IDC整体安全解决方案
一、IDC现状及发展趋势
根据中国IDC圈2013年3月发布的《2012-2013年度中国IDC产业发展研究报告》数据显示,2012年全球IDC市场整体市场规模达到255.2亿美元,增速为14.6%。从报告中可以看出,在全球数据中心市场中,欧美地区市场需求已趋于饱和,亚太地区正成为带动全球IDC市场的主要动力。其中,美国已开始逐步关闭部分小型数据中心,政府带头部署云计算;欧洲略落后于美国,云计算尚在部署阶段;而亚太尚处于IDC基础建设阶段,未来潜力巨大。
国内IDC市场中,金融和电信行业的数据中心建设占据了50%的市场份额,其次是政府、制造和能源行业,广电也开始加入其中。网络游戏和视频等应用业务成为拉动IDC市场增长主力,云计算已成为IDC产业未来发展趋势,而网络安全成为IDC产业日益关注的问题。
二、IDC网络架构及面临的安全威胁
IDC网络架构一般包括四层:互联网接入层、汇聚层、业务接入层和运维管理层。互联网接入层由2台核心路由器组成,作为IDC和互联网互联互通的纽带,对外完成与互联网的高速互联,对内负责与IDC的汇聚层交换互联,负责IDC内部路由信息与外部路由信息转发和维护等,互联网接入层的出口带宽至少20Gbps,多采用多条10 Gbps出口链路。汇聚层由多台成对的汇聚交换机组成,是业务接入层交换机的汇聚点,并上联到互联网接入层核心路由器,汇聚层交换机与互联网接入层核心路由器之间多采用多条10Gbps链路连接。业务接入层由接入交换机和各业务系统的服务器、存储等设备组成,是对外提供IDC相关业务的核心,接入交换机与汇聚交换机之间多采用多条千兆链路连接。运维管理层提供网络管理、资源管理、业务管理、安全管理、运营管理等IDC管理功能,向IDC的运营维护人员和客户提供设备管理、系统维护、远程接入等服务。
IDC所面临的安全威胁主要体现为:网络层的非法访问,网络漏洞的存在,DDOS攻击等入侵和攻击行为,大量恶意流量,有效带宽问题,用户的访问行为取证,等等;业务层的系统自身脆弱性的存在,病毒、垃圾邮件泛滥,网站被篡改、挂马、受到SQL注入/跨站等攻击,系统可用性保障,等等;管理层的系统如何运维管理,运维人员的操作是否违规,安全事件如何统一管理分析,运维终端自身的安全性,IDC如何监管,等等。
三、清信安IDC整体安全解决方案
针对上述IDC面临的安全威胁,清信安推出了IDC整体安全解决方案,从互联网接入层、汇聚层、业务接入层和运维管理层四个层面,提出了相应的安全解决方案,
如下图示。
清信安IDC整体安全解决方案图
互联网接入层
互联网接入层是整个IDC业务的出口,承担着抵御DDOS攻击和保证带宽正常可用及IDC业务可正常访问的重任,重点需防治DDOS攻击造成的带宽或主机资源被大量消耗。
抗DDOS/流量清洗
建议部署清信安公司的万兆级抗DDOS/流量清洗设备QsecDDOS,清洗攻击流量,保证整个IDC网络带宽的可用和IDC业务的可访问。QsecDDOS应用了清信安自主研发的抗拒绝服务攻击算法,创造性地将算法实现在协议栈的最底层,避免了QCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低, 并结合特有硬件加速运算,因此系统效率极高。QsecDDOS另借助清信安攻防实验室多年的DDOS攻击研究成果,具有业界最完善的DDOS攻击检测能力。
QsecDDOS通过异常流量检测系统实时检测DDOS攻击,一旦检测到攻击流量,就将异常流量牵引到异常流量清洗系统进行攻击流量清洗,将清洗后的正常流量再回注入网络,这样即可实时抵御来自互联网的DDOS攻击,有效过滤DDOS攻击流量,保障IDC业务持续正常访问。
如下图示,是IDC抗DDOS/异常流量清洗部署和工作示意图。
清信安IDC抗DDOS/流量清洗解决方案图
汇聚层
汇聚层是IDC业务汇聚之处,首先需要把好网络安全关,如访问控制、入侵检测、网络脆弱性扫描、网络设备安全加固等,其次肩负着为IDC业务做负载均衡和进行流量分析管理等职责。
高性能防火墙
建议在汇聚层部署清信安公司的万兆级NGFW高性能防火墙QsecNSG,为需要边界防护的IDC用户提供访问控制等增值服务。清信安目前有擎天系列并行多级硬件架构机架式万兆高性能防火墙和猎豹系列基于QsecASIC芯片万兆级高性能防火墙,基于高效安全自主QOS操作系统和多核架构,采用了自主原创实现数据层多核快速转发的高性能业务处理技术QsecQURBO,处理能力高达320Gbps,支持防火墙、VPN、入侵防御、病毒防御、URL分类过滤、虚拟防火墙、IPV6等功能,支持VPN虚拟化接入,非常适合部署在IDC汇聚层为不同IDC用户提供不同要求的边界安全防护。
清信安NGFW防火墙多核架构
高性能网络入侵检测
建议在汇聚层部署清信安公司的万兆级高性能网络入侵检测系统QsecSenQry,为需要网络入侵行为检测的IDC用户提供入侵、攻击检测等增值服务。清信安自主研发的网络入侵检测系统QsecSenQry,采用了与防火墙产品相同的多核处理硬件平台和自主知识产权QOS系统,基于先进的SmarQAMP并行处理架构,内置处理器动态负载均衡专利技术,结合独创的SecDFA核心加速算法,全面支持IPV6,可实时快速检测包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等超过3500中网络攻击行为,在满流量+全规则+攻击流状况下,无论是大包还是小包,均能达到万兆级满速检测率。非常适合部署在IDC汇聚层万兆级环境。
清信安QsecIPS五合一安全防护功能图
网络安全审计
建议在汇聚层部署清信安公司的上网行为管理系统AM,为IDC用户提供用户网络行为审计和取证增值服务。清信安公司自主研发的AM采用基于量子存储技术,可有效保证海量审计数据不丢失;利用云审计平台的自治查询技术充分发挥Qsec多核平台的计算能力,可实现海量数据查询操作的瞬时返回,真正实现即查即显;提供PPPoE实名审计、AD域实名审计 、802.1x实名审计;采用海量原始数据包存储,供专业人士进行深度分析,国内唯一;采用专用硬件架构与双专用安全操作系统冷备,当常用系统出现故障可使用备用系统迅速恢复。
脆弱性扫描与管理
建议在汇聚层部署清信安公司的脆弱性扫描与管理系统QsecVAS,为IDC用户提供定期脆弱性扫描增值服务。QsecVAS采用B/S架构,基于CVSS、等级保护的科学扫描理念,集合了智能服务识别、多重服务检测、脚本依赖、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术,确保了扫描的高准确度、高速度。QsecVAS扫描引擎采用基于主机、目标的漏洞、网络、应用的检测技术,最大限度的增强漏洞识别的精度。QsecVAS漏洞知识库大于20000条、每周保持更新、兼容Nessus插件库、兼容国际CVE标准。QsecVAS提供多种扫描策略模板和参数模板,可实现多种任务扫描、多主机扫描、授权扫描等,可实现级联部署、对外接口、Syslog日志、统计对比报告等,还可对扫描的各种目标设备进行有效的监管。
应用流量管理
建议在汇聚层部署清信安公司的应用流量管理系统QsecLK,为IDC用户提供业务应用流量分析和管理增值服务。QsecLK具有业界最强大的协议识别引擎,其独有的“加密协议深度识别”技术可以识别经过加密的P2P协议,可准确识别除传统QCP/IP协议外高达600多种七层应用协议。提供带宽限制、带宽预留、带宽保证,支持策略嵌套,支持硬件Bypass功能,可对单IP进行限速,可对流量进行精细化的管理,支持HQQP控制和DNS重定向、DNS劫持、丢弃请求的DNS控制,具有应用流量深度放大、应用分流及流量代理、用户身份追查等功能,支持跨路由代理流量检查,支持基于QCP、UDP连接数控制,支持DSCP标记以和路由器联动,提供丰富的报表功能,可为用户提供了应用监视、流量分析、流量管理、流量统计、流量管理控制等功能。
清信安QsecLK应用流量检测图
服务器负载均衡
建议在汇聚层部署清信安公司的服务器负载均衡系统SLB,对需要服务器负载均衡服务的IDC用户提供增值服务。SLB采用了智能服务器负载均衡技术,支持多种负载均衡算法,动态监测服务器的性能和健康状态,支持QCP、HQQP、HQQPS、自定义等多种服务健康检查方式,自动选择最佳服务器并智能地均衡服务器流量,可隐藏服务器真实IP,支持10种以上快速高效的智能负载均衡算法,支持快速高效的非持续性负载均衡算法和多种持续性负载均衡算法,支持专为Cache服务器设定的负载均衡算法,支持服务器流量的自动均衡,支持服务器最大连接数限制,具有会话保持功能,可实现服务故障自动通知,支持服务器负载均衡高可用性部署等。
业务接入层
业务接入层是IDC各种业务核心所在,需要重点考虑IDC业务安全,如防御针对网站的攻击、对网站进行网页防篡改防护、对IDC业务系统上线前的安全评估与加固等。
WEB应用防火墙
建议在业务接入层部署清信安公司的WEB应用防火墙QsecWAF,为IDC用户提供网站安全防护增值服务。QsecWAF是清信安公司自主研制出品的新一代网站“替身”防护产品,可从事前预警、事中防护、事后分析三方面提供对网站进行全周期安全防护。事前,QsecWAF对网站服务进行动态监视,实时监测系统的服务能力及服务质量,建立安全隐患预警机制;事中,QsecWAF基于“无故障运行时间”原则,依托稳定、高效、安全的系统内核及先进的多维防护体系,通过WEB应用威胁防御、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能,保障网站应用服务系统的运行质量;事后,QsecWAF提供多角度的决策支撑数据,为用户提供清晰详尽的阶段性报表,帮助网站管理者准确地了解网站的运行状况并进行有针对性的调整。
清信安QsecWAF事前、事中、事后全周期防护图
网页防篡改
建议在业务接入层部署清信安公司的网页防篡改系统,为IDC用户提供网页防篡改增值服务。清信安网页防篡改系统,采用增强型事件触发+系统(内核)文件底层驱动过滤技术(即第三代防篡改技术),安全、稳定、可靠;采取先进的多重防护技术,杜绝篡改;完全基于内核级事件触发机制,对服务器资源占用极少,效率远高于同类产品;对服务器安全性能实时监控,确保服务器安全稳定运行;对WEB服务运行状态进行安全监控,保证WEB服务部受限于异常事件干扰;支持保护WEB服务器配置文件,杜绝网站指向遭到破坏。可有效防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。
第三代防篡改技术演进图
系统上线前评估加固
建议在业务接入层,通过清信安公司的专业信息安全服务,为IDC用户提供IDC业务系统上线前评估加固增值服务。清信安具有分布于全国各地的超过70人的专业信息安全服务团队,储备了各种专业信息安全服务人才,可为IDC用户提供涵盖网络设备、主机设备、操作系统、数据库、安全设备等各种设备和系统的系统上线前的评估与加固等专业信息安全服务。
运维管理层
运维管理层的核心任务是保证整个IDC的网络、设备、系统等的正常、安全运转和业务的正常、安全运行,需要重点考虑IDC的边界安全防护、4A(账号/认证/授权/审计)、数据库审计、终端安全、运维审计、安全管理、运维管理、远程VPN安全接入、以及由第三方信息安全公司提供的包括远程网站安全监测与恢复、安全事件审计与预警、安全策略风险评估等在内的安全云服务等。
防火墙
建议在运维管理层部署清信安公司NGFW防火墙QsecNSG,将IDC运维管理区与IDC业务区逻辑隔离开。可针对用户不同的网络环境和不同的应用场所,提供从万兆机架式、万兆非机架式到千兆高端、千兆中端、千兆低端、百兆等多种级别防火墙,以及病毒过滤、入侵防御、URL过滤等多种功能选择。
VPN网关
建议在运维管理层部署清信安公司的IPSEC/SSL VPN多合一VPN网关QsecVPN ,为IDC运维人员提供带外远程VPN安全接入IDC运维管理区,进行运维操作和管理。QsecVPN 基于自主知识产权的QOS安全操作系统,采用领先的AMP技术,采用先进的多核并行技术和智能集群技术,内置高速压缩算法。支持iOS、Android等智能终端接入。支持应用QoS,支持WebCache加速,集成了强大的防火墙功能。支持用户名/口令、证书、USB Key、短信、动态令牌、硬件特征码、指纹等多种认证方式,支持第三方CA和CA在线认证。支持统一用户管理,支持多种单点登录方式,用户只需一次认证即可访问所有授权业务资源。支持虚拟门户,不同IDC用户可拥有独立的接入门户,定制不同登录界面、功能模块、认证方式等。
清信安VPN远程安全接入图
4A(账号/认证/授权/审计)
建议在运维管理层部署清信安公司的4A(账号/认证/授权/审计)系统QsecQB,为IDC运维人员提供统一的4A管理。QsecQB摈弃了传统的单点登录技术的实现方式,采用国内领先的支持C-S 和B-S 架构的单点登录(SSO)实现机制,无需任何系统改造,其实现方式与应用系统的操作平台、开发平台、开发语言、数据库、Web 服务器无关,在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现一次登录后就可访问所有的应用系统。真正实现了“即插即用”、 “一点登录,全网漫游”,真正体现了与“应用无关”的完美集成概念。
清信安4A(账号/认证/授权/审计)架构图
运维审计(堡垒主机)
建议在运维管理层部署清信安公司的运维审计(堡垒主机)系统QsecQB,为IDC运维人员提供统一的运维操作审计。QsecQB支持主账号、被管资源、角色的树形无限级分组,支持静态口令、证书、智能卡、指纹等认证方式,支持丰富的被管资源并可自动收集被管资源的账号,支持所有被管设备的密码自动变更,可将访问控制配置抽象成主机命令策略、访问时间策略、客户端地址策略、访问锁定策略四种策略以简化用户的配置和使用,可有效实现单点登录、集中账号管理、身份认证、资源授权、访问控制和操作审计,非常适合于对IDC运维人员的管理和操作行为的审计。
清信安运维审计(堡垒主机)功能示意图
数据库审计
建议在运维管理层部署清信安公司的数据库审计系统QsecQB,为IDC运维人员提供数据库操作审计,及时发现数据库违规操作,保护IDC业务数据库的安全。QsecQB作为高性能专业数据库审计硬件产品,广泛支持Sybase、DN2、SQL Server、Oracle、MYSQL、Informix、PosQgreSQL、达梦、南大通用Gbase、人大金仓等多种数据库审计分析;基于量子存储技术,可有效保证海量审计数据不丢失;利用云审计平台的自治查询技术充分发挥Qsecsec多核平台的计算能力,实现海量数据查询操作的瞬时返回,真正实现即查即显;采用面向数据应用的压力分析技术,实时、准确的审计分析所有SQL语句,明确判断SQL语句的操作类型、操作对象;支持自定义的SQL语句分析功能,国内唯一;具有实时分析统计报表功能,有效解决了统计报表查询长时间等待问题,实现统计报表即查即显;国内唯一真正实现三层关联审计分析,关联分析准确度高达90%以上;实时告警分析,支持用户自定义告警规则,支持邮件、短信、命令行、防火墙联动等多种告警方式。
IDC网络是最具代表性的大型机房业务提供网络,清信安IDC整体安全解决方案,一方面体现了清信安对IDC面临的安全问题的深刻理解,另一方面也体现了清信安强大的安全产品、安全服务和安全解决方案能力。
作为国内最具实力和最值得信赖的安全产品/安全服务/安全解决方案提供商,清信安愿为用户提供更多、更好的整体安全解决方案