私有云最佳安全实践
概述
对于私有化的 Erda,我们应该按照信息安全总体规划,从信息安全管理、信息安全风险控制、信息安全技术等方面入手,结合公司已有的安全设备,涵盖用户接入、网络安全、平台安全、数据安全以及安全管理5大维度,最终实施出安全的数据中心平台。下图中系统安全部分平台安全 Erda 平台已经具备,其他周边安全可以结合公司已有安全设备一起实施。
架构安全
结合公司已有的以及市面上可以采购的全设备,根据信息安全等级保护2.03的条目,我们建议您按照如下架构来搭建整体的信息系统。
根据环境属性建设两个网段,开发,测试,预发环境公用一个网段, 生产环境单独一个网段,可有效隔离生产跟非生产环境的业务流量,防止有测试业务操作生产数据的情况发生;另外网络上的隔离也确保了即使非生产环境被入侵,生产环境也不受影响
系统运维人员通过VPN服务进入到内网,通过堡垒机对所有服务器进行运维;
- 采用WAF(WEB应用防火墙)对业务域名进行防护,过滤恶意流量,阻断通用web共计;
- 业务服务器跟数据库服务器网络分离,通过防火墙进行安全访问,保障核心数据安全;
- 采购web漏洞扫描设备,主机漏洞扫描设备,流量审计设备,入侵检测设备等保障外围环境安全;
- 对企业核心审计设立异地备份区,保障数据安全;
网络安全建设
网络设备冗余配置
保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要,检查关键链路上的网络设备(如交换机,负载均衡设备)是否是双机部署(含各地市数据中心),消除关键网络链路上的单点。
WAF配置
对于向互联网开放的域名,应在Waf设备上设置对应的规则,有效防护各类攻击,降低网站安全风险;
安全VPN接入
对于其他合作伙伴需要接入内网办公的人员开通VPN权限,相应的VPN设备需要开启动态密码保护功能,并对接入人员实行实名制管理,确保一人一账号;
堡垒机接入
对于所有数据中心的机器,需要统一接入到堡垒机。运维人员通过登录堡垒机对系统进行维护,堡垒机账号需一人一账号,实行实名制管理,并在堡垒机开启日志审计功能,所有操作均需要被记录;
系统安全建设
操作系统安全
针对登录2.03中定义的主机安全类别(比如口令安全,会话安全,文件权限安全等)的系统级别配置,虚拟机团队制作统一安全镜像,项目所有机器均使用该镜像开启,并定期对镜像进行安全补丁升级;
主机漏洞扫描接入
对所有集群中的机器提供IP地址,统一接入到主机漏洞扫描系统中,定期对主机进行扫描,及时修复扫描到的安全漏洞,并将安全配置更新到安全镜像中;主机漏洞扫描系统的漏洞库需要做到定时更新。
Web漏洞扫描接入
对所web应用的域名,统一接入到web漏洞扫描系统中,定期对web系统进行扫描,及时修复扫描到的安全漏洞,并沉淀到系统配置以及开发过程中;web漏洞扫描系统的漏洞库需要做到定时更新。
监控系统接入
对所有服务器统一接入到监控系统中,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况,及时处理报警时间,并定期关注机器指标,提前规划扩容/缩容事项;
审计接入
集群中所有主机开启日志审计功能(用户登录,系统异常事件,内核系统事件),审计记录至少包括事件日期、事件、发起者信息(如用户名、IP地址等)、类型、描述和结果(操作是否成功等)等内容。
数据安全建设
数据设备加密
针对等保2.03中定义的数据完整性和加密性,公务业务在运行中会产生大量的企业核心数据,对于这些数据的保护尤为重要,因此需要对核心数据库,数据仓库等磁盘设备进行加密,可以联合企业虚拟化厂商提供磁盘设备加密解决方案。
异地备份系统建设
数据的异地备份是等保三级区别于二级最重要的要求之一,是实现业务连续最基础的技术保障措施,数据中心项目需要对业务代码,业务数据库,数据仓库中的数据每天已增量备份的方式备份到异地备份区,并采用抽测或全测的方式至少每半年对备份数据进行一次有效性验证。