FusionCloud云數(shù)據(jù)中心安全解決方案

1、FusionCloud云數(shù)據(jù)中心安全解決方案傳統(tǒng)IDC/EDC面臨的安全威脅 身份與安全管理 帳號盜用，身份仿冒，違規(guī)操作，權限濫用 應用與數(shù)據(jù)安全 SQL注入、跨站等針對應用層的攻擊已經(jīng)成為安全最大的威脅。破壞數(shù)據(jù)的機密性、完整性和可用性。 系統(tǒng)與主機威脅 病毒蠕蟲等將占用系統(tǒng)資源、破壞文件和數(shù)據(jù)。惡意用戶也會利用本地漏洞和配置錯誤來獲取額外權限。網(wǎng)絡與邊界安全 針對網(wǎng)絡層的攻擊，如拒絕服務、漏洞掃描等。密碼破解權限濫用盜號違規(guī)操作SQL注入跨站攻擊數(shù)據(jù)泄露蠕蟲病毒僵尸網(wǎng)絡漏洞掃描木馬拒絕服務CC攻擊安全威脅云IDC/EDC環(huán)境下還存在新的威脅資源池層虛擬化平臺物理設備服務器存儲網(wǎng)絡應用系統(tǒng)

2、辦公應用管理應用業(yè)務應用PORTAL基礎軟件數(shù)據(jù)庫應用中間件操作系統(tǒng)身份與安全管理應用系統(tǒng)和資源所有權的分離，導致云平臺管理員可能訪問用戶數(shù)據(jù)應用與數(shù)據(jù)安全不同安全需求的租戶可能運行在同一臺物理機上，傳統(tǒng)安全措施難以處理系統(tǒng)與虛擬化安全虛擬化平臺運行在操作系統(tǒng)與物理設備之間，其設計和實現(xiàn)中存在漏洞風險網(wǎng)絡與邊界安全網(wǎng)絡邊界的模糊化，威脅種類的變化以及大流量的DDoS攻擊除傳統(tǒng)威脅外，虛擬化、多租戶和特權用戶問題使得云IDC面臨更大風險！管理安全數(shù)據(jù)中心虛擬化平臺及安全架構1234虛擬化平臺安全Content網(wǎng)絡安全數(shù)據(jù)安全5虛擬化平臺總體架構中間件層虛擬平臺物理層辦公系統(tǒng)租戶ERP系統(tǒng)應用層D

3、C咨詢規(guī)劃運維優(yōu)化專業(yè)服務FusionIntegration方案設計部署與業(yè)務遷移業(yè)務管理系統(tǒng)(Portal)服務器存儲網(wǎng)絡安全網(wǎng)關物理硬件FusionCompute權限控制系統(tǒng)部署模板FusionStorageFusionNetworkFusionStack虛擬主機VPC安全組彈性IP負載均衡并行計算物理資源池多DC調(diào)度容災FusionManager業(yè)務管理層故障診斷FusionSphere虛擬化平臺總體安全架構管理安全數(shù)據(jù)中心虛擬化平臺及安全架構1234虛擬化平臺安全Content網(wǎng)絡安全數(shù)據(jù)安全5Color ThemeCombination of three colors, main t

4、heme: company red虛擬化平臺-云操作系統(tǒng)裸機虛擬化架構，性能損耗低于5%支持VT-X、VT-D、AMD-V硬件輔助虛擬化技術，避免修改Guest OS兼容業(yè)界主流服務器、存儲設備硬件層虛擬化層虛擬CPU虛擬內(nèi)存虛擬存儲Agent后端半虛擬化驅動虛擬交換機文件系統(tǒng)網(wǎng)卡驅動存儲驅動Domain U前端半虛擬化驅動軟件BIOSDomain U前端半虛擬化驅動軟件BIOSWindows XPLinuxDomain U前端半虛擬化驅動軟件BIOSWindows7虛擬網(wǎng)絡統(tǒng)一接口Domain 0管理層云計算的本質: 一臺超級計算機, 兩層OS架構1. 從云平臺的角度：虛擬機是云計算操作系統(tǒng)

5、的一個應用2. 從虛擬機的角度：云計算操作系統(tǒng)就是原來的硬件層云計算安全的核心控制點在云操作系統(tǒng)云操作系統(tǒng)需要安全可控硬件資源 操作系統(tǒng) 系統(tǒng)軟件 應用軟件 云計算硬件資源 操作系統(tǒng) APP OS 系統(tǒng)軟件 應用軟件 傳統(tǒng)PC系統(tǒng)架構 云計算操作系統(tǒng) Cloud OS 云計算系統(tǒng)架構 操作系統(tǒng) APP OS 系統(tǒng)軟件 應用軟件 VM1VM2Page 8CPU虛擬化及安全性保證傳統(tǒng)X86架構的CPU指令分為Ring0-Ring3 4個特權級別，（Ring 0用于運行操作系統(tǒng)內(nèi)核、Ring 3用于應用程序），從而實現(xiàn)操作系統(tǒng)與應用程序之間的隔離虛擬化環(huán)境下，支持虛擬化的CPU對指令集進行了擴展，對

6、指令的優(yōu)先級增加了一個維度：ROOT模式和非ROOT模式，其中ROOT模式屬于Cloud OS的指令Cloud OS負責CPU指令在ROOT模式和非ROOT模式的切換，以及維護不同VM之間非ROOT模式下指令的調(diào)度只要Cloud OS是安全可信的，指令的優(yōu)先級以及不同VM之是的指令隔離就能得到保證Page 9內(nèi)存虛擬化及安全性保證內(nèi)存虛擬化共涉及到三個內(nèi)存地址：機器地址（真實物理內(nèi)存地址）虛擬機物理地址應用程序使用地址虛擬機物理地址與應用程序使用地址之間的映射關系是由APP OS維護的Cloud OS是建立和維護不同VM的虛擬機物理地址與機器地址之間的映射關系，并根據(jù)這個映射關系提供內(nèi)存路由控

7、制，防止不同VM之間內(nèi)存地址的非法訪問只要Cloud OS是安全可信的，就能限制VM只能訪問為其分配的內(nèi)存，不同VM之間的內(nèi)存隔離就能得到保證云計算硬件資源 操作系統(tǒng) APP OS 系統(tǒng)軟件 應用軟件 云計算操作系統(tǒng) Cloud OS VM1VM2操作系統(tǒng) APP OS 系統(tǒng)軟件 應用軟件 虛擬機物理地址虛擬機物理地址機器地址Page 10內(nèi)存分配模式根據(jù)安全要求可配置VSApp虛擬化層物理硬件AppAppApp虛擬機內(nèi)存獨占式分配2G2G2G2G所需內(nèi)存：8G物理硬件App虛擬化層AppAppApp虛擬機內(nèi)存共享式分配2G2G2G2G所需內(nèi)存：6G內(nèi)存共享，寫時復制VM1VM2VM3物理內(nèi)存

8、內(nèi)存置換DiskVMVM內(nèi)存氣泡VM1VM2內(nèi)存氣泡空閑已使用已使用空閑智能復用內(nèi)存獨占模式： 可以阻止內(nèi)存復用，每個虛擬化之間內(nèi)存完全物理分開，安全性最高。犧牲VM密集度和內(nèi)存交換效率（約30%）換安全。內(nèi)存共享模式：回收客戶機物理內(nèi)存時內(nèi)存清“0”技術特點Page 11內(nèi)存重分配清“0”VM1VM2物理內(nèi)存釋放的內(nèi)存在hypervisor內(nèi)清零后再分配計算機的內(nèi)存一般在未掉電或重新刷新的情況下會保留上個階段運算的信息。在云計算環(huán)境下內(nèi)存的動態(tài)分配對安全是個極大威脅，許多高等級的攻擊極有可能利用剩余信息通過極其復雜的技術來獲得其它用戶的敏感信息，雖然這種攻擊的構建成本會較高，但是通過適當?shù)募?/p>

9、術可以有效地消除這種風險：在云操作系統(tǒng)將內(nèi)存重新分配給用戶的時候，云操作系統(tǒng)會對分配的內(nèi)存作寫“零”處理，從而保障在新啟動的VM中惡意內(nèi)存檢測軟件無法檢測到有用信息。Page 12存儲虛擬化及安全性保證VM_1（Dom_U）存儲設備(邏輯卷,如/dev/sda)Guest OSVM_2（Dom_U）存儲設備(邏輯卷,如/dev/sdb)Guest OSBack-End DriverSCSI DriverIPSAN ControllerDom_0后端存儲系統(tǒng)Dom_0Cloud OSLUN1LUN2Disk存儲系統(tǒng)創(chuàng)建邏輯卷，并維護邏輯卷與磁盤條帶化之間的對應關系，這是存儲系統(tǒng)的基本功能Clou

10、d OS是建立和維護不同的VM與后端存儲系統(tǒng)邏輯卷之間的映射關系，并根據(jù)這個映射關系提供存儲路由控制，防止不同VM之間邏輯卷的非法訪問只要Cloud OS是安全可信的，VM就只能訪問分配的邏輯卷，不同VM之間的存儲隔離就能得到保證。Page 13用戶剩余信息徹底清除、不留痕業(yè)界模式：虛擬卷通過格式化方式清除數(shù)據(jù)，不徹底，可恢復，存在信息泄漏風險用戶A1 租用2 使用3退租4 租用虛擬卷對虛擬卷每一個物理Bit位清“零”華為模式：對銷戶虛擬卷采用物理Bit清零措施，確保數(shù)據(jù)不可恢復，杜絕信息泄漏風險用戶A1 租用2 使用3退租用戶B4 租用5使用恢復軟件，獲取數(shù)據(jù)虛擬卷虛擬卷格式化，數(shù)據(jù)未完全清

11、除風險安全用戶BPage 14123#！123#！123#！123#！00000000網(wǎng)絡虛擬化及安全性保證虛擬網(wǎng)卡有獨立的MAC和IP地址，從物理服務器以外的網(wǎng)絡上看，與物理的服務器是相同的；vSwitch為交換型（非共享型）交換機，不同VM的數(shù)據(jù)包被轉發(fā)到指定的虛擬端口；在Hypervisor層禁止虛擬網(wǎng)卡工作在“混雜模式”，用戶無法手動打開，因此無法通過TCPDUMP或者嗅探軟件獲取同一臺物理宿主機上的其它用戶VM的數(shù)據(jù)包；虛擬機的IP地址和MAC地址綁定，防止IP地址欺騙和ARP地址欺騙；在物理服務器內(nèi)部，VM之間隔離與互通的控制在vSwitch上實現(xiàn)：不同VLAN的通信流量導出到網(wǎng)關

12、；同一VLAN的通信流量直接交換，但接受安全組的安全策略檢查；APP OSAppvSwitch（vFW）APP OSAppCloud OS物理網(wǎng)卡VMVMVMVMVMVMVMVM安全組1安全組2安全組3提供基于硬件的可信安全保證在系統(tǒng)中引入可信任的TPM芯片，軟硬件配合保護云環(huán)境的安全可信！虛擬化平臺 / HypervisorTPM可信度量根（可選2）：Intel TXT安全擴展度量/信任鏈傳遞保存度量值報告度量值/可信狀態(tài)可信存儲根可信報告根應用程序 / 虛擬機CPUBIOS硬件ROM引導扇區(qū) / Bootloader計算節(jié)點可信驗證服務器虛擬化管理服務器可信度量根 （可選1）: UEFI

13、BIOS安全啟動 利用服務器上TPM芯片，提供Clould OS完整性保護方案，實現(xiàn)云平臺的可信啟動和可信運行 符合TPM1.2 和 TPM2.0規(guī)范 其中TPM2.0 支持中國商密算法SMx，滿足國內(nèi)合規(guī)性要求支持基于UEFI BIOS安全啟動機制、或Intel 可信執(zhí)行技術（TXT）特點Page 16虛擬化防病毒Page17虛擬化平臺無關的集中掃描：利用常規(guī)網(wǎng)絡協(xié)議將防病毒掃描工作offload到集中的掃描服務器上，客戶端無掃描引擎，僅需要安裝瘦代理。有效降低防病毒掃描、病毒庫更新對用戶虛擬機的資源占用，提升用戶體驗。支持的產(chǎn)品：McAfee Move 2.5隨機化掃描和更新、掃描結果緩存

14、：定時掃描在一個時間段內(nèi)隨機啟動，避免AV風暴本地虛擬Insight緩存：使用共享的Insight Cache優(yōu)化掃描，避免不同的VM掃描相同的文件。提升掃描效率、降低對用戶VM的資源占用，提升用戶體驗。支持的產(chǎn)品：Symantec SEP12虛擬化防病毒：華為云平臺 + SEP121、VM間共享掃描緩存SIC：強制多臺VM并發(fā)掃描時，SIC可減少每個VM的一半掃描時間（從平均73分鐘下降到34分鐘），掃描期間對CNA節(jié)點和VM的性能消耗都基本不變。2、隨機化措施： 1）VM啟動全盤掃描的時間點隨機分布，并發(fā)掃描的VM變小，幾乎接近串行，占用的CNA資源占用明顯下降，包括CPU（峰值90%-8

15、.8%)、磁盤(90MB/s-3.5MB/s)、網(wǎng)絡(85MB/s-6.6MB/s)； 2）隨機啟動時，首次掃描時第一個VM基本是全盤掃描，VM之間的共同文件掃描結果放到SIC上，后續(xù)VM用SIC的數(shù)據(jù)，只掃每個VM獨有的文件；再次掃描時，每個VM本地有可信標記，所以掃描時間也很短(縮短掃描時間3倍以上：由平均34分鐘-11.3分鐘)。評估結論：通過各種性能優(yōu)化措施，使得當VM進行全盤掃描時對Host性能影響很小，CNA的CPU峰值下降為10%左右（未優(yōu)化前可能會達到90%），整體上來看SEP 12.1在華為云上運行的情況比較良好。VM1Dom0VM2VM22CNA2SEPM+SICDom0C

16、NA1VRMSwitchWIN2003SEPSEPSEP隨機啟動掃描時涉及的隨機啟動掃描時的掃描持續(xù)時間：8小時配置SIC共享掃描緩存服務器，開啟客戶端的SIC功能測試項包括全盤掃描和更新病毒碼：全盤掃描考慮首次掃描和再次掃描，組合SIC打開和關閉，關注各種資源變化情況。病毒碼更新主要考察SEPM、CNA、Dom0、DomU各種資源，重點觀察帶寬占用。沒有測試隨機掃描（和虛擬化平臺的相關性較?。y試組網(wǎng)：測試結果：測試環(huán)境配置：傳統(tǒng)安全：系統(tǒng)加固+ 補丁+ 防病毒由于軟件存在bug，在安全上就可能引起相應的漏洞，通過對操作系統(tǒng)、數(shù)據(jù)庫、應用的加固以及補丁管理，可以修補這些漏洞通過嚴格的服務裁剪

17、、網(wǎng)絡端口掃描、操作權限及訪問控制等措施，保證主機平臺對外安全可靠 完整性保護 安全測試 安全配置系統(tǒng)加固操作系統(tǒng)加固數(shù)據(jù)庫加固應用加固（Web加固）加固領域加固流程具體方法裁撤不必要的組件、服務等代碼遵從代碼規(guī)范遵從業(yè)界配置加固規(guī)范，如CIS采用業(yè)界掃描工具如Appscan完整性校驗工具實現(xiàn)審查 代碼安全最小化裁剪補丁管理防病毒遵守IPD安全研發(fā)流程，實現(xiàn)業(yè)界最佳的安全質量Page 20安全活動DCP/TR檢查點IPD安全活動融入決策檢查點，合同和技術評審/其他評審或檢查點安全需求安全設計安全開發(fā)安全測試安全交付和維護安全需求分析安全威脅分析安全架構/特性設計開源第三方軟件選型代碼安全檢視代

18、碼安全掃描報告安全測試方案和用例安全測試報告（包括開源軟件）安全補丁（含開源軟件及第三方軟件)軟件外包(安全需求傳遞， 設計評審，代碼安全審查，安全測試驗收）配置管理 (代碼，文檔，研發(fā)工具，開源軟件) 安全基線、規(guī)范、標準、指導書ConceptTR1PlanTR2TR3DevelopmentTR4TR4ATR5QualifyTR6LaunchGALifecycleCharterCDCPPDCPADCP嚴格的流程，只能減少系統(tǒng)的安全漏洞，不能完全杜絕，還需要技術手段保障Cloud OS安全Page 20管理安全數(shù)據(jù)中心虛擬化平臺及安全架構1234虛擬化平臺安全Content網(wǎng)絡安全數(shù)據(jù)安全5虛

19、擬化數(shù)據(jù)中心網(wǎng)絡安全總體方案管理和業(yè)務平面隔離計算、管理在不同的VLAN平面計算和存儲物理隔離獨立的存儲網(wǎng)絡各個虛擬化業(yè)務區(qū)域隔離設計支持VDC、信任域、安全組三級隔離機制VDC間路由隔離信任域之間通過虛擬防火墻進行網(wǎng)絡隔離信任域內(nèi)可以根據(jù)業(yè)務需要靈活劃分安全組，比如把WEBAPPDB劃在不同的安全組業(yè)務安全在核心交換機上部署應用層安全設備，如IPS/IDS、WAF、郵件安全網(wǎng)關、SSL VPN、DDoS等，按需引流合理有效的內(nèi)部安全隔離設計是保障數(shù)據(jù)中心網(wǎng)絡安全的有效手段。InternetVMVMVMVMVMVMWANInterconnect AreaLBFWSSLLBAnti-DDoSFW

20、/IPSDMZLBFWSSLIPS/IDS/WAFIPS/IDS/WAFLB多租戶云數(shù)據(jù)中心iStackVMVMVMVMVMVMiStackVMVMVMVMVMVMiStackVMVMVMVMVMVMIPS/IDS/WAFIPS/IDS/WAFPage 22Page 23虛擬防火墻VSA, virtual service appliance支持DHCP Server功能支持NAT/NAPT功能支持帶狀態(tài)的ACL過濾功能支持ASPF應用感知的報文過濾功能支持安全防攻擊能力支持基于流量的統(tǒng)計/限速功能支持IPsec VPN虛擬防火墻支持硬件/軟件兩形態(tài)：硬件一虛多：在這種部署下，若干個虛擬防火墻共

21、用一個物理防火墻資源，但是在資源和管理上完全獨立、互不影響。軟件VSA：這種形式的虛擬化設備部署在某個VM上，以網(wǎng)關方式工作。提供REST管理接口，管理員可以在云安全管理平臺中配置安全策略，自動下發(fā)到相應的VSA上。VLAN1VMVMVMVLAN3VMVMVMVLAN2VMVMVMVSA/vFWvFWvFWvFWvFW特點：功能豐富，按需部署虛擬防火墻隔離-網(wǎng)絡粒度的接入控制基于網(wǎng)關虛擬化的多租戶隔離Page 24 云數(shù)據(jù)中心 部門A部門B部門C 部門C部門B部門AMPLS VPN CMPLS VPN BMPLS VPN AVlan 100Vlan 200Vlan 300VMVMVMVMVMV

22、MVMVMVMVMVMVMVMVMVMVMVMVM各個部門在數(shù)據(jù)中心的業(yè)務區(qū)，采用VLAN隔離；VSYS CVSYS BVSYS A防火墻通過MPLS VPN與各個部門互聯(lián)；防火墻啟用虛擬系統(tǒng)(VSYS)：外網(wǎng)口，通過VPN標簽，識別來自不同部門的數(shù)據(jù)流，并送入對應的VSYS；內(nèi)網(wǎng)口，通過VLAN-ID，識別來自不同部門的數(shù)據(jù)流，并送入對應VSYS；虛擬系統(tǒng)具有完全獨立的體驗：獨立的設備管理；獨立的設備資源享用；獨立的安全策略部署；獨立的日志報表查看；Page 24Page 25VLAN 1安全組1VMVMVM安全組2VMVMVMVLAN 2安全組3VMVMVM外部客戶端防火墻同時支持安全組間

23、的訪問控制策略，和安全組內(nèi)成員間的互訪策略在虛擬機交換機上實現(xiàn)，原理上相當于Hypervisor層的虛擬化防火墻每個VM一組ACL，互不影響,VM遷移時安全策略自動刷新提供VM粒度的隔離機制，解決VLAN資源不足、配置工作量大的問題。分布式策略控制，報文無需迂回到集中的策略控制點，避免形成性能瓶頸。可以和邊界防火墻共同部署，構筑立體安全防護能力（南北向流量控制+東西向流量控制）。Internet目的端口80技術特點價值安全組：具有相同的安全策略的一組VM的集合。安全組隔離 VM粒度的接入控制安全邊界和網(wǎng)絡邊界解耦，可靈活定義Page 26FirewallvSwitchVMVMVMVMTenan

24、tBTenantAvSwitch外置防火墻控制子網(wǎng)間安全，存在流量迂回GatewayDC FirewallVirtual NetworkvSwitch租戶/安全區(qū)Zone Segment數(shù)據(jù)中心安全vDC Segment基于業(yè)務的3級安全策略集中定義App業(yè)務安全組APP SegmentVMVMVMVMOpenFlow 按業(yè)務需求統(tǒng)一定義任意目標源組合的安全策略定義下發(fā)到Controller 子網(wǎng)內(nèi)互訪，首包上送Controller，動態(tài)下發(fā)安全過濾規(guī)則，源頭扼殺攻擊 子網(wǎng)間互訪，動態(tài)下發(fā)快轉流表，避免迂回 實現(xiàn)傳輸路徑的軟件控制，按需插入IDS/IPS、DDoS、郵件安全網(wǎng)關等安全增值服務S

25、DN-Controller公有云， 多租戶共享子網(wǎng)。常規(guī)的安全組隔離方案，僅在目的端進行過濾, 無法解決DoS攻擊對系統(tǒng)資源的消耗問題FirewallVirtual NetworkvSwitchVMVMVMVMSubnet2Subnet 1VMVMvSwitchTenant A/Subnet1Tenant A/Subnet2TenantBVSAVirtual Network基于SDN的一體化安全隔離：更強大、更智能同VLAN下虛擬機間IPS/DDoS防護VMVMVMvSwitchVMVMVMvSwitchVMVMVMvSwitchLAN Switch流量定向流量定向虛擬環(huán)境威脅檢測將vSwit

26、ch流量定向到USG9500設備上進行威脅檢測，提供虛擬環(huán)境可視。惡意軟件檢測蠕蟲木馬間諜軟件廣告軟件僵尸網(wǎng)絡DDOS檢測針對應用服務的DoS針對操作系統(tǒng)的DoS掃描探測服務器攻擊檢測防止對HTTP、FTP、DNS、Mail等服務器的各種攻擊：緩沖區(qū)溢出、系統(tǒng)或服務漏洞攻擊、暴力破解等。Web攻擊檢測檢測Web應用相關攻擊，包括Web2.0及后臺數(shù)據(jù)庫； 對注入攻擊、跨站腳本、目錄穿越等提供重點防護。Page 27USG9500數(shù)據(jù)中心外部接入Anti-DDOS方案Page 28鏡像流量清洗后流量清洗前流量管理流量流量及攻擊日志高強度支持從2G到160G的大流量清洗,是業(yè)界業(yè)界平均水平3-5倍

27、;高精度有效識別流量型攻擊、應用型攻擊、掃描窺測型攻擊和畸形包攻擊等類型,支持小流量應用層攻擊防范/支持低速攻擊防范;可運營可以為不同的用戶提供不同的清洗服務，并配置不同的DDoS防御策略，輸出獨立豐富的安全報表；靈活部署可直路、旁路、集中式、分布式部署；系列化針對不同的數(shù)據(jù)中心規(guī)模，用不同的產(chǎn)品組合：E1000E-D2G6GE8000E-D6G-160G核心交換機匯聚交換機云計算中心回注引流流量鏡像 DDOS清洗中心（E8000E/E1000E） DDOS檢測中心（E8000E/E1000E）Internet安全管理中心Page29IDS入侵檢測方案(NIP1000) 攻擊檢測，并記錄入侵過

28、程重新配置防火墻終止入侵NIP入侵檢測報警日志記錄云計算中心E1000E/E1000E-X流量鏡像被入侵NIP1000強大的入侵檢測能力，可識別千余種入侵行為，及時感知安全隱患；詳盡的網(wǎng)絡監(jiān)控能力, 提供郵件、通訊、文件傳輸、服務器狀態(tài)監(jiān)控，防止信息外泄；豐富的流量統(tǒng)計功能，準確掌握網(wǎng)絡運行情況和安全狀態(tài)；強大的協(xié)作聯(lián)動能力，可同防火墻、路由器等設備進行聯(lián)動，抵抗非法攻擊，凈化網(wǎng)絡環(huán)境；精準的攻擊識別能力，采用IP重組、TCP流優(yōu)化等技術，提高了檢測效率及其準確度，確保低誤、漏報率。IDS只能檢測，不能阻止入侵，但可以記錄更多的安全威脅供分析IPS入侵防御方案防火墻業(yè)務板IPS業(yè)務板高端防火墻

29、硬件平臺接口板主控板防火墻處理模塊IPS業(yè)務處理模塊總流量需要IPS處理的流量只需要防火墻處理的流量IPS分流流程IPS指紋庫全球最大 IPS指紋庫增新最快 升級服務器范圍最廣5 個SOC+61 個受監(jiān)控的國家+6個安全響應Lab+29 個全球支持中心 通過多種方法(復合簽名,狀態(tài)簽名,協(xié)議異常)抵御來自應用層的攻擊 HTTP, SMTP, POP3, IMAP, FTP, DNS, P2P/IM, 廣泛的協(xié)議支持IPS引擎與防火墻共平臺，ALL IN ONE 防火墻可以設置策略，把需要IPS保護的流量引流到IPS業(yè)務模塊（E1000E/E1000E-X）或業(yè)務板(E8000E)上進行處理;

30、如果是高端防火墻（E8000E），具有獨立的IPS業(yè)務板，可以按需靈活配置；高性能 IPS防護性能：最高8G*8管理安全數(shù)據(jù)中心虛擬化平臺及安全架構1234虛擬化平臺安全Content網(wǎng)絡安全數(shù)據(jù)安全5安全管理用戶管理資源域管理日志管理操作審計個人設置組織管理權限管理業(yè)務模板設計業(yè)務部署、管理組織設計、組織管理系統(tǒng)管理員業(yè)務管理員資源管理角色管理用戶管理組織管理最終用戶資源使用角色管理以角色為核心的權限管理，靈活的分權分域，支持用戶組靈活、全面的安全管理分權分域和三權分立Page 33分權分域：支持設備和業(yè)務 “分權分域管理模式”，使得管理員不能越權管理；管理支持集群和跨集群授權，粒度可具體到

31、虛擬機。三權分立: 1.系統(tǒng)安裝時，生成系統(tǒng)管理員、安全管理員、安全審計員。2.系統(tǒng)中的不同用戶相互監(jiān)督、相互制約，每個管理員各司其職。安全管理員安全審計員系統(tǒng)管理員日志審計安全管理用戶管理權限管理安全策略管理.系統(tǒng)管理虛擬機管理存儲管理網(wǎng)絡管理.超級管理員單點登錄Page 34Uni PortalSSO ServerFusionManagerSSO ClientFusionComputeSSO Clientfuction1User DBstep1 發(fā)起http請求，如http:/service/VRM/createVMStep2 獲取VRM的代理票據(jù)PGT step3 返回代理票據(jù)PGTSt

32、ep4 使用代理票據(jù)PGT向VRM發(fā)起請求http:/service/VRM/createVM Step5使用代理票據(jù)PGT向SSO server認證Step5.1認證成功Step5.2返回信息Step5.3 返回信息統(tǒng)一管理入口， 所有的基礎設施管理，包括服務器，網(wǎng)絡、存儲與虛擬化資源都在統(tǒng)一的管理入口; 支持最終用戶和管理員共用Portal。統(tǒng)一認證授權，用戶一次登錄可以使用所有管理基礎設施的功能，無需二次認證。支持多種管理員身份認證方式Page 35用戶虛擬機桌面云用戶2、用戶查看虛擬機列表3. 用戶點擊VM，成功登錄VM1. TC中插入USB Key，輸入PIN碼登錄TC域用戶密碼指紋

33、USBkey密碼+指紋支持管理員用戶身份認證與通過保密認證的身份認證系統(tǒng)無縫對接Page 36VMVM企業(yè)應用郵件CRMOA認證管控中心身份認證網(wǎng)關桌面門戶身份認證網(wǎng)關桌面協(xié)議安全PIN碼通道TC登錄UK認證VM登錄UK認證應用登錄UK認證ADVM登錄AD認證密碼代填與國內(nèi)通過保密局資質認證的主要廠家的身份認證系統(tǒng)已經(jīng)完成對接！防止管理員對磁盤“誤掛接”由于網(wǎng)絡管理員的操作“失誤”，可能存在磁盤“誤掛接”的風險，導致用戶的數(shù)據(jù)泄露。是對每個用戶的虛擬機設置與用戶關聯(lián)的標記，在操作系統(tǒng)掛接磁盤的時候，自動檢測虛擬機的屬主與標記之間的對應關系，從而防止磁盤“誤”掛接。Page 37用戶A標識：用戶

34、A123#！用戶B虛擬卷不能把一個用戶的虛擬卷掛到其他用戶虛擬機上管理安全數(shù)據(jù)中心虛擬化平臺及安全架構1234虛擬化平臺安全Content網(wǎng)絡安全數(shù)據(jù)安全5虛擬機磁盤加密私有云公共云加密虛擬機管理(High Availability)秘匙管理(High Availability）加密虛擬機部署于虛擬機部署于機要室加密管理系統(tǒng)（VEM）密鑰管理系統(tǒng)（KMC & CA）用戶虛擬機(Agent)業(yè)務管理Portal虛擬磁盤加密 對系統(tǒng)卷、數(shù)據(jù)卷進行全盤的加密，對上層應用程序透明集中管理 部署集中管理服務器，對客戶端進行統(tǒng)一的策略管理和維護加密硬件加速 基于CPU硬件加密指令，性能損失10%算法合規(guī)性

35、 支持中國商密SMx算法用戶掌握虛擬磁盤加密的密鑰，防止虛擬機數(shù)據(jù)被管理員獲取技術特點Page 39多級別數(shù)據(jù)備份方案快照備份服務器FusionSphere引擎OSAPPOSAPPOSAPP虛 擬 機物理服務器存儲Site A虛擬機快照備份(DPS備份)存儲備份(陣列復制)文件級備份(NBU、HDP3500E)FusionSphere引擎OSAPPOSAPPOSAPP虛 擬 機物理服務器存儲Site B技術特點多種備份方案、靈活方便周期性增量、全量備份快照備份最小備份周期可達1小時（業(yè)界領先）備份快照可恢復到任意虛擬機快照備份支持10個備份系統(tǒng)集中管理 適用場景多級別、多場景數(shù)據(jù)備份Page

36、40虛擬機快照技術特點支持磁盤增量快照和內(nèi)存快照，完整保存虛擬機所有信息支持虛擬機運行時備份支持快照恢復到任意虛擬機支持快照live合并CPU內(nèi)存磁盤虛擬機內(nèi)容COPY讀寫重定向Delta磁盤CPU、內(nèi)存快照虛擬機快照1虛擬機快照2虛擬機快照n 適用場景虛擬機數(shù)據(jù)備份與恢復HyperDP數(shù)據(jù)備份系統(tǒng)技術特點靈活備份策略：周期性全量、增量備份，快照備份最小備份周期可達1小時（業(yè)界領先）數(shù)據(jù)恢復靈活：備份快照可恢復到原虛擬機、新虛擬機、以及指定虛擬機支持最多10個備份服務器統(tǒng)一管理支持多站點數(shù)據(jù)備份每個備份系統(tǒng)最多可保護200個VMHDP備份服務器大容量NAS 應用價值實現(xiàn)靈活的數(shù)據(jù)備份需要大幅提

37、升數(shù)據(jù)備份系統(tǒng)的管理效率VM快照恢復VM快照備份VRM集群1VMVMVMVMVMVMFusionComputeVRM集群2VMVMVMVMVMVMFusionComputeVM快照恢復VM快照備份VRM集群3VMVMVMVMVMVMFusionComputeHDP備份 服務器VM快照恢復VM快照備份HDP管理服務器管理服務器和備份服務器都支持虛擬機部署站點A站點B大二層互聯(lián)FC交換機鏡像VIS集群FC交換機心跳第三地仲裁VIS實時業(yè)務容災系統(tǒng)VMVMVMVMVMVMFusionComputeVMVMVMVMVMVMFusionCompute存儲資源池存儲資源池技術特點業(yè)務接近零中斷： RTO：

38、分鐘級 （準實時）數(shù)據(jù)零丟失： RPO：0分鐘（實時）故障自動切換 任意虛擬機單點故障，自動HA切換（優(yōu)先本地） 適用場景要求實時應用業(yè)務級雙城容災場景最大距離： 100KM最大環(huán)回時延: 5msFusionCompute客戶機客戶機站點AUltraVR異地容災系統(tǒng)技術特點最大滿足1,000虛擬機容災要求RTO 4小時RPO：151440分鐘無業(yè)務中斷測試（容災演練）支持自動實施災難恢復故障切換 適用場景高可靠業(yè)務容災場景陣列遠程復制客戶機客戶機FusionCompute站點BUltraVRUltraVR主備站點容災配置信息同步、聯(lián)動iSCSI華為云操作系統(tǒng)安全合規(guī)按照分級保護機密增強級設計華為云計算按照BMB17分級保護標準機密增強級要求進行產(chǎn)品設計，通過與國內(nèi)安全產(chǎn)品集成和配合企業(yè)相應的管理規(guī)范，提供滿足保密局要求的云計算解決方案。涉密信息系統(tǒng)分級保護技術要求基本要求物理安全運行安全信息安全保密物理隔離安全保密產(chǎn)品選型安全域間邊界防護密級標識環(huán)境安全設備安全介質安全備份與恢復計算機病毒與惡意代碼防護應急響應運行管理身份鑒別訪問控制信息加密電磁泄