6.2.2  云平臺訪問控制

6.2.2.1  網(wǎng)絡(luò)安全訪問控制

用戶與云平臺之間應(yīng)進(jìn)行路由控制，建立安全的訪問路徑，并增加適當(dāng)?shù)木W(wǎng)絡(luò)安全配置策略。

平臺管理人員應(yīng)根據(jù)各系統(tǒng)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。

應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處或直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；重要業(yè)務(wù)網(wǎng)段的邊界應(yīng)當(dāng)部署防火墻、IPS或用ACL等手段進(jìn)行技術(shù)隔離。

可采用如下措施加強(qiáng)云平臺網(wǎng)絡(luò)控制：

1)限制管理終端對網(wǎng)絡(luò)設(shè)備的訪問：

2)設(shè)置安全訪問控制，過濾掉已知蠕蟲常用端口；

3)關(guān)閉未使用的端口，如路由器的AUX口：

4)關(guān)閉網(wǎng)絡(luò)設(shè)備不必要服務(wù)，如FTP、TFTP服務(wù)等；

5)避免在遠(yuǎn)程維護(hù)過程中出現(xiàn)用戶賬戶和設(shè)備配置信息泄露，如采用安全的SSH登錄遠(yuǎn)程維護(hù)設(shè)備；

）修改BANNER提示，避免默認(rèn)BANNER信息泄露系統(tǒng)平臺及其他信息；

7)禁止管理、維護(hù)終端同時(shí)連接內(nèi)網(wǎng)與互聯(lián)網(wǎng)；采取必要的技術(shù)手段，防止終端的違規(guī)外聯(lián)。