安全云解决方案

1、安全云处理方案第1页三种交付模式面向不一样用户需求第2页城域网用户方案第3页城域网用户安全诉求便宜一次性投资低总投入费用低升级费用低易用方便部署、配置简单方便运维按需只为自己所需的功能付费只为特定的资产提供安全服务中小企业个人用户第4页需要为用户提供什么样安全服务安全自服务用户自助选购、配置和使用所有的安全服务面向安全服务以安全功能为安全能力单元，安全功能组合成安全服务突破传统安全产品的概念，以安全服务套餐的方式灵活组合各种安全服务简化配置简化专业安全产品的配置过程用户所要配置的不再是完整的安全产品而是所购买的具体安全服务面向用户的数据隔离用户配置界面只显示自己所购买安全能力的配置，且其配置仅

2、对自身生效用户只能查看自己购买安全服务的日志告警结果高可靠的安全服务链路监测能力Bypass能力面向第三方安全设备解耦第5页面向安全服务安全服务细粒度化和重新组装 防火墙WAFIDS上网行为管理安全功效安全服务1安全服务2安全服务3面向安全服务以安全功效为安全能力单元，安全功效组合成安全服务突破传统安全产品概念，以安全服务套餐方式灵活组合各种安全服务第6页解耦多用户化和基础安全能力（标准化和第三方安全能力兼容）第7页运行方侧主要功效需求监测运维1监测物理设备、虚拟设备资源使用监测网络链路状态监测服务运行状态服务包管理2可基于安全功效创建服务包服务运维3管理已审批经过服务包订单管理4管理和审批用

3、户提交服务包开通申请订单用户管理5订单生效后，自动下发服务链，使服务包功效生效管理租用安全服务用户账户信息管理提供代维服务用户账户信息对服务包中包含提供基础安全能力设备进行配置和管理将服务包作为商品进行管理，能够进行上架，下架等操作处理网络和设备故障第8页运行方侧-监控运维（全局）第9页运行方侧-监控运维（资源池）第10页运行方侧-服务包管理第11页运行方侧-服务包运维第12页运行方侧-订单管理第13页推广目标安全云1云上客户特点客户群：运行商城域网、广域网；业务特点：帮助城域网/广域网运行商实现基于大网安全增值服务，提升宽带接入用户安全防护能力；安全需求：运行商级别安全运行模式。2我方优势安

4、全能力集成：依靠“安全云服务平台”，提供包含安全产品、安全微服务、安全教授服务、威胁情报服务等各种多样安全能力；开放优势：“安全云服务平台”保持开放姿态，可依据用户需求，开放吸纳其它厂商安全能力；3案例XX电信安全云第14页公有云多租户方案第15页云计算安全诉求云租户想要一个什么样云？服务商云环境是否安全？我安全怎样管理及落地？我安全策略怎样下达和控制？我系统安全合规性怎样确保？我怎样能够随意按需分配安全能力？1234可控合规可信可管5按需哪些安全是我负责哪些是云服务商负责？云服务商能给我们提供哪些安全能力？云服务商提供基础计算环境及网络环境应该是具备相当安全防护能力，最少是满足合规性要求。租

5、户系统安全，租户要有管理主权，为了确保系统隐私性，租户要对我系统行使安全管理职能权利。租户对于系统安全策略要求能够有可控制权利，在租用云服务商资源同时可依据安全需求，调整安全策略。系统从传统环境迁移至云环境，安全属性并没有发生改变，这需要云服务商提供满足合规要求完整安全能力包。云租户租用云服务商虚拟化资源，能够依据系统需求，自定义安全能力，对便捷性布署提出要求。第16页等级保护2.0 相关标准全景第一部分：安全通用要求基本要求测评要求设计要求第二部分云计算安全基本要求测评要求设计要求第三部分移动互联安全基本要求测评要求设计要求第四部分物联网安全基本要求测评要求设计要求第五部分工业控制系统安全基

6、本要求测评要求设计要求第17页云安全资源池vNGFWvIPSvWAF云堡垒机云审计vVPN主机安全管理日志审计各类云安全服务安全教授服务等保测评服务子企业1子企业2子企业N云安全服务平台安全业务编排安全自服务服务状态管理安全汇报输出安全资源池管理安全订单管理安全工单管理提供服务提供服务提供服务云安全服务平台第18页1门户网站2控制台3安全能力云网安全运行平台处理方案云安全产品安全服务云安全响应态势感知云安全服务平台链接调度支撑NGFWWAFIPS/IDSVPN主机EDR第三方安全合作搭档能力渗透测试代码审计安全加固自有安全服务能力安全能力集提供云上租户安全业务集成第19页安全自服务关键业务流程

7、新增租户1同时或手工创建租户账号填入正当租户虚拟机IP地址范围（即VPCIP地址范围）租户可自行完善联络人、联络方式、客户经理等信息创建业务系统2租户可在自有VPC内创建若干业务系统，如：网站、数据库等租户创建业务系统，可定义等保定级。依据定级和保护对象属性，系统将推荐保护方案订购安全服务3租户可经过各种路径获取安全服务信息，选择安全服务套餐。支付后交付4支持线上、线下支付方式。（详细方式由云服务方定义）能够依据等级保护定级，业务属性类别，标准行业处理方案等维度选择保护组合保护办法提供各种规格和时长，供租户选择一旦确认支付，云服务方管理员为对应租户开通安全服务，服务自动初始化至可运行状态租户自

8、服务5服务开通后，将提醒租户，租户可登录管理地址，配置安全服务详细策略租户也可选择安全代维服务，指定运维工程师按照租户要求配置并维护安全策略第20页低耦合，依靠引流、有代理方式提供安全能力，适应场景广泛Core SWInternetCore SWAccess SWAccess SWAccess SW租户 1 VPCSEC SW云安全服务区云安全服务平台控制台租户 1vNGFWvWAFvIDSvVPN租户 2vNGFWvWAFvIDS主机防护租户 NvNGFWvWAF主机防护安全域1安全域2VMVM有代理主机安全防护系统提供端点防护+微隔离VMVM租户 2 VPC安全域1安全域2VMVM有代理主

9、机安全防护系统提供端点防护+微隔离VMVM租户 N VPC安全域1安全域2VMVM有代理主机安全防护系统提供端点防护+微隔离VMVM1.租户VPC边界防护，依靠引流方式，由云安全资源池内各类NFV化安全设备提供防护、检测、审计能力。2.租户VPC内，由有代理方式主机EDR（端点安全检测和响应）提供端点防护和微隔离能力。整套方案不与虚拟化平台、云计算平台产生无须要耦合，适应场景全方面，能够快速灵敏布署。云安全服务平台安全资源池第21页安全服务目录-1类别安全服务服务描述等级保护二级套餐基础防护包提供2-7层防火墙+IPS，为租户边界提供安全防护。WEB安全防护包为网站提供WAF和网页防篡改功效。

10、入侵检测包提供南北向网络流量中各类已知安全威胁检测发觉。数据库审计包为数据库访问提供审计。分支安全接入包经过vVPN（IPSEC VPN方式）实现，提供远程安全接入方式。移动安全接入包经过vVPN（SSL VPN）方式实现，提供远程移动安全接入方式。主机微隔离包提供租户VPC内微隔离防火墙功效。主机威胁防护包有代理方式提供防病毒功效。等级保护三级套餐基础防护包提供2-7层防火墙+IPS，为租户边界提供安全防护。WEB安全防护包为网站提供WAF和网页防篡改功效。入侵检测包提供南北向网络流量中各类已知安全威胁检测发觉。网络审计包为南北向网络访问行为提供审计。数据库审计包为数据库访问提供审计。运维审

11、计包提供运维堡垒机功效，进行VPC内资源管理和运维审计分支安全接入包经过vVPN（IPSEC VPN方式）实现，提供远程安全接入方式。移动安全接入包经过vVPN（SSL VPN）方式实现，提供远程移动安全接入方式。云强认证包为接入用户提供IDaaS服务，提供双原因身份认证能力。主机微隔离包提供租户VPC内微隔离防火墙功效。主机高级威胁防护包有代理方式提供防病毒、HIPS、APT检测与防御功效。第22页安全服务目录-2类别安全服务服务描述规格增值安全服务漏洞检测及管理1.网站漏洞云漏扫 2.资产指纹探测 3.漏洞检测 4.挂马检测 5.网站健康性监测按服务频率分为4档单次/月（2次）/季（6次）

12、/年（24次）移动应用安全检测服务提供针对移动应用全自动安全性，脆弱性及漏洞 检测分析，帮助企业实现全自动应用公布管理及安全性回归测试1APP/次渗透测试服务人工服务，为云上租户业务系统提供渗透测试服务。一个系统安全风险评定服务人工服务，为云上租户业务系统提供安全风评服务。一个系统代码审计服务人工服务，为云上租户业务系统提供代码审计服务。行代码安全咨询服务人工服务，为租户提供安全咨询服务。1人/天等级保护测评服务（二级）针对定级为二级应用系统进行等保合规性测评工作。最终由具备信息安全等级保护推荐证书单位 一个系统（虚机数：0-5/5-10/10-20/大于20）等级保护测评服务（三级）针对定级

13、为三级应用系统进行等保合规性测评工作。最终由具备信息安全等级保护推荐证书单位 一个系统（虚机数：0-5/5-10/10-20/大于20）第23页推广目标公有云多租户1云上客户特点客户群：政务云、行业云等运行型云平台；业务特点：帮助云服务商构建具备竞争力云平台，使安全运行化；帮助上云租户系统安全合规；安全需求：等级保护合规刚性需求，大客户需满足网信办关于关键信息基础设施保护要求。2我方优势安全能力集成：依靠“云安全服务平台”，提供包含安全产品、安全教授服务、威胁情报服务等各种多样安全能力；开放优势：“云安全服务平台”保持开放姿态，可依据用户需求，开放吸纳其它厂商安全能力；3案例XX云平台第24页

14、私有云安全方案第25页私有云安全问题1云内边界含糊问题原先大部分能够经过物理方式界定边界，在网络虚拟化技术普及后，边界也只能在逻辑上进行界定。即使网络虚拟化技术实现也提供了网络隔离技术，不过隔离细粒度和安全需求之间矛盾也逐步凸显。2虚拟化流量不可视问题应用网络虚拟化技术后，造成占数据中心70%以上东西向流量无须经过物理网关转发，由二层转发即可完成三层路由功效，造成传统物理安全审计/检测设备在获取流量时出现了盲区。VMVMVMVMVMVM同一VLAN，不一样宿主机同一VLAN，同一宿主机3云内向云外攻击问题许多基础设施建设先于安全建设步伐，云资源被滥用展现泛滥趋势，云主机被植入木马成为肉鸡，对外

15、发起DDoS攻击，其攻击效用比也比传统数据中心更高。4安全资源无法灵活调配问题安全资源没有实现软件定义化，安全设备依据安全设计方案，固定在物理路径中，当业务系统出现变更、扩容时，安全资源无法灵活按需添加、变更、删除，成为了业务系统掣肘原因。第26页软件定义定义安全管理定义安全边界定义安全服务按需按时间需求按资源需求按粒度需求关注业务业务定义安全域业务可用监测贯穿的服务链可视化资产可视安全域可视安全状态可视 可行性 安全处理方案可行：不破坏用户业务环境，如替换VMM内核 用户业务环境保障：安全产品不过多抢占用户业务资源私有云安全处理方案整体思绪第27页SDN串行防护ESXi虚拟交换机OVSESX

16、i虚拟交换机OVSESXi虚拟交换机OVSSDN控制器云管理平台FusionManege/CSM/vCloud虚拟化管理平台FusionCompute/CAS/vCenter安全资源管理平台vFWvIPSvWAF云安全管理平台串行安全资源池调用SDN控制器，以服务链方式确定安全路径，路径上Openflow设备以流表方式完成转发，以完成VM流量导流。引流至串行防护安全资源池中，进行访问控制和过滤后，再抵达目标VM。布署NFV安全设备组成串行安全资源池，用于东西向流量检测与防护。能够支持第三方安全设备布署。云安全管理平台串行防护资源池1.下发安全服务链2.下发流表，确定安全引流路径3.将需要进行安

17、全控制流量引流至串行安全资源池，进行访问控制和安全过滤，之后发送至目标VM。第28页SDN串行防护第29页旁路安全检测云安全管理平台 下发流量导流策略到安全虚拟机，完成旁路检测导流以及安全态势信息（流量、连接数、协议、IP等）搜集。旁路安全资源池 可布署物理/虚拟化安全检测/审计设备，由安全虚拟机将流量导流至资源池内进行检测与审计。安全虚拟机 宿主机中安全虚拟机，与vSwitch对接，将宿主机中其它虚拟机流量镜像。并完成流量初步整形，吐出至旁路检测资源池，以及云安全服务平台。ESXi虚拟交换机OVSESXi虚拟交换机OVSESXi虚拟交换机OVS云安全管理平台IDS审计设备其它设备依据详细检测

18、和审计设备，导出对应流量信息给各设备（物理或NFV），进行安全检测和审计。vTMN镜像宿主机内其它VM流量，进行流量初步整形，随即开始导出流量信息流量信息全集发送至云安全管理平台，进行深入归并、分析和可视化态势展现云安全管理平台下发流量镜像和导流策略至镜像导流节点（vTMN）。同时提供对vTMN管理。旁路安全检测与审计资源池第30页旁路安全检测网络拓扑可视化，安全域连接关系、连接状态虚拟化资产状态监控，集群到宿主机、宿主机到VM隶属关系展示域内VM之间连接关系和连接状态展示域内各VM流量百分比，协议流量柱状图，历史流量曲线指定导出到IDS流量选项第31页产品列表设备产品型号云安全管理平台云安全管理中心CW-CSMC虚拟化镜像流量管理节点CW-VTMNSDN业务编排APPCW-SDNAPP虚拟化安全资源池系统云安全资源池管理系统CW-RPMS虚拟化安全设备资源池CW-VSRP虚拟化安全产品虚拟化防火墙CW-6000-VFW虚拟化入侵检测系统CW-6100-VI