构造可信的云架构.pptx

臧铁军售前咨询顾问 VCP CISSP 构建可信的云架构 议程 云安全所面对的挑战VMware的云安全解决方案 云安全所面对的挑战 如何理解云计算时代的安全需求 IT新时代的兴起 大型机 PC 服务器 互联网 云 云计算将转变IT服务的交付方式 为什么谈到安全 调查时间 2011年1月调查范围 全球调查对象 CIOs与IT决策者如果云计算环境的安全性与内部数据中心的安全性88 的用户愿意更大规模地采用云计算93 的受访者认同VMware对云计算的定义 Base 636Totalrespondents 234USrespondents 202EMEArespondents 200APACrespondentsSource CIOGlobalCloudComputingAdoptionSurveyJanuary2011 相同或更好 安全性 遵从性与可用性是CIO的主要关注事项 2010 11IDG企业云计算调查 实施云计算战略的最大难题或障碍是什么 资料来源 2010IDG企业云计算调查 2010年11月 信息安全一直是IT管理者的最基本需求 高可用 监视与记录 变更管理 强制使用高安全性密码 受限制的访问 RBAC 安全的代码 及时地更新补丁 部署防病毒软件 数据加密 系统整固 正确的防火墙配置 数据保护与灾难恢复 传统的安全防护措施是静态的 云时代的IT架构总在快速变化 安全性 遵从性与可用性 安全性是指为应用 数据 服务器 存储和网络提供保护 防止恶意软件和未经授权的人员对其进行访问 遵从性是指可证明符合标准或法规要求 可用性是指可连续保障业务运转的能力 云时代所面对的安全挑战 云计算的特性 基于服务的可伸缩 有弹性的多租户 共享的依照使用情况来计量依托于互联网技术 安全性是服务内容之一连续的风险与遵从性监测标准化利于遵从性 保障选择权可用性是SLA的重要内容 动态变化需要实时保持遵从性良好的资源监控手段保证可用性 隔离保护是基本的安全性需求资源的分配与控制保障SLA安全风险增大 安全事件后果严重 安全组件是计量对象与工具 私密性 可用性 地域差异 谁来保证云计算环境的安全性 调查发现大多数的服务提供商并未采取数据保护措施 因为它们不认为对这项工作负有责任 IdentityWeek ITSecurity News 70 的云服务提供商没有把保证安全性作为它们的主要职责 Ponemon2010 华尔街日报文章 主要的云服务提供商不认为云安全是它们的一项重要职责 BenRooney 公有云模型下的安全职责 软件即服务 SaaS 主要由服务商保障安全性 架构即服务 IaaS 主要由用户保障安全性 平台即服务 PaaS 双方共同分担安全责任 平台 数据 应用 网络 用户控制 服务商控制 安全性 遵从性与可用性是SLA的主要组成部分 云计算基础架构 黄金级 青铜级 白银级 99 99 1小时每天10TB高I O高 99 9 3小时每周10TB中等I O中 99 0 无无10TB低I O低 99 99 1小时每天10TB高I O高 99 9 3小时每周10TB中等I O中 99 0 无无10TB低I O低 可用性DRRTO备份存储容量性能安全性 VMware的云安全解决方案 安全性 遵从性与可用性 当前企业数据中心架构 vSphere 网络分段 防火墙 入侵检测 防护服务器防病毒代理应用 数据 身份感知的安全与遵从性 DMZ 防火墙 NAT站点与用户VPNsWeb负载平衡 桌面防病毒代理DLP SIM 白名单 安全性 遵从性与可用性 安全性是指为应用 数据 服务器 存储和网络提供保护 防止恶意软件和未经授权的人员对其进行访问 遵从性是指可证明符合标准或法规要求 可用性是指可连续保障业务运转的能力 宿主架构 裸金属架构 VMwareESX ESXi APP 健壮的Hypervisor是保障安全性的基石 ESXi5 云安全的最佳保证 鲁棒的设计精典Hypervisor 100MB所有模块经过数字签名严格的内核级别访问控制 平台保护基于硬件的可信引导内存一致性加固通过ESXi内嵌防火墙保护管理界面 审计功能安全日志改进的审计信息架构 周边安全 内部安全 终端安全 传统的数据中心纵深防御 云安全利器 vShield产品家族 VMwarevSphere VMwarevSphere DMZ 应用1 应用2 vShieldManager 端到端的私有云安全保护 从Edge到Endpoint 边界防护与通讯管控 vShieldEdge 有状态防火墙 Firewall 网络地址转换 NAT 动态主机配置协议 DHCP Web负载平衡 LoadBalancer 用于脚本编写的RESTAPI活动日志记录站点到站点VPN IPSec 新 静态路由 新 降低成本和复杂性提高云计算环境的敏捷性 VMwarevSphere 租户A 租户B 租户X vShieldEdge SecureVirtualAppliance SecureVirtualAppliance SecureVirtualAppliance vShieldEdge vShieldEdge 22 优势 主要功能 vCloudDirector与vShieldEdge的结合 组织网络1 组织网络2 组织网络3 vApp4 vApp网络 vApp3 vApp1 vShieldEdge虚拟设备 vShieldEdge虚拟设备 11 12 111 112 vApp2 vApp网络 vApp网络 组织Alpha 外部网络 站点到站点IPSecVPN应用场景 连接另一个组织中的网络的安全加密链路连接本组织中的网络的安全加密链路连接远程网络的安全加密链路 区域分隔与应用保护 vShieldApp 虚拟网卡级别的保护 基于容器和安全组的策略 自动感知变化 简化的策略减少了出错的风险 支持RESTAPIs开发脚本 应用感知的网络流监视 审计日志与系统日志 策略的应用灵活 细粒度更好对虚拟化及配置变更具有感知能力 VMware的智能技术使vShieldApp可以感知和适应网络的变化 简化了VLAN与防火墙策略的管理 可以在更具细粒度的网络级别上提供安全防护 优势 主要功能 vShieldApp基于组的策略 互联网 财务 Web组 VMwarevSphere vCenter vShieldApp 更多的策略分组 Web 数据库组 安全组 资源池 MAC组 IP 端口组 TCP IP vShieldDataSecurity 2011年9月推出 云计算基础架构 vSphere vCenter vShield vCloudDirector 发现并报告虚拟机间的敏感数据以对虚拟机透明的方式连续进行扫描 优势 主要功能 通过自动扫描 快速评估和报告来降低不合规风险通过将数据发现功能转移到虚拟设备来提高性能 新 端点安全防护 vShieldEndpoint 通过避免防病毒风暴来提高性能通过消除代理来简化管理 优势 将保护功能转移到安全虚拟机使用虚拟机中的驱动实施强制修复由一流的合作伙伴提供安全虚拟机 主要功能 vShield优势 因云而生 传统安全解决方案 vShield解决方案 经济一个虚拟设备提供全部功能全部保护功能通过单一框架实现 简单极少的规则 VLAN与代理为VI管理员 网络和安全团队提供管理界面简化了遵从性 灵活可感知虚拟化与配置改变快速修复 昂贵需采用专用的硬件设备需采用多套解决方案 死板策略与硬件绑定对虚拟化和配置改变没有感知 复杂多个管理界面大量的安全策略安全角色存在交叉 vShieldEndpoint 终端保护vShieldApp 桌面安全域vShieldEdge 负载均衡整合VPN的数据流加密 vShield应用场景 保护View部署 解决方案 vShieldEdge App Endpoint 安全性 遵从性与可用性 安全性是指为应用 数据 服务器 存储和网络提供保护 防止恶意软件和未经授权的人员对其进行访问 遵从性是指可证明符合标准或法规要求 可用性是指可连续保障业务运转的能力 行业性的法规遵从要求 健康医疗 零售业 制药行业 政府 能源行业 金融服务 Sarbanes Oxley J SOX Japan HIPAA PCIDSS PCIDSS HIPAA FERC NERC FISMA GLBA DISA ISO17799 27001 BaselII COBIT 企业所面对的挑战 不必要的 有脆弱性的服务没有清除 磁条数据的存储 Web应用代码质量不高 缺少完备的监控手段 网络缺少必要的分段 缺少相关日志 不适当的访问控制 缺省的系统设置和口令 缺少安全补丁或补丁已经过时 策略与流程不完整 连续的遵从性保证 vCenterOperations配置管理 通过整合管理工具以提升运维效率 VMware实现遵从性的转变 从需要密集手动操作 需要专业知识无法识别更改手动修复 使用传统方法维护遵从性 转变为自动实现持续遵从性 3 持续评估 安全性 遵从性与可用性 安全性是指为应用 数据 服务器 存储和网络提供保护 防止恶意软件和未经授权的人员对其进行访问 遵从性是指可证明符合标准或法规要求 可用性是指可连续保障业务运转的能力 VMwarevSphere在各个级别上保证可用性 vCenterOperation