新型数据中心高安全技术体系白皮书.pdf
《新型数据中心高安全技术体系白皮书.pdf》由会员分享,可在线阅读,更多相关《新型数据中心高安全技术体系白皮书.pdf(27页珍藏版)》请在咨信网上搜索。
1、1 分布式存储技术与产业分布式存储技术与产业 分析报告分析报告 新型数据中心高安全 技术体系白皮书 III新型数据中心高安全技术体系白皮书ODCC-2022-08003 前前 言言 随着 5G、工业互联网、云计算、人工智能等业务的蓬勃发展,传统数据中心正在向着以“高技术、高算力、高能效、高安全”为特征的新型数据中心发展。新型数据中心作为关键信息基础设施,是网络强国、数字中国、智慧社会建设的重要基础,也是支撑我国数字经济发展的底座。本白皮书以数据中心行业发展政策为指导,立足当前建设新型数据中心面临的安全威胁和攻击变化,创新性提出新型数据中心高安全的四大目标特征及四层三面的技术体系。本白皮书探讨了
2、基础设施、算网一体、应用及数据等方面的安全技术要求,从系统建设、核心业务和安全运营三个维度对新型数据中心安全管理新内涵进行了系统性的总结,梳理了新型数据中心安全产品和技术图谱,最后提出了新型数据中心安全等级评估的必要性和工作方向。IV 新型数据中心高安全技术体系白皮书ODCC-2022-08003 目目 录录 版权声明.I 编制说明.II 前 言.III 一、新型数据中心安全发展的必要性及目标.1 1.1 背景.1 1.2 新型数据中心面临的安全威胁和挑战.1 1.3 新型数据中心高安全总体目标.2 二、新型数据中心高安全技术体系.3 2.1 基础设施安全层.4 2.1.1 物理环境安全.5
3、2.1.2 设备自身安全.5 2.2 算网一体安全层.5 2.2.1 网络安全.5 2.2.2 算力安全.7 2.3 应用安全层.9 2.3.1 WEB 应用安全.9 2.3.2 API 应用安全.10 2.4 数据安全层.10 2.4.1 数据采集安全.11 2.4.2 数据处理安全.12 2.4.3 数据存储安全.12 2.4.4 数据服务安全.13 V 新型数据中心高安全技术体系白皮书ODCC-2022-08003 2.5 系统建设管理平面.14 2.6 核心业务管理平面.15 2.7 安全运营管理平面.16 三、新型数据中心安全等级评估.18 3.1 安全等级评估的必要性和意义.18
4、3.2 安全等级评估思路.19 四、展望.21 1 一、一、新型数据中心安全发展的必要性及目标新型数据中心安全发展的必要性及目标 1.11.1 背景背景 作为信息社会的数字底座,数据中心已经成为推动社会发展的战略性基础设施,是助推数字经济发展的重要力量。早在 2017 年,我国就提出“要构建以数据为关键要素的数字经济,要切实保障国家数据安全,要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”数据中心作为数字经济及其数据安全的主战场,其安全问题近年来愈发得到相关政府部门、运营商和企业的高度重视。2021 年 7 月,工信部印发新型数据中心发展三年行动计划
5、(2021-2023 年),指出新型数据中心具有高技术、高算力、高能效、高安全的特征。新型数据中心在构建高效算力服务的同时,“高安全”作为其建设和发展的基本特征和要求也被正式提出。2021 年12 月,国务院印发“十四五”数字经济发展规划通知,其中明确强调要着力强化数字经济安全体系,要求增强网络安全防护能力,提升数据安全保障水平,切实有效防范各类风险。1.21.2 新型数据中心面临的安全威胁和挑战新型数据中心面临的安全威胁和挑战 相比于传统数据中心,新型数据中心在业务云化与数字化转型的浪潮中,主要面临三大安全威胁和挑战:安全威胁面在不断增加和扩大安全威胁面在不断增加和扩大。随着数据中心 IT
6、架构不断变革,多云、混合云部署成为常态,算力设施资源从传统物理设备向虚拟化、容器化演进,各类网络及业务访问更加多元化;数网协同、数云协同、云边协同带来更多开放性,传统安全边界在逐步消失。网络攻击手段和技术不断升级网络攻击手段和技术不断升级。地缘政治摩擦、全球贸易争端以及日渐激烈的市场环境,攻击手段和技术越来专业化和“国家化”,迫切需要数据中心建设发展成为可信、安全、合规的运营基石,以应对当下如供应链攻击、勒索病毒等日益增多的新威胁事件以及未来的不确定性挑战。2 安全防护产品和技术能力参差不齐安全防护产品和技术能力参差不齐。近年来安全技术和产品迭代迅速,市场上各类安全产品日益增多,但这些产品彼此
7、孤立、松散组合,使得新型数据中心的安全建设愈加复杂,并带来了诸多安全隐患,比如操作复杂性、可视化孤岛、安全响应复杂性、防御盲点等。面对当下日益严峻的网络安全形势,缺乏顶层设计、查缺补漏的安全架构已经不能满足新型数据中心的安全建设需求,亟需建立一体化数据中心安全技术体系,全方位赋能新型数据中心建设发展,实现新型数据中心可视可防可控的立体化安全。1.31.3 新型数据中心高安全总体目标新型数据中心高安全总体目标 随着新的安全形势发展和网络安全相关法规条例的实施,新型数据中心迎来新的安全理念和技术要求。为了实现快速及时的算力安全服务、网络安全防御、数据安全存储和运营安全处置,新型数据中心高安全技术体
8、系必须落实不同维度、不同侧重的各类监管合规要求,覆盖日常运营、安全评估、应急和重保等各类运营场景,有效识别和抵御业务访问、运维管理、开发测试、数据服务等数据中心各环节面临的外部威胁和内部风险。为此,新型数据中心的安全技术体系应达到以下四个目标:安全内生安全内生 随着开源代码等的广泛应用和数据中心内各类系统的日益复杂,数据中心内各类设备自身漏洞常常成为遭受攻击的突破点和重灾区。尤其是 IT 硬件设备和软件系统,自身的安全问题层出不穷,提升数据中心各类基础设施自身的安全性不可或缺且迫在眉睫。通过不断加强设备自身健壮性和“内置式”主动防御能力,构建主动免疫的安全体系新防线。安全可视安全可视 3 有力
9、的安全防御手段依赖于对业务正常行为和异常事件的准确识别和展示,及时发现调查取证并最终确认安全威胁,才能在确保数据中心业务不受影响的情况下做到“不漏检、不误杀”。业务正常行为的准确识别,前提是必须要对数据中心资产、网络拓扑及各类生产数据实现识别认知能力,做到资产、网络、数据的可视;而只有具有对数据中心安全信息统一全局的监测视野,才能做到“一点及时发现,全网协同防御”的可视化目标。融合联动融合联动 当下新型网络攻击经常混合使用多种手段和战术,逐步渗透并侵入数据中心核心资产,这使得传统的静态的攻击威胁识别难以形成有效的防御。因此需要基于人工智能等新技术,站在数据中心全局安全的角度对主机端点事件、网络
10、威胁事件、历史日志信息等多点异常融合分析,并实现针对安全事件的边界节点就近实时联动处置,把安全威胁扼杀在最小影响范围内。绿色高效绿色高效 绿色低碳是新型数据中心的显著特征。近年来随着数据中心安全新技术的涌现,数据中心内部各类安全产品逐年增多,重复臃肿的安全产品引入和建设不仅违背了新型数据中心绿色发展理念,而且加大了数据中心运维管理复杂度,同时也显著增加了内外部业务时延。在算力时代全国数据中心集群统一高效调度的大背景下,新型数据中心的安全建设必将向着去冗余、重编配的绿色高效方向发展。二、新型数据中心高安全技术体系二、新型数据中心高安全技术体系 为应对内外部日益加剧的安全风险和挑战,强化以数据为核
11、心要素的数据中心安全建设,实现安全内生、安全可视、融合联动、绿色高效的总体目标,新型数据中心需要形成“四层三面”的高安全技术体系架构。4 图 1 新型数据中心“四层三面”安全技术体系架构“四层”主建,从安全能力建设的视角,自下而上覆盖数据中心内安全防御的主要对象,分为基础设施安全层、算网一体安全层、应用安全层和数据安全层。“三面”主管,从安全防范管理的视角,把四层安全能力协同贯穿起来,形成系统化的风险抵御和运营管理能力,主要分为系统建设管理平面、核心业务管理平面和安全运营管理平面。数据中心各类基础设施是系统管理员的领地,其安全是数据中心安全的根基;开展数据处理、存储及服务的各类核心业务是业务管
12、理员的领地,其安全是数据中心安全的核心;而数据中心安全监测、告警和态势感知等安全运营管理是安全团队的主战场,其安全是数据中心安全的大脑。2.12.1 基础设施安全层基础设施安全层 基础设施安全是数据中心安全可靠的基础,从设计建设角度来说主要包括两方面,一方面是数据中心的物理环境安全,包括风火水电等基础资源;另一 5 方面是数据中心内各类设备的自身安全,通过强化自身安全健壮性,最大程度避免被攻击利用。2 2.1.1.1.1 物理环境安全物理环境安全 物理环境安全是指确保数据中心内一切设施有一个良好的电磁兼容工作环境,并防止非法用户进入和各种偷窃、破坏活动的发生。这涉及机房选址、规划设计、机房环境
13、、机房管理、设备与介质管理等。如:选址避开自然灾害不利或危险的地区,满足国家防灾要求。具备防震、防火、防水、防静电的“四防”能力,基础设施支持 7*24 小时不中断的电力保障、访问控制及监控,满足国家新型数据中心建设标准。有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。2.1.22.1.2 设备自身安全设备自身安全 设备自身安全是指设备在开发及应用过程中,自身防仿冒防篡改、抗攻击的韧性能力,主要包括硬件可信、软件可信及供应链可信等。硬件可信:硬件可信:硬件唯一可信根,软硬件互相校验。避免使用仿冒硬件,或者软件被篡改植入恶意代码。软件可信:软件可信:软件防篡改抗攻击,软件安全启动、安全
14、运行、安全审计等防篡改能力,并能做到进程隔离、进程级异常检测和重启、逻辑/芯片级异常检测和自动复位能力等,提升系统韧性。供应链可信:供应链可信:从软件安全的开源和第三方、升级补丁等相关安全来源的可信,避免系统被劫持利用。2.22.2 算网一体安全层算网一体安全层 2.2.12.2.1 网络安全网络安全 6 新型数据中心安全从技术上离不开网络安全的保障。随着云化、虚拟化演进,网络安全从传统网络边界安全向内移到零信任、微隔离等技术代表的新的边界安全,一层层网络安全能力叠加形成防御纵深。网络边界安全网络边界安全 传统网络安全措施,以数据中心为防护对象,在边界上部署如防火墙、IPS、抗 DDoS 等网
15、络安全防护设备。对于新型数据中心来说,边界防护仍然是基本的安全保障,提供高性能高可靠的抵御外部攻击的边界隔离能力。但是,随着数据中心内部应用的弹性增长,需要传统网络边界安全产品能适应应用弹性部署的要求,可做到池化部署能力,向 SDN 编排、低时延等技术能力演进,实现资源编排(突破单设备性能瓶颈)、流量编排(突破设备协同瓶颈)和策略编排(突破部署效率瓶颈)。内移边界安全内移边界安全 IT 架构云化虚拟化后,数据中心内东西向流量持续规模增长。东西向互访连接增多使得数据中心网络边界内移到区域边界、微服务边界。当前微服务间存在合理的流量访问关系,同时也存在恶意的探测、攻击等。这使得传统网络边界信任机制
16、被打破,内网外隔离的传统方式已经无法适应业务 IT 化转型后的安全发展需要。对于新型数据中心,在原有网络边界安全的基础上,基于零信任技术实现基于数据模型访问关系的实时应用访问行为监控成为新的要求。横向流量安全横向流量安全 横向移动是现代网络攻击的重要部分,它充分利用了不安全的低级网络资产及内网账户保护不力的漏洞,给新型数据中心安全带来了严重威胁,故横向流量安全能力是新型数据中心网络安全的重要补充。数据中心的业务主体是应用和数据,基于业务逻辑清晰划分防御对象,建立基于微分段的安全策略保护,避免非信任流量扩散。同时,基于业务链技术把风险流量引流到“监控/授权”7 模块联动安全分析处置,实现微隔离。
17、通过微隔离技术与零信任能力的叠加,可以把新型数据中心面临的新安全威胁风险控制在最小影响范围。总的来说,新型数据中心网络安全需具有南北向和东西向边界防护能力、基于控制器的资源池化编排能力、基于虚机/微服务的微隔离能力及基于零信任技术的网络访问保护等特征,其安全基本结构如下:图 2 新型数据中心网络安全基本结构 2.2.22.2.2 算力安全算力安全 算力平台安全算力平台安全 当前虚拟化和容器化技术作为提供新型数据中心算力的基础平台,突破了传统操作系统与物理硬件之间的界限,在算力资源集中化管理、提高硬件利用率、异构算力资源整合等方面发挥了关键作用。但底层硬件资源的共享也带来了一定的安全风险。为此,
18、需要进一步做到虚拟层隔离安全和虚拟交换安全。虚拟层隔离安全:虚拟层隔离安全:同一物理机上不同虚拟机之间应做到资源安全隔离,避免虚拟机之间的数据窃取或恶意攻击。但当前数据中心内仍存在虚拟机跳跃、虚拟机逃逸、拒绝服务攻击和 VMBR(Virtual Machine Based Rootkit)攻击等安全隐患,故针对虚拟层开展定期配置检查和及时漏洞补丁更新,确保 vCPU调度隔离、内存隔离、磁盘 I/O 隔离安全,化解虚拟层隔离安全风险十分必要。8 虚拟交换安全:虚拟交换安全:OVS 等虚拟交换机为数据中心内东西向,尤其是同宿主机算力单元之间的流量交换提供了极大便利。但其作为部署在硬件服务器内的新型
19、软件交换设备,区别于传统物理交换机,其安全管理和策略控制极易忽视,同样存在安全风险。因此,虚拟交换机的流量可视化是虚拟交换安全的基础,在此基础上还可考虑增加额外的防护手段,如部署虚拟防火墙等。算力单元安全算力单元安全 主机系统作为新型数据中心算力提供的基本单元,也是绝大多数数攻击者的最终入侵目标。开展算力单元安全防护,进行常态化的威胁检测和防御,避免主机劫持事件的发生是新型数据中心整体安全的最后一道也是最有效的防线,其重要性不言而喻。具体手段包括基线核查、异常行为监控、漏洞管理及病毒防护等。基线核查:基线核查:主要针对主机配置的安全性和合理性进行检测,避免过度的暴露面带来不必要的风险。例如主机
20、上仅开放少数几个端口用于业务与维护使用,有效应对一些高危端口或未知端口带来的病毒传播;制定严格的访问授权、密码管理等统一的主机安全策略等。异常行为监控:异常行为监控:支持对防暴力破解等异常登录行为、非法数字货币挖矿等算力盗用行为、域名劫持等算力劫持行为,以主机维度或用户维度建立访问和通信的大数据画像,开展异常行为监测和告警。漏洞管理:漏洞管理:一方面需要定期扫描主机漏洞并及时安全加固,严格测试和评估新发布补丁的兼容性、可用性、可能带来的副作用及采取的相应缓解措施。另一方面,虚拟机模板、容器镜像存在系统漏洞将进一步扩大安全风险,故需要尽量裁剪不必要的软件组件或模块,构建最小化系统;并增加如容器镜
21、像签名等技术手段来确保系统的完整性。病毒防护:病毒防护:部署防病毒软件,对各类病毒、蠕虫、恶意代码、木马等恶意文件和进程动态查杀及隔离,确保斩断病毒传播、寄生的每一个节点,实现病 9 毒的全面防范。当前由于勒索攻击威胁加剧,新型数据中心的病毒防护应能够识别勒索软件攻击的典型症状,一旦发现网络中 C&C 异常通信或者文件异常加密等可疑活动,应可在攻击者开始勒索之前预先发出告警。算力服务安全算力服务安全 随着产业数字化进程加速,未来算力需求将持续放大,算力或将成为一种可交易商品,从当前公有云数据中心算力服务的孤岛模式向全网算力如“水电”一样便捷获取的公共服务演进。由此带来的算力调度安全和算力交易安
22、全也需要逐步纳入新型数据中心安全建设要求中。算力调度安全:算力调度安全:未来算力网络调度平台通过聚合海量的算力资源,将形成可持续扩张的全国一体化算力服务资源池。因此需要建立一个安全可信的调度机制,实现算力资源的安全流通,才能满足国家重大战略和医疗、交通、安防、教育等各行业对算力服务的需求。算力交易安全:算力交易安全:当算力成为一种可交易商品后,可基于区块链、共识机制与算法、智能合约等技术构建可信算力交易平台,对多方泛在、多样算力进行运营计费,保证算力交易的安全可控、隐私高效。2.32.3 应用安全层应用安全层 2.3.1 WEB2.3.1 WEB 应用安全应用安全 随着 Web 技术的普及,越
23、来越多的应用基于 Web 平台部署,Web 应用是数据中心对外提供的主要业务。而由于 Web 应用自身多采用开源架构和开放服务的特点,其常成为应用安全攻击的入口。为实现 Web 应用安全,在新型数据中心内部署 Web 防护及网页防篡改模块,是主要的防护手段。WebWeb 防护防护 10 通过智能引擎识别已知攻击行为,包括 SQL 注入、XSS、命令注入、文件上传、反序列化攻击等常见的 Web 攻击行为,同时加强识别未知威胁及 0day 攻击行为,保障基于 Web 的业务系统安全可靠运行。网页防篡改网页防篡改 应用内核态文件驱动过滤技术,阻止攻击者通过 Web 操作系统和服务程序的漏洞,获取 W
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 新型 数据中心 安全技术 体系 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。