企业云安全架构 V1 1

Confidential 2019 VMware, Inc. 企业云安全架构2.0 基于应用和数据的安全管理流程 徐海洋 3 Confidential 2019 VMware, Inc. 云安全洞察 Confidential 2019 VMware, Inc. 4 等级保护2.0对云计算要求的解读 虚拟机之间的隔离 租户之间的隔离 虚拟机和宿主机之间，生产和管理的流量之间的隔离 虚拟机迁移时，安全策略可以跟随 虚拟化内部的安 全防护 虚拟化之间以及虚拟化和宿主机之间的网络拓扑、流量可 以实时识别、监控，可视化 虚拟网络和安全 的运维 云计算平台应提供开放接口或开放性安全服务，允许云租 户接入第三方安全产品或在云平台选择第三方安全服务， 支持异构方式对云租户的网络、主机、应用、数据层的安 全措施进行实施。 高级功能的实现 Confidential 2019 VMware, Inc. 5 黑客的攻击思维模型 客 重漏洞(0day) 已知可攻击库 扫描 发现漏洞 渗透靶机 深度扫描 病毒&破坏 数据变现 Confidential 2019 VMware, Inc. 6 信息安全体系建设框架 8 Confidential 2019 VMware, Inc. 云安全建设目标 Confidential 2019 VMware, Inc. 9 很多安全都是由于”回避”引起的 云安全的考虑重心已经变革 业务 数据 出口边界 虚拟域 下一代防火墙 WEB防火墙 IPS 云安全。 云租户隔离 虚机隔离 环境配置 往云做能力集中化 大部分安全厂商 系统补丁 系统镜像 系统配置 系统域 补丁管控域 审批、流程 权限 管理域 沙箱测试 日志 监控 Confidential 2019 VMware, Inc. 10 云安全建设目标 虚拟平台域系统域管控域管理域云安全目标域 虚拟平台域 1.租户隔离或虚拟DMZ 2.微分段（更细颗粒度防护） 3.虚拟化平台配置合规性 4.虚拟化平台补丁 管控域 1.加强环境申请流程管控 2.加强使用权限管控 系统域 1.操作系统镜像包安全 2.最小化操作系统配置 3.操作系统补丁 管理域 1.应用沙箱兼容性测试 2.虚拟网络安全可视化 3.统一日志及追溯 安全策略 Policy 安全保护 Protection 检测 Detection 响应 Response P2DR 网络动态安全模型 11 Confidential 2019 VMware, Inc. 云安全解决方案 Confidential 2019 VMware, Inc. 12 以时间维度的安全直通式管理 事前事中事后 具备上线资格防护落地，快速应急 时候追溯，安全修复 Confidential 2019 VMware, Inc. 13 适应信息资产安全的架构图 防护、预警 标准、检查 事前 事中 事后 追溯及修复 安全 策略 推荐 可疑 流量 分析 系统 服务 加固 环境准备 Standard 操作 系统 应用 发布 配置检查 Configuration Checking 虚拟机环境配置 检查 上线流程 Work flow 流程权限 环境监控 Performance monitoring 虚拟 网络 虚拟 机 安全防护 Security Defense 沙箱测试 Sandbox test 版本升级 病毒查杀 策略应用 安全分析 Security Analysis 安全机器学习 Security AI 虚拟DMZ 业务精细隔 离 权限隔离 无代理病毒 安全告警 Security alarm 平台补丁 异常资源 可疑 业务 负载 服务 组件 加固 审计&追溯 Audit & retrospect 渗透测试 流程审计 日志审计 14 Confidential 2019 VMware, Inc. 事前 Confidential 2019 VMware, Inc. 15 环境准备中存在大量不确定性 每当准备一个新的应用时，就会面临大量的安全威胁； 每一个业务上线都要反复部署 不同的人有不同的遗漏 最小化部署要求很难落地 组件是最容易忽视的 系统镜像准 备 系统部署策略配置部署组件 组件安全配 置 程序部署 OA系统部署 风 险 风 险 风 险 风 险 风 险 风 险 虚拟化平台同样也是非常关键的 Confidential 2019 VMware, Inc. 16 安全的责任人往往难以分清 病毒 漏洞 谁是直接责任人？ 谁是负责人？ Confidential 2019 VMware, Inc. 17 事前-让业务尽可能达到上线要求（资格） 软件定义数据中 计算-vSphere平台 存储-VSAN 络-NSX 推荐、自定义合规管理 如vSphere安全性指南6.7U1 ESXi主机的修复 操作系统标准自动化部署 操作系统 Windows Red hat Linux 等 组件 WebLogic MySQL 集群 Oracle RAC等 容器 K8S集群 网络&安全 VM安全组 容器网络安全 混合安全 权限管控 申 请 审 批 确 认 变 更 Confidential 2019 VMware, Inc. 18 底层虚拟化平台的安全标准 推荐、自定义合规管理 vSphere NSX VSAN 安全配置指南 ISO安全标准 PCI安全标准 DISA安全标准 CIS安全标准 HIPAA合规性 自定义 Confidential 2019 VMware, Inc. 19 操作系统自动化部署 执行顺序执行顺序 网络网络 19 VM模板 软件软件 应用安全应用安全 自定义扩展自定义扩展 Confidential 2019 VMware, Inc. 20 权限管控-让申请者的环境具备上线资格 使者经理 申请： 应用:财务环境 模板:通用 安全:无 账号权限:root 打回: 模板要求:Linux-III 安全:财务专网 账号权限:user01 在没有审批之前这些风险都 难以得知，一旦泄露或感染 勒索病毒，后果不堪设想。 领导我要申请一台服务器， 16g内存，300GB硬盘 安全可以通过脚本自定义下发（python、shell） 21 Confidential 2019 VMware, Inc. 事中 Confidential 2019 VMware, Inc. 22 私有云的资产是什么? 业务 数据 业务数据应用程序办公数据研发数据 。 门户 测试环境 开发环境云桌面 OA 身份认证 托管业务 等 资产类型:关键业务、一般业务、非关键业务 从等级分类:金、银、铜 从管理分为:信息部、业务部、ISV、运维公司 从数据类型分:业务数据、应用程序、个人数据 Confidential 2019 VMware, Inc. 23 如何保护和监控这些资产? 了解云计算内的业务是什么? 了解相互的关联关系是什么? 了解各业务的访问权限是什么? 了解各个应用的关键数据在哪? 这些资产盘点过吗? 如何进行安全保护和监控? 未知困难 业务归属未知 业务关联未知 云内防护困难 权限隔离困难 Confidential 2019 VMware, Inc. 24 事中-做好运行环境的防护和持续监控 关键业务 a 关键业务 b 业务DMZ 研发桌面 a 研发桌面 b 桌面DMZ 开发环境 SVN 研发中心DMZ 关键业务 研发桌面 测试中心DMZ 管理区域 监控区 信息部DMZ 财务系统 结算 财务部门DMZ 信息部研发1部测试部销售部财务部研发2部 受限访问 受限访问 Confidential 2019 VMware, Inc. 25 阶段一、利用NSX进行虚拟DMZ划分 开发环境 SVN 研发中心DMZ 管理区域 监控区 信息部DMZ 虚拟DMZ划分维度: 1. 以部门为单位 2. 以业务类型为单位 3. 以业务弱关联为单位 4. 以管理职能为单位 5. 或者每个应用为单位 6. 等等 虚拟机类型: 1. Windows 2. Linux 3. 包含weblogic 4. 包含ssh 5. 等等 DMZ叠加策略，减少遗漏项目，最大化控制； 自动化DMZ弹性伸缩，减少人为控制； 无代理杀毒对接，根据DMZ适配； 关键业务 研发桌面 测试中心DMZ Confidential 2019 VMware, Inc. 26 阶段二、细化用户访问权限控制 开发环境 SVN 研发中心DMZ 关键业务 控制台 生产DMZ 关键业务 研发桌面 测试中心DMZ 磁盘-测试磁盘-生产 vCenter平台 管理权限控制 管理权限控制 DMZ源地址permit DMZ源地址池permit 测试部门 远程桌面 研发部门 避免权限过大，删掉其他业务虚拟机； Confidential 2019 VMware, Inc. 27 阶段三、细颗粒度业务东西向策略 应用1应用2 数据库 端口？ 端口？端口？ 看似简答的端口其实隐藏很多玄机 道理都懂，如何实现？ Weblogic控 制台 Step1：采用NSX或VRNI进行业务运行分析 NSX 简单分析： vRNI 智能分析： Step2：loginsight 对接NSX查漏补缺 Step3：找ISV或者开发部门确认并防护 表格 梳理 产品 确认 沙盒 测试 正式 上线 Confidential 2019 VMware, Inc. 28 阶段四、日常运维实时监控，虚拟网路可视 主动应用互访发现主动应用流量深度分析 29 Confidential 2019 VMware, Inc. 事后 Confidential 2019 VMware, Inc. 30 当发现安全异常时如何处理？ 核心交换机流量异 常 遭受流量攻击： G1/12端口流量过 大 ESXI2内流量多大挨个排查 遭受病毒： 时间消耗时间消耗时间消耗 某业务往外发包攻 击 Wireshark核心交换 机抓包 等待再次攻击 时间消耗 量不确定性 还有很多类似这样的问题，如何处理？ 再次Wireshark核心 交换机抓包 量不确定性 Confidential 2019 VMware, Inc. 31 当发现重大漏洞如何处理? 操作系统 SSH版本: Linux内核： 数据库 Oracle版本: Linux内核： 中间件 Apache版本: Linux内核： 业务系统 漏洞 Oracle版本: Linux内核： 开发框架 JDK版本： Spring版本： Struts版本： 漏洞补丁可行性分析: l系统内核无法升级 l中间件无法升级 lOracle无法升级 l开发框架无法升级 l业务系统无法升级 lSSH可以升级 Confidential 2019 VMware, Inc. 32 事后-快速应急，快速修复 快速应急快速修复 络可视化 资源可视化 程师视 自动化修复 -合规性及版本自动化修复 -病毒自动隔离 沙箱修复 -漏洞沙箱修复 -软件程序沙箱修复 -一键上线 Confidential 2019 VMware, Inc. 33 可视化是应急的关键 络可视化资源可视化(追溯） 快速发现虚拟网络内的运行情况，有异常流程则直接进 行点击追溯。 网络flow总览 指定虚机追溯 重负载虚拟机实时检查 Confidential 2019 VMware, Inc. 34 一键式修复和平台补丁更新 vRops自动修复 Update manager 智能修复 基于Telegraf Agent 应用程序和操作 系 统监控 的生命周期管理 OOTB 应用监控 仪表板 增强的小组件(Widget)更轻松的取得应 用程序到基础构架的视图 自定义属性 使用自定义属性进行报告 和筛选 指标关联和新的超级指标工作流, 实现 更快的故障排除 Service Now 集成 增强SDDC & 云资源池管理包与NSX-T支 持 通过Skyline增强管理 跨 SDDC 和多云进行预测、预防和故障排除 Confidential 2019 VMware, Inc. 35 自动化病毒隔离 安全组安全组= 隔离隔离 成员成员= 标记标记= ANTI_VIRUS.VirusFound 安全组安全组= 标准标准 策略定义策略定义 标准策略标准策略 防病毒 扫描 隔离策略隔离策略 防火墙 阻止安全工具之外的所有工具 防病毒 扫描和修复 Confidential 2019 VMware, Inc. 36 沙箱修复 漏洞受理 代理商 or 软件开发商 漏洞评估补丁确认 在线修复 修复完成 SRM建沙箱修复中 Linux 4.0 Linux 5.0 Linux 6.0 windows2003 OA ERP Oracle SAP 测试验证确认后键上线 沙箱修复: 系统漏洞 系统内核 软件组件漏洞 业务系统bug等 所有对业务有影响的操作验证 发现漏洞 Confidential 2019 VMware, Inc. 37 VMware安全方案汇总 防护、预警 标准、检查 事前 事中 事后 追溯及修复 安全 策略 推荐 可疑 流量 分析 系统 服务 加固 环境准备 Standard 操作 系统 应用 发布 配置检查 Configuration Checking 虚拟机环境配置 检查 上线流程 Work flow 流程权限 环境监控 Performance monitoring 虚拟 网络 虚拟 机 安全防护 Security Defense 沙箱测试 Sandbox test 版本升级 病毒查杀 策略应用 安全分析 Security Analysis 安全机器学习 Security AI 虚拟DMZ 业务精细隔 离 权限隔离 无代理病毒 安全告警