獲獎單位:江西省農村信用社聯合社
來源:2018年度農村金融科技創新優秀案例評選
項目背景及目標
項目背景:為適應互聯網環境下計算資源彈性變化和快速部署等需求,江西省農商銀行積極開展雲計算架構規劃,構建了富有自身特色的私有云平臺,將虛擬機部署時間降低到分鐘級別,同時也大幅提高了行內系統容錯、系統冗餘、高可用性及災備恢復效率。然而,在虛擬化雲計算環境下,東西向業務流量對傳統的安全防護設備不可見、不可控,提升虛擬化雲安全防護能力迫在眉睫。
項目目標:一是構建虛擬化安全資源池,使虛擬化雲計算數據中心具備匹配當前虛擬環境的安全防護能力。將業務流量通過牽引到具有安全引擎的安全資源池中清洗,過濾掉不安全的請求和攻擊行為,使部署在虛擬化環境的業務系統更加安全。二是構建雲安全管理平臺,將傳統安全防護和虛擬化技術融合,實現自動化的安全服務編排,將安全資源池中的安全能力靈活運用於現有的雲計算架構體系中,並實現雲環境下的快速資源調度,快速安全防護、彈性擴展與伸縮,充分提高安全資源的利用效率。
項目方案
項目架構:如下圖所示,架構由構建雲安全資源池和組建虛擬化環境下的數據引流組成。
技術實現方面:
一、構建雲安全資源池。通過部署在雲安全資源池中的虛擬化入侵防禦系統(vIPS)實現對虛擬化環境中各類網絡入侵、病毒、木馬、蠕蟲攻擊的檢測和防護;通過虛擬化Web應用防火牆(vWAF),實現對虛擬化環境中各類Web攻擊的檢測和防護;通過雲安全管理平臺(NCSS),實現對雲安全資源池中運行的各類安全設備進行統一調度以及各安全服務的編排;通過安全管理平臺(ESPC),實現各安全設備日誌、告警的統一收集,報表輸出。
二、在虛擬化環境下數據引流。在KVM雲計算平臺下,通過虛擬化防火牆旁路運行在各宿主機上,實現對虛擬化環境中的各類訪問行為進行監測及控制。在VMware雲計算平臺下,通過引流虛擬機,實現對虛擬化環境中東西向流量的鏡像採集,並將鏡像流量轉發到雲安全資源池中進行檢測。
三、採取旁路阻斷技術。在旁路部署環境下,當檢測到安全威脅時,通過旁路發送reset報文方式,釋放存在安全威脅的TCP連接,達到阻斷效果。
項目創新點
1、隨著江西省農商銀行虛擬化雲計算技術的快速發展,傳統的安全防護技術無法滿足虛擬化環境下的業務安全需求,利用虛擬化雲安全技術,可實現對計算節點內部虛擬機東西向流量的防護。
2、實現全方位立體防護。通過訪問控制、木馬蠕蟲病毒防護、入侵防護及Web安全防護技術實現了系統2-7層的全面立體防護。
3、實現雲安全資源池動態擴展及調度管理。在虛擬化雲安全平臺中,可靈活地對資源池內的安全防護能力進行動態擴容及資源調度管理。
項目過程管理
2017年10月開始調研,收集行內雲計算平臺建設情況及雲安全平臺建設需求;
2018年2月-2018年3月搭建環境進行測試,包括功能測試、性能測試及壓力測試;
2018年3月對雲安全平臺進行策略優化;
2018年4月進行系統應急演練,驗證虛擬化雲安全平臺系統故障後,不影響業務系統的正常運行;
2018年5月完成實施準備,選定防護對象,並生產試運行;
2018年6月完成安全資源池部署,完成安全資源池NCSS平臺搭建、IPS安裝、WAF安裝,完成虛擬化防火牆部署,包括VMware和KVM虛擬化防火牆的NF部署及監聽配置,防火牆策略需求收集及部署,虛擬化防火牆通用訪問控制策略梳理,防火牆日誌、告警分析、旁路阻斷測試;
2018年7月完成虛擬化環境引流至安全資源池,包括VMware和KVM引流虛擬機部署,VMware和KVM環境引流至安全資源池;
2018年8月進行虛擬化IPS部署,包括IPS監聽引流流量,IPS策略配置及優化,IPS日誌、告警分析;
2018年9月完成虛擬化WAF部署,包括WAF監聽引流流量,WAF策略的站點及其他相關配置和持續優化,WAF日誌、告警分析;
2018年10月初完成安全資源池/NCSS平臺功能完善,包括安全虛擬機管理、日誌統一收集及報表功能的優化。
項目運營情況
目前已部署至管理類生產環境安全設備VNF2臺、VIPS1臺、VMWAF1臺,實現了對管理門戶單點登錄(應用)、新徵信、異常交易、移動接入(db)、實物資產與費用(db)、管理門戶(db)、架構管理(db)、ETLserver(應用)、監管運營(db)等系統7X24安全監控及防護。
從當前運行情況來看,項目能夠實現對防護目標流量監測及訪問控制,滿足安全性、易用性、可靠性的預期目標,同時系統的處理能力變化幅度處於1%左右,且幅度為雙向浮動,屬於正常偏差,對系統TPS無明顯影響。
通過構建虛擬化安全資源池,使虛擬化雲計算數據中心具備匹配當前虛擬環境的安全防護能力,具備虛擬化防火牆、虛擬化IPS、虛擬化WAF等安全能力。
項目成效
1、部署雲安全平臺後,運行期間虛擬化IPS共檢測到安全事件591次,包含中風險事件479次,主要事件為MySQL登錄握手信息洩露漏洞、SSH登錄請求認證、FTP服務用戶弱口令認證等,低風險事件112次,事件為FTP服務用戶認證成功、DHCP Discovery報文控制。
2、虛擬化WAF檢測到告警147次,其中高風險的服務器信息洩露124次,中風險的HTTP協議違背23次。
3、vNF系統告警發現高風險事件166次。
通過虛擬化雲安全項目建設,及時發現了和處置了江西省農村商業銀行信息系統在虛擬化環境下運行中的安全隱患,提升了整體信息防護水平。
經驗總結
1、需重視虛擬化雲計算環境下信息安全新威脅:傳統網絡安全技術偏重於邊界安全防護,及南北向安全防護,然而虛擬化雲計算使得網絡安全域邊界被打破,東西向流量佔比越來越高,且傳統網絡安全防護措施無法監控和管理。同時雲計算環境下,安全威脅的傳導速度快速增加,單點安全威脅容易擴散到整體虛擬環境中,利用虛擬化雲安全技術能較好的應對雲計算環境下的網絡安全威脅。
2、在虛擬機引流方面的新實踐:在VMware環境下將監聽口設置為混雜模式實現流量鏡像;在Openstack環境下利用系統流量控制工具TC實現流量鏡像。通過建立GRE隧道,可較容易的將鏡像流量導入外部雲安全資源池進行安全檢測。
3、充分利用旁路阻斷技術,減少虛擬化雲安全平臺對業務系統的影響。採用旁路部署加旁路阻斷技術,可在實現虛擬化雲內安全防護的同時,不改變系統架構和網絡架構,也不會成為系統性能瓶頸和故障點。
本文由2018年度農村金融科技創新優秀案例評選組委會授權發表,轉載請註明出處和本文鏈接。