户金融级运营托
管诉求
13
容器云安全挑战
分保安全需求• 涉密信息系统也按照秘密、机密、
绝密三级进行分级管理
等保安全需求• 对物理层、网络层、系统层、应
用层、管理层多个维度进行防护
企业安全要求• 保护自己的资产业务流不受攻击
传统安全
挑战二:租户安全
挑战三:容器安全
挑战四:运维管理安全
新增挑战
容器云安全
挑战一:动态、模糊的网络边界
14
容器云安全挑战 : 动态、模糊的网络边界
Host1 Host2 Host3
蓝盾 EcOS平台
Docker镜像构建
镜像库
租户1 WEB1
租户2WEB1
租户3DB1
租户1 WEB2
租户2DB1
租户3DB2
租户1 DB1
HostN……
Ø容器动态生成
Ø不同业务东西向流量安全防护
15
容器云安全挑战 : 容器IP不固定
WEB容器1
Nginx容器2
DB容器1
Eth0 Eth0 Eth0
Docker0
物理机网卡Eth0
主机1
WEB容器2
Eth0
Docker0
物理机网卡Eth0
任意主机
WEB容器3
Eth0
WEB容器4
Eth0
动态弹性伸缩
WEB容器1
Nginx容器2
Eth0 Eth0
Docker0
物理机网卡Eth0
生产环境1主机1
业务热迁移 Nginx容器2
Eth0
Docker0
物理机网卡Eth0
生产环境2主机2
Ø容器云环境中,所有
容器IP都是动态设定,
对安全策略制定提出
新的要求
Ø容器云中高级特性如
弹性伸缩、业务热迁
移、滚动更新等机制
对安全策略跟随带来
新的接点
16
容器云安全挑战 : 租户安全
物理机网段
Nginx网段
Web网段
DB网段
Ø租户间应用安全隔离
Ø租户间网络安全隔离
租户1 WEB1
租户2Nginx1
租户3DB1
Eth0 Eth0 Eth0
Docker0
物理机网卡Eth0
租户WEB2
Eth0
Docker0
物理机网卡Eth0
主机1 主机2
租户3DB2
Eth0
组户2Nginx2
Eth0
Docker0
物理机网卡Eth0
主机3
租户3DB3
Eth0
17
容器云安全挑战 : 容器安全
容器化带来了新的安全点:
Ø镜像安全
Ø容器云平台安全
Ø Docker安全
Ø应用安全
Host1 Host2 Host3
蓝盾 EcOS平台
Docker镜像构建
镜像库
租户1 WEB1
租户2WEB1
租户3DB1
租户1 WEB2
租户2DB1
租户3DB2
租户1 DB1
HostN……
18
容器云安全挑战 : 运维管理安全
集中管控
账号管理
认证管理
授权管理
安全审计
安全事件集中管理
主机日志 应用日志
容器云平台日志
存储日志
网络日志
网络设备日志
安全设备日志 Ø应用无序扩张,运维不可控
Ø安全事件集中管控挑战
20
GB/T 22239.1 《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》GB/T 22239.2 《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》
信息系统定级:《定级指南》GB/T22240-2008等级保护实施:《实施指南》信安字[2007]10号信息系统安全建设:《基本要求》GB/T22239-2008、《通用安全技术要求》GB/T20271-2006、《安全技术设计要求》 GB/T24856-2009 等10个要求和规范、GB/T 22239.2《信息安全技术 网络安全等级保护基本要求》 、GB/T 25070.2《信息安全技术 网络安全等级保护安全设计技术要求》 、GB/T 28448.1《信息安全技术 网络安全等级保护测评要求》 等级测评:《测评要求》报批稿/《测评过程要求》报批稿 / GA/T713-2007
云安全规划依据 - 等保
应用类
产品类 其他类等保安全建设整改
物理和环境安全
网络和通信安全
设备和计算安全
应用和数据安全
等保2.0技术要求
云服务方和云租户对计算资源拥有不同
的控制范围,控制范围则决定了安全责
任的边界
云租户云服务方
安全责任方
21
容器云下电子政务云安全框架设计
安全服务
安全集成实施服务
安全评估服务
安全优化服务
安全管理
安全事件集中管理
安全策略管理
安全集中管控
数据安全
安全数据交换
数据加密密钥管理
数据备份与容灾
容器安全
容器云平台安全
Docker漏洞扫描及加固
镜像漏洞扫描
容器隔离
物理设施安全
应用安全
主机安全
网络安全
WEB应用安全 WEB网页防篡改
OS安全加固 服务病毒防护
防火墙 流量清洗
VPN接入 安全域
网络病毒防护 入侵检查/入侵防御
云安全池
数据库审计容器间防护
22
01-防火墙:划分安全域,对各个域的访问流
量进行防护;抵御外部对各个应用的攻击
02-IDS入侵监测:监测记录对业务系统的入侵
行为
03-IPS入侵防御:对业务系统进行入侵检测及
防护
04-防DDos:对WEB应用进行防护,防止
Ddos攻击
05-防病毒:抵御外部病毒病毒通过应用进入
网络
安全防护手段
安全方案 - 数据中心边界网络安全
安全责任:
云服务方
物理和环境安全
网络和通信安全
设备和计算安全
应用和数据安全
技术要求
黑客
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
IDS
黑客入侵漏洞攻击病毒木马DDos
IPS
FW FW
IPS
23
安全方案 – 容器网络安全
物理和环境安全
网络和通信安全
设备和计算安全
应用和数据安全
技术要求
安全责任:
云服务方
01 不同云租户之间网络资源的隔离
03 容器之间网络防护
04 容器与宿主机之间网络防护
02 云租户下不同业务之间网络资源隔离及防护
容器 容器容器
容器 容器容器
容器 容器容器
X
Web
Application
Database
云租户网络安全
Host1 Host2 Host3
蓝盾 EcOS平台
HostN……
24
安全方案 - 访问控制及安全审计
传输加密:可使用VPN通道加密访问控制:认证登录,操作授权操作审计:对操作行为进行审计
云堡垒机为云租户提供自主访问控制和审计。不同云租户之间,通过独享的访问控制系统运维各自的容器,互不干扰,数据独立。
物理和环境安全
网络和通信安全
设备和计算安全
应用和数据安全
技术要求
堡垒机
安全责任:
云服务方 云租户
云租户
操作员1
操作员2
云服务方
操作员1
操作员2
云堡垒机
物理堡垒机
物理网络设备
物理服务器
容器 容器容器
容器 容器容器
容器 容器容器Web
Application
Database
云租户网络安全
Host1 Host2 Host3
蓝盾 EcOS平台
HostN……
25
安全方案 - 资源控制
Ø支持设置单一容器的资源限制量,保护容器的性能不
因其他容器尝试消耗共享硬件上的太多资源而降低
Ø支持多租户间资源完全隔离,包括物理资源隔离、应
用隔离、网络隔离、存储隔离、私有仓库等,实现多
租户间资源控制物理和环境安全
网络和通信安全
设备和计算安全
应用和数据安全
技术要求
内存隔离基于Namespace实现不同容器的内存隔离
CPU隔离基于Namespace实现不同容器的CPU隔离
网络隔离容器内SDN,虚拟子网实现容器间网络隔离
租户隔离租户间资源隔离、租户间应用隔离、租户间网络隔离
安全责任:
云服务方
26
安全方案 - 安全配置与加固
云漏洞与基线扫描可为云租户提供
自助漏洞管理和容器安全基线配置。
A:定期进行docker、容器云平台漏洞扫描• 扫描docker、容器云平台、应用、数据库等漏洞,及时修补
容器安全配置及加固
B:安全基线扫描• 扫描容器的配置是否符合安全要求
云漏洞/基线扫描
云租户
操作员1
定期漏洞扫找及基线核查• 漏洞扫描:对镜像漏洞定期修补,防止蔓延• 基线扫描:对镜像安全配置进行定期核查,确保镜像达到安全基线要求
镜像保护
云服务方
操作员1
物理漏扫服务器
定期漏洞扫描和基线核查• 漏洞扫描:对物理服务器漏洞定期修补• 基线扫描:定期核查配置满足安全基线
物理服务器
物理和环境安全
网络和通信安全
设备和计算安全
应用和数据安全
技术要求
安全责任:
云服务方 云租户
27
安全方案 - 应用安全
云WAF以云租户或云业务为单位,对WEB应用服务器进行安全防护保护,实现各类 SQL 注入、
跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为、CC等攻击防护,支持网页防篡改。同时
支持 Web 应用加速、WEB负载均衡;其动态评估建模技术更准确识别入侵行为;能够对应用系
统的运行状况进行监测,并在发现异常时进行告警。
物理和环境安全
网络和通信安全
设备和计算安全
应用和数据安全
技术要求
安全责任:
云服务方 云租户
容器 容器容器
容器 容器容器
容器 容器容器Web
Application
Database
云租户虚拟网络
云WAFINTERNET
Host1 Host2 Host3
蓝盾 EcOS平台
HostN……
云网页防篡改
28
安全方案 - 数据安全
物理和环境安全
网络和通信安全
设备和计算安全
应用和数据安全
技术要求
• 云数据库审计替代传统
物理数据库审计系统,
数据库数据不用流出云
即可完成审计。
• 系统数据由云租户负责
审计,可确保敏感数据
由租户控制,不外泄。
安全责任:
云服务方 云租户
云租户
云服务方
云数据库审计
审计数据
• 确保业务连续性
• 确保应用重要数据完整性
• 确保应用重要数据不泄漏
容器 容器容器
容器 容器容器
容器 容器容器Web
Application
Database
云租户虚拟网络
Host1 Host2 Host3
蓝盾 EcOS平台
HostN……
29
数据安全解决方案 端到端安全解决方案
数据多副本 本地备份
混合云容灾容灾
• 支持与公有云API对接
• 实现混合云容灾
• 两地三中心容灾方案
• 本地数据3副本 • 支持本地数据备份
站点1
站点1 站点2
•主备容灾•传统解决方案
•成本高,需要专门资源的支持
•共享容灾•多对一的故障保护
•适用于远程分支机构的容灾
•互为灾备•两个站点都运行生产系统
•两个站点互为备份站点1 站点2
站点1 站点2
•双活容灾•跨数据中心资源统一调度
•支持容灾中心的资源复用
安全方案 – 数据灾备
30
安全方案 – 云安全运维
交付使用
安全运维指引导入
审批及施工
资源回收
资源申请
资源维护及监控
云运营流程
云管理平台运营区
日常基线核查进行镜像更新
登陆堡垒机进行云运维
漏洞扫描后安全交付
云安全运维
日志采集
大数据安全态势分析
监控数据导出攻击事件安全日志设备信息
云安全管控中心
安全监控
安全运维管理
安全建设管理
安全策略和管理制度
安全管理机构和人员
管理要求
安全责任:
云服务方
32
电子政务云安全案例
客户名称:国家电子政务外网云平台• 云管理平台为超融合云平台(IaaS+PaaS)
服务内容• 集成8大云安全产品(云堡垒机、云漏扫、云数据库审计、云网页防篡改、云WAF、云防火墙、云上网行为审计、云SOC)
X86服务器
虚拟化操作系统
容器云管理平台
云数据库审计
云堡垒机
云WAF
云防火墙
云漏扫
云上网行为审计
云SOC
云网页防篡改
PaaS 平台
容器容器 容器 容器 容器 容器 容器……
33
ECS ECS
RDSMySQL 5. 6
-
RDSMySQL 5. 6
RDSMySQL 5. 6
2100SERVER 2100SERVER
Internet
( )
公有云租户云安全案例
客户名称(阿里云租户):广东新佳联投资管理有限公司广州市圈圈贷互联网金融信息服务有限公司广东小森金科信息技术有限公司广州御泰互联网金融信息服务有限公司
服务内容
•安全等级保护测评整改 •安全风险评估整改服务
优势:公有云租户对虚拟安全产品私有化后,业务敏感数据安全可控。
蓝盾高密度安全虚机