数据中心安全管理建设方案

数据中心建设1.1建设思路数据中心的安全体系建设并非安全产品的堆砌，它是一个根据用户具体业务环境、使用习惯、安全策略要求等多个方面构建的一套生态体系，涉及众多的安全技术，实施过程需要涉及大量的调研、咨询等工作，还会涉及到众多的安全厂家之间的协调、产品的选型，安全系统建成后怎么维持这个生态体系的平衡，是一个复杂的系统工程，一般建议分期投资建设，从技术到管理，逐步实现组织的战略目标。整体设计思路是将需要保护的核心业务主机包及数据库围起来，与其他网络区域进行逻辑隔离，封闭一切不应该暴漏的端口、IP，在不影响现有业务的情况下形成数据孤岛，设置固定的数据访问入口，对入口进行严格的访问控制及审计。由之前的被动安全变为主动防御，控制安全事故的发生，对接入系统的人员进行有效的认证、授权、审计，让敏感操作变得更加透明，有效防止安全事件的发生。在访问入口部署防火墙、账号生命周期管理系统、数据加密系统、令牌认证系统、审计系统等安全设施，对所有外界向核心区域主机发起的访问进行控制、授权、1审计，对流出核心区域的批量敏感数据进行加密处理，所有加密的数据将被有效的包围在安全域之内，并跟踪数据产生、扭转、销毁的整个生命周期，杜绝敏感数据外泄及滥用行为。为了保证XXX用户的业务连续性，各安全子系统都采用旁路的方式部署到网络当中，其中账号生命周期管理系统、审计系统、数据库都采用双机的模式，以提供自身的高可靠性；加密系统、特权账号生命周期管理系统、令牌认证系统都建议部署在VMware云计算平台上，利用VMware强大的服务器虚拟化能力为防泄密系统提供良好的可靠性与可扩展性保证。1.2建设需求XXX用户经过多年的信息化建设，各项业务都顺利的开展起来了，数据中心已经积累了很多宝贵的数据，这些无形的资产比硬件资产还重要，但它们却面临着非常大的安全挑战。在早期的系统建设过程中，大多用户不会考虑数据安全、应用安全层面的问题，经过多年的发展，数据中心越来越庞大，业务越来越复杂，但信息安全完全没有配套建设，经常会发生一些安全事件，如：数据库的表被人删除了、主机密码被人修改了、敏感数据泄露了、特2权账号被第三方人员使用等等情况，而这些安全事件往往都是特权用户从后台直接操作的，非常隐蔽，这时候往往无从查起。其实，信息安全建设在系统的设计初期开始，就应该要介入，始终贯穿其中，这样花费的人力物力才是最小。当一个系统建成后，发现问题了，回头再来考虑安全建设，这样投入的成本将会变得最大。1.3总体方案信息安全系统整体部署图31、在核心交换机上部署防护墙模块或独立防火墙，把重要的主机、数据库与其他子网进行逻辑隔离，划分安全区域，对不必要的端口进行封闭，隔离终端IP对数据中心可达。2、在终端汇聚的交换机上旁路部署IP准入控制系统，实现非法外联、IP实名制，对接入内网的终端进行有效的控制。3、部署主机账号管理系统，限制所有终端对主机的访问只能通过管理系统发起，并对Telnet、SSH、RDP等访问过程进行控制、审计，防止终端将数据从主机上私自复制到本地硬盘，防止误操作。4、部署数据账号管理系统，对数据库访问工具（PL-SQL）、FTP工具等常用维护工具进行统一的发布，对4前台数据库访问操作进行审计记录，把数据包围在服务器端。对下载数据行为进行严格控制，并对提取的数据进行加密处理。5、部署加密系统（DLP），对所有流出数据中心的数据进行自动加密处理，并对数据的产生、扭转、编辑、销毁进行生命周期管理。6、部署数据库审计系统，对数据库访问行为进行审计，监控敏感数据访问情况，监控数据库操作行为，记录数据库后台变化情况，事后回查。7、在生产库与测试库之间部署数据脱敏系统，对从在线库抽取的数据进行自动脱敏，再导入测试库，避免数据泄露。对后台访问在线库的人群进行权限管理，对访问的敏感字段进行自动遮罩。8、部署应用内嵌账号管理系统，对应用系统内嵌的特权账号进行有效的托管，实现账号的定期修改、密码强度、密码加密等安全策略。9、部署令牌认证系统，对登入数据中心区的用户使用双因素认证，确认访问数据中心者的身份，杜绝账号共用现象。510、部署云计算平台，为防泄密系统提供良好的运行环境。云计算平台提高了系统的可靠性、可扩展性，减少宕机时间，降低维护成本。11、所有系统都采用活动目录认证，并加以动态令牌做为双因素认证，实现对用户身份的准确鉴别。1.3.1IP准入控制系统现在国内外，有很多厂商推出自己的准入控制系统解决方案，目的就是为了在终端接入网络前对其进行安全检查，只允许合法的用户接入到网络当中，避免随意接入网络给系统带来风险。主流的解决方案有两种方式，旁路部署方式都是基于802.1X的，需要跟交换机做联动；串接的部署方式不需要与交换机联动，但会给网络的通过性与性能带来挑战，采用的用户不多。这些解决方案，在复杂的中国环境部署成功的并不多，要么网络条件非常好，交换机都支持802.1X，要么网络非常扁平化，终端都可以收敛到同一个出口。IP地址管理困难：接入Intranet的计算机设备都需要一个合法的IP地址，IP地址的分配和管理是一件令网络管理人员头疼的事情，IP地址、MAC地址、计算机名冒用、滥用现象广泛存在，而管理人员缺乏有效的监控6手段。局域网上若有两台主机IP地址相同，则两台主机相互报警，造成应用混乱。因此，IP地址盗用与冲突成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网，如何控制IP地址盗用与冲突更是当务之急。在实际中，网络管理员为入网用户分配和提供的IP地址，只有通过客户进行正确地注册后才有效。这为终端用户直接接触IP地址提供了一条途径。由于终端用户的介入，入网用户有可能自由修改IP地址。改动后的IP地址在联网运行时可导致三种结果：Ø非法的IP地址，自行修改的IP地址不在规划的网段内，网络呼叫中断。Ø重复的IP地址，与已经分配且正在联网运行的合法的IP地址发生资源冲突，无法链接。Ø非法占用已分配的资源，盗用其它注册用户的合法IP地址（且注册该IP地址的机器未通电运行）联网通讯。IPScan能很好的控制非法的IP接入，并对内网已有的联网IP通过切断联网实现迅速快捷的控制，以很方便的方式实现内网安全威胁的最小化。IPScan通过对IP/MAC的绑定，对每个IP地址都可以进行实时的监控，一旦发现非法的IP地址和某个IP地址进行非法操7作的时候，都可以及时对这些IP地址进行操作，，有效的防止IP冲突。产品是基于二层（数据链路层）的设计理念，可以有效地控制ARP广播病毒，通过探测ARP广播包，可以自动阻止中毒主机大量发送ARP广播，从而保证了内网的安全。通过实现IP地址的绑定，从而变相的实现了网络实名制，在接入网络的终端都被授予唯一的IP地址，在网络中产生的所有日志将会变得非常有意义，它可以关联到是哪一个终端哪一个用户，能让安全日志产生定责的作用。1.3.2防泄密技术的选择国外有良好的法律环境，内部有意泄密相对极少，对内部人员确认为可信，数据泄露主要来自外部入侵和内部无意间的泄密。因此，国外DLP（数据防泄漏）解决方案主要用来防止外部入侵和内部无意间泄密，可以解决部分问题，但无法防止内部主动泄密，只能更多地依赖管理手段。而国内环境，法律威慑力小，追踪难度大，泄密者比较容易逃脱法律制裁，犯罪成本比较小；同时，国内各种#管理#不完善，内部人员无意间泄密的概率也比较8大。国内DLP以加密权限为核心，从主动预防的立足点来防止数据泄露，对数据进行加密，从源头上进行控制。即使内部数据流失到外部，也因为已被加密而无法使用，从而保证了数据的安全。所以国内DLP既能防止内部泄密（包括内部有意泄密和无意泄密），同时也能防止外部入侵窃密。1.3.3主机账号生命周期管理系统XXX用户局越来越多的业务外包给系统提供商或者其他专业代维公司，这些业务系统涉及了大量的公民敏感信息。如何有效地监控第三方厂商和运维人员的操作行为，并进行严格的审计是用户现在面临的一个挑战。严格的只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行，在发生安全事件后，才能有效的还原事故现场，准确的定位到责任人。主机账号生命周期管理系统能帮助用户建立集中的和统一的主机运维管理平台，实现自动化的监控审计，对所有维护人员和支持人员的操作行为（Telnet、SSH、RDP、FTP、SFTP、VNC、KVM等协议）进行监控和跟踪审计，（实现对所有登录系统的人员的所有操作进9行全面行为过程审计，达到对所访问主机的操作行为进行采集，以便实时监控和事后回放分析、重现和检索，以最大限度地减少运行事故、降低运行风险、进行责任追溯，不可抵赖。同时提供直观的问题报告工具），防止敏感数据从物理层被窃取。按照规定，一段时间内必须修改一次主机及数据库的密码，以符合安全性要求，往往这些密码太多，修改一次也费时费力，还经常出现root密码修改后忘记的情况。很多时候，维护人员为了方便记忆密码，将密码记录在一个文件里，以明文方式保存在电脑上，即使文件加了个简单的密码，一旦这些数据泄漏，后果不堪设想。现在可采用主机账号生命周期管理系统进行密码托管，可以设定定期自动修改主机密码，不用人工干预了。既提高了信息安全工作的效率，又降低了管理成本，还降低了安全风险。1.3.4数据库账号生命周期管理系统目前，XXX用户的支持人员及第三方维护人员都是采用PL/SQL等工具对在线库或离线库进行直接操作，有的是通过业务系统的某些模块直接操作数据库，导致敏感数据可以直接被编辑、删除，无法对其进行集中控10制。针对这种情况，目前较有效的解决方案是通过数据库账号生命周期管理系统来实现。通过账号生命周期管理系统的虚拟化技术，将有高风险的操作工具发布出来（如PL/SQL、业务系统的主界面、C/S架构系统的客户端等），客户端零安装，用户对程序远程调用，避免真实数据的传输和漏泄，能实现避免数据的泄露、对重要操作进行全程跟踪审计、对重要命令进行预警。系统禁止所有操作终端与服务器之间的数据复制操作，但操作人员经常需要复制一段代码或脚本到PL/SQL里面进行查询操作，如果是用手敲，势必会影响工作效率。这里就要求数据库账号生命周期管理系统具备单向数据流的控制，只允许从终端复制数据到系统，禁止从系统上复制数据到本地磁盘，这样既保留了用户的使用习惯，又达到了安全的目的。如果支持人员要把数据保存到本地终端上进行二次处理，需要将文件导出到指定的存储路径上，文件产生后会被自动加密处理，支持人员可以在指定的路径下载加密的文件到本地磁盘，并进行后期的二次处理，同时在存储上保留有文件副本备查。如果支持人员需要把修改好的数据上传应用系统中或主机中，需要将文件导入到指定的存储路径上，文件上11传后会被自动解密处理，即可被应用系统或主机正常识别。1.3.5双因素认证系统目前，系统中的主机账号共用情况比较普遍，一个账号多个人使用，这就造成了事后难以定责的尴尬局面，而且静态的口令也容易被获取。为了杜绝这种现象，可采用双因素认证系统加强身份认证的管理。传统的方式是在每台需要保护的主机、数据库上启用Agent，如果主机数量很多的话，配置工作量很大，维护起来很繁琐。我们推荐给XXX用户局的解决方案是将令牌认证系统与主机账号生命周期管理系统结合做双因素认证，大大减少了配置工作量的同时，还满足了系统安全性要求。另外，对于所有重要的业务系统、安全系统，都应该采用双因素认证，以避免账号共用情况，发生安全事件后，能准确的定责。1.3.6数据库审计系统审计系统在整个系统中起到一个很好的补充作用。数据库账号生命周期管理系统虽然会记录所有操作数据库12的行为，但他只是记录前台的操作过程，但对于发生安全事件后快速定位、还原整个事件过程还是有些欠缺。专业数据库审计系统会对数据库操作进行审计，记录数据库的日常操作行为，记录敏感数据的访问、修改行为，会精确了每一个字符。在安全事件发生后，可以精确的使用操作命令来检索需要审计的信息，甚至可以组合几条信息来精确定位，提高了审计的效率。它可以对数据库发生的所有变化进行回放，让用户知道重要操作后数据库返回了什么样的结果、发生了什么变化，可以很好的帮助用户恢复整个事件的原始轨迹，有助于还原参数及取证。并可可以深入到应用层协议（如操作命令、数据库对象、业务操作过程）实现细料度的安全审计，并根据事先设置的安全策略采取诸如产生告警记录、发送告警邮件（或短信）、提升风险等级。131.3.7数据脱敏系统在我们的用户系统里面，存在着大量的敏感信息：公民数据、业务数据等，业务系统软件开发的最后阶段，是需要尽量真实的数据来作为基础测试软件的一系列功能。尤其是用户系统这样的大型系统实施或开发的时候，对于基础数据的要求很严格，很多时候都是直接克隆生产环境的数据来进行软件系统的测试，但是随之而来的影响却是深远的，生产数据中，首先它是一个真实的数据，透过数据基本上掌握了整个数据库的资料。其次，在这当中包含很多敏感数据，不光是敏感数据，而14且还是真实的敏感数据。如果在测试环境中发生了信息泄露问题，那么对于用户数据安全将造成致命的后果。近年来，政府行业重大的敏感数据泄漏事件时有发生，如下图所示：核心数据脱敏模块的建设基于动态数据脱敏技术，通常是应用于生产系统，当对数据库提出读取数据的请求时，动态数据脱敏按照访问用户的角色执行不同的脱敏规则。如下图所示：授权用户可以读取完整的原始数据，而非授权用户只能看到脱敏后的数据。1.3.8应用内嵌账号管理系统复杂的IT环境，在其中包含过个脚本，进程，应用程序需要访问多个平台的资源和数据库中存取敏感信息。为了更好地访问这些资源，应用程序和脚本会利用数据库上的帐号去获取数据，有些帐号只有只读权限，还有些帐号具有读写权限。保护、管理和共享这类与应15用程序相关的帐号成为了IT部门或者应用负责人的巨大挑战，也是放在用户面前的审计难题。调查表明42%的用户从不修改嵌入在应用程序内的帐号密码。这是一个严重的安全风险，并且明显地违背了许多法律法规的要求，同样也是直接导致运维效率低下的主要原因。应用程序的内嵌帐号通常也是具有非常高的权限的，可以毫无控制地访问后端系统。如果该帐号不有效管理起来，势必带来绕开常规管理流程的非法访问。以上图的Billing系统为例，前端Bill应用通过内置的数据库用户连接数据库，用以更新数据库中相关记录。非授权的第三方人员一旦知晓该密码，则可以肆无忌惮地进入数据库，删除记录，修改数据。如上描述，嵌入在应用程序中的密码会带来如下安全风险：16密码不定期修改：为了获得更高的安全水平，密码需要定期修改。而应用程序内嵌密码其密码修改过程非常复杂，因为密码会被写入在应用程序的多处。运维人员和开发人员都知晓应用密码：由于应用程序密码被嵌入在程序中，并且不会定期修改，所以通常密码在IT运维人员和开发人员整个企业中是共享的，特别还包括离职员工以及外包人员。密码强度不够：由于密码是IT运维人员或者开发人员手工创建的，为了能够应对紧急情况，这些密码尽量定义地简单，便于能够记忆。这将导致企业特权帐号密码的策略不合规。密码存储在明文中：嵌入的密码在配置文件或者源代码中是明文存储的，有时密码也不符合强度要求。所以这些密码很容易被访问到源代码和配置文件的人员获得。对应用程序内嵌密码缺乏审计：在紧急情况下，IT运维人员和开发人员都需要使用应用程序密码，现有的密码方案无法提供相应的使用记录的控制和审计。审计与合规：无法保护应用程序帐号，审计其使用记录会违法安全标准和法规，并且导致无法通过内审和外审要求。17应用程序帐号管理常见需求如之前章节描述，由于应用程序密码滥用状况引起了安全与合规性风险。拥有了应用程序就可以访问企业的核心应用，为了成功地控制这些应用帐号，所选择的解决方案必须满足如下要求：安全需求：1.加密：应用程序密码必须存储在安全的场所，无论是存储，还是被传送至应用程序，密码必须被加密。2.访问控制：必须有很强的访问控制作用在密码使用之上，严格限定能够访问密码的人员或者是应用程序3.审计：能够快速审计到任何访问密码的活动，包括个人访问记录。4.高可用性：相应的应用程序无法接受宕机时间。应用程序始终能够访问这些密码，不管是在网络连接的问题或者存储发生故障。管理需求：1.广泛的平台支持性：一个企业一般会拥有不同类型的系统、应用和脚本等。为了能够支持企业中不同应用的需求，应用程序密码管理方案必须支持如下广泛平台：a)脚本–Shell,Perl,bat,Sqlplus,JCL等18b)应用程序–自定义开发的C/C++应用程序，Java，.NET，Cobol等，也有一些诸如Oracle，SAP的商业系统c)应用服务器–大部分企业至少会拥有常见应用服务器的一款：比如IBMWebSphere,OracleWebLogic，JBOSS或者Tomcat2.简单和灵活的整合：改变应用消除硬编码密码的方式应该简单明了。整个方式应该简化和缩短应用程序向动态密码管理迁移的周期。3.支持复杂的分布式环境：大型企业中分布式系统非常多见。例如，一个集中的数据中心和多很分支机构运行着连接到中心的应用程序。网络连接不是时时刻刻可靠的，偶尔也会断网或发生震荡，所以企业应用程序的高可用性是非常重要的，方案应该允许分支机构在连接到总部的网络发生故障时，依旧能够运行良好。预设账号口令管理系统通地在改变业务系统请求预设帐号方式，由传统的应用内置帐号密码，更改为向预设账号口令管理系统发起预设帐号密码请求，通过对网络传输中的请求、返回数据进行加密，对请求源进行认证与授权的方式，安全保证最新的帐号密码信息的供应。191.3.9云计算平台目前，大多数用户的数据中心都部署了VMware的云计算平台，这个平台可以很好的融入到信息安全体系当中。账号生命周期管理系统、加密系统、双因素认证系统、活动目录、内嵌账号管理、数据脱敏系统、统一安全运营平台、文件服务器都是标准软件应用，都可以跑在VMware云计算平台上。利用VMware可以方便的对信息安全子系统做快照、系统迁移、系统扩容等，在发生故障时可快速恢复系统，为信息安全系统提供了良好20的支撑平台，降低了宕机时间，降低了维护成本，提高了工作效率。1.3.10防火墙在数据中心部署独立高性能防火墙，利用防火墙逻辑隔离出两个区域，一个是内部核心服务器及数据库区域（数据中心区），一个是信息安全系统及其他对外服务器区域（DMZ非军事区）。在主机账号生命周期管理系统上线运行后，数据中心防火墙需要配置安全策略，对FTP、SSH、Telnet、RDP以及所有未使用的端口进行封闭，禁止任何外部终端对数据中心主机直接发起有效连接，禁止终端直接接触数据中心的资产，只允许其通过管理系统来访问数据中心，但允许数据中心内部主机之间的互相连接。在数据库账号生命周期管理系统上线运行后，数据中心防火墙需要做安全策略，对数据库端口进行封闭，禁止任何外部终端直接采用数据库工具操作数据库，但允许数据中心内部主机之间的数据同步。21