云平台安全体系解读

京华云平台安全体系解读

云平台安全体系23云平台管理、协议安全1云平台安全分析虚拟机安全现状JingCloud虚拟化后的状况所有虚拟机共享资源虚拟机和应用程序随时可能移动或变更VM1App1OS1VM2App2OS2VM3App3OS3App4OS4VM4传统安全防护的模型每个物理环境相对独立安全产品保护服务器和应用程序虚拟化后的信息安全问题应该重新思考虚拟机的安全新挑战虚拟机安全现状

资源争夺1传统安全软件如何造成“防病毒风暴“？定期扫描CPU＋IO网络硬盘病毒库更新网络IO病毒库于内存所常驻重复的内存使用传统安全软件造成资源冲突降低虚拟机密度防病毒风暴虚拟机安全现状虚拟机安全漏洞攻击在虚拟器之中发生

虚拟机之间攻击／防护盲点3

资源争夺1

随时启动的防护间隙2虚拟机安全现状快照等带来的安全风险

资源争夺1

随时启动的防护间隙2

激活

重新激活,安全策略过期

虚拟机必须带有已配置完整的客户端和最新的病毒库新生成虚拟机休眠云平台安全体系23云平台管理、协议安全1云平台安全分析虚拟机文件安全云平台安全安全检测进程针对VM文件内容、注册表等进行检测；协议层安全；传输层安全；40万的病毒库扫描；虚拟机网络安全云平台安全基于防火墙式的安全防护；针对各种协议防护；7000多种攻击检测和防护；解决方案云平台安全

虚拟机之间攻击／防护盲点3

资源争夺1

随时启动的防护间隙2解决方案：无代安全具备虚拟环境感知能力，基于虚拟机整体资源所分发的安全任务有效避免资源争夺解决方案：基于安全模块的实时使用最新威胁特征库解决方案：与虚拟化平台所集成的虚拟环境感知安全解决方案管理平台高可用架构层安全管理Server可部署为物理机或虚拟机为保证性能与冗余性可横向扩展管理Server的数量数据库可配置为主从复制，读写分离管理服务器单节点部署管理服务器多节点部署数据库管理服务器用户接口管理接口数据库备数据库主管理服务器管理服务器管理服务器用户接口管理接口负载均衡器X价值：保障整体平台稳定运行HA高可用功能层安全防止意外宕机增强业务持续性降低故障损失计划内系统维护加强业务灵活性价值：加强平台应用业务连续性做到7*24小时业务可用RemoteVMgueststorageBareMetalHardwareKVMHypervisorFreeToolStackDeviceDriversBareMetalHardwareKVMHypervisorFreeToolStackDeviceDriversBareMetalHardwareKVMHypervisorFreeToolStackDeviceDrivers网关负载均衡访问层安全LB（LoadBalancer）负载均衡Session管理用户管理（认证、鉴权）Broker代理、转发、分发，协议选择。内外网隔离，多接入点支持VDI、vDGA、SoftWSGWvGWTCPCZCWorkstationPCoIPAgentVMServerAgentGWPOOL系统加固、访问加密系统层安全不需要的端口封闭安全实验室定期扫描、更新漏洞裁剪不需要的程序系统文件严格权限控制系统密码强制修改管理访问https加密访问模块、接口调用SSL加密处理SSH低权限登录验证云平台安全体系23云平台管理、协议安全1云平台安全分析协议安全传输访问层安全通道加密安全传输访问层安全打印机DLL存储DLL摄像头DLL其他DLLTC

API打印机DLL存储DLL摄像头DLL其他DLLVM

APISSL加密处理键盘/鼠标显示器协议通道网络不传密：私有协议不传输涉密数据，只传输图像点阵和操作支持传输加密终端不存密：嵌入式封闭系统终端不留存任何数据所有的数据都存在后端传输访问层安全数据安全针对用户进行外设管控支持不同外设类型进行分类管控支持特定类型下的特定设备管控支持USB、并口和串口分类管控传输访问层安全外设安全数据安全：终端不存密、网络不传密、所有数据都保存于服务器设备安全：TC