某集团公司云计算体系规划和建设方案ppt课件.pptx

我们面临什么问题 资金系统开发测试服务器 业务系统缺乏安全防护手段 系统易遭受攻击 业务系统缺乏灾备措施 如遇突发事件将导致业务中断 缺乏统一的 自动化 可视化的运维管理和安全管理平台 以及流程梳理系统 运维人员工作效率可以有进一步提升 以流量优化为主 缺乏针对应用层和业务数据威胁的防护手段 缺乏针对核心系统的主动防御及漏洞管理措施 业务系统缺乏灾备措施 如遇突发事件 业务将停滞 建设私有云平台 提高基础架构的交付速度和质量建设云门户 提高开发人员的协同效率通过云内置的自动化流程管理 初步规范管理流程和实现运维自动化 将安全管理转化为有效的日常管理活动 可视化的管理所有的安全风险 威胁和漏洞通过安全平台持续跟踪安全风险 并管理安全风险通过SEM 安全事件管理 的实现 切实管控安全风险 建设下一代监控平台 获取全面监控数据 使之成为运维的核心平台建设下一代日志收集 分析 聚合和展现平台 将所有行为事件纳入管理范围 通过监控和日志平台的信息聚合和展现 实现BEM 业务事件管理 和OEM 运维事件管理 建设自动化发布平台 实现发布管理的有序化 基于虚拟化和数据同步 建设50 资源的异地灾备 实现初步的数据灾备 结合应用系统管理和业务管理 实现从数据灾备到应用灾备的转换根据业务需求扩大灾备容量以及第二灾备中心 对于部分非核心的数字应用可以逐步迁移到公有云通过连通公有云和私有云实现云资源的互通和快速迁移通过混合云平台的部署实现全局资源的整合和利用 安全可视化 运维可视化 私有云 混合云 容灾 云路线规划 Roadmap 私有云 资源快速交付提高资源利用率改善管理效益实现自动化和自服务 降低运维成本管理IT环境中的风险 满足运行安全要求满足企业业务快速发展需求 VMware 云路线规划 私有云 云路线规划1 0与现有环境整合 打造企业级私有云平台 提供自服务界面及资源管理提供自动化运维和流程审批自动化工作流及配置管理 vCenter NSX ESXi ESXi ESXi ESXi VSAN DataCenter2 PublicVirtualDataCenter DR SiteRecoveryManager DR SiteRecoveryManager IPorStorageReplication HybridCloud Tier1AppClusters Tier2 3Dev TestClusters StorageArray ESXi ESXi ESXi ESXi ESXi vCenter 提升业务敏捷性 彻底摆脱硬件的限制 实现更加灵活的基础架构 不仅体现在服务器上面 而且体现在网络 安全和存储等方面加强集中管控 提高系统可靠性和合规性通过自动化 大大简化运维管理 提高团队工作效率通过服务管理 计量计费和财务管理 将IT部门从一个成本中心 CostCenter 转变为价值中心 ValueCenter vCloud私有云平台 云路线规划1 0与现有环境整合 打造企业级私有云平台 HA 复制 接入交换机 云路线规划 私有云 配置管理 SLA 容量管理 自动化流程 自动化审批 DB 中间件 基础架构 自助服务 控制台 运维自动化 安全可视化运维平台 系统漏洞评估 网际威胁防御 风险处置审计 信息资产管理 资产发现 虚拟化资产 安全配置管理 新增资产 在给定范围内发现需要管理的对象 主机 交换机 路由器 防火墙 存储设备等应毫无遗漏 每台虚拟主机 虚拟交换机 虚拟防火墙等都将被作为独立资产对待 任何加入或离开管理环境的资产的安全配置都将得到管理和控制 追踪资产功能和位置的变化而导致安全配置的变化 安全配置管理 新增资产 虚拟化资产 资产发现 系统漏洞发现 漏洞评估 漏洞优先级排序 修复建议 系统漏洞发现 漏洞评估 漏洞优先级排序 修复建议 五种不同的漏洞检测方法 主动扫描 代理扫面 第三方整合扫描 流量监听 设备日志 包含基础设施和Web应用系统的漏洞检测 多达75000种漏洞检测插件 日更新 多达7000种流量监测特征库 日更新 多达1250种日志记录特征库 日更新 依据重要性等级 危害程度及影响范围 给出漏洞处理的优先级 修复建议可针对系统开发人员给出 也就可以针对防御设备的策略调整 威胁情报 入侵行为分析 事件应急响应 防御措施优化 每周发送最新漏洞 零日漏洞 以及业内最新的安全动态 依据各类设备日志 进行事件的关联分析 发现潜在的入侵行为 从而修复系统漏洞或调整防御策略 根据漏洞发现和入侵行为分析的结果 针对防火墙 IPS和WAF及其他防御设备进行策略优化 资深安全专家7 24小时待命处置紧急安全事故 入侵行为分析 防御措施优化 威胁情报 事件应急响应 安全水平监控 定期安全报告 安全评估及审计 安全教育和培训 安全水平监控 定期安全报告 安全评估及审计 安全教育和培训 基础设施 系统平台 业务活动等可能面临的风险 一目了然 作为定期安全管理状况的汇总信息 安全报告展示了安全管理的最新进展 成就和不足 可依据ISO IEC27001 PCI OWASP HIPAA等合规要求进行定期审计 也可根据宝洁的要求定制 针对系统开发人员 业务操作人员的安全教育与培训 SC CV平台 流量 日志 漏洞 数据聚合分析系统的业务价值 直观 准确 简单 防火墙 核心交换 应用服务 日志分析 LCE 流量分析 PVS 资产管理和漏洞分析 NS 可视化管理 SC CV 日志 日志 日志 流量 流量 漏扫引擎 在不同的DashBoard间切换 从而关注不同的 业务应用系统 或 组织环境 中的安全状态 根据每个业务系统的特点 关注不同的安全要素 如 访问量 文件下载 或 新建账户 Web应用系统层面 我们需要关注 Injection 和 XSS 附 部分标志性安全事件 口令猜解 VPN登录异常 SQL注入查询 SSH远程连接 EXE文件下载 新增MAC地址 Web扫描事件 超时TCP会话 Web上异常的GET POST Download 某系统扫描其他系统 联机加密通讯 Botnet 可疑端口 新建的主机 可疑DNS查询 网络代理程序 这些 标志性安全事件 可以让你快速发现安全风险 而不必逐一查看系统日志 口令猜解 机器人登录 暴力破解 登录扫描 新建用户 登录异常 多次登录失败 测试案例 1 测试案例显示了一定时间内 192 168 1 217 主机突然增多的系统登录行为 这背后可能存在安全隐患 不寻常的VPN登录 我们可以得知 192 168 1 217 当前状态 它在过去24小时 甚至更久 面临的所有事件 以及它本身可能具有的脆弱性 以及这些脆弱性的详情和处置建议 测试案例 2 测试案例 3 192 168 1 217hasbothreceivedandinitiatedSSHsessionsinthepast20minutesthemostrecenttowards192 168 1 221 Thesystemcouldbeabastionhostorbeingusedtoleapfrogandattackothersystems 当我们忽略来自指定维护通道的IP地址时 上述告警便值得关注 它可能是一次 非法访问 可以与 测试案例 2 中的非法访问相互印证 证明192 168 1 217确实存在SSH漏洞 测试案例 4 SC CV平台能展示我们关注的单项内容 如 资产 操作系统 漏洞 不安全的端口 有缺陷的协议等 也可以从不同的角度展示我们关注的对象 测试案例 5 2Core 2GHzorGreater 4GB 60GB NS主动扫描引擎ScanaVLAN ScanaVLAN PVS镜像捕获引擎 ThetargetIPsnumber 50000 2Core 2GHzorGreater 4GB 30GB 2Card SC可视化管理平台 ThetargetIPsnumber 1024Theloginusernumber 10个 2Core 3GHzorGreater 16GB 320GB LCE日志收集引擎 EventsperSecond 15000 4Core 3GHzorGreater 16GB 2 3TB 推荐为独享物理机 运维监控 运维体系化 实现IT运维服务管理流程化 规范化 标准化IT运维服务全过程的体系化管理降低可控的风险提升业务连续性 IT运维管理提升解决方案 ServiceDeskPLUS8 0 Owner Engineer Emergency High Priority High SLA 15min 硬件及虚拟化平台 局域网 安全 互联网 CDN 数据中心 业务流程 数据 数据库 备份 Web服务器及中间件 操作系统 关键绩效指标监控 可用性监控 安全事件监控 日志 报警分析 运营监控平台 运营KPI 运营监控模块 运营 监控 云平台运维体系 Zabbix是一个企业级的 开源的 分布式的监控套件 可以监控网络和服务的监控状况 Zabbix利用灵活的告警机制 允许用户对事件发送基于Email的告警 这样可以保证快速的对问题作出相应 Zabbix可以利用存储数据提供杰出的报告及图形化方式 这一特性将帮助用户完成容量规划 Zabbix支持polling和trapping两种方式 所有的Zabbix报告都可以通过配置参数在WEB前端进行访问 Web前端将帮助你在任何区域都能够迅速获得你的网络及服务状况 Zabbix是零成本的 因为Zabbix编写和发布基于GPLV2协议 意味着源代码是免费发布的 云平台运维体系 监控系统 云平台运维体系 监控系统 自动发现服务器和网络设备 分布式监控网络 集中式管理 支持polling和trapping机制 服务器端支持Linux Solaris HP UX AIX FreeBSD OpenBSD OSX系统 高性能本地代理 客户端软件支持Linux Solaris HP UX AIX FreeBSD OpenBSD OSX Tru64 OSF1 WindowsNT4 0 Windows2000 Windows2003 WindowsXP WindowsVista系统 zabbix可以监控支持zabbixagent snmp jmx curl impi协议的设备和应用无代理监控 有安全的用户认证功能 可灵活地分配用户权限 基于web的接口 可灵活地预定网络事件并使用邮件通知 高等级的资源监控 日志审计功能 云平台运维体系 监控系统 可通过Template模块定制各项参数 云平台运维体系 监控系统 可通过Graphs视图 实时观察各项服务器性能 CPU负荷 内存使用 磁盘使用 网络状况 端口监视 日志监视等 CPU 网卡 磁盘 内存 云平台运维体系 监控系统案例 丝芙兰在1997年加入全球第一奢侈品牌公司LVMH SEPHORA在全球21个国家拥有1665家店铺 2005年4月 SEPHORA在上海开启了她们在中国的第一家店 于2006年 在Zabbix和OMC的结合下 实现高效运维 大幅提升运维效率 77台服务器2599个监控项926个报警机制 风险管理 可用性管理 问题管理 体系优化 安全管理 容量管理 备份管理 配置管理 事件管理 标准请求 补丁管理 变更管理 主动管理 事态响应 一线支持 二线支持 三线支持 专家资源池 基于ITIL的服务管理体系 运营报告 事故报告 SLA报告 安全报告 报告管理 云平台运维体系 报表及ITIL管理体系 云平台运维体系 持续维护 私有云资源 IT基础设施库管理 变更管理 需求管理 故障管理 事故管理 应用程序 私有云管理门户 增值服务 托管 应用程序 运维模型 灾备规划 云容灾 灵活的IT容灾架构实现高可用 减少业务中断时间快速及可预期的故障转移自动检测站点故障及自动恢复流程保证业务的一致性和数据的完整性提升业务连续性 VMwareSRM 云路线规划 云容灾平台 监控下与主站点实时数据同步实施100 的容量一旦事故发生人工转移DR站点主站点问题解决后返向转移 Bi DirectionalMigration 每季度DR站点自动隔离测试性能与可用性分析报告 无损检测 SRM 日常和灾难运维 隔离测试 灾难恢复的程序 隔离测试 灾难恢复 停止主站点和DR站点之间的复制和连接 启动SRM隔离测试程序 打开DR站点的虚拟机 查看应用程序服务和网站 以验证是否工作 停止所有服务器和数据库服务 并重建连接和数据复制 并创建测试报告 半小时内响应 一小时内判断问题 向客户提出灾难恢复需求 客户批准后 停止主站点和DR站点之间的复制和连接 启动SRM隔离测试程序 打开DR站点的虚拟机 主机列表更改DNS 查看应用程序服务和网站 以验证是否工作 割接CDN网络中的DNS 在主站点修复后 反向迁移回去 云路线规划 云容灾案例 运营恢复计划 ORP 云容灾业务连续性流程 公有云到混合云 灵活业务平台架构灵活的开发技术加快部署速度实现持续化部署支持独立扩展 云路线规划 公有云 一个集中的门户管理混合云上的资源有成本效益的混合云解决方案以支持全方位的渠道推出全球领先的公有云满足企业高弹性业务发展需求 云路线规划 混合云平台 vCloud 管理员 私有云 公有云 核心管理平台 1 0 1 5 1 1 1 2 2 0 混合云平台案例 云路线规划 企业级混合云模型 灾备站点 私有云 存储设备 网络安全与优化设备 服务器深度虚拟化 存储虚拟化 配置管理 APP1 APP2 应用业务系统 Internet CDN LAN IP WAN MPLS 物理服务器 网络虚拟化 SLA 容量管理 流程 APPn 灾备系统 DR APP1 DR APP2