云安全服務(wù)平臺介紹

1、云安全服務(wù)平臺介紹CSSP 2022/8/13培訓(xùn)目的1、了解VMware基本概念；2、理解CSSP的技術(shù)原理；3、掌握CSSP的部署和配置方法；CONTENTS1234VMware vSphere簡介CSSP簡介及原理CSSP的部署和配置注意事項(xiàng)2022/8/131VMware vSphere簡介2022/8/13VMware vSphere簡介1、VMware vSphere 基礎(chǔ)架構(gòu)2、VMware vSphere 網(wǎng)絡(luò)架構(gòu)3、VMware 虛擬化存在的安全風(fēng)險(xiǎn)1、VMware vSphere基礎(chǔ)架構(gòu)ESXi主機(jī)安裝于物理服務(wù)器上，早先區(qū)分有ESX與ESXi運(yùn)行多個(gè)VM(Virtual

2、Machine)虛擬機(jī)的宿主機(jī)vCenter控制中心通過Cluster機(jī)制將所有的ESXi主機(jī)組成一個(gè)資源池創(chuàng)建并管理ESXi主機(jī)上的VMvSphere功能組件vMotion虛擬機(jī)漂移HA(High Availability)故障切換FT(Fault Tolerance)持續(xù)可用DSR(Distributed Resource Scheduler)資源調(diào)度VMware vSphereVMware ESXi VMware ESXiVMware ESXi VMware vCenter Server集中管理物理服務(wù)器（宿主機(jī)）ESXi主機(jī)與vCenter控制中心2022/8/132、VMware v

3、Sphere 網(wǎng)絡(luò)架構(gòu)VMware vSphere 可提供兩種類型的網(wǎng)絡(luò)架構(gòu)。vSphere Distributed Switch 網(wǎng)絡(luò)用于管理數(shù)據(jù)中心級別的虛擬機(jī)和主機(jī)網(wǎng)絡(luò)，而標(biāo)準(zhǔn)交換機(jī)網(wǎng)絡(luò)則用于管理主機(jī)級別的虛擬機(jī)和主機(jī)網(wǎng)絡(luò)。2022/8/132022/8/132022/8/133、VMware 虛擬化存在的安全風(fēng)險(xiǎn)VMware用戶面臨最大的安全問題是將業(yè)務(wù)環(huán)境全部虛擬化后，安全邊界消失了，無法像物理環(huán)境那樣通過物理防火墻給不同的服務(wù)器劃分不同的安全區(qū)，所有的虛擬機(jī)對于傳統(tǒng)物理安全設(shè)備來說都處于同一個(gè)安全區(qū)，將來只要任意一臺虛擬機(jī)被攻破，這臺虛擬機(jī)就會成為內(nèi)部入侵的跳板。網(wǎng)絡(luò)資源NGAFN

4、GAF硬件NGAF保護(hù)物理網(wǎng)絡(luò)邊界安全vNGAF保護(hù)虛擬化網(wǎng)絡(luò)內(nèi)部安全解決方案2022/8/132CSSP簡介及原理CSSP是什么？CSSP，Cloud Security Service Platform，云安全服務(wù)平臺的簡稱（下面統(tǒng)一簡稱CSSP），主要目的讓公司整個(gè)安全BU的安全產(chǎn)品，都能以組件加服務(wù)的形式，及以一套完整安全解決方案提供給云客戶，對客戶的資產(chǎn)和業(yè)務(wù)進(jìn)行全面的、立體的安全防護(hù)，并且會持續(xù)提升客戶安全防護(hù)能力；目前插件版vNGAF是集成在CSSP上，通過CSSP來完成部署的；后續(xù)CSSP還會支持更多的云安全組件；CSSP2.0版本的主要功能特性：支持VMware平臺自動化部署插

5、件版vNGAF；支持資產(chǎn)發(fā)現(xiàn)以及統(tǒng)一管理；東西向流量可視以及微隔離；安全日志和安全策略以資產(chǎn)視角進(jìn)行統(tǒng)一展示和統(tǒng)一配置；CSSP支持在線試用授權(quán)，以及全新的授權(quán)模式（按照物理CPU個(gè)數(shù)進(jìn)行授權(quán)）；vNGAF和規(guī)則庫可統(tǒng)一由CSSP升級和管控；CSSP的價(jià)值CSSP是適合虛擬化云環(huán)境安全的下一代安全軟件，可以以虛機(jī)部署在hypervisor上，實(shí)現(xiàn)對平臺上虛機(jī)間的流量進(jìn)行雙向檢測，并深入到數(shù)據(jù)內(nèi)容層面的全面風(fēng)險(xiǎn)核查，能夠精確識別用戶、應(yīng)用和內(nèi)容，具備L2到L7完整安全防護(hù)能力，實(shí)現(xiàn)在數(shù)據(jù)中心云平臺等大流量場景下的一體化安全防護(hù)。通過部署CSSP，可以有效的實(shí)現(xiàn)虛擬機(jī)之間東西向流量的隔離，從而滿足

6、了用戶隔離不同業(yè)務(wù)區(qū)的需求。CSSP的組成1、CSSP負(fù)責(zé)安裝引流插件和部署vNGAF到VMware ESXi Host上；還負(fù)責(zé)vAF進(jìn)行集中管控和進(jìn)行安全策略的集中配置。2、vNGAFvNGAF以虛擬網(wǎng)線方式部署，負(fù)責(zé)執(zhí)行CSSP下發(fā)的安全策略，對虛擬機(jī)的流量進(jìn)行安全檢測，保護(hù)虛擬機(jī)的安全。3、引流插件負(fù)責(zé)將虛擬機(jī)的流量牽引到vNGAF。引流插件是基于VMware的VMsafe API接口實(shí)現(xiàn)的驅(qū)動模塊。CSSP技術(shù)原理1、流量重定向CSSP技術(shù)原理2、分布式透明部署CSSP技術(shù)原理3、虛機(jī)的熱遷移感知CSSP技術(shù)原理4、BypassvAF每隔1s會向引流插件發(fā)送心跳數(shù)據(jù)，引流插件如果5s

7、內(nèi)沒有收到vAF的心跳數(shù)據(jù)，則會直接將VM的數(shù)據(jù)Bypass。2022/8/133CSSP的部署和配置部署思路1、通過vCenter上傳CSSP的OVA模板2、配置CSSP的IP地址3、通過VLS授權(quán)服務(wù)器給CSSP授權(quán)（或在線申請?jiān)囉茫?、添加vCenter，獲取資產(chǎn)列表；5、部署vAF（給vAF分配IP地址池）6、確認(rèn)vAF部署成功（引流成功）具體過程請看部署視頻錄屏：/s/1dEKUPot 密碼:5aky配置思路1、設(shè)置區(qū)域2、設(shè)置東西向安全策略3、設(shè)置南北向安全策略4、設(shè)置WAF、IPS5、其他安全策略下面我們通過一個(gè)實(shí)驗(yàn)平臺來舉例介紹配置的內(nèi)容實(shí)驗(yàn)平臺拓?fù)渲鳈C(jī)A內(nèi)有兩臺VM，分別為V

8、M11和VM13，主機(jī)B內(nèi)有兩臺VM，分別為VM12和VM14，外面有一臺物理測試PC；物理測試PC的IP為53，VM11的IP為1、VM13的IP為3、VM12的IP為2、VM14的IP為4。 1、設(shè)置區(qū)域CSSP的區(qū)域概念與物理設(shè)備的區(qū)域概念有所不同，物理設(shè)備的區(qū)域是根據(jù)網(wǎng)口來劃分的，CSSP的區(qū)域是完全根據(jù)邏輯來劃分的。CSSP默認(rèn)有兩個(gè)區(qū)域，信任區(qū)域和非信任區(qū)域。部署了vAF的主機(jī)內(nèi)的虛擬機(jī)默認(rèn)被劃分到信任區(qū)域，未部署vAF的主機(jī)的虛擬機(jī)和外部網(wǎng)絡(luò)則被劃分為非信任區(qū)域。用戶可以根據(jù)實(shí)際情況新建區(qū)域，并將信任區(qū)域內(nèi)的虛擬機(jī)移動到自建區(qū)域內(nèi)，以方便制定符合自身需求的安全策略。本實(shí)驗(yàn)環(huán)境中，

9、我們新建兩個(gè)區(qū)域，分別為服務(wù)器A區(qū)和服務(wù)器B區(qū)，然后根據(jù)測試需要將四臺VM移動到相應(yīng)的區(qū)域，同時(shí)將VM11標(biāo)注核心資產(chǎn)進(jìn)行重點(diǎn)測試關(guān)注，如下圖：2、配置東西向防護(hù)（不同主機(jī)的不同虛擬機(jī)之間 ）注意：東西向策略是基于虛擬機(jī)的mac地址來實(shí)現(xiàn)的，如果虛擬機(jī)是不同網(wǎng)段的，則無法通過東西向策略來隔離，需要通過南北向策略來隔離！2、配置東西向防護(hù)（同一主機(jī)的不同虛擬機(jī)之間 ）3、配置南北向防護(hù)注意：南北向策略是基于IP地址來隔離的，所以源和目的區(qū)域可以選擇全部。4、配置 WAF5、配置 IPS6、 流量可視、安全狀態(tài)可視7、測試bypass1、關(guān)閉、重啟vAF測試 在VMware管理平臺上關(guān)閉vAF虛擬

10、機(jī)的電源，網(wǎng)絡(luò)在短暫丟幾個(gè)包后會自動恢復(fù)。然后在VMware管理平臺上再開啟vAF虛擬機(jī)的電源，網(wǎng)絡(luò)在短暫丟幾個(gè)包后會自動恢復(fù)。2、關(guān)閉、重啟CSSP測試 在VMware管理平臺上關(guān)閉、重啟CSSP虛擬機(jī)的電源，網(wǎng)絡(luò)都不會中斷。（CSSP不處理網(wǎng)絡(luò)數(shù)據(jù)，只負(fù)責(zé)配置統(tǒng)一下發(fā)等。）2022/8/134注意事項(xiàng)1、vAF、CSSP要部署在同一個(gè)虛擬交換機(jī)的同個(gè)端口組內(nèi)，IP地址也要在同一個(gè)網(wǎng)段，否則CSSP無法通過組播發(fā)現(xiàn)vAF，vAF無法上線；（后續(xù)新版本才會支持跨三層部署）2、部署vAF的時(shí)候網(wǎng)絡(luò)會丟1、2個(gè)包，請?zhí)崆案嬷蛻簦?、開啟混雜模式的虛擬機(jī)，必須排除掉，否則會導(dǎo)致網(wǎng)絡(luò)中斷；（環(huán)境確認(rèn)表里有查看端口組是否啟用混雜模式的方法）4、vAF不支持ESXi中存在本身作為交換機(jī)角色的虛擬機(jī)，因?yàn)槠鋾?dǎo)致vaftun的fdb混亂，需要先排除掉；5、CSSP添加vCenter Server時(shí)只支持管理員角色的單點(diǎn)登錄賬戶；6、如果區(qū)域內(nèi)有CSSP，vCenter，需要在區(qū)域內(nèi)排除掉；如果流量超出vAF性能，需要排除掉部分虛擬機(jī)，讓這部分流量不引流到vAF；7、VLS授權(quán)服務(wù)器不支持遷移，因?yàn)镵EY是無法跟隨VLS虛擬機(jī)遷移的，所以一旦VLS虛擬機(jī)發(fā)生遷移，VLS就無法識別到KEY，授權(quán)就