CP云安全解決方案

?2016CheckPointSoftwareTechnologiesLtd.Allrightsreserved|2

CheckPointCheckPoint云安全解決方案客戶名稱：

文檔信息與變更記錄文檔名稱CheckPoint云安全解決方案作者Ares郵箱yabinz@版本V0.1變更記錄文檔描述本文檔是CheckPoint云安全解決方案建議書，對應(yīng)于checkpointvSEC

前言隨著云計算技術(shù)的不斷完善和發(fā)展，云計算已經(jīng)得到了廣泛的認(rèn)可和接收，許多組織已經(jīng)或即將進行云計算系統(tǒng)建設(shè)。同時，以信息/服務(wù)為中心的模式深入人心，大量的應(yīng)用正如雨后春筍般出現(xiàn)，組織也開始將傳統(tǒng)的應(yīng)用向云中遷移。同時，云計算技術(shù)仍處于不斷發(fā)展和演進，系統(tǒng)更加開放和易用，功能更加強大和豐富，接口更加規(guī)范和開放。例如軟件定義網(wǎng)絡(luò)（簡稱SDN）技術(shù)、NFV（網(wǎng)絡(luò)功能虛擬化）等新技術(shù)。這必將推動云計算技術(shù)的更加普及和完善。云計算技術(shù)給傳統(tǒng)的IT基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)以及IT運營管理都帶來了革命性改變，對于安全管理來說，既是挑戰(zhàn)，也是機遇。首先，作為新技術(shù)，云計算引入了新的威脅和風(fēng)險，進而也影響和打破了傳統(tǒng)的信息安全保障體系設(shè)計、實現(xiàn)方法和運維管理體系，如網(wǎng)絡(luò)與信息系統(tǒng)的安全邊界的劃分和防護、安全控制措施選擇和部署、安全評估和審計、安全監(jiān)測和安全運維等方面；其次，云計算的資源彈性、按需調(diào)配、高可靠性及資源集中化等都間接增強或有利于安全防護，同時也給安全措施改進和升級、安全應(yīng)用設(shè)計和實現(xiàn)、安全運維和管理等帶來了問題和挑戰(zhàn)，也推進了安全服務(wù)內(nèi)容、實現(xiàn)機制和交付方式的創(chuàng)新和發(fā)展。根據(jù)調(diào)研數(shù)據(jù)，信息安全風(fēng)險是客戶采用云計算所考慮重大問題之一，且國家和行業(yè)安全監(jiān)管愈加嚴(yán)格，安全已經(jīng)成為組織規(guī)劃、設(shè)計、建設(shè)和使用云計算系統(tǒng)而急需解決的重大問題之一，尤其是不斷出現(xiàn)的與云計算系統(tǒng)相關(guān)事件讓組織更加擔(dān)心自身的云計算系統(tǒng)安全保障問題。本方案基于中國《GBT31167-2014信息安全技術(shù)云計算服務(wù)安全指南》、《GBT31168-2014信息安全技術(shù)云計算服務(wù)安全能力要求》模型，參考了CSA《云計算關(guān)鍵領(lǐng)域安全指南_V3.0》，借鑒行業(yè)最佳實踐，結(jié)合checkpoint10多年安全建設(shè)經(jīng)驗，提出了云計算安全保障框架和方法。云計算體系結(jié)構(gòu)概述云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進行很少的交互。NIST給云計算定義了五個關(guān)鍵特征、三個服務(wù)模型、四個部署模型。如下圖所示：云計算通過網(wǎng)絡(luò)將IT以抽象化的方式交付給客戶的方式，為基于IT的服務(wù)交付模式帶來了巨大變革。用戶可以通過使用云計算體系架構(gòu)獲得更好的客戶體驗，同時能更便捷的運行自己的數(shù)據(jù)中心。這些體驗包括：減少開銷和能耗：采用云計算服務(wù)可以將硬件和基礎(chǔ)設(shè)施建設(shè)資金投入轉(zhuǎn)變?yōu)榘葱柚Ц斗?wù)費用，客戶無需承擔(dān)建設(shè)和維護基礎(chǔ)設(shè)施的費用，只對使用的資源付費，避免了客戶自建數(shù)據(jù)中心的資金投入。云服務(wù)商使用多種技術(shù)提升資源利用效率，如云基礎(chǔ)設(shè)施使用虛擬化、動態(tài)遷移和工作負(fù)載整合等技術(shù)，關(guān)閉空閑資源組件，使運行資源利用效率提高并降低能耗；多租戶共享機制、資源的集中共享可以滿足多個客戶不同時間段對資源的峰值要求，避免按峰值需求設(shè)計容量和性能而造成的資源浪費。資源利用效率的提高有效降低云計算服務(wù)的運營成本，減少能耗，實現(xiàn)綠色IT。增加業(yè)務(wù)的靈活性：客戶采用云計算服務(wù)不需要建設(shè)專門的信息系統(tǒng)，縮短業(yè)務(wù)系統(tǒng)建設(shè)周期，使客戶能專注于業(yè)務(wù)的功能和創(chuàng)新，提升業(yè)務(wù)響應(yīng)速度和服務(wù)質(zhì)量，實現(xiàn)業(yè)務(wù)系統(tǒng)的快速部署。提高業(yè)務(wù)系統(tǒng)的可用性：云計算的資源池化和可伸縮性特點，使部署在云計算平臺上的客戶業(yè)務(wù)系統(tǒng)可動態(tài)擴展，滿足業(yè)務(wù)需求資源的迅速擴充與是否，能避免因需求突增導(dǎo)致客戶業(yè)務(wù)系統(tǒng)的異?；蛑袛唷Ｔ朴嬎愕膫浞莺投喔北緳C制可提高業(yè)務(wù)系統(tǒng)的健壯性，避免數(shù)據(jù)丟失和業(yè)務(wù)失效，提高業(yè)務(wù)系統(tǒng)可用性。提升專業(yè)性：云服務(wù)商具有專業(yè)技術(shù)團隊，能夠及時更新或采用先進技術(shù)和設(shè)備，可以提供更加專業(yè)的技術(shù)、管理和人員支撐，使客戶能獲得更加專業(yè)和先進的技術(shù)服務(wù)。云計算服務(wù)模型想要更好的理解云計算的架構(gòu)，就一定要理解云計算的服務(wù)模型，因為這些服務(wù)模型決定了客戶最終云計算數(shù)據(jù)中心的應(yīng)用場景。云計算的服務(wù)模型可以分為三種模式以及不同的衍生組合。這三種基本類型經(jīng)常被稱為“SPI”模型，其中SPI分別代表軟件、平臺和基礎(chǔ)設(shè)施（作為服務(wù)），。它們的定義如下： 軟件即服務(wù)(SaaS).提供給用戶的能力是使用服務(wù)商運行在云基礎(chǔ)設(shè)施之上的應(yīng)用。用戶使用各種客戶端設(shè)備通過“瘦”客戶界面（例如瀏覽器）等來訪問應(yīng)用（例如基于瀏覽器的郵件）。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，例如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲、甚至其中單個的應(yīng)用能力，除非是某些有限用戶的特殊應(yīng)用配置項。 平臺即服務(wù)(PaaS).提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購的應(yīng)用，這些應(yīng)用使用服務(wù)商支持的編程語言或工具開發(fā)，用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、或存儲等，但是可以控制部署的應(yīng)用，以及應(yīng)用主機的某個環(huán)境配置。 基礎(chǔ)設(shè)施即服務(wù)(IaaS).提供給用戶的能力是云供應(yīng)了處理、存儲、網(wǎng)絡(luò)，以及其它基礎(chǔ)性的計算資源，以供用戶部署或運行自己任意的軟件，包括操作系統(tǒng)或應(yīng)用。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，但是擁有對操作系統(tǒng)、存儲和部署的應(yīng)用的控制，以及一些網(wǎng)絡(luò)組件的有限控制（例如主機防火墻等）。云計算部署模型從上文來看，服務(wù)模型更多的是針對與用戶不同需求提出的相關(guān)的服務(wù)場景的歸納，但落到云數(shù)據(jù)中心實現(xiàn)，就要熟悉以下的四個部署模型，同樣在之后章節(jié)的云安全的實施方案也需要從以下幾個模型上進行分析。1、公有云：在此種模式下，應(yīng)用程序、資源、存儲和其他服務(wù)，都由云服務(wù)供應(yīng)商來提供給用戶，這些服務(wù)多半都是免費的，也有部分按需按使用量來付費，這種模式只能使用互聯(lián)網(wǎng)來訪問和使用。同時，這種模式在私人信息和數(shù)據(jù)保護方面也比較有保證。這種部署模型通常都可以提供可擴展的云服務(wù)并能高效設(shè)置。2、私有云：這種云基礎(chǔ)設(shè)施專門為某一個企業(yè)服務(wù)，不管是自己管理還是第三方管理，自己負(fù)責(zé)還是第三方托管，都沒有關(guān)系。只要使用的方式?jīng)]有問題，就能為企業(yè)帶來很顯著的幫助。不過這種模式所要面臨的是，糾正、檢查等安全問題則需企業(yè)自己負(fù)責(zé)，否則除了問題也只能自己承擔(dān)后果，此外，整套系統(tǒng)也需要自己出錢購買、建設(shè)和管理。這種云計算模式可非常廣泛的產(chǎn)生正面效益，從模式的名稱也可看出，它可以為所有者提供具備充分優(yōu)勢和功能的服務(wù)。3、社區(qū)云：這種模式是建立在一個特定的小組里多個目標(biāo)相似的公司之間的，他們共享一套基礎(chǔ)設(shè)施，企業(yè)也像是共同前進。所產(chǎn)生的成本由他們共同承擔(dān)，因此，所能實現(xiàn)的成本節(jié)約效果也并不很大。社區(qū)云的成員都可以登入云中獲取信息和使用應(yīng)用程序。4、混合云：混合云是兩種或兩種以上的云計算模式的混合體，如公有云和私有云混合。他們相互獨立，但在云的內(nèi)部又相互結(jié)合，可以發(fā)揮出所混合的多種云計算模型各自的優(yōu)勢。

云安全概述“云安全”是繼“云計算”“云存儲”之后出現(xiàn)的“云”技術(shù)的重要應(yīng)用，是傳統(tǒng)IT領(lǐng)域安全概念在云計算時代的延伸，已經(jīng)在反病毒軟件中取得了廣泛的應(yīng)用，發(fā)揮了良好的效果。在病毒與反病毒軟件的技術(shù)競爭當(dāng)中為反病毒軟件奪得了先機。由于最早提出“云安全”這一概念的趨勢科技是專注于終端反病毒的廠商，所以“云安全”的概念在早期曾經(jīng)引起過不小爭議，各個廠商都在對云安全的概念進行自己的解讀，一時之間各個廠商的云安全標(biāo)準(zhǔn)在業(yè)界甚囂塵上，但隨著整個云計算技術(shù)的普及，大家開始理性的思考這個概念，所以以下的概念得到了大多數(shù)用戶和廠商的認(rèn)可。云安全（Cloudsecurity）---------云計算領(lǐng)域的安全，是指基于云計算商業(yè)模式應(yīng)用的安全軟件，硬件，用戶，機構(gòu)，安全云平臺的總稱。云計算的安全風(fēng)險云計算作為一種新興的計算資源利用方式，還在不斷發(fā)展之中，傳統(tǒng)信息系統(tǒng)的安全問題在云計算環(huán)境中大多依然存在，與此同時還出現(xiàn)了一些新的信息安全問題和風(fēng)險，這些領(lǐng)域也是云安全和傳統(tǒng)安全領(lǐng)域最大的區(qū)別。?？蛻魧?shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱傳統(tǒng)模式下，客戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶的數(shù)據(jù)中心，在客戶的直接管理和控制下。在云計算環(huán)境里，客戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云服務(wù)商的云計算平臺上，失去了對這些數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的直接控制能力。數(shù)據(jù)和業(yè)務(wù)遷移到云計算環(huán)境后，安全性主要依賴于云服務(wù)商及其所采取的安全措施。云服務(wù)商通常把云計算平臺的安全措施及其狀態(tài)視為知識產(chǎn)權(quán)和商業(yè)秘密，客戶難以了解和掌握云服務(wù)商安全措施的實施情況和運行狀態(tài)，難以對這些安全措施進行有效監(jiān)督和管理，不能有效監(jiān)管云服務(wù)商的內(nèi)部人員對客戶數(shù)據(jù)的非授權(quán)訪問和使用，增加了客戶數(shù)據(jù)和業(yè)務(wù)的風(fēng)險?？蛻襞c云服務(wù)商之間的責(zé)任難以界定傳統(tǒng)模式下，按照誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)的原則，信息安全責(zé)任相對清楚。在云計算模式下，云計算平臺的管理和運行主體與數(shù)據(jù)安全的責(zé)任主體不同，相互之間的責(zé)任如何界定，缺乏明確的規(guī)定。不同的服務(wù)模式和部署模式、云計算環(huán)境的復(fù)雜性也增加了劃分云服務(wù)商與客戶之間責(zé)任的難度。云服務(wù)商可能還會采購、使用其他云服務(wù)商的服務(wù)，如提供SaaS服務(wù)的云服務(wù)商可能將其服務(wù)建立在其他云服務(wù)商的PaaS或IaaS之上，這種情況導(dǎo)致了責(zé)任更加難以界定。可能產(chǎn)生司法管轄問題在云計算環(huán)境里，數(shù)據(jù)的實際存儲位置往往不受客戶控制，客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心。一些國家的政府可能依據(jù)本國法律要求云服務(wù)商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務(wù)商提供位于他國數(shù)據(jù)中心的數(shù)據(jù)，改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系?？蛻魯?shù)據(jù)的所有權(quán)面臨挑戰(zhàn)遷移到云計算環(huán)境的客戶數(shù)據(jù)以及在后續(xù)運行過程中生成、獲取的數(shù)據(jù)都處于云服務(wù)商的直接控制下，云服務(wù)商具有訪問、利用或操控客戶數(shù)據(jù)的能力。相反，客戶對自己數(shù)據(jù)的訪問、利用、管理可能還需要得到云服務(wù)商的授權(quán)。如果缺乏明確的管理要求，客戶對自己數(shù)據(jù)的所有權(quán)和支配權(quán)很難得到保證。云服務(wù)商通過對客戶的資源消耗、通訊流量、繳費等數(shù)據(jù)的收集統(tǒng)計，可以獲取客戶的大量相關(guān)信息，對這些信息的歸屬往往沒有明確規(guī)定，容易引起糾紛。在服務(wù)終止或發(fā)生糾紛時，云服務(wù)商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾，損害客戶對數(shù)據(jù)的所有權(quán)和支配權(quán)。數(shù)據(jù)保護更加困難云計算平臺采用虛擬化等技術(shù)實現(xiàn)多客戶共享計算資源，虛擬機之間的隔離和防護容易受到攻擊，跨虛擬機的非授權(quán)數(shù)據(jù)訪問風(fēng)險突出。云服務(wù)商可能會使用其他云服務(wù)商的服務(wù)，使用第三方的功能、性能組件，使云計算平臺復(fù)雜且動態(tài)變化。隨著復(fù)雜性的增加，云計算平臺實施有效的數(shù)據(jù)保護措施更加困難，客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風(fēng)險增大。數(shù)據(jù)殘留存儲客戶數(shù)據(jù)的存儲介質(zhì)由云服務(wù)商擁有，客戶不能直接管理和控制存儲介質(zhì)。當(dāng)客戶退出云計算服務(wù)時，云服務(wù)商應(yīng)該完全刪除客戶的數(shù)據(jù)，包括完全刪除備份數(shù)據(jù)。目前，還缺乏有效的機制、標(biāo)準(zhǔn)或工具來驗證云服務(wù)商是否實施了完全刪除操作，客戶退出云計算服務(wù)后其數(shù)據(jù)仍然可能完整保存或殘留在云計算平臺上。容易產(chǎn)生對云服務(wù)商的過度依賴由于缺乏統(tǒng)一的標(biāo)準(zhǔn)和接口，不同云計算平臺上的客戶數(shù)據(jù)和業(yè)務(wù)難以相互遷移，同樣也難以從云計算平臺遷移回客戶的數(shù)據(jù)中心。另外云服務(wù)商出于自身利益考慮，往往不愿意為客戶的數(shù)據(jù)和業(yè)務(wù)提供可移植能力。這種對特定云服務(wù)商的潛在依賴可能導(dǎo)致客戶的業(yè)務(wù)隨云服務(wù)商的干擾或停止服務(wù)而停止運轉(zhuǎn)，也可能導(dǎo)致數(shù)據(jù)和業(yè)務(wù)遷移到其他云服務(wù)商的代價過高。由于云計算服務(wù)市場還未成熟，供客戶選擇的候選云服務(wù)商有限，也可能導(dǎo)致客戶對云服務(wù)商的過度依賴。云安全參考模型當(dāng)我們了解到了云計算的相關(guān)風(fēng)險后就需要對應(yīng)這樣的安全風(fēng)險進行相應(yīng)的風(fēng)險規(guī)避和安全管控，這時理解云計算模型之間的關(guān)系和依賴性對于理解云計算的安全風(fēng)險非常關(guān)鍵。IaaS是所有云服務(wù)的基礎(chǔ)，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上，它們之間的關(guān)系可參考下面圖示。沿著這個思路，如同云服務(wù)能力是繼承的那樣，信息安全風(fēng)險和問題也是繼承的。值得重點注意的是，商用云提供商可能并沒有與這個模型的層次準(zhǔn)確對應(yīng)。然而，云參考模型對于將真實服務(wù)和某個架構(gòu)框架聯(lián)系在一起，進而理解需進行安全分析的資源和服務(wù)是非常重要的。因此，在三個模型中，在集成的功能特征、復(fù)雜性與開放性（可擴展性）和安全性等方面會有一些明顯的權(quán)衡。一般來說，SaaS會在產(chǎn)品中提供最為集成化的功能，最小的用戶可擴展性以及相對來說較高的集成化的安全（至少提供商承擔(dān)安全的職責(zé)）。PaaS提供的是開發(fā)者在平臺之上開發(fā)自己應(yīng)用的能力。因此，它傾向于提供比SaaS更多的可擴展性，其代價是沒有了SaaS那些用戶即買即用的功能。這種權(quán)衡也會延伸到安全特色和能力上，雖然內(nèi)置安全能力變得不夠完備，但是用戶卻擁有更多的靈活性去實現(xiàn)自己的強化安全。IaaS幾乎不提供那些和應(yīng)用類似的特色功能，但卻有極大的“可擴展性”。這一般是指IaaS在除了基礎(chǔ)設(shè)施自身的保護之外，提供更少的集成安全保護能力和功能。IaaS模型要求云用戶自己管理和保護操作系統(tǒng)、應(yīng)用和內(nèi)容。云安全架構(gòu)的一個關(guān)鍵特點是云服務(wù)提供商所在的等級越低，云服務(wù)用戶自己所要承擔(dān)的安全能力和管理職責(zé)就越多。云安全控制范圍云計算環(huán)境的安全性由云服務(wù)商和客戶共同保障。不同服務(wù)模式下云服務(wù)商和客戶對計算資源的控制范圍不同，控制范圍決定了安全風(fēng)險的邊界。上圖所示圖中兩側(cè)的箭頭示意了云服務(wù)商和客戶的云安全風(fēng)險范圍。具體為：在SaaS模式下，客戶僅需要負(fù)責(zé)自身數(shù)據(jù)安全、客戶端安全等相關(guān)風(fēng)險；云安全廠商承擔(dān)其他安全風(fēng)險。在PaaS模式下。軟件平臺的安全風(fēng)險由客戶和云服務(wù)商分擔(dān)。客戶負(fù)責(zé)自己開發(fā)和部署的應(yīng)用及其運行環(huán)境的安全，其他安全由云服務(wù)商負(fù)責(zé)。在IaaS模式下虛擬化計算資源層的安全風(fēng)險由客戶和云服務(wù)商分擔(dān)。客戶負(fù)責(zé)自己部署的操作系統(tǒng)、運行環(huán)境和應(yīng)用的安全，對這些資源的操作、更新、配置的安全和可靠負(fù)責(zé)。云服務(wù)商負(fù)責(zé)虛擬機監(jiān)視器及底層的安全。

云安全總體架構(gòu)設(shè)計云安全設(shè)計應(yīng)充分考慮云計算的特點和要求，基于對安全威脅的分析，明確來各方面的安全需求，充分利用現(xiàn)有的、成熟的安全控制措施，結(jié)合云計算的特點和最新技術(shù)進行綜合考慮和設(shè)計，以滿足風(fēng)險管理要求、合規(guī)性的要求，保障和促進云計算業(yè)務(wù)的發(fā)展和運行。設(shè)計思路在進行方案設(shè)計時，將遵循以下思路：保障云平臺及其配套設(shè)施：云計算除了提供IaaS、PaaS、SaaS服務(wù)的基礎(chǔ)平臺外，還有配套的云管理平臺、運維管理平臺等。要保障云的安全，必須從整體出發(fā)，保障云承載的各種業(yè)務(wù)、服務(wù)的安全?；v深防護體系設(shè)計：對于云計算系統(tǒng)，仍可以根據(jù)威脅、安全需求和策略的不同，劃分為不同的安全域，并基于安全域設(shè)計相應(yīng)的邊界防護策略、內(nèi)部防護策略，部署相應(yīng)的防護措施，從而構(gòu)造起縱深的防護體系。當(dāng)然，在云平臺中，安全域的邊界可能是動態(tài)變化的，但通過相應(yīng)的技術(shù)手段，可以做到動態(tài)邊界的安全策略跟隨，持續(xù)有效的保證系統(tǒng)的安全。以安全服務(wù)為導(dǎo)向，并符合云計算的特點：云計算的特點是按需分配、資源彈性、自動化、重復(fù)模式，并以服務(wù)為中心的。因此，對于安全控制措施選擇、部署、使用來講必須滿足上述特點，即提供資源彈性、按需分配、自動化的安全服務(wù)，滿足云計算平臺的安全保障要求。充分利用現(xiàn)有安全控制措施及最新技術(shù)：在云計算環(huán)境中，還存在的傳統(tǒng)的網(wǎng)絡(luò)、主機等，同時，虛擬化主機中也有相應(yīng)的操作系統(tǒng)、應(yīng)用和數(shù)據(jù)，傳統(tǒng)的安全控制措施仍舊可以部署、應(yīng)用和配置，充分發(fā)揮防護作用。另外，部分安全控制措施已經(jīng)具有了虛擬化版本，也可以部署在虛擬化平臺上，進行虛擬化平臺中的東西向流量進行檢測、防護。充分利用云計算等最新技術(shù)：信息安全措施/服務(wù)要保持安全資源彈性、按需分配的特點，也必須運用云計算的最新技術(shù)，如SDN、NFV等，從而實現(xiàn)按需、簡潔的安全防護方案。安全運營：隨著云平臺的運營，會出現(xiàn)大量虛擬化安全實例的增加和消失，需要對相關(guān)的網(wǎng)絡(luò)流量進行調(diào)度和監(jiān)測，對風(fēng)險進行快速的監(jiān)測、發(fā)現(xiàn)、分析及相應(yīng)管理，并不斷完善安全防護措施，提升安全防護能力。設(shè)計關(guān)鍵原則為了優(yōu)化私有云的好處,安全需求必須以一種新的方式來解決。隨著企業(yè)私有云的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,它是必不可少的安全來克服上述挑戰(zhàn)和與SDN集成架構(gòu),網(wǎng)絡(luò)虛擬化和編制平臺。解決方案必須建立在五個關(guān)鍵原則:1。自動插入到網(wǎng)絡(luò)安全服務(wù)。安全service-chaining使安全的所有流量自動數(shù)據(jù)中心?，F(xiàn)在我們可以創(chuàng)建安全策略,含蓄地在后臺配置網(wǎng)絡(luò)。2。政策和環(huán)境敏感。理解應(yīng)用程序的狀態(tài)和上下文通過融入云編排和工具,如票務(wù)系統(tǒng),用戶目錄,SDN控制器。學(xué)習(xí)和應(yīng)用最好的策略基于狀態(tài)和上下文。這也使安全、可擴展的部署,并允許您的應(yīng)用程序數(shù)量增長數(shù)據(jù)安全中心。3值得信賴的自動化和編制。有效地實現(xiàn)自動化,它需要被信任。以信任為基礎(chǔ)的api實現(xiàn)自助服務(wù)與第三方系統(tǒng)集成和自動化政策變化范圍內(nèi)的特權(quán)。這意味著管理員可以在政策允許改變特定的規(guī)則。4遵從性和可見性的威脅。如果檢測到妥協(xié)的虛擬機,它必須被隔離和修復(fù)的選項。報告和分析是必要的發(fā)現(xiàn)和理解交通趨勢。5。集中管理。安全管理是簡化和統(tǒng)一管理和監(jiān)控的物理和虛擬安全網(wǎng)關(guān)和公共IAAS如AWS,Azure,Rackspace和VMwareCloudAir保護范圍物理環(huán)境安全：在物理層面，通過門禁系統(tǒng)、視頻監(jiān)控、環(huán)境監(jiān)控、物理訪問控制等措施實現(xiàn)云運行的物理環(huán)境、環(huán)境設(shè)施等層面的安全；虛擬化安全：在虛擬化層面，通過虛擬層加固、虛擬機映像加固、不同虛擬機的內(nèi)存/存儲隔離、虛擬機安全檢測、虛擬化管理安全等措施實現(xiàn)虛擬化層的安全；網(wǎng)絡(luò)安全：在網(wǎng)絡(luò)層，基于完全域劃分，通過防火墻、IPS、VLANACL手段進行邊界隔離和訪問控制，通過VPN技術(shù)保障網(wǎng)絡(luò)通信完全和用戶的認(rèn)證接入，在網(wǎng)絡(luò)的重要區(qū)域部署入侵監(jiān)測系統(tǒng)（IDS）以實現(xiàn)對網(wǎng)絡(luò)攻擊的實時監(jiān)測和告警，部署流量監(jiān)測和清洗設(shè)備以抵御DDoS攻擊，部署惡意代碼監(jiān)測和防護系統(tǒng)以實現(xiàn)對惡意代碼的防范。需要說明的是這里的網(wǎng)絡(luò)包括了實體網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)，通過整體防御保障網(wǎng)絡(luò)通信的安全；主機安全：通過對服務(wù)主機/設(shè)備進行安全配置和加固，部屬主機防火墻、主機IDS，以及惡意代碼的防護、訪問控制等技術(shù)手段對虛擬主機進行保護，確保主機能夠持續(xù)的提供穩(wěn)定的服務(wù)；應(yīng)用安全：通過PKI基礎(chǔ)設(shè)施對用戶身份進行標(biāo)識和鑒別，部署嚴(yán)格的訪問控制策略，關(guān)鍵操作的多重授權(quán)等措施保證應(yīng)用層安全，同時采用電子郵件防護、Web應(yīng)用防火墻、Web網(wǎng)頁防篡改、網(wǎng)站安全監(jiān)控等應(yīng)用安全防護措施保證特定應(yīng)用的安全；數(shù)據(jù)保護：從數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)防泄露、剩余數(shù)據(jù)防護、文檔權(quán)限管理、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計方面加強數(shù)據(jù)保護，以及離線、備份數(shù)據(jù)的安全；安全管理：根據(jù)ISO27001、COBIT、ITIL等標(biāo)準(zhǔn)及相關(guān)要求，制定覆蓋安全設(shè)計與獲取、安全開發(fā)和集成、安全風(fēng)險管理、安全運維管理、安全事件管理、業(yè)務(wù)連續(xù)性管理等方面安全管理制度、規(guī)范和流程，并配置相應(yīng)的安全管理組織和人員，并建議相應(yīng)的技術(shù)支撐平臺，保證系統(tǒng)得到有效的管理。上述安全保障內(nèi)容和目標(biāo)的實現(xiàn)，需要基于PKI、身份管理等安全基礎(chǔ)支撐設(shè)施，綜合利用安全成熟的安全控制措施，并構(gòu)建良好的安全實現(xiàn)機制，保障系統(tǒng)的良好運轉(zhuǎn)，以提供滿足各層面需求的安全能力。由于云計算具有資源彈性、按需分配、自動化管理等特點，為了保障其安全性，就要求安全防護措施/能力也具有同樣的特點，滿足云計算安全防護的要求，這就需要進行良好的安全框架設(shè)計。

vSEC云安全解決方案現(xiàn)代數(shù)據(jù)中心正經(jīng)歷著急速的變化。虛擬化為私有云鋪平了道路,使得應(yīng)用程序能夠以較少的時間和成本交付給用戶。虛擬化將工作負(fù)載從硬件資源池中按需動態(tài)分配的，資源池成為了虛擬化數(shù)據(jù)中心和私有云重要的基礎(chǔ)。已經(jīng)部署了虛擬化的用戶開始嘗試采用SDN、NFV等新型技術(shù)，旨在通過軟件控制方式解決現(xiàn)有環(huán)境中遇到的存儲、網(wǎng)絡(luò)不能自動部署和分權(quán)分域管理問題。這種持續(xù)的進化就是軟件定義的數(shù)據(jù)中心(SDDC),所有的基礎(chǔ)設(shè)施元素——網(wǎng)絡(luò)、存儲、計算和安全都將作為服務(wù)交付給用戶。整個基礎(chǔ)設(shè)施是由軟件驅(qū)動的,對應(yīng)到安全領(lǐng)域就是軟件定義的安全。云安全挑戰(zhàn)新興技術(shù)的發(fā)展,提高了IT的敏捷性,靈活性和效率,也生出了新的挑戰(zhàn):靜態(tài)安全政策:云是一個動態(tài)的環(huán)境?？焖俨渴鸬男聭?yīng)用程序、基礎(chǔ)環(huán)境不停的變化、虛擬服務(wù)器在整個數(shù)據(jù)中心移動，都要求安全服務(wù)必須跟上變化，同時也要考慮彈性伸縮。這需要自動化，否則安全要么被忽視,要么成為提供的應(yīng)用程序過程中的瓶頸。內(nèi)部通訊的可見性:云數(shù)據(jù)流量和移動辦公意味著虛擬化數(shù)據(jù)中心不停的在變化。除了保護數(shù)據(jù)中心南北向的安全,虛擬網(wǎng)絡(luò)安全防護還必須提供數(shù)據(jù)中心內(nèi)部的東西向的威脅抵御。傳統(tǒng)網(wǎng)絡(luò)劃分不在適合云環(huán)境:傳統(tǒng)網(wǎng)絡(luò)層面，安全部分是緊密耦合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的，但一旦網(wǎng)絡(luò)環(huán)境變化，就需要手動更網(wǎng)絡(luò)配置部署。而虛擬化環(huán)境中的網(wǎng)絡(luò)拓?fù)洌?jīng)常性的會發(fā)生，網(wǎng)絡(luò)變化也意味著安全的變化,再使用傳統(tǒng)的網(wǎng)絡(luò)劃分的模式管理安全，將導(dǎo)致很高的操作開銷和影響業(yè)務(wù)敏捷性。更隱蔽的威脅:復(fù)雜的攻擊可以輕易攻陷云平臺中最脆弱的VM系統(tǒng);一旦獲得控制，受感染的VM將會成為跳板,從虛擬機層面橫向移動(VM-to-VM)，竊取有價值的數(shù)據(jù)而不被傳統(tǒng)的防護手段所發(fā)現(xiàn)。vSEC產(chǎn)品功能介紹虛擬機之間的數(shù)據(jù)流量檢查利用細粒度的防火墻策略和一流的集成入侵防御功能，對所有虛擬機之間的數(shù)據(jù)流量進行檢查，從而確保虛擬機的安全性。CheckpointvSEC支持您分離虛擬應(yīng)用，從而避免相互感染以及外部威脅。集成的IPS利用基于簽名和協(xié)議異常的入侵防御功能，來保護FTP、HTTP和VoIP等關(guān)鍵業(yè)務(wù)服務(wù)免遭已知和未知攻擊。CheckPoint的更新服務(wù)提供實時更新，以便實施最新的防護措施。增強動態(tài)虛擬化環(huán)境的安全性當(dāng)虛擬機從一個主機向另一個主機進行實時遷移或者新增虛擬機時，對虛擬機的保護是持續(xù)不斷的。完全支持Vmotion和動態(tài)遷移，使安全策略能夠在保持開放連接的情況下實施。當(dāng)虛擬機在主機之間移動時，它還能夠確保零宕機時間，以便進行維護和動態(tài)資源分配。創(chuàng)建虛擬機非常容易，以至于有時會導(dǎo)致虛擬機蔓延。CheckpointvSEC通過確保新增虛擬機與現(xiàn)有虛擬機相分離并且自動實施安全策略，從而減輕了對此問題的顧慮。完全虛擬化的安全網(wǎng)關(guān)CheckpointvSEC在軟件刀片架構(gòu)的基礎(chǔ)上提供全面的安全性，同時保護虛擬機之間的數(shù)據(jù)流量以及外部網(wǎng)絡(luò)和資產(chǎn)。除了不可見的管理程序?qū)影踩灾?，VSEC還提供了被部署為第2層或第3層默認(rèn)網(wǎng)關(guān)的靈活性。CheckpointvSEC通過在單一解決方案中整合可靠的安全功能，簡化了安全部署和管理。利用一流的集成防火墻、IPS、VPN、防病毒、防垃圾郵件、URL過濾和Web安全等功能，保護虛擬機免遭外部威脅以及互相感染。如果服務(wù)器與數(shù)據(jù)相分離是合規(guī)性的要求，那么VSEC則會對相互分離的應(yīng)用與信息進行保護，而無需物理的安全設(shè)備。對虛擬機提供即插即用的安