大數(shù)據(jù)平臺安全加固工程應(yīng)用案例分析大數(shù)據(jù)平臺安全加固工程應(yīng)用 1 11.2系統(tǒng)現(xiàn)狀 11.2.1大數(shù)據(jù)資源池現(xiàn)狀 1 21.3本期安全建設(shè)需求 3 4 41.4.2入侵檢測系統(tǒng)(IDS) 4 41.4.4堡壘機 51.4.5綜合安全審計 6 71.4.7方案總結(jié) 71.1項目背景中國電信云公司2015年啟動了大數(shù)據(jù)資源池工程建設(shè)，收集中國電信各網(wǎng)絡(luò)、各系統(tǒng)的數(shù)據(jù)和用戶信息，經(jīng)過平臺的挖掘處理操作，向第三方提供相關(guān)產(chǎn)品。目前云公司已成功設(shè)計開發(fā)出天翼探針探針、實時競價、數(shù)據(jù)終端魔方三款大數(shù)據(jù)產(chǎn)品，已完成產(chǎn)品上線前的測試，計劃于2020年上半年正式上線。由于大數(shù)據(jù)資源池的部分?jǐn)?shù)據(jù)涉及用戶的敏感信息(如身份證號碼、家庭住址、銀行卡號等),為了有效避免用戶個人信息的泄漏風(fēng)險，必須要針對大數(shù)據(jù)資源池實施嚴(yán)格的安全加固措施，全面提升其安全防護(hù)等級，有效防止個人用戶信息泄露象，并在此基礎(chǔ)上為數(shù)據(jù)平臺安全運行提供保障。[47]1.2系統(tǒng)現(xiàn)狀1.2.1大數(shù)據(jù)資源池現(xiàn)狀大數(shù)據(jù)資源池組網(wǎng)情況如下圖所示：CiscoNexus7010CiscoNeA6二層傳輸機房A6二層傳輸機房(數(shù)據(jù)采集、數(shù)據(jù)清洗設(shè)備)華為S5352接入交換機-2華為S53520接入交換機-10接入交換機-3~9采集服務(wù)器*6配置管理(日常服務(wù))服務(wù)器*6主控節(jié)點服務(wù)器*6計算及存儲節(jié)點服務(wù)器*64以下針對不同設(shè)備的組網(wǎng)進(jìn)行詳細(xì)闡述：(1)網(wǎng)絡(luò)層：匯聚交換機萬兆線路雙上聯(lián)至園區(qū)的核心交換機，防火墻兩條萬兆線路旁掛至匯聚交換機，接入交換機以成對或多對萬兆線路雙上聯(lián)至兩臺匯聚交換機，實現(xiàn)網(wǎng)絡(luò)層的負(fù)載均衡、鏈路冗余。(2)計算服務(wù)器：萬兆線路雙上聯(lián)至兩臺匯聚交換機傳輸內(nèi)網(wǎng)通信數(shù)據(jù)；4條千兆線路端口綁定后雙上聯(lián)至兩臺接入交換機傳輸至外網(wǎng)的數(shù)據(jù)。1.2.2安全現(xiàn)狀分析當(dāng)前大數(shù)據(jù)資源池安全保障手段包括VLAN劃分和配置防火墻。根據(jù)數(shù)據(jù)通信及網(wǎng)絡(luò)訪問需求，大數(shù)據(jù)資源池網(wǎng)絡(luò)訪問區(qū)域可分為5類，共劃分了6個VLAN:序號區(qū)域功能1計算網(wǎng)→計算網(wǎng)計算網(wǎng)內(nèi)部訪問，不需2采集網(wǎng)→計算網(wǎng)3可訪問全部服務(wù)器，主計算及存儲服務(wù)器、4管理網(wǎng)+服務(wù)網(wǎng)(→外網(wǎng)管理服務(wù)器備用：20Z5采集網(wǎng)→外網(wǎng)采集外網(wǎng)數(shù)據(jù)(二)防火墻目前，大數(shù)據(jù)資源池配置一對防火墻，旁掛至匯聚交換機，作為轉(zhuǎn)發(fā)路徑處理所有進(jìn)出公網(wǎng)的數(shù)據(jù)流量，同時開啟了NAT地址轉(zhuǎn)換，作為內(nèi)網(wǎng)和外網(wǎng)間隔離的網(wǎng)關(guān)，只開放需求端口。針對大數(shù)據(jù)資源池在采取以上各類安全防護(hù)之外目前還沒有形成其他可靠的安全防護(hù)措施。按照數(shù)據(jù)量飛速的增長和累計，各類敏感信息在內(nèi)的用戶數(shù)據(jù)將不斷經(jīng)過大數(shù)據(jù)平臺的采集、存儲、處理信息泄露和平臺被攻擊的風(fēng)險將與日俱增。為大數(shù)據(jù)資源池建立完整的安全體系和進(jìn)行全面的安全加固需盡快完成。為保證相關(guān)產(chǎn)品的正式上線，本期工程以2020年1月底工程實現(xiàn)為目標(biāo)，滿足大數(shù)據(jù)資源池初期安全建設(shè)需求，以此為基礎(chǔ)對第三方所發(fā)出的各類數(shù)據(jù)進(jìn)行深入審計，通過這種方式來完成大數(shù)據(jù)資源池網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)，進(jìn)行各個子域全面的安全加固。具體安全建設(shè)需求如下：(1)針對大數(shù)據(jù)資源池的網(wǎng)絡(luò)安全分域：可以充分結(jié)合實際業(yè)務(wù)開展的具體特征來實現(xiàn)網(wǎng)絡(luò)安全域精確劃分，通過這種方式全面整合各網(wǎng)絡(luò)安全域的邊界。(2)針對數(shù)據(jù)內(nèi)容進(jìn)行檢測和審計：面對海量發(fā)布信息需要進(jìn)行深入的審計和檢測，這樣才能避免在數(shù)據(jù)發(fā)布中產(chǎn)生敏感信息泄露問題。(3)安全防護(hù)：進(jìn)行系統(tǒng)安全基線配置和安全加固，實現(xiàn)統(tǒng)一接入、身份(4)針對數(shù)據(jù)的安全監(jiān)控：增加網(wǎng)絡(luò)主機，并全面審計網(wǎng)絡(luò)和各類安全設(shè)(5)安全預(yù)警：完成安全加固后，對大數(shù)據(jù)資源池整體進(jìn)行安全測評。1.4工程建設(shè)方案區(qū)域，將原外網(wǎng)交互4臺物理主機調(diào)整到新增域中。資源池原有2臺防火墻調(diào)整針對大數(shù)據(jù)安全平臺配置了網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS,該系統(tǒng)與核心交換機之該技術(shù)是以應(yīng)用層流量檢測和控制技術(shù)作為基礎(chǔ)，當(dāng)以dpi技術(shù)所建立起來的帶寬系統(tǒng)中通過IP數(shù)據(jù)包、TCP或者是udp數(shù)據(jù)流的情況時，能夠針對IP包載荷中所包含的各類內(nèi)容進(jìn)行深入讀取之后，來實現(xiàn)os組，在此基礎(chǔ)上就能夠詳細(xì)獲取整個應(yīng)用程序內(nèi)容，最后具體針對數(shù)據(jù)流量嚴(yán)格按照管理策略來實現(xiàn)深入整形。DPI技術(shù)在實際應(yīng)用過程中主要具備了業(yè)務(wù)識別、本期大數(shù)據(jù)資源池安全加固DPI功能需求包括數(shù)據(jù)服務(wù)協(xié)議、訪問控制列表(ACL)、交換格式(JSON、XML)和數(shù)據(jù)服務(wù)內(nèi)容。1.4.4堡壘機為了能夠充分保障大數(shù)據(jù)平臺能夠?qū)崿F(xiàn)賬戶、權(quán)限、認(rèn)證、審計各類管理工作的集中化，引入了一種堡壘機。堡壘機可為主機應(yīng)用系統(tǒng)提供單點登陸，其核心功能如下：[50]1)登錄操作：面向系統(tǒng)中的數(shù)據(jù)庫、各類安全設(shè)備、操作系統(tǒng)，能夠相應(yīng)的按照特定周期來提供密碼的自動更改，讓密碼的管理過程得到進(jìn)一步簡化，這樣用戶在登錄系統(tǒng)的過程中就不需要記錄繁瑣的密碼；2)實現(xiàn)賬號管理：針對整個系統(tǒng)中所包含的各類網(wǎng)絡(luò)設(shè)備、服務(wù)器以及安全設(shè)備等應(yīng)用過程中需要的各類賬號實施集中化管理，而且可以從全生命周期的角度實現(xiàn)各類賬號的及時監(jiān)控；3)針對個人身份進(jìn)行認(rèn)證：通過認(rèn)證機構(gòu)的統(tǒng)一化管理，可以相應(yīng)的配備動態(tài)口令、硬件Key以及靜態(tài)密碼等多重認(rèn)證方式，在此基礎(chǔ)上就能夠保障系統(tǒng)與第三方認(rèn)證服務(wù)器之間建立起有效的連接；4)實現(xiàn)資源的授權(quán)：面向系統(tǒng)中的目標(biāo)設(shè)備、協(xié)議類型IP、行為等相關(guān)要素，通過授權(quán)相關(guān)操作，實現(xiàn)用戶資源的安全性得到最大程度保障；5)訪問控制：支持對不同用戶進(jìn)行不同策略的制定和顆粒度的訪問控制，最大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問事件的發(fā)生；6)針對個人操作進(jìn)行審計：對各運維人員使用系統(tǒng)、數(shù)據(jù)庫、安全以及網(wǎng)絡(luò)設(shè)備采取的各種操作設(shè)施及其監(jiān)控，針對操作過程中的各類違規(guī)行為進(jìn)行事中控制。能夠能夠精確地搜索不同終端指令所對應(yīng)的信息，并完成精確定位。部署方案：堡壘機部署在安全管理域，采用物理旁路、邏輯串聯(lián)的部署思路，首先通過配置交換機或需要管理設(shè)備的訪問控制策略，只允許堡壘機的IP可以訪問需要管理的設(shè)備；其次在堡壘機建立與交換機的連接之后，確保保障運維人員與堡壘機IP之間實現(xiàn)可達(dá)。通過合理的布置堡壘機，能夠讓整個大數(shù)據(jù)平臺運維管控實現(xiàn)集中化和有序化，通過唯一身份標(biāo)識的基本原則針對個人訪問和賬戶進(jìn)行集中化控制，進(jìn)而實現(xiàn)與各類網(wǎng)絡(luò)設(shè)備和不同服務(wù)器之間的無縫連接，滿足后期的運維管控和審計的精細(xì)化和集中化需求，將人為引發(fā)的安全風(fēng)險控制在最低程度，盡可能避免產(chǎn)生安全損失，同時能夠達(dá)到各類合規(guī)一些要求，為企業(yè)效益提供基本保障。1.4.5綜合安全審計在大數(shù)據(jù)的運維管理、安全事件追溯和取證調(diào)查等方面，大數(shù)據(jù)構(gòu)架體系的安全審計發(fā)揮的作用是不可替代的。為實現(xiàn)大數(shù)據(jù)資源池整體的數(shù)據(jù)、設(shè)備及訪問管理，本期新增安全綜合審計系統(tǒng)，實現(xiàn)對全量硬件設(shè)備的統(tǒng)一日志收集和審對各類業(yè)務(wù)審計系統(tǒng)進(jìn)行部署時，按照相應(yīng)規(guī)則實現(xiàn)運維人員的身份行為審計，同時也可以針對內(nèi)部機制進(jìn)行逐步強化：采取集中審計的模式來針對運維人員的各類操作行為進(jìn)行全面記錄和分析，這樣就能夠為后期進(jìn)行日志查詢和分析提供極大的便利。存儲容量測算：在當(dāng)前的大數(shù)據(jù)平臺中，所使用的日志審計系統(tǒng)應(yīng)同時面向超過200多臺的設(shè)備進(jìn)行日志審計?？紤]單臺設(shè)備日志日志數(shù)3000條/小時，且每一條日志大小為1KB的情況，則每天面對200臺設(shè)備需要審計的日志數(shù)量能夠達(dá)到1440萬條，總體的審計量能夠達(dá)到15GB。按照系統(tǒng)的審計需求，需要將審計結(jié)果和原始信息至少保留6個月，由此可以計算出，系統(tǒng)內(nèi)部配置的Raid5的SATA硬盤容量最少要達(dá)到3.5TB。部署方案：對于整個平臺中所配置的安全審計系統(tǒng)來說，其本身其屬于軟硬件設(shè)備共同構(gòu)成的一種產(chǎn)品，硬件部分中主要涉及到的是被保護(hù)服務(wù)域以及安全管理服務(wù)域中所涉及到的交換機。由于日志審計主要采取的是旁路監(jiān)聽的模式，因此必須要將鏡像端口設(shè)置在交換機上。軟件主要是在服務(wù)器上進(jìn)行安裝，而服務(wù)器本身與網(wǎng)絡(luò)之間進(jìn)行連接，在此基礎(chǔ)上才能夠保證各組件之間實現(xiàn)正常通訊。針對業(yè)務(wù)審計系統(tǒng)進(jìn)行配置的過程中，對大數(shù)據(jù)平臺基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)和運維模式不會產(chǎn)生影對于大數(shù)據(jù)資源池環(huán)境來說安全審計系統(tǒng)主要是面向其各類操作行為來全面實施細(xì)粒度合規(guī)性的審計。在全面分析、記錄和詳細(xì)匯報被授權(quán)人員的各類網(wǎng)絡(luò)訪問行為之后，為用戶提供事前規(guī)劃預(yù)防、事中監(jiān)測、風(fēng)險響應(yīng)、是否追綜合合規(guī)報告等各類功能，并對系統(tǒng)本地的日志信息進(jìn)行收集、統(tǒng)一存儲及關(guān)聯(lián)分析，加強對運維人員的行為監(jiān)管、避免核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失、保障業(yè)務(wù)系統(tǒng)的正常運營。1.4.6安全加固服務(wù)和安全運維服務(wù)必須要嚴(yán)格落實和執(zhí)行大數(shù)據(jù)業(yè)務(wù)中出現(xiàn)的設(shè)備基線配置和漏洞缺陷管控措施，同時還要對整個系統(tǒng)中各類安全設(shè)備的正常運維給予充分保障。本期購買了一次安全漏掃和安全加固服務(wù)，同時也購買了半年安全運維服務(wù)。具體內(nèi)容包括遠(yuǎn)程漏洞掃描服務(wù)、系統(tǒng)安全加固指導(dǎo)、安全監(jiān)控服務(wù)、運維安全審計服務(wù)、集中日志審計服務(wù)、審計日志及安全監(jiān)控日志的完整性保障、入侵防御服務(wù)、安全策略運行維護(hù)服務(wù)和安全設(shè)備運維護(hù)服務(wù)。本期大數(shù)據(jù)資源池安全加固工程在大數(shù)據(jù)資源池嚴(yán)格實施安全分域，將系統(tǒng)內(nèi)部當(dāng)前配置的4臺物理主機和兩臺防火墻設(shè)備劃分到外聯(lián)域，同時將交換機和DPI調(diào)整至外聯(lián)域中，通過這種方式來實現(xiàn)與外部網(wǎng)絡(luò)連接的統(tǒng)一化。與此同時對各子域進(jìn)行管理的過程中要相應(yīng)的增加堡壘機和安全審計系統(tǒng)，通過這種模式能夠?qū)崿F(xiàn)系統(tǒng)一鍵登錄，并實現(xiàn)各類賬號的身份認(rèn)證和管理，同時也能夠針對個人日志信息進(jìn)行綜合審計。本期還增加一套網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS旁掛在核心交換機上，接入核心交換機進(jìn)行數(shù)據(jù)監(jiān)聽，對所有經(jīng)過核心交換機的數(shù)據(jù)流量全量檢測。本期工程新增設(shè)備如下表所示。序號設(shè)備名稱1臺2單臺配置48個千兆和4個萬兆光口2防火墻