云安全资源池解决方案

云安全资源池解决*安全是云计算重要环节云计算是IT发展趋势，但是安全成为影响云计算持续发展的主要*安全是云计算发展最大担忧云计算所面临的挑战中，安全问题排在首位75%用户在安全性上犹豫不决Source：IDCEnterprisePanel（国际数据公司IDC）Diagramm1 44.3 49.2 50 50.4 55.8 61.1 63.1 63.1 74.6Jan-11Sheet1 Notenoughmajorsuppliers Regulatoryrequirementsprohibitcloud Maycostmore Bringbackin-housemaybedifficult Notenoughabilitytocustomize Hardtointegratewithin-houseIT Availability Performance Security Jan-11 44.3 49.2 50 50.4 55.8 61.1 63.1 63.1 74.6**安全权责划分与合规的需求云安全不再是平台技术提供方或是平台运营方的事情为租户提供可选择的安全方案。运营安全生态云平台技术对网络、数据等提供安全保障保证平台物理层安全通过使用平台提供的安全服务，保证自身业务安全为云环境下平台、租户安全提供指导，通过保证平台、租户安全云平台技术对网络、数据等提供安全保障保证平台物理层安全***减少租户上云顾虑、满足业务安全的需求在以上流程中，亟需平台方去解决的是： 现有应用架构，特别是数据库能否正常运行 安全如何保障，平台方能否提供与线下原有数据中心匹配的安全能力租户上云流程***为租户提供安全可视、可自定义配置的需求线下原有数据中心租户云上数据中心安全可配置安全可视“黑盒” 平台层打包“安全服务”，租户只管上云。 所有安全服务打包在“黑盒”中，无法提供租户个性化配置界面？？安全不可视流量路径不可视***持续增值和安全生态运营的需求 硬件设备提供的安全能力，如何以增值服务的方式提供给租户？ 平台运营方如何快速掌握安全能力，并交付用户？ 租户的安全需求是持续的、不断更新的，如何通过安全生态运营满足不断变化的安全需求**现有云安全方案实现云计算是IT发展趋势，但是安全成为影响云计算持续发展的主要**云安全建设现状010302紧耦合方案： 平台自带安全组件 安全镜像方案部分解耦合： 硬件一虚多完全解耦合： DNS引流方案 虚拟机引流方案*硬件一虚多方案硬件一虚多设备VM1VM2VM2 租户A购买的套餐需要提供防火墙、IPS和负载功能，保证处理能力的10% 租户B购买的套餐需要提供防火墙、LB功能，保证处理能力5% 其他租户购买的套餐需要提供防火墙功能，限制处理能力5% 租户与VLAN关联，入站出站流量需经过该硬件进行清洗。 当前能够支持一虚多的硬件云安全解决方案，支持功能较少，大多数仅支持IPS、FW、LB功能。vSwitchVFWWebServerAppServerDBServervlan100（租户A）Vlan200（租户B）vlan500（租户C）应用背景实现过程*设备镜像化交付方案应用背景 云平台完成搭建，平台层面安全已经建设完成。 租户对业务层面安全提出要求，平台方运营方需要一种快速、对平台改动最小的方案。 安全厂商将原有硬件设备以镜像化的方式部署 与云平台无法深度耦合实现过程 安全产品提供方，需要根据不同云平台架构进行产品适配 云平台一般只能够提供操作系统镜像（如windowsServer、Linux各版本），但安全产品镜像是非标准的操作系统，所以需要平台方协调安装 交付后。需要在租户层面做路由、网关的更改，使流量经过安全镜像*SAAS安全服务交付方案应用背景 云平台租户有对外发布的WEB业务，比如网站业务。 由于网站业务的特性，租户需要对网站经常受到的篡改、SQL注入、跨站等攻击进行防范。 能够对DDoS、CC攻击具备一定的流量清洗能力。实现过程 针对租户网站业务，提供SAAS安全服务，即网站用户访问流量经过SAAS安全服务清洗后，返回到源站IP。 需要用户在DNS服务商处修改CNAME，CNAME指向指定的地址，从而完成流量牵引 通过以上，完成对外WEB业务常见安全风险的防范互联网互联网SAAS服务商目标网站目标网站访问请求访问请求修改DNS记录，使用户的网站访问请求先经过SAAS服务商，经过清洗后，到达目标网站直接访问网站流程*现有云架构下最优的方案1.完全解耦合，权责清晰2.全流量引流3.全威胁可视、防御*深信服云安全资源池方案深信服云安全资源池功能概览安全可运营安全运营安全加固咨询人工应急响应入侵防御IPSECVPNSSLVPN堡垒机数据库审计云端检测安全咨询安全状态监控业务风险统一分析原有数据中心业务接入安全接入漏洞攻击渗透测试网页篡改Web攻击访问控制数据窃取统一安全资源分配流量可视安全日志统一运维业务安全业务接入安全可视威胁可视流量可视策略可视安全网络可视资产可视业务负载业务接入Web防护数据防泄密业务安全防护L4-L7应用控制防病毒功能网页防篡改云安全资源池用户业务安全运营云平台平台层安全运营安全服务编排平台、数据层面，参考阿里云**整体拓扑架构示意图核心交换平台层物理安全云安全服务云平台租户租户租户深信服云安全资源池策略路由云安全资源池底层架构—软件定义的超融合平台网络虚拟化安全接入包基础防御包基础防御包超融合平台安全实力虚拟化实力云安全资源池方案高级防御包失陷主机发现包**云安全资源池组件深信服云安全服务依托于深信服企业级公有云平台（xyclouds）提供安全增值服务，服务交付方式为轻量级交付，具体为： 修改DNSCNAME记录，使用户流量经过云平台清洗后返回源站。提供如下功能： 资产发现：自动识别域名、IP、服务、网站、应用资产； 风险感知：发现漏洞风险、配置风险、内容风险、数据风险、资产风险、应用风险； 风险预警：企业应用漏洞预警、全球安全事件预警、高危风险预警； 专家咨询：专家咨询、漏洞验证、人工渗透、应急响应*安全资源服务交付流程平台方运营方界面*安全资源服务交付流程——发起请求租户A的业务主要是面向系统内部员工开放的，为了保证内部系统数据传输安全，需要使用IPSECVPN互联，需要对内部系统开启IPSWAF网页防篡改等功能所以，建议租户选择“安全接入包”“基础防御包”“高级防御包”租户B的业务是面向公众的，系统架构为B/S架构，公众通过域名访问。为了避免系统被恶意扫描、入侵、篡改，系统出现问题，可以及时发现，所以建议用户使用使用“基础防御包”“高级防御包”“云端检测包”。另外，为了保证系统的可用性，提升服务器、业务系统的使用效率，可以建议用户选择增值服务包中的“负载均衡”高级防御包*安全资源服务交付流程——定义安全服务安全服务定义场景定义交付功能定义*安全资源服务交付流程——分配安全服务*安全资源服务交付流程——安全服务编排租户A安全服务租户B安全服务基础防御包高级防御包云端监测包云端监测包安全接入包高级防御包授权资源池 安全服务编排，释放租户需要的安全服务 自动化网络基础信息配置（IP、路由等）云安全资源池安全资源服务运营-安全资源管理员资源管理员：根据租户选择的服务包类型，分配服务包到租户账户下，安全资源管理员拥有安全服务编排权限安全资源运行报告与日志：根据安全资源池租户使用情况，按照月、季度、年生成资源运行报告，针对资源使用/分配情况占比，资源利用率等维度，为租户、平台运维方提供有效资源配置建议**安全资源服务日常运营流程面向租户运营界面云安全服务中心——租户安全服务可视、可配置流量可视模块：由于云上流量的不可视，导致用户对自己虚拟网络架构内部应用流量交互不清晰，流量可视模块，为用户展现网络流量组成（哪些具体应用，流量大小等），让用户随时了解业务流量组成安全可视模块：安全资源池内各组件（IPS组件、WEB防火墙组件、失陷主机组件等）的日志，通过安全可视模块进行收集，统一汇总，对用户汇总展现当前业务系统面临的风险。租户自管理界面：未租户提供安全服务包管理界面，每个租户可以对自己的个性化WAF、访问控制、IPS等安全策略进行配置，支持租户定义不同等级的管理员。**云安全资源池价值展现面向租户界面*深信服云安全资源服务的价值方案的优势**权责清晰、安全合规平台权责租户权责合理利用平台提供的相关安全技术，维护业务安全满足相关部门合规性要求对自身业务安全策略进行维护保证平台安全，避免平台层漏洞成为攻击跳板平台层合规性提供流程化的用户需求实现方案满足用户多样化安全需求方案的优势**能力运营、业务增值传统硬件方案仅能够满足云平台初期建设基本需求如何将硬件设备提供的安全服务运营起来？打造“云化”安全基础计算资源已经没有增值空间了，如何在租户安全上实现增值方案的优势**安全可视、持续检测完整的攻击链条探测边界突破持续渗透安装工具横向移动窃取/破坏基础防御包失陷主机发现包失陷主机发现包攻击路径可视方案的优势**交付便捷、运维简化服务化交付，仅需要配置用户安全服务IP，每个租户安全服务完全隔离平台层交付安全服务，保障安全服务可用，租户配置个性化安全策略，简化运维数据流VLAN分配路由策略IPS策略WAF策略自动化业务流租户隔离服务化交付其他安全策略平台方交负责平台安全运维复杂的安全交付日常运维变得简单过去的云安全交付、运维现在的云安全交付、运维用户自行寻找安全软件地址分配策略调整缺少用户界面用户负责自身业务安全运维用户安全运维服务托管方案的优势**生态开放、快速上云开放生态云安全资源池提供开放的生态，第三方安全厂商，提供标准的安装文件，即可完成产品导入对云管平台提供接口，允许云管平台通过接口调用的方式整合计算+安全资源简化流程告别了复杂的上云前防火墙、waf、交换机等配置策略，同时提供多样化的安全套餐供用户选择，缩短用户上云流程通过标准化产品交付，减少与用户反复沟通的时间方案的优势*技术特色云计算是IT发展趋势，但是安全成为影响云计算持续发展的主要**安全资源池——平台稳定性 实现云安全资源池安全服务高可用，无需使用昂贵、复杂的传统安全硬件设备集群解决方案 最大限度地减少硬件、软件故障造成的安全服务中断时间 提高整个基础架构范围内的保护力度基础防御包云端监测包安全接入包高级防御包租户A安全服务租户B安全服务安全资源池——平台性能线性扩充基础防御包（10M授权）高级防御包（10M授权）云端监测包（5M授权）安全接入包（5M授权）高级防御包（5M授权）平台线性扩容 平台性能不足时，可以通过扩充标准服务器加入到集群中，保障平台性能 当用户分配安全服务性能不足时，亦可线性扩充性能租户A安全服务租户B安全服务基础防御包（5M授权）租户安全服务包性能不足基础防御包（50M授权）高级防御包（50M授权）汇报完毕感谢聆听**云计算是IT发展趋势，但是安全成为影响云计算持续发展的主要**********云计算是IT发展趋势，但是安全成为影响云计算持续发展的主要*平台、数据层面，参考阿里云****方案的优势*方案的优势*方案的优势*方案的优势*方案的优势*方案的优势*云计算是IT发展趋势，但是安全成为影响云计算持续发展的主要**