深信服云安全資源池解決方案PPT課件

1、深信服云安全資源池解決方案,深信服安全BU,1,.,安全是云計(jì)算重要環(huán)節(jié),2,.,安全是云計(jì)算發(fā)展最大擔(dān)憂,云計(jì)算所面臨的挑戰(zhàn)中，安全問題排在首位75%用戶在安全性上猶豫不決,Source：IDCEnterprisePanel（國際數(shù)據(jù)公司IDC）,3,.,安全權(quán)責(zé)劃分與合規(guī)的需求,2020/6/17,云安全不再是平臺(tái)技術(shù)提供方或是平臺(tái)運(yùn)營方的事情,為租戶提供可選擇的安全方案。運(yùn)營安全生態(tài),云平臺(tái)技術(shù)對網(wǎng)絡(luò)、數(shù)據(jù)等提供安全保障保證平臺(tái)物理層安全,通過使用平臺(tái)提供的安全服務(wù)，保證自身業(yè)務(wù)安全,為云環(huán)境下平臺(tái)、租戶安全提供指導(dǎo)，通過制度保證平臺(tái)、租戶安全,云平臺(tái)技術(shù)對網(wǎng)絡(luò)、數(shù)據(jù)等提供安全保障保證平

2、臺(tái)物理層安全,4,.,減少租戶上云顧慮、滿足業(yè)務(wù)安全的需求,2020/6/17,在以上流程中，亟需平臺(tái)方去解決的是：現(xiàn)有應(yīng)用架構(gòu)，特別是數(shù)據(jù)庫能否正常運(yùn)行安全如何保障，平臺(tái)方能否提供與線下原有數(shù)據(jù)中心匹配的安全能力,租戶上云流程,5,.,為租戶提供安全可視、可自定義配置的需求,2020/6/17,線下原有數(shù)據(jù)中心,租戶云上數(shù)據(jù)中心,安全可配置,安全可視,“黑盒”,平臺(tái)層打包“安全服務(wù)”，租戶只管上云。所有安全服務(wù)打包在“黑盒”中，無法提供租戶個(gè)性化配置界面,？,？,安全不可視,流量路徑不可視,6,.,持續(xù)增值和安全生態(tài)運(yùn)營的需求,2020/6/17,硬件設(shè)備提供的安全能力，如何以增值服務(wù)的方式

3、提供給租戶？平臺(tái)運(yùn)營方如何快速掌握安全能力，并交付用戶？租戶的安全需求是持續(xù)的、不斷更新的，如何通過安全生態(tài)運(yùn)營滿足不斷變化的安全需求,7,.,現(xiàn)有云安全方案實(shí)現(xiàn),8,.,云安全建設(shè)現(xiàn)狀,2020/6/17,01,03,02,緊耦合方案：平臺(tái)自帶安全組件安全鏡像方案,部分解耦合：硬件一虛多,完全解耦合：DNS引流方案虛擬機(jī)引流方案,9,.,硬件一虛多方案,2020/6/17,硬件一虛多設(shè)備,VM1,VM2,VM2,租戶A購買的套餐需要提供防火墻、IPS和負(fù)載功能，保證處理能力的10%租戶B購買的套餐需要提供防火墻、LB功能，保證處理能力5%其他租戶購買的套餐需要提供防火墻功能，限制處理能力5%

4、,租戶與VLAN關(guān)聯(lián)，入站出站流量需經(jīng)過該硬件進(jìn)行清洗。當(dāng)前能夠支持一虛多的硬件云安全解決方案，支持功能較少，大多數(shù)僅支持IPS、FW、LB功能。,vSwitch,VFW,WebServer,AppServer,DBServer,vlan100（租戶A）,Vlan200（租戶B）,vlan500（租戶C）,應(yīng)用背景,實(shí)現(xiàn)過程,10,.,設(shè)備鏡像化交付方案,2020/6/17,應(yīng)用背景,云平臺(tái)完成搭建，平臺(tái)層面安全已經(jīng)建設(shè)完成。租戶對業(yè)務(wù)層面安全提出要求，平臺(tái)方運(yùn)營方需要一種快速、對平臺(tái)改動(dòng)最小的方案。安全廠商將原有硬件設(shè)備以鏡像化的方式部署與云平臺(tái)無法深度耦合,實(shí)現(xiàn)過程,安全產(chǎn)品提供方，需要根

5、據(jù)不同云平臺(tái)架構(gòu)進(jìn)行產(chǎn)品適配云平臺(tái)一般只能夠提供標(biāo)準(zhǔn)操作系統(tǒng)鏡像（如windowsServer、Linux各版本），但安全產(chǎn)品鏡像是非標(biāo)準(zhǔn)的操作系統(tǒng)，所以需要平臺(tái)方協(xié)調(diào)安裝交付后。需要在租戶層面做路由、網(wǎng)關(guān)的更改，使流量經(jīng)過安全鏡像,11,.,SAAS安全服務(wù)交付方案,2020/6/17,應(yīng)用背景,云平臺(tái)租戶有對外發(fā)布的WEB業(yè)務(wù)，比如網(wǎng)站業(yè)務(wù)。由于網(wǎng)站業(yè)務(wù)的特性，租戶需要對網(wǎng)站經(jīng)常受到的篡改、SQL注入、跨站等攻擊進(jìn)行防范。能夠?qū)DoS、CC攻擊具備一定的流量清洗能力。,實(shí)現(xiàn)過程,針對租戶網(wǎng)站業(yè)務(wù)，提供SAAS安全服務(wù)，即網(wǎng)站用戶訪問流量經(jīng)過SAAS安全服務(wù)清洗后，返回到源站IP。需要用戶

6、在DNS服務(wù)商處修改CNAME記錄，CNAME指向指定的地址，從而完成流量牽引通過以上，完成對外WEB業(yè)務(wù)常見安全風(fēng)險(xiǎn)的防范,互聯(lián)網(wǎng),互聯(lián)網(wǎng),SAAS服務(wù)商,目標(biāo)網(wǎng)站,目標(biāo)網(wǎng)站,訪問請求,訪問請求,修改DNS記錄，使用戶的網(wǎng)站訪問請求先經(jīng)過SAAS服務(wù)商，經(jīng)過清洗后，到達(dá)目標(biāo)網(wǎng)站,直接訪問網(wǎng)站流程,12,.,現(xiàn)有云架構(gòu)下最優(yōu)的方案,2020/6/17,1.完全解耦合，權(quán)責(zé)清晰2.全流量引流3.全威脅可視、防御,13,.,2020/6/17,深信服云安全資源池方案,14,.,深信服云安全資源池功能概覽,安全可運(yùn)營,安全運(yùn)營報(bào)告,安全加固咨詢,人工應(yīng)急響應(yīng),入侵防御,IPSECVPN,SSLVPN

7、,堡壘機(jī),數(shù)據(jù)庫審計(jì),云端檢測,安全咨詢,安全狀態(tài)監(jiān)控,業(yè)務(wù)風(fēng)險(xiǎn)統(tǒng)一分析,原有數(shù)據(jù)中心業(yè)務(wù)接入,安全接入,漏洞攻擊,滲透測試,網(wǎng)頁篡改,Web攻擊,訪問控制,數(shù)據(jù)竊取,統(tǒng)一安全資源分配,流量可視,安全日志統(tǒng)一運(yùn)維,業(yè)務(wù)安全,業(yè)務(wù)接入,安全可視,威脅可視,流量可視,策略可視,安全網(wǎng)絡(luò)可視,資產(chǎn)可視,業(yè)務(wù)負(fù)載,業(yè)務(wù)接入,Web防護(hù),數(shù)據(jù)防泄密,業(yè)務(wù)安全防護(hù),L4-L7應(yīng)用控制,防病毒功能,網(wǎng)頁防篡改,云安全資源池,用戶業(yè)務(wù)安全運(yùn)營,云平臺(tái),平臺(tái)層安全運(yùn)營,安全服務(wù)編排,15,.,2020/6/17,整體拓?fù)浼軜?gòu)示意圖,核心交換,平臺(tái)層物理安全,云安全服務(wù),云平臺(tái),租戶,租戶,租戶,深信服云安全資源

8、池,策略路由,16,.,云安全資源池底層架構(gòu)軟件定義的超融合平臺(tái),網(wǎng)絡(luò)虛擬化,安全接入包,基礎(chǔ)防御包,基礎(chǔ)防御包,超融合平臺(tái),安全實(shí)力,虛擬化實(shí)力,云安全資源池方案,高級(jí)防御包,失陷主機(jī)發(fā)現(xiàn)包,17,.,云安全資源池組件,2020/6/17,18,.,深信服云安全服務(wù),依托于深信服企業(yè)級(jí)公有云平臺(tái)（xyclouds）提供安全增值服務(wù)，服務(wù)交付方式為輕量級(jí)交付，具體為：修改DNSCNAME記錄，使用戶流量經(jīng)過云平臺(tái)清洗后返回源站。提供如下功能：資產(chǎn)發(fā)現(xiàn)：自動(dòng)識(shí)別域名、IP、服務(wù)、網(wǎng)站、應(yīng)用資產(chǎn)；風(fēng)險(xiǎn)感知：發(fā)現(xiàn)漏洞風(fēng)險(xiǎn)、配置風(fēng)險(xiǎn)、內(nèi)容風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)、資產(chǎn)風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)；風(fēng)險(xiǎn)預(yù)警：企業(yè)應(yīng)用漏洞預(yù)警、

9、全球安全事件預(yù)警、高危風(fēng)險(xiǎn)預(yù)警；專家咨詢：專家咨詢、漏洞驗(yàn)證、人工滲透、應(yīng)急響應(yīng),19,.,2020/6/17,安全資源服務(wù)交付流程,平臺(tái)方運(yùn)營方界面,20,.,2020/6/17,安全資源服務(wù)交付流程發(fā)起請求,租戶A的業(yè)務(wù)主要是面向系統(tǒng)內(nèi)部員工開放的，為了保證內(nèi)部系統(tǒng)數(shù)據(jù)傳輸安全，需要使用IPSECVPN互聯(lián)，需要對內(nèi)部系統(tǒng)開啟IPSWAF網(wǎng)頁防篡改等功能所以，建議租戶選擇“安全接入包”“基礎(chǔ)防御包”“高級(jí)防御包”,租戶B的業(yè)務(wù)是面向公眾的，系統(tǒng)架構(gòu)為B/S架構(gòu)，公眾通過域名訪問。為了避免系統(tǒng)被惡意掃描、入侵、篡改，系統(tǒng)出現(xiàn)問題，可以及時(shí)發(fā)現(xiàn)，所以建議用戶使用使用“基礎(chǔ)防御包”“高級(jí)防御包”

10、“云端檢測包”。另外，為了保證系統(tǒng)的可用性，提升服務(wù)器、業(yè)務(wù)系統(tǒng)的使用效率，可以建議用戶選擇增值服務(wù)包中的“負(fù)載均衡”,高級(jí)防御包,21,.,2020/6/17,安全資源服務(wù)交付流程定義安全服務(wù),安全服務(wù)定義,場景定義,交付功能定義,22,.,安全資源服務(wù)交付流程分配安全服務(wù),2020/6/17,23,.,安全資源服務(wù)交付流程安全服務(wù)編排,2020/6/17,租戶A安全服務(wù),租戶B安全服務(wù),基礎(chǔ)防御包,高級(jí)防御包,云端監(jiān)測包,云端監(jiān)測包,安全接入包,高級(jí)防御包,授權(quán)資源池,安全服務(wù)編排，釋放租戶需要的安全服務(wù)自動(dòng)化網(wǎng)絡(luò)基礎(chǔ)信息配置（IP、路由等）,云安全資源池,24,.,安全資源服務(wù)運(yùn)營-安全

11、資源管理員,資源管理員：根據(jù)租戶選擇的服務(wù)包類型，分配服務(wù)包到租戶賬戶下，安全資源管理員擁有安全服務(wù)編排權(quán)限,安全資源運(yùn)行報(bào)告與日志：根據(jù)安全資源池租戶使用情況，按照月、季度、年生成資源運(yùn)行報(bào)告，針對資源使用/分配情況占比，資源利用率等維度，為租戶、平臺(tái)運(yùn)維方提供有效資源配置建議,25,.,2020/6/17,安全資源服務(wù)日常運(yùn)營流程,面向租戶運(yùn)營界面,26,.,云安全服務(wù)中心租戶安全服務(wù)可視、可配置,流量可視模塊：由于云上流量的不可視，導(dǎo)致用戶對自己虛擬網(wǎng)絡(luò)架構(gòu)內(nèi)部應(yīng)用流量交互不清晰，流量可視模塊，為用戶展現(xiàn)網(wǎng)絡(luò)流量組成（哪些具體應(yīng)用，流量大小等），讓用戶隨時(shí)了解業(yè)務(wù)流量組成,安全可視模塊：

12、安全資源池內(nèi)各組件（IPS組件、WEB防火墻組件、失陷主機(jī)組件等）的日志，通過安全可視模塊進(jìn)行收集，統(tǒng)一匯總，對用戶匯總展現(xiàn)當(dāng)前業(yè)務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)。,租戶自管理界面：未租戶提供安全服務(wù)包管理界面，每個(gè)租戶可以對自己的個(gè)性化WAF、訪問控制、IPS等安全策略進(jìn)行配置，支持租戶定義不同等級(jí)的管理員。,27,.,2020/6/17,云安全資源池價(jià)值展現(xiàn),面向租戶界面,28,.,2020/6/17,深信服云安全資源服務(wù)的價(jià)值,29,.,2020/6/17,權(quán)責(zé)清晰、安全合規(guī),平臺(tái)權(quán)責(zé),租戶權(quán)責(zé),合理利用平臺(tái)提供的相關(guān)安全技術(shù)，維護(hù)業(yè)務(wù)安全滿足相關(guān)部門合規(guī)性要求對自身業(yè)務(wù)安全策略進(jìn)行維護(hù),保證平臺(tái)安全，

13、避免平臺(tái)層漏洞成為攻擊跳板平臺(tái)層合規(guī)性提供流程化的用戶需求實(shí)現(xiàn)方案滿足用戶多樣化安全需求,30,.,2020/6/17,能力運(yùn)營、業(yè)務(wù)增值,傳統(tǒng)硬件方案僅能夠滿足云平臺(tái)初期建設(shè)基本需求如何將硬件設(shè)備提供的安全服務(wù)運(yùn)營起來？打造“云化”安全基礎(chǔ)計(jì)算資源已經(jīng)沒有增值空間了，如何在租戶安全上實(shí)現(xiàn)增值,31,.,2020/6/17,安全可視、持續(xù)檢測,完整的攻擊鏈條,探測,邊界突破,持續(xù)滲透,安裝工具,橫向移動(dòng),竊取/破壞,基礎(chǔ)防御包,失陷主機(jī)發(fā)現(xiàn)包,失陷主機(jī)發(fā)現(xiàn)包,攻擊路徑可視,32,.,2020/6/17,交付便捷、運(yùn)維簡化,服務(wù)化交付，僅需要配置用戶安全服務(wù)IP，每個(gè)租戶安全服務(wù)完全隔離平臺(tái)層交

14、付安全服務(wù)，保障安全服務(wù)可用，租戶配置個(gè)性化安全策略，簡化運(yùn)維數(shù)據(jù)流,VLAN分配,路由策略,IPS策略,WAF策略,自動(dòng)化業(yè)務(wù)流,租戶隔離,服務(wù)化交付,其他安全策略,平臺(tái)方交負(fù)責(zé)平臺(tái)安全運(yùn)維,復(fù)雜的安全交付,日常運(yùn)維,變得簡單,過去的云安全交付、運(yùn)維,現(xiàn)在的云安全交付、運(yùn)維,用戶自行尋找安全軟件,地址分配,策略調(diào)整,缺少用戶界面,用戶負(fù)責(zé)自身業(yè)務(wù)安全運(yùn)維,用戶安全運(yùn)維服務(wù)托管,33,.,2020/6/17,生態(tài)開放、快速上云,開放生態(tài),云安全資源池提供開放的生態(tài)，第三方安全廠商，提供標(biāo)準(zhǔn)的安裝文件，即可完成產(chǎn)品導(dǎo)入對云管平臺(tái)提供接口，允許云管平臺(tái)通過接口調(diào)用的方式整合計(jì)算+安全資源,簡化流程

15、,告別了復(fù)雜的上云前防火墻、waf、交換機(jī)等配置策略，同時(shí)提供多樣化的安全套餐供用戶選擇，縮短用戶上云流程通過標(biāo)準(zhǔn)化產(chǎn)品交付，減少與用戶反復(fù)溝通的時(shí)間,34,.,技術(shù)特色,35,.,安全資源池平臺(tái)穩(wěn)定性,2020/6/17,實(shí)現(xiàn)云安全資源池安全服務(wù)高可用，無需使用昂貴、復(fù)雜的傳統(tǒng)安全硬件設(shè)備集群解決方案最大限度地減少硬件、軟件故障造成的安全服務(wù)中斷時(shí)間提高整個(gè)基礎(chǔ)架構(gòu)范圍內(nèi)的保護(hù)力度,基礎(chǔ)防御包,云端監(jiān)測包,安全接入包,高級(jí)防御包,租戶A安全服務(wù),租戶B安全服務(wù),36,.,安全資源池平臺(tái)性能線性擴(kuò)充,基礎(chǔ)防御包（10M授權(quán)）,高級(jí)防御包（10M授權(quán)）,云端監(jiān)測包（5M授權(quán)）,安全接入包（5M授權(quán)）,高級(jí)防御包（5M授權(quán)）,平臺(tái)線性擴(kuò)容,平臺(tái)性能不足時(shí)，可以通過擴(kuò)充標(biāo)準(zhǔn)服務(wù)器加入到集群中，保障平臺(tái)性能當(dāng)用戶分配安全服務(wù)性能不足時(shí)，亦可線性擴(kuò)充性能,租戶A安全服務(wù),租戶B安全服務(wù),基礎(chǔ)防御包（5M授權(quán)）,租戶安全服務(wù)包性能不足,基礎(chǔ)防御包（50M授權(quán)）,高級(jí)防御包（50M授權(quán)）,37,.,深信服安全能力,2020