简介:随同着国内企业上云步调的放慢,越来越多的企业须要对云上要害业务进行等级爱护自查或实现相干认证。本文以《GB/T 22239-2019 信息安全技术 网络安全等级爱护根本要求》中所要求的三级规范为参考,重点关注其中所波及的网络安全高危危险局部,为企业提供阿里云上有针对性的平安建设最佳实际,助力企业构建层次化的云上网络安全进攻体系,保障外围业务的平安运行。
名词解释
区域(Region)
阿里云上的网络区域通常是以层次化的形式由内部向外部进行划分的,概括来说,通常会有三个层级的网络区域构造:
第一层级(物理区域):地区与可用区
地区是指物理的数据中心。用户能够依据指标用户所在的地理位置抉择地区。而可用区是指在同一地区内,电力和网络相互独立的物理区域。在同一地区内可用区与可用区之间内网互通,可用区之间能做到故障隔离。
地区与可用区的配置和运维由阿里云负责,对于最终用户而言,仅须要抉择适合的地区或可用区部署资源,运行云上业务即可。
第二层级(逻辑网络区域):虚构专有网络VPC
虚构专有网络VPC以虚拟化网络的形式提供给客户,是每个客户独有的云上公有网络区域。云租户能够齐全掌控本人的专有网络,例如抉择IP地址范畴、配置路由表和网关等,也能够在本人定义的专有网络中应用阿里云资源,如云服务器、云数据库RDS版和负载平衡等。
对于客户而言,虚构专有网络VPC是云上网络配置的第一步,也是真正意义上的云上组网的开始。
第三层级(VPC外部区域):子网与资源边界
子网相似传统网络中的VLAN,是通过虚构交换机(VSwitch)提供的,用来连贯不同的云资源实例。而云资源则是通过虚构网卡的形式进行网络互联,也是目前云上最小颗粒度的资源边界。
_——三层网络架构参考图
_
边界
基于阿里云上三个层级的网络区域,天然也就造成了云上三道网络边界,也就是网络安全中常见的“层次化进攻”的举荐架构:
第一边界:互联网边界(南北向流量)
云上业务如果对互联网凋谢,或是须要被动拜访互联网,那流量必定会穿过阿里云与互联网的边界,也就是云上网络的第一道边界——互联网边界。对于该类流量,咱们通常称之为南北向流量,针对这类流量的防护,在等保中有明确的要求。因为存在流量被动发起方的区别,防护的重点个别也会辨别由内向内和由外向外的不同流量类型。
第二边界:VPC边界(东西向流量)
VPC是云上最重要的网络隔离单元,客户能够通过划分不同的VPC,将须要隔离的资源从网络层面离开。但同时,因为业务的须要,局部流量又可能须要在VPC间传输,或是通过诸如专线,VPN,云连贯网等形式连贯VPC,实现VPC间利用的互访。因而,如何实现跨VPC边界流量的防护,也是云上网络安全很重要的一环。
第三边界:云资源边界(微隔离流量)
因为VPC曾经提供了很强的隔离属性,加上相似平安组的细颗粒度资源级管控能力,通常在VPC外部不倡议再进行过于简单的基于子网的隔离管控,通常会应用平安组在资源边界进行访问控制。如果客户须要更精细化的VPC内子网隔离,也能够应用网络ACL性能进行管控。
——云上三层网络边界示意图
从等级爱护要求看云上网络防护重点
以下内容基于《等保2.0》中无关网络安全的相干要求开展,为客户提供阿里云上相干最佳实际。
等保类目:平安通信网络——网络架构
网络设备业务解决能力
- 防护要求:应保障网络设备的业务解决能力满足业务高峰期须要
- 最佳实际:
通常,对可用性要求较高的零碎,网络设备的业务解决能力有余会导致服务中断,尤其对于传统IDC的网络架构和设施而言,因为无奈疾速程度扩大(物理架构限度),或是老本等相干起因,须要企业预留大量的网络资源,以满足业务高峰期的须要,但在日常应用过程中则会产生大量的节约。对于这一点,上云就很好的解决了这个问题,无论是业务带宽的弹性伸缩,或是阿里云上诸如云防火墙等网络安全类设施的动静程度扩容能力,都能很好地解决传统网络和平安所存在的限度,并大大降低企业的日常网络运行老本。
- 根底网络能力:虚构专有网络VPC、弹性公网地址EIP、负载平衡SLB、网络地址转换NAT
- 扩大防护能力:云防火墙、云WAF、DDoS防护
网络区域划分
- 防护要求:应划分不同的网络区域,并依照方便管理和管制的准则为各网络区域调配地址
- 最佳实际:
通常,对于云上的网络区域划分,倡议客户以VPC为颗粒度布局,这是因为VPC可能依据理论须要配置IP地址段,同时又是云上的根底默认网络隔离域。对于VPC的划分,个别倡议参考企业本身的组织架构,或是业务重要属性进行网络拆分。常见的划分形式有:
- 按业务部门划分(例如To B业务、To C业务等)
- 按传统网络分区划分(DMZ区域、内网区域等)
- 按应用属性划分(例如生产环境、开发测试环境等)
等保中有明确指出须要企业依据重要水平进行网络区域划分,同时,在同一VPC内的子网间默认路由互通,因而个别倡议客户以VPC为颗粒度实现网络分区。同时,因为局部业务的通信互联须要,VPC间可能通过云企业网(CEN)进行连通,在此基础上也倡议客户应用阿里云防火墙的VPC隔离能力来实现VPC间的无效隔离。
- 根底防护能力:虚构专有网络VPC、云企业网CEN、云防火墙
- 扩大网络能力:高速通道、虚构边界路由器VBR
网络访问控制设施不可控
- 防护要求:应防止将重要网络区域部署在边界处,重要网络区域与其余网络区域之间应采取牢靠的技术隔离伎俩
- 最佳实际:
云上网络的常见访问控制设施有云防火墙、平安组、以及子网ACL。
云防火墙笼罩互联网边界和VPC边界,次要管控互联网出和入向的南北向流量,以及跨VPC拜访(包含专线)的流量管制;
平安组作用于主机边界,次要负责云资源边界的访问控制;
子网ACL次要实现对一个或多个VPC外部子网流量的访问控制,在有精细化拜访管控要求时能够应用。
上述服务均提供给云上客户管理权限,可能依据理论业务须要灵便进行ACL配置。
- 举荐防护能力:云防火墙、平安组、网络ACL
互联网边界访问控制
- 防护要求:应防止将重要网络区域部署在边界处,重要网络区域与其余网络区域之间应采取牢靠的技术隔离伎俩。
- 最佳实际:
在传统IDC的网络布局中,通常会配置DMZ区用以隔离互联网和内网区域。在云端,同样能够通过设置DMZ VPC,来实现更高安全等级的网络分区,并联合云企业网的联通性搭配云防火墙的隔离能力,将重要的生产或内网区与互联网辨别隔开,防止高风险区域内的潜在网络入侵影响企业的重要网络区域。
同时,对于互联网边界,企业须要重点关注南北向的流量防护,对于裸露在互联网上的网络资产,包含IP、端口、协定等信息,须要定期进行盘点,并配置针对性的访问控制规定,来实现互联网出入口的平安管控。
- 举荐防护能力:虚构专有网络VPC、云企业网CEN、云防火墙
不同区域边界访问控制
- 防护要求:应防止将重要网络区域部署在边界处,重要网络区域与其余网络区域之间应采取牢靠的技术隔离伎俩。
- 最佳实际:
客户在上云初期,个别都会基于VPC进行网络区域的布局,对于不同区域的隔离与访问控制,阿里云提供了非常灵活的形式。通常,VPC之间默认无奈通信,不同的VPC如果须要相互拜访,能够通过高速通道实现点对点的通信,或是将多个VPC退出同一个云企业网(CEN)实现互通,后者对于客户的配置和应用更为敌对,也是更举荐的形式。在此基础上,客户可能通过云防火墙提供的VPC边界访问控制,来对跨VPC的流量进行拜访管控,过程中不须要客户手动更改路由,既简化了路由的配置,又能通过对立的形式实现平安隔离管控。
同时,对于通过专线(虚构边界路由VBR)或VPN形式组建的混合云场景,或是管控来自办公网的云上拜访,也能通过云防火墙在VPC边界,通过分布式的形式实现对立访问控制,保障外围区域内的资源拜访可管可控。
- 举荐防护能力:虚构专有网络VPC、云防火墙、平安组
要害线路、设施冗余
- 防护要求:应提供通信线路、要害网络设备和要害计算设施的硬件冗余,保证系统的可用性。
- 最佳实际:
阿里云提供的各类网络和平安服务,在设计初期,首要思考的就是如何实现高可用架构。无论是虚构网络服务,诸如虚构网络VPC、负载平衡SLB或NAT网关,还是安全类服务,如云防火墙、云WAF或DDoS防护,都在硬件层面实现了冗余,并通过集群的形式提供服务,满足客户云上要害业务对于网络安全可用性的要求。
与此同时,当客户在进行网络布局和配置的过程中,还是须要对高可用架构进行必要的设计,例如多可用区架构、专线的主备冗余等,实现更高等级的通信链路保障。
- 根底网络能力:参考各阿里云网络与平安产品高可用个性
等保类目:平安通信网络——通信传输
传输完整性爱护
- 防护要求:应采纳明码技术保障通信过程中数据的完整性。
- 最佳实际:
对于数据传输完整性要求较高的零碎,阿里云倡议在数据传输实现后,进行必要的校验,实现形式可采纳音讯甄别码(MAC)或数字签名,确保数据在传输过程中未被歹意篡改。
- 举荐防护能力:客户业务实现
传输保密性爱护
- 防护要求:应采纳明码技术保障通信过程中数据的保密性。
- 最佳实际:
数据传输过程中的保密性爱护,依据业务类型通常会分为通道类连贯和网站类拜访。
对于通道类连贯,阿里云提供了VPN网关服务,帮忙客户疾速搭建加密通信链路,实现跨区域的互联。对于网站类的拜访,阿里云联结了中国及中国以外地区的多家数字证书颁发机构,在阿里云平台上间接提供数字证书申请和部署服务,帮忙客户以最小的老本将服务从HTTP转换成HTTPS,爱护终端用户在网站拜访过程中的通信安全。
- 举荐防护能力:VPN网关、SSL/TLS证书
等保类目:平安区域边界——边界防护
互联网边界访问控制
- 防护要求:应保障逾越边界的拜访和数据流通过边界设施提供的受控接口进行通信
- 最佳实际:
对于由互联网侧被动发动的拜访,如果是网站类的业务,个别倡议企业配置云WAF来进行有针对性的网站利用防护,并搭配云防火墙,实现全链路的访问控制;对于非网站类的入云业务流量,包含近程连贯、文件共享、开放式数据库等,客户可能通过云防火墙在公网EIP维度进行有针对性的凋谢接口统计与防护。
对于由云外部被动发动的向互联网的外联,倡议企业基于云防火墙提供的出云方向ACL,同样在EIP维度进行基于白名单的访问控制,将外联危险降到最低。
- 举荐防护能力:云防火墙、云WAF
网络访问控制设施不可控
- 防护要求:应保障逾越边界的拜访和数据流通过边界设施提供的受控接口进行通信;
- 最佳实际:
参考【平安通信网络——网络架构】章节中的最佳实际,同时,局部云上PaaS服务也提供了相似的访问控制能力,如负载平衡SLB、对象存储OSS、数据库服务RDS,客户可能依据理论应用状况进行配置。
- 根底网络能力:参考各阿里云网络产品
- 举荐防护能力:云防火墙、平安组、云WAF、网络ACL
违规内联查看措施
- 防护要求:应可能对非受权设施擅自连贯到外部网络的行为进行查看或限度;
- 最佳实际:
客户在云上的外部网络,通常会部署外部应用服务器或数据库等重要数据资产。对于向外部网络发动连贯的行为,个别会经由互联网(南北向)通道或专线及VPC(东西向)通道。
对于来自互联网的网络连接,个别倡议客户在边界EIP上进行网络流量的查看。客户可能通过云防火墙提供的深度包检测(DPI)能力,剖析起源IP和拜访端口等信息,辨认出潜在的异样连贯行为,并通过配置有针对性的拜访控制策略,实现违规流量的阻断。
对于东西向的流量,通常是由企业IDC或办公网发动的,尤其是办公网,除了可能在云下边界部署上网行为治理等服务外,也可能利用云防火墙提供的VPC边界管控能力,辨认异样拜访流量,并针对性的进行特定IP或端口的封禁。
- 举荐防护能力:云防火墙
违规外联查看措施
- 防护要求:应可能对外部用户非受权连贯到内部网络的行为进行查看或限度;
- 最佳实际:
对于由外部网络被动向内部发动拜访的行为,可能通过云防火墙提供的被动外连辨认能力进行检测。对于所有跨边界的出云方向网络流量,云防火墙会剖析流量的拜访指标,联合阿里云威逼情报能力,一旦发现连贯目标是歹意IP或域名,会立即触发告警,揭示客户查看网络拜访行为是否存在异样,并倡议客户对确认为歹意的流量通过配置ACL的形式进行阻断。
同时阿里云平安核心通过在主机层面进行入侵检测,也可能发现违规的外联过程,并进行有针对性的阻断和告警提醒,帮忙客户进行歹意危险的溯源。
- 举荐防护能力:云防火墙、云平安核心
等保类目:平安区域边界——访问控制
互联网边界访问控制
- 防护要求:应在网络边界或区域之间依据拜访控制策略设置访问控制规定,默认状况下除容许通信外受控接口回绝所有通信;
- 最佳实际:
“除容许通信外受控接口回绝所有通信”,即网络安全中的“白名单”概念,须要客户配置相似如下的拜访控制策略,实现网络裸露面的最小化:
| 优先级 | 拜访源 | 拜访目标 | 端口 | 协定 | 行为 |
| 高 | 特定IP(段) | 特定IP(段) | 指定端口 | 指定协定 | 回绝 |
| 中 | 特定IP(段) | 特定IP(段) | 指定端口 | 指定协定 | 容许 |
| 默认 | 所有(ANY) | 所有(ANY) | 所有(ANY) | 所有(ANY) | 回绝 |
| 防护层面 | 控制点 | 规范要求 | 举荐防护能力 |
| <span class="lake-fontsize-11">平安通信网络</span> | <span class="lake-fontsize-11">网络架构</span> | <span class="lake-fontsize-11">网络设备业务解决能力</span> | <span class="lake-fontsize-11">VPC、EIP、SLB、NAT</span> |
| <span class="lake-fontsize-11">网络区域划分</span> | <span class="lake-fontsize-11">VPC、云防火墙、CEN</span> | ||
| <span class="lake-fontsize-11">网络访问控制设施不可控</span> | <span class="lake-fontsize-11">云防火墙、平安组、网络ACL</span> | ||
| <span class="lake-fontsize-11">互联网边界访问控制</span> | <span class="lake-fontsize-11">VPC、云防火墙、CEN</span> | ||
| <span class="lake-fontsize-11">不同区域边界访问控制</span> | <span class="lake-fontsize-11">VPC、云防火墙、平安组</span> | ||
| <span class="lake-fontsize-11">要害线路、设施冗余</span> | <span class="lake-fontsize-11">各阿里云网络与平安产品</span> | ||
| <span class="lake-fontsize-11">通信传输</span> | <span class="lake-fontsize-11">传输完整性爱护</span> | <span class="lake-fontsize-11">客户业务实现</span> | |
| <span class="lake-fontsize-11">传输保密性爱护</span> | <span class="lake-fontsize-11">VPN、SSL证书</span> | ||
| <span class="lake-fontsize-11">平安区域边界</span> | <span class="lake-fontsize-11">边界防护</span> | <span class="lake-fontsize-11">互联网边界访问控制</span> | <span class="lake-fontsize-11">云防火墙、云WAF</span> |
| <span class="lake-fontsize-11">网络访问控制设施不可控</span> | <span class="lake-fontsize-11">各阿里云网络与平安产品</span> | ||
| <span class="lake-fontsize-11">违规内联查看措施</span> | <span class="lake-fontsize-11">云防火墙</span> | ||
| <span class="lake-fontsize-11">违规外联查看措施</span> | <span class="lake-fontsize-11">云防火墙、云平安核心</span> | ||
| <span class="lake-fontsize-11">访问控制</span> | <span class="lake-fontsize-11">互联网边界访问控制</span> | <span class="lake-fontsize-11">云防火墙</span> | |
| <span class="lake-fontsize-11">入侵防备</span> | <span class="lake-fontsize-11">内部网络攻击进攻</span> | <span class="lake-fontsize-11">云防火墙、云WAF、DDoS防护</span> | |
| <span class="lake-fontsize-11">外部网络攻击进攻</span> | <span class="lake-fontsize-11">云防火墙、云平安核心</span> | ||
| <span class="lake-fontsize-11">恶意代码和</span><span class="lake-fontsize-11">垃圾邮件防备</span> | <span class="lake-fontsize-11">恶意代码防范措施</span> | <span class="lake-fontsize-11">云防火墙、云平安核心、云WAF</span> | |
| <span class="lake-fontsize-11">平安审计</span> | <span class="lake-fontsize-11">网络安全审计措施</span> | <span class="lake-fontsize-11">云防火墙、云WAF</span> | |
| <span class="lake-fontsize-11">集中管控</span> | <span class="lake-fontsize-11">安全事件发现处理措施</span> | <span class="lake-fontsize-11">云防火墙、云WAF、DDoS防护</span> | |
| <span class="lake-fontsize-11">平安运维治理</span> | <span class="lake-fontsize-11">网络和零碎</span><span class="lake-fontsize-11">运维治理</span> | <span class="lake-fontsize-11">运维外联的管控</span> | <span class="lake-fontsize-11">云防火墙</span> |