云安全整体防护技术PPT课件

1、云安全整体防护技术绿盟科技 李文昌云计算概念公有云私有云混合云社区云软件即服务软件即服务SaaS平台即服务平台即服务PaaS基础设施即服务基础设施即服务IaaS宽带接入宽带接入快速弹性架构快速弹性架构可计费服务可计费服务按需自服务按需自服务资源池化资源池化五个基本特征三种服务交付模式四种部署模式云安全？2009年2月，谷歌Gmail电子邮箱爆发全球性故障，服务中断时间长达4小时2009年3月，微软云计算平台Azure服务中断运行约22小时2011年3月，谷歌邮箱爆发大规模用户数据泄露事件，约15万Gmail用户邮件记录被删除2011年4月，亚马逊云数据中心服务器大面积宕机，这一事件被认为是亚马

2、逊史上最严重的云计算安全事件2011年4月，索尼PS3、音乐、动画云服务网络遭黑客入侵，大量用户登录的个人信息遭泄露，受影响用户多达7700万人，涉及57个国家和地区2013年4月，苹果公司的iCloud断网，影响到包括登录、电邮、GameCenter和iTunes的各种服务。2015年3月，微软有两项Azure公有云服务发生故障，虚拟机、网站和其他云服务瘫痪数天时间，微软作为全球第二大公有云服务提供商，向客户通知称这次服务故障的根源是存储发生了问题。2017年2月，知名云安全服务商 Cloudflare 被爆泄露用户 HTTPS 网络会话中的加密数据长达数月，受影响的网站预计至少200万之多

3、，其中涉及Uber、1password 等多家知名互联网公司的服务。截至2017年，OpenStack共披露了130多个漏洞，vmware共被披露了800余个漏洞。云计算与虚拟化技术云计算的技术实现方式，包括：虚拟化构成的云， 例如：Amazon EC2应用程序/服务构成的云， 例如：Google App Engine虚拟化管理程序（Hyporvisor）IaaSPaaSSaaS虚拟化部分网络硬件存储虚拟化管理程序虚拟机操作系统中间件应用程序网络硬件存储虚拟化管理程序虚拟机操作系统中间件应用程序网络硬件存储虚拟化管理程序虚拟机操作系统中间件应用程序SaaSPaaSIaaS服务交付模式与基础设施

4、的关系虚拟化构成的云云计算带来的安全挑战云计算采用了新技术、新服务模式，在带来益处的同时，也导致和引发了新的安全风险和挑战。用户失去对物理资源的直接控制云服务商的信任问题云计算技术导致的问题：资源共享虚拟化安全漏洞虚拟机逃逸虚拟化环境下的技术及管理问题：多租户的安全隔离作恶的云云计算服务模式引发的安全问题：虚拟化网络带来的问题南北流量主要是指外部公网进出云计算内部的流量;途中东西流量主要是指租户之间的访问所产生的流量，或是一个租户内部不同虚拟机之间的流量；图中VM1VM2LeafSpineSpineLeafLeafVM3VM4VXLANInternetVM5VM6vSWvSWvSW虚拟化网络带

5、来的问题p 东西向流量的不可见 vm1和vm2在同一台物理主机内，两者通信只存在于vm1、虚拟交换机和vm2之间，无法被外部防火墙监控到，自然无法做到访问控制虚拟化网络带来的问题p 隧道封装（VxLAN、NVGRE），传统设备无法识别流量vm1和vm3在不同的物理主机内，虽然两者的通信经过外部防护墙，但由于物理主机之间通过隧道相连。如果防火墙只是简单的部署在物理交换机一侧，那么它只能看到通信的数据包，而不能去掉隧道头部，解析vm1到vm3的流量安全防护的变化从技术层面上来讲，云是资源利用的新的方式,安全本质没有发生变化，是传统安全在云的延伸云环境的网络安全防护，需要面临如下改变：安全设备形态的

6、变化安全弹性扩展的变化网络部署方式的变化安全按需分配的变化核心：安全能力也具备云的虚拟、弹性、敏捷、开放等特点云安全要解决的问题等保合规性要求公共云计算中安全域隐私通用云计算环境（标准草案）云计算安全障碍与缓和措施云计算关键领域安全指南云控制矩阵云审计云计算参考体系（标准）云计算安全与隐私管理系统ISO/IEC DIS 17203虚拟机迁移云计算-信息安全保障框架云计算-信息安全的好处，风险和建议GB/T 31167:2014 信息安全技术 云计算服务安全指南GB/T 31168:2014 信息安全技术 云计算服务能力要求GB/TXXXX:XXXX 信息安全技术 云计算服务安全能力评估方法(草

7、案）GB/TXXXX:XXXX 信息安全技术 云计算安全参考架构（草案）GB/T 22239.2 信息系统安全等级保护 云计算安全扩展要求（草案）GB/T XXXX 信息系统安全等级保护 云计算安全扩展测评要求（草案）工信部 YD/T 3157-2016 公有云服务安全防护要求工信部 YD/T 3158-2016 公有云服务安全防护检测要求GW0013-2017 国家电子政务外网标准云安全防护重点防护资产对象防护资产对象云环境特定要求云环境特定要求防护重点防护重点东西向流量防护南北向流量防护虚拟主机防护虚拟化平台防护物理主机防护适应虚机动态迁移弹性伸缩按需开通、按量计费资源共享、多租户/多系统

8、面向内部人员的集中化运维面向租户的个性化展示云安全解决方案p 云安全解决方案架构p 云安全管理平台p 安全资源池云安全方案整体架构传统盒子虚拟化产品虚拟化产品+KVM+x86服务器安全资源池入侵检测 APPWeb安全APPWeb安全子平台抗D子平台入侵防护子平台资源管理服务开通流量调度服务编排数据采集数据分析安全管理平台抗DAPP安全态势APP控制vIPS IPS IPS WA vWAF WAFF W vFW FW资源应用SDN控制器SwitchSwitchSwitchvSwitchvSwitch适配云管理平台对接VMVM VMVMVM云安全的三个步骤全面的、有效的安全服务与运维保护云里的租户

9、提供面向租户业务的专业防护和流量监控保护云平台和边界从物理基础设施、网络、系统等层面进行综合、纵深的防护云安全解决之道保护云基础设施FW：下一代防火墙ADS：抗拒绝服务NTA：流量监测分析IPS：入侵防御系统WAF：Web应用防火墙SAS：安全审计 堡垒机WVSS: WEB应用漏洞扫描系统RSAS: 远程安全评估系统BVS： 安全配置核查系统云内如何有效、全面的安全防护呢？vFWvSASvIDSvWAFvRSASvSAS-HvIPSvBVS整体防护服务平台运维平台资源管理服务开通流量调度服务编排数据采集数据分析云安全管理平台全面的、有效的安全管理与运维云安全管理平台云安全管理平台vCenter

10、OpenstackXen Center虚拟化安全资源池 支持多种云管理平台，与云管理平台做了深度结合 完全自动化的部署 统一的策略下发、报表展现和资源管理 面向租户的云安全定制服务虚拟化安全资源池虚拟化安全资源池APIAPIAPI19云安全管理平台服务部分运维部分面向租户，按需分配的安全服务面向运维管理人员，用于运维管理云安全管理平台- 服务界面云安全管理平台- 运维界面用户使用流程（以WEB防护为例）登录用户门户用户选择相应防护进入用户安全操作界面安全策略管理增加/选择站点进入相应安全防护应用标签服务开启和管理用户登录状态查看日志查询查看日志 Virtual SwitchvFW安全资源池sr

11、v1srv2LBvIPSvWAFvFWvIPSvWAFvFWvIPSvWAFvFWvIPSvWAFvFWvIPSvWAF.安安全全资资源源池池互联网互联网入侵检测 APPWeb安全APPWeb安全子平台抗D子平台入侵防护子平台资源管理服务开通流量调度服务编排数据采集数据分析安全运营平台抗DAPP安全态势APP调度指令流量引入流量回注资源调度服务编排云安全产品预防远程安全评估系统NSFOCUS RSAS安全配置核查系统NSFOCUS BVS网站安全监测系统NSFOCUS WSMWEB应用漏洞扫描系统NSFOCUS WVSS网站安全监测服务NSFOCUS WebSafe Service检测网络入侵

12、检测系统NSFOCUS NIDS网络流量分析系统NSFOCUS NTA保护网络入侵防护系统NSFOCUS NIPS下一代防火墙NSFOCUS NF抗拒绝服务系统NSFOCUS ADS云监护抗拒绝服务系统NSFOCUS MSS for ADS云监护WEB应用防护系统NSFOCUS MSS for WAF响应安全审计系统NSFOCUS SAS安全审计-堡垒机NSFOCUS SAS-HWEB应用防火墙NSFOCUS WAFWEB应用防火墙主机版NSFOCUS HWAF企业安全中心NSFOCUS ESPC抗拒绝服务管理中心NSFOCUS ADS-M威胁分析系统NSFOCUS TAC数据库审计系统NSF

13、OCUS DAS数据库防火墙NSFOCUS DBFW虚拟安全设备支持在KVM和VMware EXSI的底层虚拟化环境中安装私有云安全应用场景方案组件：硬件安全设备：部署在边界做南北向流量的防护虚拟化安全资源池：部署在云内，主要做东西向流量的防护云安全管理平台：统一的资源管理、策略下发和报表展现行业云（公有云）安全应用场景方案组件：硬件安全设备：边界防护虚拟化安全设备：云内租户防护云安全管理平台：统一的资源管理、策略下发和报表展现安全应用：提供安全服务某高校云安全项目Fusionshpere云计算环境vWAFFusionshpere云管理平台VMVMVMVMvIDS安全资源池VMVMVMVM引流

14、及流量引流及流量复制系统复制系统堡垒机NFvRSASvBVS设备池化，统一管理 ：对所有形态的安全设备进行统一管理， 与云管理平台无缝对接，安全管理可视化， 有效化；弹性服务，编排防护：对于复杂的攻击，可以在安全资源池中通过服务链和服务编排技术，实现真正的智能、敏捷和可运营的安全服务；方案联动：与绿盟科技的安全大数据分析平台、态势感知等解决方案无缝结合；VMVMVMVMvRSAS云安全管理平台vFW某移动运营商场景安全设备区外部接入区分光器负载均衡区政务网VPC接入区VPC网管服务区vSASvRSASVWAFvIDS外置资源池vSASvRSASVWAFVIDS外置资源池流量监控云安全管理平台GRE隧道部署说明：分别在外部接入区和VPC接入区部署外置安全资源池，部署Web应用防护、网络入侵检测/防御、漏洞扫描等安全能力。云安全