醫共體安全守護養成記(四)丨 縣域醫共體雲平臺安全防護能力建設

綠盟科技發表於2020-05-18

前三期的醫共體安全守護養成記中,在分析醫共體安全需求的基礎上,分別從資訊化建設整體思路、安全威脅感知與應對能力建設等維度進行了詳細分享。今天,綠盟君與大家一起分享,當我們在對縣域醫共體整體安全技術體系進行設計時,雲內安全又應如何把控。

眾所周知,縣域醫共體業務應用主要搭建在雲平臺上,在圍繞醫共體雲平臺進行三重防護的同時,還應以安全資源池的方式為醫共體雲平臺提供安全資源,構建雲平臺自身的安全防護能力。

一方面應結合醫共體雲平臺的建設需求和技術理念,從安全技術維度出發,按照國家相關規定要求和醫共體整體安全防護思路,構建完整、有效的雲平臺安全保障體系架構,確保以云為基礎的醫共體業務系統安全。另一方面,在安全建設實施階段,運維門戶、租戶門戶應分離各自的安全需求。從物理裝置安全、虛擬網路安全、資料安全、應用安全、虛擬主機安全等角度,統一對接安全資源池內的各項安全資源。

 醫共體安全守護養成記(四)丨 縣域醫共體雲平臺安全防護能力建設

同時,因為安全資源池包含了vNF、vIPS、vWvss、vWAF、vNIDS、vSAS、vRSAS和vBVS等安全元件。雲資料中心部署的硬體安全裝置也應依照資源池的方式進行管理,並從如下幾個方面實施約束管理:

(1) 網路和通訊安全

透過安全資源池接入管理硬體裝置,實現雲平臺邊界安全管控,包括網路結構安全、邊界訪問控制、許可權控制、遠端訪問安全、入侵防範、惡意程式碼防範、網路安全審計等。

  • 網路架構安全

在網際網路接入域部署NF(下一代防火牆),對來自網際網路的訪問進行控制、外部入侵進行防禦。在網際網路接入域部署IDS,並採用IDS叢集負載分擔的方式進行全流量檢測。在核心交換域部署採用國密演算法的VPN閘道器,為專線接入以外的終端接入雲平臺提供安全通道。

  • 邊界訪問控制

在各安全域之間部署NF(下一代防火牆),對雲平臺劃分的各個安全域之間進行訪問控制、入侵防禦。在管理域部署堡壘主機,配合審計和訪問控制系統,對雲平臺的運維人員進行訪問控制和運維審計。

  • 遠端訪問安全

透過VPN閘道器對遠端連線進行實時監視,能夠對未授權的連線進行阻斷。在進行遠端管理時,透過部署的堡壘主機對訪問人員的身份進行雙向認證,並對操作行為進行審計。

  • 入侵和惡意程式碼防範

在網際網路接入域部署IPS入侵防禦,並透過與NF形成策略聯動,對可能存在的安全威脅進行NF策略變更;透過利用NF(下一代防火牆)上的防病毒模組,對病毒進行檢測過濾。

  • 網路安全審計

部署網路行為審計系統,提供對訪問雲平臺的網路行為的審計功能。

(2) 裝置和計算安全

裝置和計算安全主要包括雲環境中南北向和東西向的安全防護。針對雲端計算內部安全特點,擬採用安全資源池方式實現南北向和東西向流量防護、虛擬資源的隔離。

安全資源池主要負責為使用者提供多樣的、合規性模版、元件化的安全服務,租戶透過簡單的自助服務申請、開通流程即快速獲得對應的安全服務。安全資源池採用虛擬化安全資源與雲平臺接入管理的硬體安全防護措施形成互補,透過安全資源池將個性化安全配置交付給租戶自行分配,滿足等級保護、雲端計算服務能力等相關標準要求,並且透過此項劃分,更加清晰的界定了租戶和雲平臺的安全責任。

  • 南北向防護

針對雲平臺虛擬化資源南北向流量防護,安全資源池透過將防護流量牽引至安全資源池內的多種虛擬防護裝置中,為虛擬化資源提供多種安全資源的防護。

安全資源池主要採用基於X86架構的伺服器硬體資源,根據業務安全需要部署可彈性管理的虛擬化安全資源,包括虛擬防火牆、虛擬IPS/IDS、虛擬WAF、虛擬掃描器、虛擬堡壘機等,根據業務系統的安全需求進行個性化部署,實現部門之間、應用系統之間的彈性安全規劃和安全隔離。

  • 東西向防護

東西向防護對每一個虛擬機器跟外部網路或內部其它虛擬機器之間通訊的精細監控。能夠收集並分析虛機之間的資料通訊,為使用者描繪出流量模型,包括虛機之間以及不同埠組之間的流量情況。可以識別虛機流量資訊,並在此基礎上提供了流量與應用控制功能,可對虛機間的業務訪問進行細粒度的許可權控制,以過濾非法訪問。

(3) 應用和資料安全

①  應用安全

透過虛擬化安全資源池部署Web應用防火牆、Web應用安全掃描、Web應用安全監測、安全審計實現對雲平臺上應用系統安全防護; Web應用防火牆可以對常見的Web攻擊(SQL隱碼攻擊、XSS跨站指令碼攻擊、檔案上傳等)進行防護;Web應用安全掃描和監測可以對Web應用系統存在的後門進行檢測發現並且透過策略聯動和告警進行處理。

安全審計系統負責對雲平臺各類應用系統的日誌進行安全審計。

② 資料安全

透過虛擬化安全資源池部署資料庫審計、接入第三方資料庫入侵防護和防竊密裝置達到對資料庫的安全防護;

  • 資料防竊密

因接入第三方資料庫防竊密不同,所以防護方式有所不同,這裡舉例已接入資料庫安全閘道器為例:

採用資料庫安全閘道器對關係型資料庫的核心資料進行透明加密,防止核心資料竊密。

採用儲存加密閘道器對儲存空間的資料自動加密,為使用者的重要資料提供多租戶安全隔離。

採用資料交換平臺的加解密演算法,對各使用者之間資料傳輸、交換提供加密防護。

  • 資料入侵防護

因接入第三方資料庫防入侵不同,所以防護方式有所不同,這裡舉例已接入資料庫安全閘道器為例:

採購資料庫安全閘道器,為資料庫提供多層次、多手段的安全防護、阻擋利用SQL隱碼攻擊、資料庫漏洞攻擊、拖庫等駭客行為和內部違規使用資料資源的行為。

  • 資料審計

安全資源池部署虛擬化資料庫審計,負責資料審計工作,對所有資料庫操作進行完整審計,記錄包括每個操作的使用者、時間、操作命令、操作物件等,為安全事件的追溯、回放提供依據。

未來,綠盟科技將持續創新,為縣域醫共體單位提供更領先的安全解決方案,並與更多生態夥伴開展技術創新、聯合研究等,助力醫共體的快速發展。關於醫共體網路安全建設詳細建設方案歡迎致電綠盟科技當地銷售和技術人員。

相關文章