- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C CAS虚拟化环境安全管理指南-5W102-整本手册.pdf (3.06 MB)
H3C CAS云计算管理平台
虚拟化环境安全管理指南
资料版本:5W102-20221215
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
传统的数据中心体系架构是存在于企业内部网络的封闭系统,对外提供诸如邮件和网页等服务。传统数据中心通过在数据中心出口配置防火墙、IPS、AV等安全设备,在服务器上安装服务器防病毒软件就可以解决大部分的安全问题。在数据中心服务器虚拟化环境中,服务器虚拟化技术虽然降低了数据中心IT投资和运维管理开支,但是与传统物理环境一样,虚拟化环境也面临着诸多安全风险,主要包括虚拟化平台安全风险和虚拟机自身安全风险。
· 虚拟化平台安全风险:管理平台访问控制的安全风险、虚拟化内核自身安全风险。
· 虚拟机安全风险:涉密数据泄露的安全风险、业务应用环境的安全风险。
因此,在虚拟化环境下,我们需要考虑如何有效地为虚拟化平台和虚拟机面临的风险和威胁采取可靠的安全策略和措施,以提供安全可靠的服务器虚拟化解决方案。
H3C CAS是面向数据中心自主研发的虚拟化管理平台,是下一代云数据中心的基石。H3C CAS采用全新电信级虚拟化内核,结合H3C强大的安全研发能力和实践经验,深度集成安全防护引擎,支持丰富的安全防护功能。提供针对虚拟化管理层、内核层、数据层、业务层相应的安全防护机制,满足安全合规要求,为虚拟化环境构建全方位的安全防护体系。
H3C CAS虚拟化管理平台提供完善的安全解决方案,以满足用户对虚拟化平台和虚拟机的安全需求,降低安全风险,为用户的资源和业务提供强有力的安全保障。
本手册中的功能及操作步骤描述,以CAS E0730及之后版本为例。
除了应对传统数据中心的安全威胁,云计算还面临新的安全威胁与挑战。
· 基础设施安全(网络层次)
¡ 更容易遭受网络攻击。云计算必须基于随时可以接入的网络,便于用户通过网络接入,方便的使用云计算资源。云计算资源的分布式部署使路由、域名配置更加复杂,更容易遭受网络攻击,比如DNS攻击和DDoS攻击。对于IaaS,DDoS攻击不仅来自外部网络,也容易来自内部网络。
¡ 隔离模型变化形成安全漏洞。逻辑隔离代替物理隔离,使企业网原有的隔离产生安全漏洞。企业网络通常采用物理隔离等高安全手段保证不同安全级别的组织或部门的信息安全,但云计算采用逻辑隔离的手段隔离不同企业,以及企业内部不同的组织与部门。
¡ 资源共享风险。多租户共享计算资源带来了更大的风险,包括隔离措施不当造成的用户数据泄漏、用户遭受相同物理环境下的其他恶意用户攻击;网络防火墙/IPS虚拟化能力不足,导致已建立的静态网络分区与隔离模型不能满足动态资源共享需求。
· 基础设施安全
¡ 虚拟机安全威胁
¡ Hypervisor层的安全威胁
¡ 开放接口的安全威胁
· 数据与存储
¡ 数据存储的安全威胁
¡ 数据处理、传输的安全威胁
¡ 数据来源证明
¡ 冗余数据保护,删除虚拟机后的冗余数据
· 统一的安全策略。
· 低成本的安全措施。
· 按需提供安全防护。
· 弹性分配安全资源。
图2-1 CAS虚拟化安全架构
表2-1 CAS全方位安全解决方案
|
安全风险类别 |
安全风险内容 |
|
访问控制 |
|
|
入侵防范 |
|
|
身份鉴别 |
|
|
数据完整及保密 |
|
|
剩余信息 |
|
|
集中管控 |
|
|
数据备份和恢复管理 |
|
本文档主要介绍H3C CAS虚拟化管理平台安全解决方案中的实现方法和操作步骤。
虚拟化内核层的安全功能由内核实现,本文档不再赘述。
· 最小服务和组件。
· 区分服务器的用途和角色,禁止安装不必要的服务和组件。
· 服务内部组件也应采用上述原则进行裁减。
· 严格控制增加、修改、删除系统中的帐户、群组。
· 删除所有系统中不使用的帐户和用户组。
· 尽可能降低系统服务、群组和帐户的权限。
· 对操作系统的授权进行严格控制。
· 禁止不必要的帐户访问不需要的资源。
建议系统管理员对帐户例行检查,检查的内容包括:
· 操作系统、数据库的帐户是否必要,临时帐户是否已删除。
· 帐户的权限是否合理。
· 对帐户的登录、操作日志进行检查和审计。
· 保管好运维帐户,严格控制运维帐户的权限和发放范围。避免存放的软件仓库中的重要文件被随意修改。
用户身份验证是应用系统的门户。帐户和密码的复杂性、有效期等需根据客户的安全要求进行配置。
对密码的维护建议如下:
· 系统提供的所有的默认密码,包括操作系统、数据库、预置用户等的默认密码,都必须在安装完成后进行修改。
· 90天内修改密码。
· 专人保管主机root密码。
· 密码传递时要进行加密,尽量避免通过邮件传递密码。
· 密码需要加密存储。
· 系统移交时提醒客户更改密码。
· 操作系统输入密码时,支持直接输入和交互式输入两种方式。直接输入密码有可能存在密码泄露的风险。请执行命令时以交互式方式输入密码。
· 第三方和开源软件提供的缺省口令,特别是数据库帐户的缺省口令,已广泛公开并存在于口令破解工具的字典中,在现网中使用存在极大的安全隐患。如果使用第三方和开源软件一定要修改缺省口令。如果第三方和开源软件无法满足此规则,本资料提示使用缺省口令的风险。
· 尽量避免利用一台主机担当多种服务角色。
· 分区专用,隔离系统、应用和数据所在的分区。
· 通过日志和其他可行的方法监控对主机的操作行为。
· 对系统关键资源的成功访问进行审计。
· 对修改访问控制策略的成功和失败情况进行审计。
利用审计日志记录来帮助发现可疑的活动。系统对于重要业务(包括系统参数、资源配置与发布等)的操作需要记录日志。通过系统加固对日志文件进行保护。
· 定期检查日志
定期查看系统日志、操作日志及安全日志,若发现有异常日志出现,应及时向上级部门汇报,若不能定位原因或无法自行解决时,及时联系当地办事处或拨打400电话向H3C求助。
· 定期备份日志
日志应当进行定期备份,同时将备份文件在外介质(磁盘、磁带、光盘等)上存档。日志在备份后应当及时删除,以释放日志空间。
· 审计功能的配置更改
在系统初装时完成系统审计功能的配置,一般情况下不建议修改。若需要修改系统审计功能的配置,请报上级部门批准,同时将修改的内容作书面记录。
· 建议用户使用自己的证书、密钥,替换H3C提供的默认证书、密钥。
· 为了提高系统安全性与防止证书过期,建议用户定期更新证书。
· 建议用户定期更新密钥。建议每隔6个月更新一次密钥。
建议客户定期对系统进行安全评估,特别是在进行系统重大升级、网络搬迁、系统扩容等网络变更较大的情况下。
建议客户找具有安全评估资质的专业机构对系统进行安全评估,评估时请与技术支持工程师联系。
出于安全防护的需要,请在如下场景进行备份:
· 加固之前和之后进行系统数据的全量备份。
· 在进行日常安全配置维护、故障处理之前和之后进行备份。
· 安装补丁、升级时备份,请参见对应的指导书。
漏洞扫描通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。
客户需要建立应对安全事故的应急响应处理机制,以保证出现安全事故后,可以尽快恢复生产和解决问题,将损失降至最低。
· 扫描频率
建议客户使用NMAP工具扫描系统,参考对应版本的版本说明书中“CAS系统必要的端口表”,检查系统是否开放了不必要的或可疑的端口,建议在如下阶段进行扫描:
¡ 周期性扫描,例如,按季度进行漏洞扫描。
¡ 在系统安装或者升级完成后进行漏洞扫描。
¡ 在发布重大漏洞公告时,需要对系统进行扫描确认是否存在重大漏洞。
¡ 在补丁发布或者升级完成后进行漏洞扫描。
· 扫描执行时间
对于扫描的具体执行时间,建议在业务相对空闲时进行,最大程度地减小对业务的影响。例如在凌晨3:00开始进行扫描。
· 扫描后的处理
在漏洞扫描发现异常时,根据扫描报告进行相应处理,例如删除异常帐户。
扫描发现高危安全漏洞后,建议咨询技术支持工程师。
在网络连接发生变更时,建议用户进行如下操作:
· 更新组网图。
· 刷新“CAS系统必要的端口表”。
· 更新防火墙配置。
· 更新交换、路由设置的配置。
· 建议客户在网络连接变动较大时,对网络拓扑进行分析。
可以通过检查VLAN/IP的方式对网络进行日常安全检查。
VLAN(Virtual Local Area Network)将一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接通信,而VLAN之间不能直接互通,从而将广播报文限制在一个VLAN内。由于VLAN间不能直接互访,因此提高了网络安全性。
检查VLAN配置信息及相关IP地址、处理异常能保障网络的安全性。请检查VLAN配置信息以及相关IP地址是否有异常,如发现异常需要及时处理(相关操作方法请查阅对应交换机操作手册)。
当网络中需要跨越防火墙设备时,建议按IP地址放行流量。如果需要按IP地址+端口放行流量,则请参考对应版本的版本说明书中“CAS系统必要的端口表”,避免屏蔽掉正在使用的端口。
如果需要安装补丁,请与技术支持工程师联系,切勿自行升级。
请您建立补丁管理的制度,设置相关人员,检视产品补丁,以及操作系统、数据库、中间件原厂发布的补丁。
· 可自定义密码的复杂度策略以及自定义密码更换周期。
· 提供基于时间段、基于IP地址的访问控制策略,限制操作员是否可以登录CVM管理平台。
· 提供登录失败处理机制(尝试次数和惩罚阈值),以及会话超时连接断开重新鉴别机制。
· 可开启强制使用HTTPS模式,只允许通过HTTPS加密方式访问CVM管理平台。
用户需要采用增强的安全方式访问CVM管理平台。
· 设置密码策略,密码的最小长度、复杂性要求及有效期,具体操作步骤请参见密码策略。
· 设置访问策略,配置IP地址黑名单限制操作员是否有登录CVM管理平台的权限,具体操作步骤请参见访问策略。
· 配置相同管理账号同时在线个数限制,管理平台并发连接数限制,具体操作步骤请参见登录处理机制。
· 通过HTTPS协议访问CVM管理平台,具体操作步骤请参见开启HTTPS访问。
单击云业务页签中的[云安全/密码策略]菜单项,进入密码策略页面。配置密码最小长度并选择密码复杂性要求,输入密码有效期。
图3-1 密码策略配置
当密码过期后再次登录CVM管理平台,系统将自动提示密码过期需修改密码,修改密码时必须遵守密码策略要求。
(1) 单击云业务页签中的[云安全/访问策略]菜单项,进入访问策略列表页面。单击<增加访问策略>按钮,弹出增加访问策略对话框。配置策略名称、描述,并选择默认访问类型和是否启用访问时间控制。
图3-2 增加访问策略
若操作员登录系统未匹配上访问策略规则时,则使用默认访问类型对其进行处理(包括:允许、拒绝,默认值为允许)。
(2) 单击<增加规则>按钮,弹出增加规则对话框。输入起始IP、结束IP,并选择访问类型。单击<确定>按钮完成增加规则。如图3-3配置规则为不允许10.0.0.0/24网段的用户访问CVM管理平台。
默认访问类型和规则中的访问类型不能全部一致。
单击系统页签中[参数配置]菜单项,进入参数配置页面。选择“系统参数”页签,进入系统参数配置页面。配置操作员闲置时长、登录尝试最大次数、允许登录失败次数,最大在线操作员数。
图3-4 配置登录处理机制
· 操作员闲置时长:当前Web界面的闲置超时时间,默认为10分钟。当登录后的操作员闲置时间超过操作员闲置时长时,系统自动注销该操作员。
· 登录失败锁定时长:当操作员连续登录失败的次数达到登录尝试最大次数时,系统暂时锁定该操作员所在客户端IP地址的时长。默认为1分钟。锁定时长内,任何操作员都不能通过该IP地址再次访问系统。
· 登录尝试最大次数:系统允许操作员连续登录失败的次数,默认为3次。当连续登录失败的次数达到设定值时,系统暂时锁定该操作员所在客户端IP地址。锁定时长由登录失败锁定时长参数设定。
· 最大在线操作员数:系统允许同时在线的操作员的最大个数。默认为0,表示不作限制。
(1) 单击系统页签中[参数配置]菜单项,进入参数配置页面。选择“系统参数”页签,进入系统参数配置页面。配置强制使用HTTPS为启用。
图3-5 启用强制使用HTTPS模式
· CAS E0730及之后版本支持该功能。
· 强制HTTPS模式启用后只能通过HTTPS方式访问CVM管理平台。
· 修改强制HTTPS模式将重启Tomcat服务器,请确保管理平台没有正在执行的任务,同时不要对管理平台进行其它操作。
· 切换登录模式,不会对运行中的虚拟机造成影响。
(2) 启用强制使用HTTPS模式后,系统将自动跳转到以https://X.X.X.X:8443为登录地址的CAS登陆页面(其中x.x.x.x为CAS的登陆IP地址)。
· ACL是一种基于包过滤的安全控制技术,通过ACL策略可以识别报文类别、控制网络访问。并根据预先设定的网络策略对流量进行处理,包括限制网络流量、设置网络优先级,从而提高网络业务性能和安全性。
· 可通过ACL来控制虚拟机之间的东西向网络访问,进而保障部署在虚拟机上的业务资源的安全性。
· 支持二层、三层、四层和基于时间段的ACL策略,适应多种不同的业务场景需求。
· 可保证虚拟机迁移时,访问控制策略随虚拟机一并迁移。并且不同的虚拟机可设置不同的访问策略。
企业数据中心根据具体业务类别将集群划分为研发集群、市场集群和财务集群,由于研发集群中的所有虚拟机涉及到企业核心代码,为防止技术泄密,需通过ACL策略来控制各集群中的虚拟机安全互访。具体如下:
· 研发集群与市场集群中的虚拟机不能互访。
· 研发集群与财务集群中的虚拟机不能互访。
· 市场集群与财务集群中的虚拟机可以互访。
图3-6 数据访问控制ACL使用场景
实际生产环境中根据数据中心的规模可能会根据集群、主机或者主机中的虚拟机来单独划分业务。
(1) 单击云业务页签中[云安全/ACL策略]菜单项,进入ACL策略列表页面。单击<增加>按钮,弹出增加ACL策略对话框。配置ACL名称、描述、入方向/出方向默认动作为允许、ACL类型为IP,根据需求可配置ACL生效时间段。
图3-7 增加研发集群ACL策略
· 入方向默认动作:若通过虚拟交换机入方向的报文未匹配上对应的规则,则使用入方向默认动作对报文进行处理(包括:允许、拒绝,默认值为允许)。
· 出方向默认动作:若通过虚拟交换机出方向的报文未匹配上对应的规则,则使用出方向默认动作对报文进行处理(包括:允许、拒绝,默认值为允许)。
· ACL类型:创建的ACL规则类型(包括:IP,二层)。
(2) 单击<增加规则>按钮,弹出增加规则对话框。配置研发集群与市场集群、研发集群与财务集群的ACL访问规则。
图3-8 增加规则
图3-9 配置ACL规则完成
(1) 单击云资源页签,进入云资源概要信息页面。选择“网络策略模板”页签,进入网络策略模板列表页面。单击<增加网络策略模板>按钮,弹出增加网络策略模板配置对话框。输入名称和描述。
图3-10 增加网络策略模板
(2) 单击ACL策略输入框
图标,选择创建ACL策略中创建的ACL策略。根据需求配置VLAN ID、是否启用网络限速和修改网络优先级。
图3-11 选择ACL策略
(1) 单击云资源页签中的[主机池/集群/主机/<虚拟机>]菜单项,进入研发集群虚拟机的概要页面。单击<修改>按钮,弹出修改虚拟机对话框,单击[网络]选项,进入修改虚拟机网络页面。
(2) 单击网络策略模板输入框
图标,弹出选择网络策略模板对话框。在网络策略模板列表中选择创建网络策略模板中创建的网络策略模板,单击<确定>按钮进入修改虚拟机网络页面,单击<应用>按钮完成操作。
图3-12 选择网络策略模板
重复上述步骤,可为不同的虚拟机设置不同的访问策略。
· 开启“修改VNC控制台密码”后,可为管理平台中新建的虚拟机统一设置VNC控制台密码,减少漏洞。
· 可为新建虚拟机生成随机的VNC控制台密码,保障安全性。
需要为虚拟机VNC控制台设置登录密码时,可使用该功能,若想单独修改某虚拟机的VNC控制台密码,可以在<修改虚拟机>界面进行修改。
(1) 选择顶部“系统”页签,单击左侧导航树[参数配置]菜单项,进入参数配置页面。
(2) 选择“系统参数”页签,进入系统参数配置页面。
(3) 在系统基本参数处,单击<修改>按钮。开启“修改VNC控制台密码”选项,并设置VNC控制台密码。
也可以开启VNC随机密码选项,生成随机密码。
(4) 单击<保存>按钮,完成操作。
· 操作员分组、分权、分级管理,不同分组、级别的用户具有不同的管理权限和访问权限。
· 操作员登录CVM时须通过身份认证,并且只能使用与自身访问权限对应的功能。
根据数据中心云业务划分需求,将管理员划分为多个分组进行管理,不同的分组可以定义不同的管理权限和访问权限。
· 系统管理员组:也可以称之为超级管理员,能够创建和管理数据中心内的所有云资源。
· 自定义管理员组:用户可以根据云业务或部门使用者划分具有不同的管理权限的分组,分组中的用户登录CVM后,仅有该分级授权的访问权限和管理权限。
· 安全审计员组:仅具有访问查看的权限,不具有管理权限。
图3-13 管理员分组管理
图3-14 管理员分组/子分组管理
(1) 单击系统页签中[操作员管理/操作员分组]菜单项,进入操作员分组列表页面。单击<增加分组>按钮,弹出增加分组对话框。输入分组名和分组描述信息,根据需要选择是否允许管理子分组。
图3-15 增加分组
(2) 单击<下一步>按钮切换到权限设置页面,设置分组的操作权限。
图3-16 设置分组操作权限
(3) 如需增加子分组,在操作员分组列表页中单击操作员分组对应的操作列的
图标,弹出增加子分组对话框,重复(1)和(2)操作步骤配置子分组相关信息。
(4) 单击[系统]页签中[操作员管理/操作员]菜单项,进入操作员列表页面。单击<增加>按钮,弹出增加操作员对话框。配置操作员相关信息。
图3-17 增加操作员
选择资源授权类型时,若选择“所有资源”,则在权限设置页面选择操作员的操作权限。若选择“集群”、“主机”或“虚拟机”,则在权限设置页面选择操作员即将拥有管理权限的集群、主机或虚拟机,操作权限由操作员所在分组决定。
(5) 单击<下一步>按钮进入权限设置页面,为操作员设置相应的权限。
图3-18 设置操作员权限
操作员的实际权限为所属操作员分组权限与操作员特有权限的并集。
启用双因子登录后,需同时通过USB key及用户名、密码认证后才能正确登录系统;通过证书认证的方式登录系统,确保登录更加安全。
保密业务应用场景下,用户需使用用户名、密码+ USB key进行双重身份认证登录CVM管理平台。
(1) 提前准备好由USB key厂家提供的用于进行双因子认证的根证书文件。
· 需确保根证书正确,并且USB key能够正确登录到系统中,否则启用双因子登录后将导致无法登录系统。
· 系统允许上传的根证书文件最大为5MB。
(2) 单击云业务页签中的[云安全/双因子认证]菜单项,进入证书配置页面。选择启用双因子登录,单击<浏览>按钮,导入根证书文件。根据需求配置是否启用CRL定时更新。
图3-19 配置双因子登录认证
在H3C CAS CVM管理平台上进行双因子认证配置后,还需在登录CVM管理平台的主机上完成证书管理工具和浏览器的相关配置,具体请参见USB key厂家提供的操作指导书。
· 防止跨站脚本攻击:跨站点脚本攻击是指攻击者利用不安全的网站作为平台,对访问本网站的用户进行攻击。
· 防止SQL注入式攻击:SQL注入式攻击是指攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。
· 防止跨站请求伪造:跨站请求伪造是指欺骗一个已登录的被攻击者装载一个包含恶意请求的页面,该请求利用浏览器自动发送鉴别凭证的功能,继承了被攻击者的身份和特权,执行一个对攻击者有益的恶意操作,如更改被攻击者的口令、地址等个人信息。
· 隐藏敏感信息:隐藏敏感信息防止攻击者获取此类信息攻击系统。
· 限制上传和下载文件:限制用户随意上传和下载文件,防止高安全文件泄漏,以及非安全文件被上传。
平台需要运行在安全性要求场合高的场景。
· 开启虚拟机防病毒保护,详见《H3C CAS-虚拟机防病毒配置指导》。
开启CVK主机防病毒保护。具体可参考亚信的《Deep Security 10.5 For H3C CAS操作指导书》。
· 界面字符数据校验。界面输入对特殊字符都存在校验,防止特殊字符的输入造成的对系统进行破坏性攻击。例如:输入集群名称时,只允许输入符合要求的字符。
· API接口调用校验。例如:上传自定义监控图标时,只允许上传图片格式的文件类型。
· 支持针对HTTP、HTTPS、DNS、SSH、RDP、MySQL等基于状态和连接的常用应用协议进行安全规则配置。
· 支持双向流量、IPv4/IPv6流量,黑白名单的细粒度访问控制。
· 虚拟防火墙策略全局生效,虚拟机迁移时,安全规则跟随迁移。
· 虚拟机发生迁移后,IPv4和IPv6流表同步跟随,实现网络的随需而动。
· 虚拟防火墙提供虚拟机网络安全隔离手段,用于在云中划分安全域。
图4-1 分布式双栈虚拟防火墙
企业数据中心中部署有多种不同类型的业务,包括WEB、邮件、生产和财务等。其中财务属于关键业务独立部署于单台虚拟机中,如:该虚拟机仅开放TCP 666端口提供访问,为有效防护控制数据中心东西向流量的访问,避免同一主机上的虚拟机之间的相互攻击和信息窃取。通过配置虚拟防火墙设置财务业务虚拟机的网络访问控制以保障虚拟机业务安全运行。
虚拟防火墙与ACL策略仅支持配置其中一个应用于虚拟机,不支持同时配置。
图4-2 虚拟防火墙应用场景
(1) 单击云业务页签中的[云安全/虚拟防火墙]菜单项,进入虚拟防火墙列表页面。单击<增加>按钮,弹出增加虚拟防火墙对话框。输入虚拟防火墙名称和描述,选择防火墙类型为白名单。
图4-3 增加虚拟防火墙
· 防火墙类型包括白名单和黑名单两种。与白名单防火墙关联的规则匹配的报文允许通过,反之丢弃;与黑名单防火墙关联的规则匹配的报文会被丢弃,反之允许通过。
· 选择白名单防火墙时,默认入口方向的规则为空,出口方向已关联两条全匹配规则(系统未启用“虚拟机IPv6地址管理”功能时,默认出口方向只关联一条IPv4的全匹配规则)。默认远端站点向虚拟机发起的入方向连接都会被拒绝,但不会限制虚拟机的出方向连接。对于入方向需要放行的连接,可增加对应的入口方向规则。当需要限制虚拟机的出方向连接时,需要先删除防火墙默认关联的出口方向的全匹配规则,再根据实际业务情况增加相应的出口方向规则。
· 选择黑名单防火墙时,默认关联的入口方向、出口方向规则都为空。当虚拟机配置此防火墙后,默认放行虚拟机的所有入方向、出方向连接。当需要限制虚拟机的入方向或出方向连接时,可根据实际情况增加相应的入口或出口方向规则,与规则匹配的连接报文会被丢弃。
(2) 单击<增加规则>按钮,弹出增加规则对话框。选择规则类型为定制TCP规则、方向为入口,输入起始端口号666、结束端口号667、远端IP地址和子网掩码为0.0.0.0表示不限制远端地址。
图4-4 增加虚拟防火墙规则
(3) 单击<确定>按钮完成操作,返回增加虚拟防火墙对话框,确认规则列表中的规则是否正确,单击<确定>按钮完成操作。
图4-5 增加虚拟防火墙规则完成
(1) 单击云资源页签中的[主机池/集群/主机/<虚拟机VM1>]菜单项,进入虚拟机VM1的概要页面。单击<修改>按钮,弹出修改虚拟机对话框,单击[网络]选项,进入修改虚拟机网络页面。
图4-6 修改虚拟机网络选项
(2) 单击虚拟防火墙输入框
图标,弹出选择虚拟防火墙对话框。在虚拟防火墙列表中选择创建虚拟防火墙中创建的虚拟防火墙,单击<确定>按钮返回修改虚拟机网络页面,单击<应用>按钮完成操作。
图4-7 选择虚拟防火墙
· 亚信无代理安全解决方案,与H3C CAS虚拟化平台系统集成,即可对H3C CAS虚拟化平台的虚拟机提供安全防护,又支持对H3C CAS系统提供安全防护。相比代理架构,扫描时间缩短75%,资源占用降低70%。
· 支持防病毒、IPS/IDS、防恶意软件、虚拟补丁、防火墙等全面的业务安全防护。
· 支持双向状态防火墙,通过细粒度过滤以及适用于所有基于 IP 协议和帧类型的位置感知功能,缩小了物理、云和虚拟服务器的受攻击范围,通过亚信安全DSM管理平台集中管理服务器防火墙策略,包括适用于常规服务器类型的模板。
· 优化安全操作,避免出现全系统扫描和特征码更新引起的防病毒风暴,通过隔离已阻止的恶意软件防止虚拟环境中的复杂攻击干扰安全平台模块,能有效防止防病毒风暴。
· 开启虚拟机防病毒功能后,可对虚拟机的安全状况进行实时监控,检测入侵行为,并在发生严重入侵事件时提供报警。
图4-8 亚信安全无代理方案架构
使用网络微隔离,可检测虚拟机到宿主机,虚拟机到虚拟机之间的异常流量,并进行告警。
山石云·格是创新的分布式网络侧微隔离产品,为用户带来安全同时也带来了业务持续性、全自动化部署、拓扑零打扰和单点登录等优势,降低了运维成本。通过引流技术,做到云计算环境中虚拟机、网络资产可视,通信、应用和网络威胁可视,能够对云计算数据中心提供最小粒度的安全防护。
E0750及之后版本支持该功能。
企业数据中心要求提供一种全方位的安全防护平台,以提升虚拟化和云项目投资收益率的同时简化安全操作。安全防护平台的保护范围应该覆盖到虚拟化平台、虚拟机以及应用程序和数据的安全。安全防护平台应该提供无代理安全防护,提供包括防恶意软件、IDS/IPS、虚拟补丁、防火墙在内的安全模块,从而构建一个全面、高效、自适应的虚拟化安全平台,以防止关键业务中断和数据泄露,避免造成巨大损失。
图4-10 无代理安全应用场景
微隔离技术(Micro-Segmentation)是为应对虚拟化隔离技术而提出的。微隔离概念和技术的核心能力在东西向流量的隔离防护上。微隔离顾名思义是粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对东西向流量隔离防护的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。
配置虚拟机防病毒的方法请参考官方网站中的《H3C CAS-虚拟机防病毒配置指导-E0730及之后版本》手册。
配置网络微隔离的方法请参考官方网站中的《H3C CAS 网络微隔离配置指导》手册。
审计日志详细记录了平台所有操作员的操作记录,并按照操作类型将所有操作记录分为行为审计,物理资源审计,虚拟资源审计三类,为操作员提供了一种直接的审计手段。
记录并审计平台的所有操作日志,可以快速定位系统是否遭受恶意的操作和攻击。
单击监控告警页签中[审计日志/行为审计]菜单项,进入行为审计页面。行为审计详细记录了所有操作员对CVM所做的包括操作员动作,系统配置和告警管理动作的所有操作。
单击监控告警页签中[审计日志/物理资源审计]菜单项,进入物理资源审计页面。物理资源审计详细记录了所有操作员对CVM所做的包括主机池动作,主机动作和数据中心动作等所有操作。
单击监控告警页签中[审计日志/虚拟资源审计]菜单项,进入虚拟资源审计页面。虚拟资源审计详细记录了所有操作员对CVM所做的包括虚拟机动作,模板动作和云彩红动作等所有操作。
CAS虚拟化技术能实现同一物理机上不同虚拟机之间的资源隔离,避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时,仅能访问属于自己的虚拟机的资源(如硬件、软件和数据),不能访问其他虚拟机的资源,保证虚拟机隔离安全。
CAS底层虚拟化技术统一管理物理资源,保证每个虚拟机都能获得相对独立的物理资源;并能屏蔽虚拟资源故障,某个虚拟机崩溃后不影响整个虚拟化层及其他虚拟机。
利用Intel VT-x技术和AMD-V技术的支持,KVM中的每个虚拟机可具有多个虚拟处理器(vCPU),每个vCPU对应一个QEMU线程。vCPU的创建、初始化、运行以及退出处理都在QEMU线程上下文中进行。另外,KVM使虚拟机操作系统运行在Guest模式,有效地防止了虚拟机Guest OS直接执行所有特权指令,保证了虚拟机线程之间的有效隔离。
虚拟机通过内存虚拟化来实现不同虚拟机之间的内存隔离。内存虚拟化技术在客户机已有地址映射(虚拟地址和机器地址)的基础上,引入一层新的地址——“物理地址”。在虚拟化场景下,客户机OS将“虚拟地址”映射为“物理地址”;虚拟化层技术负责将客户机的“物理地址”映射成“机器地址”,再交由物理处理器来执行。
虚拟化层技术提供虚拟化网络功能,每个客户虚拟机都有一个或者多个在逻辑上附属于虚拟网络交换机的网络接口VIF(Virtual Interface)。从一个虚拟机上发出的数据包,先到达虚拟网络交换机,由虚拟网络交换机来实现数据过滤和完整性检查,并插入和删除规则;经过认证后携带许可证,由虚拟网络交换机转发给目的虚拟机;目的虚拟机检查许可证,以决定是否接收数据包。
虚拟机所有的I/O操作都会由虚拟化层截获处理,虚拟化层可保证虚拟机只能访问分配给该虚拟机的物理磁盘,从而实现不同虚拟机间的硬盘隔离。
· 不同的操作员具有不同的分组以及不同的权限,不同分组、级别的用户具有不同的管理权限和访问权限。
· 每个用户登录具有密码包含功能,输入三次错误密码后帐户锁定5分钟。当登录的用户闲置时间超过设置的闲置时长后,用户退出自动登录并回到登录界面。
不同的用户登录平台。
无。
· 通过对虚拟机模板文件的CRC完整性校验,防止虚拟机模板在拷贝或传输过程中的篡改。
· 通过对虚拟机模板的来源和制作者进行记录,避免大量虚拟机模板带来的管理混乱问题。
对虚拟机模板文件进行完整性校验和来源追溯,防止虚拟机模板被篡改。
单击云资源页签中[虚拟机模板]菜单项,进入虚拟机模板列表页面。选择待查看的模板,点击<完整性验证和来源追溯>,弹出完整性验证和来源追溯页面。
图6-1 虚拟机模板完整性校验和来源追溯
· 由一个或多个集群组成安全隔离区域,安全区域内的虚拟机的密级级别为非内部公开,且只能在虚拟机所在集群进行迁移或克隆,禁止克隆或转换为模板。
· 非安全区域内的虚拟机的密级级别为内部公开,且只能在非安全区域内进行迁移或克隆。
· 根据信息安全具体要求,可设置安全集群范围和虚拟机密级级别,对涉密信息数据流向做严格控制,如禁止对涉密虚拟机做克隆、克隆/转换为模板、卸载磁盘等涉密操作。
企业涉密信息数据需提供一套完整的数据层隔离保护措施,涉及用户核心机密数据业务在集群(安全区域)中运行,非核心机密业务或提供外部访问的业务在集群(非安全区域)中运行。从而有效降低涉密数据泄露的风险,防止用户核心机密数据被窃取。
图6-2 涉密信息系统分级保护使用场景
单击系统页签中[参数配置]菜单项,进入参数配置页面。选择“系统参数”页签,进入系统参数配置页面。配置保密模式为启用。
图6-3 开启保密模式
安全区域功能默认未启用,需在参数配置页面中启用保密模式后,才可以使用云安全的安全区域、保密策略功能。
单击云业务页签中[云安全/安全区域]菜单项,进入安全区域页面。勾选云资源导航树中待添加到安全区域的集群节点。
图6-4 配置安全区域
· 勾选为安全区域的集群中的虚拟机只能在安全区域中进行迁移或克隆,禁止克隆或转换为模板。
· 非安全区域内的虚拟机只能在非安全区域内迁移或克隆。
· 配置安全区域后,修改安全区域内虚拟机密级级别、增加虚拟机磁盘、删除虚拟机磁盘、删除异常主机等都需通过保密业务电子流审批通过后配置才生效。
(1) 单击云业务页签中[云安全/保密策略]菜单项,进入保密策略页面。勾选保密范围多选框和可信区域中的主机节点。此处保密范围勾选为绝密,即绝密级别的虚拟机不允许克隆、卸载硬盘、删除时强制对磁盘文件进行清零。
图6-5 配置保密策略
· 指定密级级别的虚拟机,不允许克隆、卸载硬盘、删除时强制对磁盘文件进行清零。
· 可信区域用于指定受策略控制的密级级别的虚拟机允许迁移的主机范围,即受控虚拟机只能迁移到可信区域内的主机,如果不指定可信区域,则不允许迁移。
(1) 单击云资源页签中的[主机池/集群/主机/<虚拟机>]菜单项,进入虚拟机概要信息页面。单击<修改>按钮,选择[高级设置]菜单项,切换到虚拟机高级设置页面。修改待保护的虚拟机密级级别为配置保密策略中所勾选的密级级别。
图6-6 修改虚拟机密级级别
也可以通过批量修改虚拟机修改密级级别,或者在创建虚拟机时设置虚拟机密级级别。
(1) 安全区域中的虚拟机只能在安全区域内迁移。
图6-7 安全区域内迁移
(2) 保密策略中指定密级级别的虚拟机禁止克隆、禁止克隆或转换为模板。
图6-8 禁止克隆、禁止克隆或转换为模板
虚拟机迁移时,以“更改主机”和“更改主机和数据存储”方式迁移运行或暂停状态的虚拟机,可对传输的数据进行加密,以保证虚拟机数据安全。
重要虚拟机进行迁移时,可设置迁移数据加密。需要注意的是,使用加密功能后,虚拟机迁移速度会变慢。
在迁移虚拟机时,开启加密选项。
图6-9 加密迁移虚拟机
CAS开启保密模式后,可设置虚拟机加密功能,并将其磁盘设置为保密状态。E0750及之后版本支持该功能。
将重要虚拟机及其磁盘设置为加密状态,加密的虚拟机及加密磁盘,由于其软加密算法,会导致虚拟机及磁盘性能下降。
· 系统开启保密模式之后才支持创建加密虚拟机,且集群加入了安全区域之后才支持设置集群内的虚拟机保密级别为绝密、机密和秘密,未加入安全区域的集群中的虚拟机密级只能设置为内部公开。
· 虚拟机加密开启之后,磁盘加密默认开启,不允许修改。
· 密级为绝密、机密和秘密的虚拟机磁盘秘钥和虚拟机秘钥必须保持一致,卸载磁盘时需要删除并格式化,删除虚拟机时需要彻底删除并格式化,并且不允许挂载云硬盘和加密云硬盘。
· 密级为内部公开的加密虚拟机磁盘秘钥和虚拟机秘钥不必保持一致,可以卸载和挂载已有磁盘。
· 虚拟机的密级必须和所在主机密级一致。
· 不同密级的虚拟机需要保证主机隔离和存储隔离。
(1) 在参数配置页面,开启保密模式。
图6-10 开启保密模式
(2) 保存设置并重新登录CVM。
(3) 在安全区域页面,将集群配置为安全区域。
图6-11 开启安全区域
(4) 新增虚拟机,开启虚拟机加密并设置加密方式,即可将虚拟机及其磁盘设置为加密状态。
图6-12 设置磁盘加密
确保管理平台中无多余的操作员和操作员分组,从用户管理角度保障安全性。
当操作员/操作员分组过期无用,或误创建时,可对其进行清理。
(1) 单击系统页签中[操作员管理/操作员]菜单项,进入操作员页面。选中无用的操作员,单击<删除>按钮,删除所选操作员。
(2) 单击系统页签中[操作员管理/操作员分组]菜单项,进入操作员分组页面。选中无用的操作员分组,确保该分组中无操作员,单击<删除>按钮,删除所选操作员分组。
确保虚拟机镜像文件数据能够在删除虚拟机的同时,在物理存储设备级别上被有效清除。
当虚拟机解除存储资源的使用后,为确保属于该虚拟机的所有数据在物理存储设备上被有效清除。
(1) 单击云资源页签中 [主机池/集群/主机/<虚拟机>]菜单项,进入虚拟机概要信息页面。单击<删除>按钮,弹出删除虚拟机对话框。
(2) 选择删除虚拟机的方式为低格并删除虚拟机的数据存储文件。单击<确定>按钮,弹出删除确认对话框。单击<确定>按钮,再次弹出删除确认对话框。在删除确认对话框的输入框中,根据提示输入“DELETE”,单击<确定>按钮完成操作。
图7-1 删除虚拟机
删除虚拟机后,残留的内存数据很可能带来敏感信息的泄漏,如果不采取加固的安全措施,服务器虚拟化管理平台很难保证内存与存储资源重新分配之后,敏感信息无残留。
CAS虚拟化内核系统会自动对虚拟机曾经使用的虚拟机内存映射的机器内存进行物理位清零操作,保证物理内存中无残留。当内存资源被再次分配给其它虚拟机时,即使使用专业的内存数据恢复工具,也无法恢复获取被删除虚拟机的内存敏感数据。
当虚拟机从平台上删除之后,确保属于该虚拟机的所有内存数据在物理设备上被有效清除。
在平台上通过管理台界面或者API接口删除虚拟机。
CAS CVM管理平台可对管理平台内的物理资源及虚拟机进行集中管控。其层级分为主机池-集群-主机-虚拟机。并可以针对集群设置动态资源调度。
图8-1 CVM集中管理以及设置动态资源调度
管理平台的监控告警功能包括告警管理、监控报表管理、资源使用统计、自定义监控和审计日志管理。
· 告警管理功能用于统计和查看操作员需要关注的告警信息。
· 监控报表记录了主机或虚拟机在指定时间段内的CPU、内存等利用率信息。
· 资源使用统计记录了集群、主机、虚拟机、IP资源、VLAN资源以及存储资源的使用情况。
· 自定义监控提供了操作员自定义监控面板的功能。
· 审计日志记录了所有操作员对CVM所做的操作,审计日志记录了所有操作员对VMS所做的操作,并按照操作类型将所有操作记录分为行为审计,物理资源审计,虚拟资源审计三类,为操作员提供了一种直接的审计手段。
图8-2 管理平台告警监控
为集群设置业务网虚拟交换机,将其应用于业务虚拟机,而管理平台网络使用vswitch0(管理网络虚拟交换机),已达到管理网络与业务网络隔离的目的。
图8-3 设置业务网络虚拟交换机
双机热备功能用于对管理节点提供容灾保护,当主管理节点发生故障时,通过主备管理节点的切换,保证业务不中断或中断时间很短。双机热备基于数据同步复制的方式实现。数据同步复制是指:主管理节点通过管理网实时将数据库文件等数据同步给备管理节点。同时主管理节点上允许创建一个本地同步分区,用于向备管理节点同步除了数据库文件以外的其余数据。
双机热备是管理平台数据的灾备方案,用于当主管理服务器故障时保障业务正常运行的场景。
系统支持两种双机热备部署场景:
· 融合部署场景,即主备管理平台均作为业务(计算、网络、存储)集群内节点的部署场景,如图9-1所示。
· 分离部署场景,即主备管理平台均不作为业务(计算、网络、存储)集群内节点的部署场景,如图9-2所示。
搭建双机热备的操作步骤及相关注意事项,请参考官方网站中《H3C CAS-CVM双机热备配置指导》。
平台支持虚拟机的备份和恢复,可将虚拟机的数据备份到本地或者远端存储。通过平台的虚拟机还原或者导入功能,可以将备份的数据还原至平台中。
在需要对虚拟机数据进行备份的场合。
详见请参见官方网站中《H3C CAS虚拟机备份恢复配置指导》。
系统支持管理平台数据的备份和恢复,可将管理平台的数据备份到本地或者远端存储。当管理平台出现故障并有数据丢失或者无法恢复时,可以通过备份的数据进行恢复。
在需要对管理平台的数据进行备份的场合。
单击云业务页签中[云安全/管理平台备份配置]菜单项,进入管理平台备份配置页面。可以对管理平台数据进行备份或者恢复。详细的操作方法请参考联机帮助手册的相应章节。
支持
售前咨询
售后咨询
人工在线咨询
