医共体安全守护养成记(四)丨 县域医共体云平台安全防护能力建设
2020-05-15
前三期的医共体安全守护养成记中,在分析医共体安全需求的基础上,分别从信息化建设整体思路、安全威胁感知与应对能力建设等维度进行了详细分享。今天,尊龙凯时君与大家一起分享,当我们在对县域医共体整体安全技术体系进行设计时,云内安全又应如何把控。
众所周知,县域医共体业务应用主要搭建在云平台上,在围绕医共体云平台进行三重防护的同时,还应以安全资源池的方式为医共体云平台提供安全资源,构建云平台自身的安全防护能力。
一方面应结合医共体云平台的建设需求和技术理念,从安全技术维度出发,按照国家相关规定要求和医共体整体安全防护思路,构建完整、有效的云平台安全保障体系架构,确保以云为基础的医共体业务系统安全。另一方面,在安全建设实施阶段,运维门户、租户门户应分离各自的安全需求。从物理设备安全、虚拟网路安全、数据安全、应用安全、虚拟主机安全等角度,统一对接安全资源池内的各项安全资源。
同时,因为安全资源池包含了vNF、vIPS、vWvss、vWAF、vNIDS、vSAS、vRSAS和vBVS等安全组件。云数据中心部署的硬件安全设备也应依照资源池的方式进行管理,并从如下几个方面实施约束管理:
(1) 网络和通信安全
通过安全资源池接入管理硬件设备,实现云平台边界安全管控,包括网络结构安全、边界访问控制、权限控制、远程访问安全、入侵防范、恶意代码防范、网络安全审计等。
l 网络架构安全
在互联网接入域部署NF(下一代防火墙),对来自互联网的访问进行控制、外部入侵进行防御。在互联网接入域部署IDS,并采用IDS集群负载分担的方式进行全流量检测。在核心交换域部署采用国密算法的VPN网关,为专线接入以外的终端接入云平台提供安全通道。
l 边界访问控制
在各安全域之间部署NF(下一代防火墙),对云平台划分的各个安全域之间进行访问控制、入侵防御。在管理域部署堡垒主机,配合审计和访问控制系统,对云平台的运维人员进行访问控制和运维审计。
l 远程访问安全
通过VPN网关对远程连接进行实时监视,能够对未授权的连接进行阻断。在进行远程管理时,通过部署的堡垒主机对访问人员的身份进行双向认证,并对操作行为进行审计。
l 入侵和恶意代码防范
在互联网接入域部署IPS入侵防御,并通过与NF形成策略联动,对可能存在的安全威胁进行NF策略变更;通过利用NF(下一代防火墙)上的防病毒模块,对病毒进行检测过滤。
l 网络安全审计
部署网络行为审计系统,提供对访问云平台的网络行为的审计功能。
(2) 设备和计算安全
设备和计算安全主要包括云环境中南北向和东西向的安全防护。针对云计算内部安全特点,拟采用安全资源池方式实现南北向和东西向流量防护、虚拟资源的隔离。
安全资源池主要负责为用户提供多样的、合规性模版、组件化的安全服务,租户通过简单的自助服务申请、开通流程即快速获得对应的安全服务。安全资源池采用虚拟化安全资源与云平台接入管理的硬件安全防护措施形成互补,通过安全资源池将个性化安全配置交付给租户自行分配,满足等级保护、云计算服务能力等相关标准要求,并且通过此项划分,更加清晰的界定了租户和云平台的安全责任。
l 南北向防护
针对云平台虚拟化资源南北向流量防护,安全资源池通过将防护流量牵引至安全资源池内的多种虚拟防护设备中,为虚拟化资源提供多种安全资源的防护。
安全资源池主要采用基于X86架构的服务器硬件资源,根据业务安全需要部署可弹性管理的虚拟化安全资源,包括虚拟防火墙、虚拟IPS/IDS、虚拟WAF、虚拟扫描器、虚拟堡垒机等,根据业务系统的安全需求进行个性化部署,实现部门之间、应用系统之间的弹性安全规划和安全隔离。
l 东西向防护
东西向防护对每一个虚拟机跟外部网络或内部其它虚拟机之间通信的精细监控。能够收集并分析虚机之间的数据通信,为用户描绘出流量模型,包括虚机之间以及不同端口组之间的流量情况。可以识别虚机流量信息,并在此基础上提供了流量与应用控制功能,可对虚机间的业务访问进行细粒度的权限控制,以过滤非法访问。
(3) 应用和数据安全
① 应用安全
通过虚拟化安全资源池部署Web应用防火墙、Web应用安全扫描、Web应用安全监测、安全审计实现对云平台上应用系统安全防护; Web应用防火墙可以对常见的Web攻击(SQL注入、XSS跨站脚本攻击、文件上传等)进行防护;Web应用安全扫描和监测可以对Web应用系统存在的后门进行检测发现并且通过策略联动和告警进行处理。
安全审计系统负责对云平台各类应用系统的日志进行安全审计。
② 数据安全
通过虚拟化安全资源池部署数据库审计、接入第三方数据库入侵防护和防窃密设备达到对数据库的安全防护;
l 数据防窃密
因接入第三方数据库防窃密不同,所以防护方式有所不同,这里举例已接入数据库安全网关为例:
采用数据库安全网关对关系型数据库的核心数据进行透明加密,防止核心数据窃密。
采用存储加密网关对存储空间的数据自动加密,为用户的重要数据提供多租户安全隔离。
采用数据交换平台的加解密算法,对各用户之间数据传输、交换提供加密防护。
l 数据入侵防护
因接入第三方数据库防入侵不同,所以防护方式有所不同,这里举例已接入数据库安全网关为例:
采购数据库安全网关,为数据库提供多层次、多手段的安全防护、阻挡利用SQL注入、数据库漏洞攻击、拖库等黑客行为和内部违规使用数据资源的行为。
l 数据审计
安全资源池部署虚拟化数据库审计,负责数据审计工作,对所有数据库操作进行完整审计,记录包括每个操作的用户、时间、操作命令、操作对象等,为安全事件的追溯、回放提供依据。
未来,尊龙凯时科技将持续创新,为县域医共体单位提供更领先的安全解决方案,并与更多生态伙伴开展技术创新、联合研究等,助力医共体的快速发展。关于医共体网络安全建设详细建设方案欢迎致电尊龙凯时科技当地销售和技术人员。