责编 | 郑烨
2014年前后各企业积极推进信息系统上云,单独的物理机房变少,导致原本网络工程师的岗位变得越来越少。物理机房更加集中化,网络设备都虚拟化,在云/网/端建设完成后,网络工程师变成开通网络策略的操作型岗位。
2024年企业都在推广数字化转型,核心是把散落的系统进行整合,通过统一的数据、统一的认证串联起各个系统。企业搭建自己的私有云,作为企业生产环境或测试环境,承载信息系统的运行。此外,国家全面推进XC(信创)改造、大型园区建设内部专有通信网等因素,让网络工程师或者网络架构师重新焕发新生。
私有云是数字化转型的底座和核心,开始建设前需要整体规划设计,需要考虑业务需求、资源匹配度(吞吐量、带宽、CPU、存储等),网络架构师在其中扮演了很重要的角色,因为私有云的架构和云网络设计好后,以后整体架构变动较少。
公有云需要考虑云服务商和租户的数据安全责任边界,私有云主要服务于企业内部,数据安全责任边界不会严格区分,但不同业务系统的数据隔离,私有云技术支持方(IT)在未授权情况访问业务数据的情形,需要特别注意。
此外,从安全合规层面,更多考虑的是私有云整体的安全管控和安全配置,包括如下四方面:
私有云物理设施安全
作为云基础设施的底座,云本身的稳定运行非常重要,从物理层面看机房环境、门禁、电源(双电、UPS等)、网络设备、物理服务器等也非常关键,一定要考虑设计冗余。
私有云架构及组件安全
私有云本身的架构、软件版本、第三方组件的安全也是核心内容。需要定期对私有云服务器、应用软件、操作系统等进行安全扫描,及时修复高危漏洞。通常云后台管理平台的各类配置都存储在私有云配置数据库中, 特别注意做好私有云管理配置数据库的备份,在实际工作中经常容易忽视的地方。
云安全功能的配置
私有云平台作为综合的应用平台,自身具备的内生安全功能,在部署实施阶段,需要罗列成清单,这些安全功能的启用需要和客户进行定制确认。比如数据的一主三副本的机制,是否启用快照?虚拟机的备份策略、备份周期、保留时间等备份机制,这些需要找私有云服务商梳理出来,逐项核对确认。
运维手册及应急处置预案
私有云的任何异常都可能导致云上承载业务系统运行异常,因此它的高可用异常重要。通过建立和完善私有云的运维操作手册,建立监控预警机制对告警事件进行预处理,避免进一步造成严重问题。
云管平台主要用于后台的各类云资源发放、应用配置、账号配置、安全配置等,是私有云的后台管理系统,属于最核心的安全管控环节。在开展安全检查时,对云管平台的安全配置,作为重点检查对象。
主要包括:计算安全、网络安全、权限管理安全,注意事项如下:
(1)计算安全
1.云管平台Web地址启用HTTPS。
2.云管平台内登入云主机,采用用户和密码或SSH密钥方式登入。
3.云主机资源允许情况下,启用高可用模式,类似NeverStop云主机高可用机制,通过监测发现主机异常后,自动重启恢复。
4.关键节点启用负载均衡配置,消除单点故障。
5.配置镜像与快照。镜像主要存放于镜像仓库,镜像本身需要支持加密算法保护完整性;快照是对系统某一时间点的磁盘数据状态,可以手动快照或者自动快照,用于对生产数据快速还原,速度比从备份中获取更快。通常重要系统变更之前,可以联系云管平台进行快照,方便快速恢复数据。
6.私有云涉及的密码信息应加密存放。包括系统密码、数据库密码、应用软件的业务账号密码等。
7.资源的删除保护。为了避免资源误删除,需要配置策略,常见包括立刻删除、延时删除、永不删除。包括云主机、云盘、镜像、裸金属主机等资源的删除保护。
8.云平台本身登入设置黑白名单,启用双因子、会话超时、登入失败锁定账户、启用密码强度等基础安全功能。
(2)网络安全
1. 划分安全组,保护VPC内部东西向通信流量安全。
2. 启用VPC防火墙,偏向于南北向流量管控。
3. 启用Netflow网络流分析监控。
1.修改特权账号用户名,修改默认密码、设置密码复杂度。
2.规避特权账号,将超级管理员(Admin)权限分解,如赋予系统管理员、安全管理员和安全审计员,新创建具备一定权限的管理员账号。
3.系统管理员负责云平台资源管理、安全管理员负责云平台权限管理、安全审计员负责云平台审计管理,三者之间相互独立,相互制约。
想要有效落地信息系统的网络和数据安全工作,个人经验是在信息系统项目建设过程中,要求服务商准备安全实施方案。
方案中对私有云、安全产品、应用系统等具备的安全功能属性,整理成清单。在项目验收过程中核对所有的安全配置,从安全功能的正确、有效配置开始,能有效避免安全产品一大堆实际未发挥作用的问题。
下图中《私有云安全配置清单》是一个私有云项目中,针对某个私有云产品的安全属性功能进行整理,验收阶段参照逐项核对。
总项 | 分项 | 描述 |
分布式存储副本数 | 3副本存储池 | |
主存储、镜像存储分池存放 | 从提高利用率出发,建议创建1个存储池,同时作为主存储、镜像存储使用 | |
镜像统一使用采购版本(不检查) | ||
云管底层操作系统安全 | 建议第三方保障,现云管底层host基于麒麟操作系统 | |
小版本月度更新,及时修补产品、系统bug | ||
产品更新快(30分钟左右),更新不影响业务 | ||
云管底层网络安全 | Vlan隔离/第三方保障 | |
带外、管理、存储、业务网络(四个VLAN,业务区内不同业务系统内) | ||
使用网络安全组规则,限制TCP/UDP的连接(不检查) | ||
云管平台安全配置 | 云管平台账号安全 | 多个路径保障云平台账号安全 |
灾备管理 | 设置备份服务器,Raid的方式保障底层数据安全 | |
备份内容,云管数据库+业务系统数据库 | ||
资源删除策略 | 延迟删除策略:(直接删除、延迟删除) | |
镜像、云盘默认3天 | ||
实例默认7天等 | ||
全部改为14天延时删除 | ||
密码存放配置 | 加密存放密码,密文 | |
国密加密 | 支持功能,但不适用 | |
企业管理权限 | IAAS租户管理,根据项目添加不同的成员 | |
HTTPS加密登录UI | 支持HTTPS方式登录UI管理界面 | |
UI删除提醒 | 对重要资源删除,用户需确认 | |
云平台监控配置 | 时序化监控 | 资源负荷、容量变化监控 |
事件收集 | 收集云平台中发生的预定义事件 | |
报警功能 | 对时序化数据或事件进行报警 | |
审计功能 | 记录所有操作并提供搜索 | |
自定义功能 | 用户可自定义设置报警器和报警消息模板 | |
操作审计 | 操作日志保留期限改为180天 | |
云主机安全 | 防IP/MAC/ARP欺诈 | 云主机只能使用云管平台分配的IP地址 |
云主机密码复杂度安全 | 检测主机的密码强度,需安装cloud-init到镜像内 | |
云主机安全、合规基线等 | 镜像制作中完成 | |
云主机高可用配置 | 当云主机停机时,可触发云主机自动重启 | |
第三方组件 | 私有云升级 | 私有云的定期升级 |
私有云补丁安全 | 私有云第三方组件布丁升级 |
本文作者 Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。
