云安全整體防護技術(shù)PPT課件

1、云安全整體防護技術(shù)綠盟科技 李文昌云計算概念公有云私有云混合云社區(qū)云軟件即服務(wù)軟件即服務(wù)SaaS平臺即服務(wù)平臺即服務(wù)PaaS基礎(chǔ)設(shè)施即服務(wù)基礎(chǔ)設(shè)施即服務(wù)IaaS寬帶接入寬帶接入快速彈性架構(gòu)快速彈性架構(gòu)可計費服務(wù)可計費服務(wù)按需自服務(wù)按需自服務(wù)資源池化資源池化五個基本特征三種服務(wù)交付模式四種部署模式云安全？2009年2月，谷歌Gmail電子郵箱爆發(fā)全球性故障，服務(wù)中斷時間長達4小時2009年3月，微軟云計算平臺Azure服務(wù)中斷運行約22小時2011年3月，谷歌郵箱爆發(fā)大規(guī)模用戶數(shù)據(jù)泄露事件，約15萬Gmail用戶郵件記錄被刪除2011年4月，亞馬遜云數(shù)據(jù)中心服務(wù)器大面積宕機，這一事件被認為是亞馬

2、遜史上最嚴重的云計算安全事件2011年4月，索尼PS3、音樂、動畫云服務(wù)網(wǎng)絡(luò)遭黑客入侵，大量用戶登錄的個人信息遭泄露，受影響用戶多達7700萬人，涉及57個國家和地區(qū)2013年4月，蘋果公司的iCloud斷網(wǎng)，影響到包括登錄、電郵、GameCenter和iTunes的各種服務(wù)。2015年3月，微軟有兩項Azure公有云服務(wù)發(fā)生故障，虛擬機、網(wǎng)站和其他云服務(wù)癱瘓數(shù)天時間，微軟作為全球第二大公有云服務(wù)提供商，向客戶通知稱這次服務(wù)故障的根源是存儲發(fā)生了問題。2017年2月，知名云安全服務(wù)商 Cloudflare 被爆泄露用戶 HTTPS 網(wǎng)絡(luò)會話中的加密數(shù)據(jù)長達數(shù)月，受影響的網(wǎng)站預(yù)計至少200萬之多

3、，其中涉及Uber、1password 等多家知名互聯(lián)網(wǎng)公司的服務(wù)。截至2017年，OpenStack共披露了130多個漏洞，vmware共被披露了800余個漏洞。云計算與虛擬化技術(shù)云計算的技術(shù)實現(xiàn)方式，包括：虛擬化構(gòu)成的云， 例如：Amazon EC2應(yīng)用程序/服務(wù)構(gòu)成的云， 例如：Google App Engine虛擬化管理程序（Hyporvisor）IaaSPaaSSaaS虛擬化部分網(wǎng)絡(luò)硬件存儲虛擬化管理程序虛擬機操作系統(tǒng)中間件應(yīng)用程序網(wǎng)絡(luò)硬件存儲虛擬化管理程序虛擬機操作系統(tǒng)中間件應(yīng)用程序網(wǎng)絡(luò)硬件存儲虛擬化管理程序虛擬機操作系統(tǒng)中間件應(yīng)用程序SaaSPaaSIaaS服務(wù)交付模式與基礎(chǔ)設(shè)施

4、的關(guān)系虛擬化構(gòu)成的云云計算帶來的安全挑戰(zhàn)云計算采用了新技術(shù)、新服務(wù)模式，在帶來益處的同時，也導(dǎo)致和引發(fā)了新的安全風險和挑戰(zhàn)。用戶失去對物理資源的直接控制云服務(wù)商的信任問題云計算技術(shù)導(dǎo)致的問題：資源共享虛擬化安全漏洞虛擬機逃逸虛擬化環(huán)境下的技術(shù)及管理問題：多租戶的安全隔離作惡的云云計算服務(wù)模式引發(fā)的安全問題：虛擬化網(wǎng)絡(luò)帶來的問題南北流量主要是指外部公網(wǎng)進出云計算內(nèi)部的流量;途中東西流量主要是指租戶之間的訪問所產(chǎn)生的流量，或是一個租戶內(nèi)部不同虛擬機之間的流量；圖中VM1VM2LeafSpineSpineLeafLeafVM3VM4VXLANInternetVM5VM6vSWvSWvSW虛擬化網(wǎng)絡(luò)帶

5、來的問題p 東西向流量的不可見 vm1和vm2在同一臺物理主機內(nèi)，兩者通信只存在于vm1、虛擬交換機和vm2之間，無法被外部防火墻監(jiān)控到，自然無法做到訪問控制虛擬化網(wǎng)絡(luò)帶來的問題p 隧道封裝（VxLAN、NVGRE），傳統(tǒng)設(shè)備無法識別流量vm1和vm3在不同的物理主機內(nèi)，雖然兩者的通信經(jīng)過外部防護墻，但由于物理主機之間通過隧道相連。如果防火墻只是簡單的部署在物理交換機一側(cè)，那么它只能看到通信的數(shù)據(jù)包，而不能去掉隧道頭部，解析vm1到vm3的流量安全防護的變化從技術(shù)層面上來講，云是資源利用的新的方式,安全本質(zhì)沒有發(fā)生變化，是傳統(tǒng)安全在云的延伸云環(huán)境的網(wǎng)絡(luò)安全防護，需要面臨如下改變：安全設(shè)備形態(tài)的

6、變化安全彈性擴展的變化網(wǎng)絡(luò)部署方式的變化安全按需分配的變化核心：安全能力也具備云的虛擬、彈性、敏捷、開放等特點云安全要解決的問題等保合規(guī)性要求公共云計算中安全域隱私通用云計算環(huán)境（標準草案）云計算安全障礙與緩和措施云計算關(guān)鍵領(lǐng)域安全指南云控制矩陣云審計云計算參考體系（標準）云計算安全與隱私管理系統(tǒng)ISO/IEC DIS 17203虛擬機遷移云計算-信息安全保障框架云計算-信息安全的好處，風險和建議GB/T 31167:2014 信息安全技術(shù) 云計算服務(wù)安全指南GB/T 31168:2014 信息安全技術(shù) 云計算服務(wù)能力要求GB/TXXXX:XXXX 信息安全技術(shù) 云計算服務(wù)安全能力評估方法(草

7、案）GB/TXXXX:XXXX 信息安全技術(shù) 云計算安全參考架構(gòu)（草案）GB/T 22239.2 信息系統(tǒng)安全等級保護 云計算安全擴展要求（草案）GB/T XXXX 信息系統(tǒng)安全等級保護 云計算安全擴展測評要求（草案）工信部 YD/T 3157-2016 公有云服務(wù)安全防護要求工信部 YD/T 3158-2016 公有云服務(wù)安全防護檢測要求GW0013-2017 國家電子政務(wù)外網(wǎng)標準云安全防護重點防護資產(chǎn)對象防護資產(chǎn)對象云環(huán)境特定要求云環(huán)境特定要求防護重點防護重點東西向流量防護南北向流量防護虛擬主機防護虛擬化平臺防護物理主機防護適應(yīng)虛機動態(tài)遷移彈性伸縮按需開通、按量計費資源共享、多租戶/多系統(tǒng)

8、面向內(nèi)部人員的集中化運維面向租戶的個性化展示云安全解決方案p 云安全解決方案架構(gòu)p 云安全管理平臺p 安全資源池云安全方案整體架構(gòu)傳統(tǒng)盒子虛擬化產(chǎn)品虛擬化產(chǎn)品+KVM+x86服務(wù)器安全資源池入侵檢測 APPWeb安全APPWeb安全子平臺抗D子平臺入侵防護子平臺資源管理服務(wù)開通流量調(diào)度服務(wù)編排數(shù)據(jù)采集數(shù)據(jù)分析安全管理平臺抗DAPP安全態(tài)勢APP控制vIPS IPS IPS WA vWAF WAFF W vFW FW資源應(yīng)用SDN控制器SwitchSwitchSwitchvSwitchvSwitch適配云管理平臺對接VMVM VMVMVM云安全的三個步驟全面的、有效的安全服務(wù)與運維保護云里的租戶

9、提供面向租戶業(yè)務(wù)的專業(yè)防護和流量監(jiān)控保護云平臺和邊界從物理基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、系統(tǒng)等層面進行綜合、縱深的防護云安全解決之道保護云基礎(chǔ)設(shè)施FW：下一代防火墻ADS：抗拒絕服務(wù)NTA：流量監(jiān)測分析IPS：入侵防御系統(tǒng)WAF：Web應(yīng)用防火墻SAS：安全審計 堡壘機WVSS: WEB應(yīng)用漏洞掃描系統(tǒng)RSAS: 遠程安全評估系統(tǒng)BVS： 安全配置核查系統(tǒng)云內(nèi)如何有效、全面的安全防護呢？vFWvSASvIDSvWAFvRSASvSAS-HvIPSvBVS整體防護服務(wù)平臺運維平臺資源管理服務(wù)開通流量調(diào)度服務(wù)編排數(shù)據(jù)采集數(shù)據(jù)分析云安全管理平臺全面的、有效的安全管理與運維云安全管理平臺云安全管理平臺vCenter

10、OpenstackXen Center虛擬化安全資源池 支持多種云管理平臺，與云管理平臺做了深度結(jié)合 完全自動化的部署 統(tǒng)一的策略下發(fā)、報表展現(xiàn)和資源管理 面向租戶的云安全定制服務(wù)虛擬化安全資源池虛擬化安全資源池APIAPIAPI19云安全管理平臺服務(wù)部分運維部分面向租戶，按需分配的安全服務(wù)面向運維管理人員，用于運維管理云安全管理平臺- 服務(wù)界面云安全管理平臺- 運維界面用戶使用流程（以WEB防護為例）登錄用戶門戶用戶選擇相應(yīng)防護進入用戶安全操作界面安全策略管理增加/選擇站點進入相應(yīng)安全防護應(yīng)用標簽服務(wù)開啟和管理用戶登錄狀態(tài)查看日志查詢查看日志 Virtual SwitchvFW安全資源池sr

11、v1srv2LBvIPSvWAFvFWvIPSvWAFvFWvIPSvWAFvFWvIPSvWAFvFWvIPSvWAF.安安全全資資源源池池互聯(lián)網(wǎng)互聯(lián)網(wǎng)入侵檢測 APPWeb安全APPWeb安全子平臺抗D子平臺入侵防護子平臺資源管理服務(wù)開通流量調(diào)度服務(wù)編排數(shù)據(jù)采集數(shù)據(jù)分析安全運營平臺抗DAPP安全態(tài)勢APP調(diào)度指令流量引入流量回注資源調(diào)度服務(wù)編排云安全產(chǎn)品預(yù)防遠程安全評估系統(tǒng)NSFOCUS RSAS安全配置核查系統(tǒng)NSFOCUS BVS網(wǎng)站安全監(jiān)測系統(tǒng)NSFOCUS WSMWEB應(yīng)用漏洞掃描系統(tǒng)NSFOCUS WVSS網(wǎng)站安全監(jiān)測服務(wù)NSFOCUS WebSafe Service檢測網(wǎng)絡(luò)入侵

12、檢測系統(tǒng)NSFOCUS NIDS網(wǎng)絡(luò)流量分析系統(tǒng)NSFOCUS NTA保護網(wǎng)絡(luò)入侵防護系統(tǒng)NSFOCUS NIPS下一代防火墻NSFOCUS NF抗拒絕服務(wù)系統(tǒng)NSFOCUS ADS云監(jiān)護抗拒絕服務(wù)系統(tǒng)NSFOCUS MSS for ADS云監(jiān)護WEB應(yīng)用防護系統(tǒng)NSFOCUS MSS for WAF響應(yīng)安全審計系統(tǒng)NSFOCUS SAS安全審計-堡壘機NSFOCUS SAS-HWEB應(yīng)用防火墻NSFOCUS WAFWEB應(yīng)用防火墻主機版NSFOCUS HWAF企業(yè)安全中心NSFOCUS ESPC抗拒絕服務(wù)管理中心NSFOCUS ADS-M威脅分析系統(tǒng)NSFOCUS TAC數(shù)據(jù)庫審計系統(tǒng)NSF

13、OCUS DAS數(shù)據(jù)庫防火墻NSFOCUS DBFW虛擬安全設(shè)備支持在KVM和VMware EXSI的底層虛擬化環(huán)境中安裝私有云安全應(yīng)用場景方案組件：硬件安全設(shè)備：部署在邊界做南北向流量的防護虛擬化安全資源池：部署在云內(nèi)，主要做東西向流量的防護云安全管理平臺：統(tǒng)一的資源管理、策略下發(fā)和報表展現(xiàn)行業(yè)云（公有云）安全應(yīng)用場景方案組件：硬件安全設(shè)備：邊界防護虛擬化安全設(shè)備：云內(nèi)租戶防護云安全管理平臺：統(tǒng)一的資源管理、策略下發(fā)和報表展現(xiàn)安全應(yīng)用：提供安全服務(wù)某高校云安全項目Fusionshpere云計算環(huán)境vWAFFusionshpere云管理平臺VMVMVMVMvIDS安全資源池VMVMVMVM引流

14、及流量引流及流量復(fù)制系統(tǒng)復(fù)制系統(tǒng)堡壘機NFvRSASvBVS設(shè)備池化，統(tǒng)一管理 ：對所有形態(tài)的安全設(shè)備進行統(tǒng)一管理， 與云管理平臺無縫對接，安全管理可視化， 有效化；彈性服務(wù)，編排防護：對于復(fù)雜的攻擊，可以在安全資源池中通過服務(wù)鏈和服務(wù)編排技術(shù)，實現(xiàn)真正的智能、敏捷和可運營的安全服務(wù)；方案聯(lián)動：與綠盟科技的安全大數(shù)據(jù)分析平臺、態(tài)勢感知等解決方案無縫結(jié)合；VMVMVMVMvRSAS云安全管理平臺vFW某移動運營商場景安全設(shè)備區(qū)外部接入?yún)^(qū)分光器負載均衡區(qū)政務(wù)網(wǎng)VPC接入?yún)^(qū)VPC網(wǎng)管服務(wù)區(qū)vSASvRSASVWAFvIDS外置資源池vSASvRSASVWAFVIDS外置資源池流量監(jiān)控云安全管理平臺GRE隧道部署說明：分別在外部接入?yún)^(qū)和VPC接入?yún)^(qū)部署外置安全資源池，部署Web應(yīng)用防護、網(wǎng)絡(luò)入侵檢測/防御、漏洞掃描等安全能力。云安全