依据RSC BR IBBS-2.8-2015设计虚拟化环境的信息安全架构
在设计虚拟化环境中的信息安全架构时,关键步骤是明确安全边界。若系统处理支付交易(PTP)或个人数据(PDP),必须设立独立的安全区域:PTP区与PDP区。若无此类要求,则根据业务流程的关键程度划分安全区域。
不同安全区域的虚拟机(VM)必须进行物理隔离。将虚拟机部署在独立的物理服务器上,可最大限度降低威胁传播风险。若使用共享主机,则必须按第6.2节要求,在虚拟化层实现逻辑隔离。
网络访问分离通过经认证的三层防火墙强制执行。仅允许来自PTP工作站的访问进入PTP区域虚拟机,仅允许来自PDP工作站的访问进入PDP区域虚拟机(第6.3、6.4、6.9节)。
虚拟机管理程序配置与虚拟机镜像管理
强烈建议使用经认证的虚拟机管理程序(第6.11节)。配置包括:
- 为每个安全区域分配专用的逻辑内存区域(第6.5节)。
- 禁止虚拟机与宿主操作系统之间的未经授权的数据交换。
虚拟机镜像管理必须遵循严格流程:
- 创建基础镜像。
- 在专用服务器的隔离环境中进行测试。
- 扫描恶意软件并验证安全控制机制的完整性。
- 在部署前获得信息安全团队审批(第7.1–7.8节)。
ABS的一个服务器组件对应一个虚拟机——不允许合并部署。对于VDI环境,任何更改均不得保存至基础镜像,必须强制回滚。
基础镜像 -> 测试环境 -> 恶意软件/安全检测 -> 信息安全审批 -> 生产环境
管理与组件防护
虚拟机管理程序和主机管理必须仅通过管理段内的专用工作站完成(第8.1节)。经认证的安全工具必须防止未授权访问(UAA,第8.2节)。虚拟化组件绝不可安装在虚拟机内部(第8.4节)。
强制日志记录包括:
- 虚拟机启停事件。
- 网络配置变更。
- 镜像复制活动。
- 管理员登录记录(第8.7节)。
虚拟机防护在虚拟机管理程序层面实施:客户操作系统中采用无代理型防病毒方案(第9.6节)。经认证的安全工具持续监控软件完整性和访问控制(第9.4节)。
对于工作站,访问PTP/PDP区域需启用双因素认证(令牌)(第10.5节),同时须具备可信操作系统启动和端口管控功能(第10.1、10.3节)。
角色分离与存储区域网络(SAN)防护
角色分离旨在避免职责重叠(第12.2节):
- 虚拟机管理员:负责虚拟机内应用程序的管理。
- 虚拟化管理员:负责创建虚拟机及管理镜像。
- 虚拟化信息安全管理员:负责网络配置与访问策略设定。
- SAN管理员:负责磁盘阵列管理。
任何单一人员均不得同时拥有对虚拟机管理程序、存储系统及虚拟机内容的全部访问权限。
存储区域网络(SAN)必须按安全区域(PTP、PDP、系统)划分为逻辑分区(第13.1节)。PTP分区的访问权限仅限于PTP虚拟机(第13.3.1节)。
核心要点
- PTP/PDP区域之间必须实现物理隔离;逻辑隔离仅在必要时启用。
- 所有安全工具与虚拟机管理程序必须通过FSB/FSTEC认证。
- 角色模型严格区分虚拟机管理程序、SAN与虚拟机的管理职责。
- 虚拟机镜像在部署前必须经过强制测试与信息安全团队审批。
- 虚拟机管理程序与安全工具事件日志需集中记录于专用服务器。
— Editorial Team
暂无评论。