在我这么多年服务于高校网络中心的工作经验中,经历过几次学校的安全事件,也了解一些学校的安全运维工作的情况。其中有一些学校的信息安全工作做的非常好,也有一些学校对信息安全不是特别重视。

我认为在当前的信息化发展趋势下,做好信息安全工作应该比出门时照看好你的手机钱包更重要,甚至更应该说是一种责任的体现。

在金融、政府行业通常对信息安全的要求很高,难道在教育行业就可以掉以轻心么?随着云计算技术越来越多的被应用到各大高校用户,品高云希望能够通过高校上云这个转折点,帮助学校加强信息安全建设。

下面我来向大家介绍一下,品高云在安全方面的设计及其在高校中的应用场景。

1 云网络安全

IT 架构的安全从来都离不开网络安全,我们先来看看品高云上跟网络安全相关的功能。

1.1 云网络 VPC

首先,品高云网络是采用自主研发的 SDN 技术,今天我们不谈底层的 SDN 技术实现,主要是介绍 SDN 上的云网络应用。

VPC(虚拟私有云),是一个与传统网络极其相似的虚拟网络,提供了一种在品高云中将某个用户的虚拟机实例的路由、IP 分配等信息可以自主化配置的方法,VPC 允许网管人员在云中创建一个与其现有网络更加一致的虚拟网络环境,并且支持通过 VPN 的方式拨号到 VPC 网络中,像使用本地网络一样使用云中的资源。

以上是在《品高云技术白皮书》中针对 VPC 的介绍,VPC 可以帮助用户完成云平台上的网络配置,可以创建与物理网络互通的外部 VPC,亦可以创建与物理网络隔离的私有 VPC,这样用户可以将一些安全级别较高的虚拟机放置在私有 VPC 中,云平台可提供“弹性 IP 地址”(属于外部 VPC 的 IP 地址)与私有 VPC 中的虚拟实例进行绑定,以实现私有 VPC 中的虚拟实例的外部访问,这样就可以实现同一个 VPC 中,只开通部分虚拟实例的外部访问,以保障其他高安全级别虚拟实例的隐蔽性。

举个例子:学校的 OA 系统需要对外开放访问,这是管理员可将 OA 系统的 Web 服务器、数据库服务器放置在私有 VPC 中,为 Web 服务器绑定一个弹性 IP 地址,这样仅有 Web 服务器可以对外访问,保证了数据库服务器的安全性。

品高云中的 VPC 配置界面

1.2 安全组

上面说到通过云网络的规划来实现虚拟网络的隔离,从而提升虚拟实例的安全性,下面这个安全组功能,帮助用户保护每一台虚拟实例的安全。

在传统模式下,用户需要为每一台服务器配置相应的防火墙策略,有可能是操作系统内部的防火墙,也有可能是外部的防火墙设备,在云平台中,虚拟实例是运行在云网络中的,外部防火墙难以保护到云网络中的东西向流量,一台一台配置虚拟实例操作系统的防火墙比较繁琐、且难以维护。云平台提供的安全组功能就可以很好的实现东西向流量的防护,安全组可实现“源/目的 IP、源/目的端口/协议”的安全策略配置,策略以虚拟机为单位进行配置,实现精细化的防护。

安全组的特点:

  1. 通过云平台统一界面配置和管理;
  2. 策略可随虚拟机迁移;
  3. 由每个租户管理自己的安全组策略;

品高云中的安全组配置界面

这里讲一个我经历过的故事,曾经我的一个学校客户,数据中心内部的一台 Windows 服务器被学生破解了远程登录,通过这台服务器做跳板,又进一步操作了一台关键的数据库服务器,造成的影响不小。网络中心管理人员为了避免后续再出现这种情况,就在数据中心的交换机每个端口上都配置了访问控制策略,这样虽然做到了安全防护,但是维护这些交换机的安全策略工作量很大,万一服务器的接入端口发生变化、新增服务器,都要产生很繁琐的配置工作。

那么上述这种情况,就可以很简单的通过云平台中的安全组功能来实现了。

1.3 虚拟 WAF(云甲服务)

在品高云 7.0 版本中,提供了虚拟 WAF 高级服务,用户可以将它部署在 Web 服务器之前的虚拟负载均衡(ELB)上,让用户可以部署并维护 Web 安全规则,以保护 Web 应用程序免受常见 Web 漏洞的攻击。

虚拟 WAF 让您可以自行定义 Web 安全规则,在允许部分流量访问 Web 应用程序的同时阻止其他流量。还可以使用虚拟 WAF 中内置的安全规则来阻挡诸如 SQL 注入或跨站脚本等常见攻击模式。

品高云中的虚拟 WAF 功能

2 云平台安全

上面介绍了云平台中于网络安全相关的功能,下面介绍一下云平台自身的一些安全属性。

2.1 虚拟实例安全登录

虚拟机实例作为云平台中最最常用的服务,实例中可能运行着用户的关键业务系统、存储着用户的关键数据。当用户关心网络安全及其他外部安全时,往往会忽略了虚拟机操作系统的登录口令安全,有些登录口令可能是弱密码,或者重复的使用同一个密码等等。这样,如果网络安全防线被攻破后,黑客即可轻松的入侵操作系统,所以登录口令安全同样不容忽视。

品高云平台的虚拟实例提供两种口令验证模式,包含密码验证和密钥验证,并且由云平台来管理虚拟实例的登录密码和密钥,所有的密码和密钥由云平台自动生成,保证了密码的复杂度和安全性。

由品高云自动生成的操作系统登录密码

这样,用户无需使用专门的工具或文档来管理服务器的登录口令,需要时通过云平台来查看即可,既实现了安全登录,又方便管理。

用户的登录密钥管理界面

使用密钥登录虚拟机比密码更加安全,在品高云中密钥仅在生成时提供用户下载,为了提升密钥的安全性,云平台不提供密钥的存储。

2.2 云平台操作记录审计

品高云对于每个管理员在云平台中的操作记录,都有进行审计并且会保存日志,除了详细的操作内容记录之外,还可记录操作时用户所使用的 IP 地址,配合校园网的用户实名认证,可以轻松追踪到对云平台进行非法操作的人员。

品高云中的管理员操作日志审计

2.3 S3 对象存储加密

品高云中还提供了面向开发者的对象存储系统(S3),在 S3 中的数据可实现加密存储,这样无论是云平台管理员,还是入侵系统的黑客,都无法查看到 S3 中存储的用户数据,可保护应用程序中的敏感数据不被泄露。

对于高校来说,可将学籍系统、学生档案系统等应用的数据与 S3 的 API 进行对接,实现教工学生个人信息的安全存储。

品高云对象存储服务管理界面

3 第三方安全厂商联动

当今网络上的攻击行为,多种多样,单纯通过网络防火墙很难实现全方位的安全防护,品高云是一个开放中立的云平台,我们通过与专业的云安全产品对接联动,为云平台上的业务系统提供多方位的安全防护。

目前通过与众多安全产品合作,可以在品高云中实现高级网络防火墙、虚拟机病毒防护与查杀、入侵防御与检测、虚拟漏洞补丁、数据库安全审计等安全功能。

3.1 提供的无代理安全防护功能介绍

云平台中的高级安全功能为了适应虚拟化、多租户的环境,均通过无代理的方式实现安全防护,即用户无需在虚拟机操作系统中额外安装客户端,云安全平台通过虚拟化底层 API 实现对虚拟机的防火墙、防病毒等安全功能。

通过无代理的方式,可简化管理成本、降低资源损耗、并且安全规则可以随着用户、虚拟机的迁移而自动迁移。让云安全也变成一种云资源,用户可以随时按需申请使用,更加符合云计算的服务理念。

云平台无代理安全防护原理示意图

3.2 合作安全厂家名录

目前与品高云成功对接,并完成测试报告与认证报告的安全厂家如下(排名不分先后)

  • 山石网科(云•格)
  • 亚信安全(DeepSecurity)
  • 360 安全(虚拟化安全管理系统)
  • 启明星辰(天阗入侵检测系统)
  • 昂楷科技(云数据库审计系统)