03深信服虚拟化数据中心安全解决方案V3

深信服VMware虚拟化数据中心安全解决方案2023/2/27VSS方案销售指导方案适用平台：适用于VMware

Esxi平台版本：5.x系列（5.0，5.1，5.5），6.0目标客户：主要集中在教育和中大型企业，少部分采用了VMware平台做政务云的市级，区县级政府客户教育：高校高职大部分数据中心都已经做了虚拟化，但目前虚拟化安全这块的建设为0，学校老师都对该方案表现出浓厚的兴趣，为重点推广方向中大型企业：中大型企业有自建的数据中心，也可以重点拓展下该方案政府：少部分市区县一级的政府单位有采用Vmware做虚拟化的也可通过渠道去拓展，如绵阳，济南市政务云，绍兴上虞区政府客户痛点：业务虚拟化后，业务之间也就是所谓的东西向流量，安全威胁不可视，内部存在什么样的安全风险感知不到。切入点：解决业务见东西向流量和安全威胁不可视的问题无缝对接Vmware

Vcenter，直接从底层API接口获取数据，对原有结构0影响2023/2/27需求引导四问1.数据中心是否做了虚拟化？2.是否采用了VMware平台？3.当前数据中心的安全是如何建设的？4.是否关注虚拟化后的业务间的数据交互风险？2023/2/27大型机PC/客户机-服务器Web云云计算正在转变IT服务的交付和消费方式虚拟化技术数据中心虚拟化数据中心云化软件定义数据中心计算资源虚拟化虚拟计算资源的管理虚拟数据中心成型物理服务器整合虚拟桌面云管理平台多租户私有云公有云（资源池）具有传统数据中心的所有特性软件定义网络SDN存储虚拟化数据中心的演化历程虚拟化网络环境变化下引入新的安全风险业务虚拟化后不同安全等级业务混合，边界消失虚机之间通过Hypervisor调用通讯，流量不可视一台主机失陷后，威胁横向扩散，影响其他主机SERVER-1SERVER-2SERVER-n云计算虚拟化网络业务1业务2业务3SERVER1SERVER2SERVER3SERVER4SERVER5SERVER6HypervisorHypervisorHypervisorHypervisor安全措施仅依靠数据中心出口的安全防护设备服务器业务3服务器服务器业务1业务2Hypervisor方便、快捷的同时也隐藏着巨大的安全隐患木桶理论：不同安全等级的业务混合形成安全盲区，一旦黑客入侵一个低安全等级业务，将有可能导致整个虚拟化数据中心沦陷，如入无人之境，数据中心成为黑客的后花园。数据中心虚拟化后引入新的安全风险安全域边界消失

不同安全等级的业务混合部署在一台物理主机上，失去了边界的隔离防护措施业务间东西向流量不可视

业务间横向（东西向）流量、流向不透明，无法感知业务间是否存在数据交互和访问情应用层风险在内部扩散不可控

一旦一台虚拟主机失陷后，来自应用层的安全威胁可以突破安全域的隔离限制，横向扩展，影响一群的主机深信服虚拟化安全系统VSS解决方案安全域AVSS方案概述Hypervisor安全域B安全域CVSS中心管理平台vCenterVMSafe

API2023/2/27实现不同业务区域间的微隔离2023/2/27业务间流量可视（不同业务间东西向流量结构组成）2023/2/27业务间威胁可视（不同业务间东西向安全威胁感知）2023/2/27业务安全风险可视（状态概览）2023/2/27业务脆弱性可视（漏洞维度）2023/2/27VSS实现集中管控平台与vCenter的无缝对接设备类型资源需求性能参数标准设备vCPU：2vMem：4G磁盘：32G新建：2万并发：100万吞吐：2G七层吞吐：1G中端设备vCPU：4vMem：8G磁盘：32G新建：4万并发：200万吞吐：3G七层吞吐：1.5G高端设备vCPU：8vMem：16G磁盘：32G新建：6万并发：400万吞吐：4G七层吞吐：2GVSS解决方案优势01完善的应用层攻击检测手段04集中运维管理简单方便易用02软件定义安全资源弹性扩展03无缝对接VMwarevCenter管理平台案例-XX省移动云数据中心项目业务1业务2业务3业务1业务2业务3业务1业务2业务3VSS中心管理平台云纬云纬云纬案例-某省警官学院项目客户需求：涉密系统和非涉密系统共用Vmware虚拟化平台，虚机共用物理主机且动态漂移，不同虚机和业务没有专门安全隔离措施，导致流量不可视、安全不可知；解决方案：在服务器区域核心交换机旁路部署一台NIDS设备，对进入服务器区域的数据进行实时安全监测和威胁报警。每个物理服务器内均部署VSS产品，实现虚机微隔离和业务区域划分，实时消除不同方向的安全隐