構(gòu)建安全的云計算平臺架構(gòu)課件

構(gòu)建安全的云計算平臺架構(gòu)構(gòu)建安全的云計算平臺架構(gòu)1概述云平臺基礎(chǔ)架構(gòu)安全云用戶數(shù)據(jù)安全云平臺運(yùn)營管理安全云平臺安全實(shí)踐目錄概述目錄2概述PART 隨著用戶對云接受程度的增加和云計算商業(yè)模式的成1熟，越來越多的個人和企業(yè)都開始使用云。移動、大數(shù)據(jù)、物聯(lián)網(wǎng)、社交等應(yīng)用類的發(fā)展帶動云發(fā)展的同時也給云帶來了安全方面的巨大挑戰(zhàn)。云計算相對于傳統(tǒng)的計算，使用模式發(fā)生了革命性的變化，安全也隨之發(fā)生很大變化：威脅更多，攻擊面更大，目標(biāo)價值更高，影響面更廣。因此對于安全防范也面臨新的挑戰(zhàn)，本議題主要深入分享包括物理安全、數(shù)據(jù)安全、計算安全、網(wǎng)絡(luò)安全、威脅分析、防護(hù)探討等一系列問題。概述PART 隨著用戶對云接受程度的增加和云計算商業(yè)模式的成32PART

云平臺基礎(chǔ)架構(gòu)安全?云平臺整體架構(gòu)安全?云平臺虛擬化安全2PART云平臺基礎(chǔ)架構(gòu)安全?云平臺整體架構(gòu)安全4云平臺整體架構(gòu)安全云平臺整體架構(gòu)安全既包括云平臺物理架構(gòu)的安全，也包含云平臺虛擬架構(gòu)的安全。云平臺物理架構(gòu)安全包含機(jī)房的安全，云平臺物理網(wǎng)絡(luò)架構(gòu)的安全，在物理網(wǎng)絡(luò)架構(gòu)安全設(shè)計中要包含防范各種各樣的威脅，如病毒，木馬，DDos

攻擊，Web

攻擊等。云平臺虛擬架構(gòu)的安全中，傳統(tǒng)的安全設(shè)備可能使不上力，比如同一宿主機(jī)上的虛機(jī)之間的安全訪問，這就要借用虛擬防火墻。在云平臺虛擬架構(gòu)的安全設(shè)計中，我們將網(wǎng)絡(luò)安全設(shè)備資源池化，形成一個資源池，在需要安全的地方調(diào)用合適的安全資源。且這種安全設(shè)備資源池化后，具有彈性擴(kuò)展功能，更能適應(yīng)云平臺的彈性伸縮的架構(gòu)。云平臺整體架構(gòu)安全云平臺整體架構(gòu)安全既包括云平臺物理架構(gòu)的安5統(tǒng)一網(wǎng)絡(luò)架構(gòu)物理網(wǎng)絡(luò)平臺安全云平臺整體架構(gòu)安全虛擬網(wǎng)絡(luò)平臺安全防Ddos安全設(shè)計呼喚云平臺整體架構(gòu)安全統(tǒng)一網(wǎng)絡(luò)架構(gòu)云平臺整體架構(gòu)安全虛擬網(wǎng)絡(luò)平臺安全防Ddos安全6數(shù)據(jù)管理

可信管理 CORE

SWCORE

SWHypervisorVMVMVMvSwitchLBTORTORTORVXLAN

NetworkWANHypervisorVMVMVMvSwitchVXLAN、VTEP、GW統(tǒng)一管理業(yè)務(wù)東西流量管理業(yè)務(wù)南北流量管理網(wǎng)絡(luò)管理控制中心OpenFlow+

OVSDBOpenFlow+

Netconf服務(wù)器FWRouterOpenStackNeutron

ServerNovaVM

Plug-inNET

Plug-invRoutervRouter創(chuàng)建網(wǎng)絡(luò)：VXLANvRouter創(chuàng)建將Subnet綁定到對應(yīng)的vRouter同一個subnet的網(wǎng)關(guān)邏輯上分散在各個VTEP上vRoutervRoutervRouterDDosWAFVMVMVM多租戶虛擬機(jī)云平臺整體架構(gòu)安全-統(tǒng)一的網(wǎng)絡(luò)構(gòu)架數(shù)據(jù)管理 可信管理 CORESWCORESWHyper7云平臺整體架構(gòu)安全-物理網(wǎng)絡(luò)平臺安全網(wǎng)絡(luò)防護(hù)層通過抗DDOS設(shè)備對進(jìn)入數(shù)據(jù)中心的流量進(jìn)行清洗,下一代防火墻和WAF能對3層到7層數(shù)據(jù)進(jìn)行。安全過濾。核心交換機(jī)間通過虛擬化成一臺設(shè)備，保證網(wǎng)絡(luò)的高可用性。做到Hypervisor、虛機(jī)安全；用戶數(shù)據(jù)的安全隔離；存儲資源重分配之前信息刪除。云平臺整體架構(gòu)安全-物理網(wǎng)絡(luò)平臺安全網(wǎng)絡(luò)防護(hù)層通過抗DDO8云平臺整體架構(gòu)安全-DDOSDDos攻擊介紹：指借助于客戶/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。防DDos攻擊方法：攻擊者控制多臺傀儡機(jī)從世界各地向攻擊目標(biāo)發(fā)動攻擊，其實(shí)攻擊的是我們在各個數(shù)據(jù)中心部署的CDN網(wǎng)絡(luò),CDN中的流量檢測設(shè)備檢測到后，送給清洗設(shè)備，清洗后的流量就送給攻擊目標(biāo)，這樣就減輕了攻擊目標(biāo)的壓力。云平臺整體架構(gòu)安全-DDOSDDos攻擊介紹：9云平臺整體架構(gòu)安全-DDOS攻擊DC1DC3DC2傀儡機(jī)攻擊者流量清洗CDNCDNDC N流量清洗CD

N流量 清洗攻擊目標(biāo)DWDM流量清洗云平臺整體架構(gòu)安全-DDOS攻擊DC1DC3DC2傀儡機(jī)攻擊10云平臺整體架構(gòu)安全-虛擬網(wǎng)絡(luò)平臺安全HypervisorVTEPVM1 VM2 VM3HypervisorVTEPVM1 VM2 VM3vxlan

gatewayvIPS,vWAF,vAuditvFWCorevxlan

gatewayCorevxlan

gatewayFWFWAnti-DDOSAnti-DDOSVxlan

網(wǎng)絡(luò)internet物理硬件設(shè)備（CPU、內(nèi)存、網(wǎng)卡、硬盤）虛擬安全應(yīng)用池VM根據(jù)自身的安全需要，通過調(diào)用虛擬安全池中的虛擬安全防護(hù)設(shè)備對自身進(jìn)行安全防護(hù)。Hypervisor層安全控制:通過調(diào)用Hypervisor層的

API，在VM訪問物理硬件

資源時進(jìn)行安全控制。物理層網(wǎng)絡(luò)防護(hù)云平臺整體架構(gòu)安全-虛擬網(wǎng)絡(luò)平臺安全HypervisorVT11云平臺虛擬化安全同臺物理機(jī)器上運(yùn)行多臺虛擬機(jī)，共用cpu資源，實(shí)現(xiàn)對CPU指令集的擴(kuò)展和虛擬機(jī)運(yùn)行模式的控制。內(nèi)存安全同臺物理機(jī)器上運(yùn)行多臺虛擬機(jī)，多臺虛擬機(jī)共享使用物理主機(jī)的內(nèi)存空間。存儲安全虛擬機(jī)鏡像無論在靜止還是運(yùn)行狀態(tài)都有被竊取或篡改脆弱漏洞。對應(yīng)的解決方案是在任何時候?qū)μ摂M機(jī)鏡像進(jìn)行加密和邏輯鏡像隔離。網(wǎng)絡(luò)安全虛擬化對網(wǎng)絡(luò)安全帶來巨大的威脅，虛擬機(jī)間可能通過內(nèi)存而不是網(wǎng)絡(luò)進(jìn)行通訊，因此這些通訊流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的。云平臺虛擬化安全同臺物理機(jī)器上運(yùn)行多臺虛擬機(jī)，共用cpu資源12云平臺基礎(chǔ)架安全-虛擬化安全CPU虛擬化安全性保證內(nèi)存虛擬化安全性保證虛擬化安全存儲虛擬化安全性保證網(wǎng)絡(luò)虛擬化安全性保證呼喚云平臺基礎(chǔ)架安全-虛擬化安全CPU虛擬化安全性保證內(nèi)存虛擬化13虛擬化安全--CPU虛擬化安全性保證

cpu虛擬化安全：1.傳統(tǒng)的軟件輔助虛擬化使用優(yōu)先級壓縮和二進(jìn)制代碼翻譯相結(jié)合的方式來實(shí)現(xiàn)完全虛擬化，但這種方式存在虛擬化漏洞。2.基于intel

VT-x硬件虛擬化的技術(shù)，對cpu的指令進(jìn)行擴(kuò)展，對指令的優(yōu)先級增加了一個維度，即root模式和非root模式，Hypervisor運(yùn)行在root模式下，客戶虛擬機(jī)運(yùn)行在非root模式，當(dāng)執(zhí)行敏感指令時被Hypervisor截獲，能有效避免虛擬化漏洞。User

AppsGuest

OSHypervisorHostHardwardRing

3Ring

0Non-rootModeRing

2

Ring

1RootMode虛擬化安全--CPU虛擬化安全性保證 cpu虛擬化14虛擬化安全--內(nèi)存虛擬化安全性保證虛擬機(jī)運(yùn)行時用到三種內(nèi)存地址：1.虛擬機(jī)虛擬地址，虛擬機(jī)物理地址，主機(jī)物理地址。2.虛擬機(jī)的虛擬地址和虛擬機(jī)物理地址是由虛擬機(jī)操作系統(tǒng)完成的，3.虛擬機(jī)物理地址和主機(jī)物理地址轉(zhuǎn)換是由Hypervisor完成的。4.基于

intel

VT-x的EPT技術(shù)，一方面能加快內(nèi)存訪問的效率，另一方面能夠限制vm只訪問分配到的內(nèi)存，從而實(shí)現(xiàn)虛擬機(jī)之間的內(nèi)存隔離。VMVM虛擬機(jī)內(nèi)存物理地址主機(jī)內(nèi)存虛擬化安全--內(nèi)存虛擬化安全性保證虛擬機(jī)運(yùn)行時用到三種內(nèi)存地15虛擬化安全--存儲虛擬化安全性保證創(chuàng)建虛擬機(jī)系統(tǒng)盤和數(shù)據(jù)盤，維護(hù)磁盤到后端存儲的映射和磁盤數(shù)據(jù)加密的基本功能1.Hypervisor實(shí)現(xiàn)對不同虛擬機(jī)的邏輯磁盤的管理和安全隔離。2.分布式存儲實(shí)現(xiàn)一份數(shù)據(jù)保存多份，防丟失。3.分布式存儲實(shí)現(xiàn)所有數(shù)據(jù)故障的檢測和自動恢復(fù)?；謴?fù)不需要人工介入，在恢復(fù)期間，可以保持正常的數(shù)據(jù)訪問。VMHypervisorOpenStackNovaNeutron

ServerVM

Plug-inNET

Plug-inscsi-driver

分布式存

儲數(shù)據(jù)加密管理

數(shù)據(jù)隔離

VM虛擬化安全--存儲虛擬化安全性保證創(chuàng)建虛擬機(jī)系統(tǒng)盤和數(shù)據(jù)盤，16虛擬化安全--網(wǎng)絡(luò)虛擬化安全性保證虛擬網(wǎng)絡(luò)安全性保證，不同租戶創(chuàng)建不同的vlan網(wǎng)絡(luò)：1.實(shí)現(xiàn)多虛擬化網(wǎng)絡(luò)全方位的安全管理功能，所有的虛擬機(jī)數(shù)據(jù)在沒有流出網(wǎng)絡(luò)之前都可以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)加密。Hypervisor實(shí)現(xiàn)高安全網(wǎng)絡(luò)數(shù)據(jù)加密功能。bridge實(shí)現(xiàn)網(wǎng)絡(luò)的安全訪問控制。4.br-int實(shí)現(xiàn)不同的vlan網(wǎng)絡(luò)劃分和訪問隔離。5.br-tun實(shí)現(xiàn)同其它物理機(jī)器和外網(wǎng)的通信訪問功能。VM

1VM

2租戶2vethbridgebridgevethvethvethovs

br-intVM

1租戶1bridgevethvethovs

br-tunvethpatch-tunpatch-intHypervisor虛擬化安全--網(wǎng)絡(luò)虛擬化安全性保證虛擬網(wǎng)絡(luò)安全性保證，不同租17PART3云用戶數(shù)據(jù)安全PART3云用戶數(shù)據(jù)安全18云用戶數(shù)據(jù)安全在云中虛擬化的效率要求多個租戶的虛擬機(jī)共存于同一物理資源上。雖然傳統(tǒng)的數(shù)據(jù)中心的安全仍然適用于云環(huán)境，物理隔離和基于硬件的安全不能保護(hù)防止在同一服務(wù)器上虛擬機(jī)之間的攻擊。管理訪問是通過互聯(lián)網(wǎng)，而不是傳統(tǒng)數(shù)據(jù)中心模式中所堅持的受控制的和限制的直接連接或到現(xiàn)場的連接。這增加了風(fēng)險和暴露，將需要對系統(tǒng)控制和訪問控制限制的變化進(jìn)行嚴(yán)密監(jiān)控。云用戶數(shù)據(jù)安全在云中虛擬化的效率要求多個租戶的虛擬機(jī)共存于同19用戶數(shù)據(jù)安全隔離用戶數(shù)據(jù)存儲安全用戶數(shù)據(jù)安全用戶數(shù)據(jù)訪問控制安全用戶數(shù)據(jù)傳輸安全呼喚云用戶數(shù)據(jù)安全用戶數(shù)據(jù)安全隔離用戶數(shù)據(jù)存儲安全用戶數(shù)據(jù)安全用戶數(shù)據(jù)訪問控制20用戶數(shù)據(jù)安全-創(chuàng)建多租戶邏輯隔離的安全網(wǎng)絡(luò)租戶1vRouterAPP,Network(VXLAN2),

subnetDB,Network(VXLAN3),subnetVM VM VMWEB,Network(VXLAN1),

subnetExternalNetworkFWvFWvIPSvLB租戶2WEB,Network(VXLAN4),

subnetvRouterAPP,Network(VXLAN5),

subnetDB,Network(VXLAN6),subnetVMVMVMFWvFWvIPSvLB多租戶基于OpenStack模型對虛擬網(wǎng)絡(luò)進(jìn)行邏輯抽象①vRouter代表邏輯三層網(wǎng)關(guān)網(wǎng)絡(luò),分散在各個虛擬設(shè)備上。②Network，代表邏輯二層網(wǎng)絡(luò)，分配到不通的vlan網(wǎng)絡(luò)。③Subnet代表某個子網(wǎng)網(wǎng)段④網(wǎng)絡(luò)服務(wù)功能，為每個租戶提供獨(dú)立的FW、LB及NAT服務(wù)⑤租戶之間相互隔離，互不干擾租戶3WEB,Network(VXLAN7),

subnetvRouterAPP,Network(VXLAN8),

subnetDB,Network(VXLAN9),subnetVMVMVMFWvFWvIPSvLB用戶數(shù)據(jù)安全-創(chuàng)建多租戶邏輯隔離的安全網(wǎng)絡(luò)租戶1vRoute21用戶數(shù)據(jù)安全—用戶數(shù)據(jù)存儲安全租用、使用abc123用戶A退租000對虛擬卷每一個物理Bit位清

"零"用戶B000租用安全對銷戶虛擬卷采用物理bit清零措施，確保數(shù)據(jù)不可恢復(fù)，杜絕信息泄露風(fēng)險用戶數(shù)據(jù)安全—用戶數(shù)據(jù)存儲安全租用、使用abc123用戶A用22用戶數(shù)據(jù)安全—用戶數(shù)據(jù)安全控制vSwitch安全組策略執(zhí)行VMVM

VM安全組1vSwitch安全組策略執(zhí)行VMVM

VM安全組2vSwitch安全組策略執(zhí)行VMVM

VM安全組3vSwitch安全組策略執(zhí)行安全組策略管理host1host2host3host4核心交換接入交換

虛擬接入交換通過安全組提供VM粒度的隔離機(jī)制，每個VM一組ACL,

VM遷移時安全策略自動刷新分布式控制策略，報文無需迂回到集中的策略控制點(diǎn)，避免形成性能（部署在VM上）瓶頸。用戶數(shù)據(jù)安全—用戶數(shù)據(jù)安全控制vSwitch安全組策略執(zhí)行V23用戶數(shù)據(jù)安全—用戶數(shù)據(jù)傳輸安全用戶在訪問VPC的過程中，會和數(shù)據(jù)中心中的VFW建立vpn。經(jīng)過internet的數(shù)據(jù)都將被加密。用戶數(shù)據(jù)安全—用戶數(shù)據(jù)傳輸安全用戶在訪問VPC的過程中，會24云平臺運(yùn)營管理安全PART4云平臺運(yùn)營管理安全云平臺運(yùn)營管理安全PART4云平臺運(yùn)營管理安全25云平臺運(yùn)營管理安全用戶管理:對用戶帳號進(jìn)行集中維護(hù)管理，為集中訪問

控制、集中授權(quán)、集中審計提供可靠的原始數(shù)據(jù)。認(rèn)證授權(quán):建立統(tǒng)一、集中的認(rèn)證和授權(quán)系統(tǒng)，以提高

訪問的安全性。安全審計:建立安全審計系統(tǒng)，進(jìn)行統(tǒng)一、完整的審計

分析，通過對操作、維護(hù)等各類日志的安全審計，提高

對違規(guī)溯源的事后審查能力。管理流程:制定安全運(yùn)營策略及安全維護(hù)規(guī)章要求