《云安全资源池运维方案ppt课件.pptx》由会员分享,可在线阅读,更多相关《云安全资源池运维方案ppt课件.pptx(38页珍藏版)》请在三一办公上搜索。
1、,云安全资源池运维方案,安全是云计算的重要环节,安全是云计算发展的最大担忧,云计算所面临的挑战中,安全问题排在首位75%用户在安全性上犹豫不决,Source:IDC Enterprise Panel(国际数据公司IDC),2022/11/9,安全权责划分与合规的需求,云安全不再是平台技术方或是平台运营方的事情。,为租户提供可选择的安全方案。运营安全生态,云平台技术对网络、数据等提供安全保障保证平台物理层安全,通过使用平台提供的安全服务,保证自身业务安全,为云环境下平台、租户安全提供指导,通过制度保证平台、租户安全,云平台技术对网络、数据等提供安全保障保证平台物理层安全,2022/11/9,减少
2、上云顾虑、满足业务安全需求,在以上流程中,亟需平台方去解决的是:现有应用架构,特别是数据库能否正常运行安全如何保障,平台方能否提供与线下原有数据中心匹配的安全能力,租户上云流程,2022/11/9,提供安全可视、可自主化的需求,线下原有数据中心,租户云上数据中心,安全可配置,安全可视,“黑盒”,平台层打包“安全服务”,租户只管上云。所有安全服务打包在“黑盒”中,无法提供租户个性化配置界面,?,?,安全不可视,流量路径不可视,2022/11/9,持续增值和安全生态运营的需求,硬件设备提供的安全能力,如何以增值服务的方式提供给租户?平台运营方如何快速掌握安全能力,并交付用户?租户的安全需求是持续的
3、、不断更新的,如何通过安全生态运营满足不断变化的安全需求,现有云安全支撑方案实现,2022/11/9,云安全建设现状,01,03,02,紧耦合方案:平台自带安全组件安全镜像方案,部分解耦合:硬件一虚多,完全解耦合:DNS引流方案虚拟机引流方案,2022/11/9,硬件一虚多方案,硬件一虚多设备,VM1,VM2,VM2,租户A购买的套餐需要提供防火墙、IPS和负载功能,保证处理能力的10%租户B购买的套餐需要提供防火墙、LB功能,保证处理能力5%其他租户购买的套餐需要提供防火墙功能,限制处理能力5%,租户与VLAN关联,入站出站流量需经过该硬件进行清洗。当前能够支持一虚多的硬件云安全解决方案,支
4、持功能较少,大多数仅支持IPS、FW、LB功能。,vSwitch,VFW,WebServer,AppServer,DBServer,vlan100(租户A),Vlan200(租户B),vlan500(租户C),应用背景,实现过程,2022/11/9,安全设备镜像交付方案,应用背景,云平台完成搭建,平台层面安全已经建设完成。租户对业务层面安全提出要求,平台方运营方需要一种快速、对平台改动最小的方案。安全厂商将原有硬件设备以镜像化的方式部署与云平台无法深度耦合,实现过程,安全产品提供方,需要根据不同云平台架构进行产品适配云平台一般只能够提供标准操作系统镜像(如windows Server、Linu
5、x各版本),但安全产品镜像是非标准的操作系统,所以需要平台方协调安装交付后。需要在租户层面做路由、网关的更改,使流量经过安全镜像,2022/11/9,SAAS安全服务交付方案,应用背景,云平台租户有对外发布的WEB业务,比如网站业务。由于网站业务的特性,租户需要对网站经常受到的篡改、SQL注入、跨站等攻击进行防范。能够对DDoS、CC攻击具备一定的流量清洗能力。,实现过程,针对租户网站业务,提供SAAS安全服务,即网站用户访问流量经过SAAS安全服务清洗后,返回到源站IP。需要用户在DNS服务商处修改CNAME记录,CNAME指向指定的地址,从而完成流量牵引通过以上,完成对外WEB业务常见安全
6、风险的防范,互联网,互联网,SAAS服务商,目标网站,目标网站,访问请求,访问请求,修改DNS记录,使用户的网站访问请求先经过SAAS服务商,经过清洗后,到达目标网站,直接访问网站流程,2022/11/9,现有云架构下最优的方案,2022/11/9,云安全资源池支撑方案,云安全资源池功能概览,安全可运营,安全运营报告,安全加固咨询,人工应急响应,入侵防御,IPSEC VPN,SSL VPN,堡垒机,数据库审计,云端检测,安全咨询,安全状态监控,业务风险统一分析,原有数据中心业务接入,安全接入,漏洞攻击,渗透测试,网页篡改,Web攻击,访问控制,数据窃取,统一安全资源分配,流量可视,安全日志统一
7、运维,业务安全,业务接入,安全可视,威胁可视,流量可视,策略可视,安全网络可视,资产可视,业务负载,业务接入,Web防护,数据防泄密,业务安全防护,L4-L7应用控制,防病毒功能,网页防篡改,云安全资源池,用户业务安全运营,云平台,平台层安全运营,安全服务编排,2022/11/9,网络拓扑架构示意图,核心交换,平台层物理安全,云安全服务,云平台,租户,租户,租户,深信服云安全资源池,策略路由,云安全资源池底层架构 软件定义的超融合平台,网络虚拟化,安全接入包,基础防御包,基础防御包,超融合平台,安全实力,虚拟化实力,云安全资源池方案,高级防御包,失陷主机发现包,2022/11/9,云安全资源池
8、组件,XXX云安全服务,依托于XXX企业级公有云平台(Clouds)提供安全增值服务,服务交付方式为轻量级交付,具体为:修改DNS CNAME记录,使用户流量经过云平台清洗后返回源站。提供如下功能:资产发现:自动识别域名、IP、服务、网站、应用资产;风险感知:发现漏洞风险、配置风险、内容风险、数据风险、资产风险、应用风险;风险预警:企业应用漏洞预警、全球安全事件预警、高危风险预警;专家咨询:专家咨询、漏洞验证、人工渗透、应急响应,2022/11/9,安全资源服务交付流程,平台方运营方界面,2022/11/9,安全资源服务交付流程,租户A的业务主要是面向系统内部员工开放的,为了保证内部系统数据传
9、输安全,需要使用IPSEC VPN互联,需要对内部系统开启IPS WAF 网页防篡改等功能所以,建议租户选择“安全接入包”“基础防御包”“高级防御包”,租户B的业务是面向公众的,系统架构为B/S架构,公众通过域名访问。为了避免系统被恶意扫描、入侵、篡改,系统出现问题,可以及时发现,所以建议用户使用使用“基础防御包”“高级防御包”“云端检测包”。另外,为了保证系统的可用性,提升服务器、业务系统的使用效率,可以建议用户选择增值服务包中的“负载均衡”,高级防御包,2022/11/9,安全资源服务交付流程,安全服务定义,场景定义,交付功能定义,2022/11/9,安全资源服务交付流程,2022/11/
10、9,安全资源服务交付流程,租户A安全服务,租户B安全服务,基础防御包,高级防御包,云端监测包,云端监测包,安全接入包,高级防御包,授权资源池,安全服务编排,释放租户需要的安全服务自动化网络基础信息配置(IP、路由等),云安全资源池,安全资源服务运营,资源管理员:根据租户选择的服务包类型,分配服务包到租户账户下,安全资源管理员拥有安全服务编排权限,安全资源运行报告与日志:根据安全资源池租户使用情况,按照月、季度、年生成资源运行报告,针对资源使用/分配情况占比,资源利用率等维度,为租户、平台运维方提供有效资源配置建议,2022/11/9,安全资源服务日常运营流程,面向用户运营界面,云安全服务中心
11、用户安全服务可视化,流量可视模块:由于云上流量的不可视,导致用户对自己虚拟网络架构内部应用流量交互不清晰,流量可视模块,为用户展现网络流量组成(哪些具体应用,流量大小等),让用户随时了解业务流量组成,安全可视模块:安全资源池内各组件(IPS组件、WEB防火墙组件、失陷主机组件等)的日志,通过安全可视模块进行收集,统一汇总,对用户汇总展现当前业务系统面临的风险。,用户自管理界面:为用户提供安全服务包管理界面,每个租户可以对自己的个性化WAF、访问控制、IPS等安全策略进行配置,支持用户定义不同等级的管理员。,2022/11/9,云安全资源池价值展现,面向用户界面,2022/11/9,云安全资源服
12、务的价值,2022/11/9,权责清晰、安全合规,平台权责,租户权责,合理利用平台提供的相关安全技术,维护业务安全满足相关部门合规性要求对自身业务安全策略进行维护,保证平台安全,避免平台层漏洞成为攻击跳板平台层合规性提供流程化的用户需求实现方案满足用户多样化安全需求,2022/11/9,能力运营、业务增值,传统硬件方案仅能够满足云平台初期建设基本需求如何将硬件设备提供的安全服务运营起来?打造“云化”安全基础计算资源已经没有增值空间了,如何在租户安全上实现增值,2022/11/9,安全可视、持续检测,完整的攻击流程链条,探测,边界突破,持续渗透,安装工具,横向移动,窃取/破坏,基础防御包,失陷主
13、机发现包,失陷主机发现包,攻击路径可视,2022/11/9,交付便捷、运维简化,VLAN分配,路由策略,IPS策略,WAF策略,自动化业务流,租户隔离,服务化交付,其他安全策略,平台方交负责平台安全运维,复杂的安全交付,日常运维,变得简单,过去的云安全交付、运维,现在的云安全交付、运维,用户自行寻找安全软件,地址分配,策略调整,缺少用户界面,用户负责自身业务安全运维,用户安全运维服务托管,2022/11/9,生态开放、快速上云,开放生态,云安全资源池提供开放的生态,第三方安全厂商,提供标准的安装文件,即可完成产品导入对云管平台提供接口,允许云管平台通过接口调用的方式整合计算+安全资源,简化流程
14、,告别了复杂的上云前防火墙、WAF、交换机等配置策略,同时提供多样化的安全套餐供用户选择,缩短用户上云流程通过标准化产品交付,减少与用户反复沟通的时间,技术特色,2022/11/9,安全资源池平台稳定性,实现云安全资源池安全服务高可用,无需使用昂贵、复杂的传统安全硬件设备集群解决方案最大限度地减少硬件、软件故障造成的安全服务中断时间提高整个基础架构范围内的保护力度,基础防御包,云端监测包,安全接入包,高级防御包,租户A安全服务,租户B安全服务,安全资源池平台性能线性扩充,基础防御包(10M授权),高级防御包(10M授权),云端监测包(5M授权),安全接入包(5M授权),高级防御包(5M授权),平台线性扩容,平台性能不足时,可以通过扩充标准服务器加入到集群中,保障平台性能当用户分配安全服务性能不足时,亦可线性扩充性能,租户A安全服务,租户B安全服务,基础防御包(5M授权),租户安全服务包性能不足,基础防御包(50M授权),高级防御包(50M授权),汇报完毕 感谢聆听,
