安全云解决方案ppt课件.ppt

《安全云解决方案ppt课件.ppt》由会员分享，可在线阅读，更多相关《安全云解决方案ppt课件.ppt（34页珍藏版）》请在三一办公上搜索。

1、安全云解决方案,三种交付模式面向不同用户需求,运营商城域网用户,面向中小型企业按需交付易用易管的安全服务,?,防火墙,基本功能包,高级功能包,?,Web,安全,基本功能包,高级功能包,?,入侵检测,基本功能包,高级功能包,?,漏洞扫描,基本功能包,高级功能包,?,上网行为,基本功能包,高级功能包,面向中大型企业交付专业的安全解决方案,自建公有云租户,等保二级服务,套餐,等保三级服务,套餐,串行安全防护,服务包,旁路安全监测,服务包,安全数据分析,服务包,面向自建私有云用户提供虚拟化安全能力,自建私有云环境,虚拟化防火墙,虚拟化,Web,应,用防火墙,虚拟化入侵防,御系统,虚拟化入侵检,测系统,

2、虚拟化日志审,计系统,城域网用户方案,城域网用户的安全诉求,?,一次性投资低,?,总投入费用低,?,升级费用低,便宜,?,方便部署、配置简单,?,方便运维,易用,?,只为自己所需的功能付费,?,只为特定的资产提供安全服务,按需,中小,企业,大企业,用户侧,个人,用户,需要为用户提供什么样的安全服务,安全自服务,?,用户自助选购、,配置和使用所有,的安全服务,面向安全服务,?,以安全功能为安,全能力单元，安,全功能组合成安,全服务,?,突破传统安全产,品的概念，以安,全服务套餐的方,式灵活组合各种,安全服务,简化配置,?,简化专业安全产,品的配置过程,?,用户所要配置的,不再是完整的安,全产品而

3、是所购,买的具体安全服,务,面向用户的,数据隔离,?,用户配置界面只,显示自己所购买,安全能力的配置，,且其配置仅对自,身生效,?,用户只能查看自,己购买安全服务,的日志告警结果,高可靠的,安全服务,?,链路监测能力,?,Bypass,能力,面向第三方安全设备解耦,面向安全服务安全服务的细粒度化和重新组装,防火墙,WAF,IDS,上网行为管理,安全功能,安全服务,1,安全服务,2,安全服务,3,面向安全服务,?,以安全功能为安,全能力单元，安,全功能组合成安,全服务,?,突破传统安全产,品的概念，以安,全服务套餐的方,式灵活组合各种,安全服务,解耦多用户化和基础安全能力（标准化和第三方安全能力

4、兼容）,安全服务门户,安全服务管理运维平台,安全服务用户自服务平台,VIM,（,Openstack,）,vFW,vWAF,vIPS,SDN Switch,rest,KVM,安全服务管理配置系统,(EMS),安全服务管理配置接口,(rest),安全策略管理适配接口,(rpc),安全事件数据统计分析系统,安全事件数据统计分析接口,(rest),安全事件数据采集接口,(syslog),网络控制器,(SDNC),OVS,rest,rest,rest,openflow,rest,openflow,rest,rest,虚拟化管理接口,(rest),安全服务管理系统,(VFNM),安全服务管理接口,(res

5、t),SDNC,适配接口,(rest),rest,接口,运营方侧主要功能需求,监测,运维,1,监测物理设备,、虚拟设备的,资源使用,监测网络链路,状态,监测服务运行,状态,服务,包管,理,2,可基于安全功,能创建服务包,服务,运维,3,管理已审批通过,的服务包,订单,管理,4,管理和审批用户,提交的服务包开,通申请订单,用户,管理,5,订单生效后，自,动下发服务链，,使服务包功能生,效,管理租用安全服,务的用户账户信,息,管理提供代维服,务的用户账户信,息,对服务包中包含,的提供基础安全,能力的设备进行,配置和管理,将服务包作为,商品进行管理,，可以进行上,架，下架等操,作,处理网络和设,备故

6、障,运营方侧,-,监控运维（全局）,运营方侧,-,监控运维（资源池）,运营方侧,-,服务包管理,运营方侧,-,服务包运维,运营方侧,-,订单管理,推广目标安全云,1,云上客户特点,?,客户群：,运营商城域网、广域网；,?,业务特点：,帮助城域网,/,广域网运营商实现基于大网的安全增值服务,，提升宽带接入用户的安全防护能力；,?,安全需求：,运营商级别安全运营模式。,2,我方优势,?,安全能力集成：,依托“安全云服务平台”，提供包括安,全产品、安全微服务、安全专家服务、威胁情报服务等,多种多样的安全能力；,?,开放优势：,“安全云服务平台”保持开放姿态，可根据,用户需求，开放吸纳其他厂商的安全能

7、力；,3,案例,?,XX,电信安全云,公有云多租户方案,云计算安全的诉求云租户想要一个什么样的云？,服务商云环境是否安全,？,我的安全如何管理及落地,？,我的安全策略如何下达和控制？,我的系统安全合规性如何保证？,我如何能够随意按需分配安全能力？,1,2,3,4,可控,合规,可信,可管,5,按需,哪些安全是我负责的哪些,是云服务商负责的？,云服务商能给我们提供哪些安全能力？,云服务商提供的基础计,算环境及网络环境应该,是具备相当的安全防护,能力，至少是满足,合规,性要求。,租户的系统安全，租户,要有管理主权，为了保,证系统的隐私性，租户,要对我的系统行使,安全,管理职能的权利,。,租户对于系统

8、的安全策,略要求能够有可控制的,权利，在租用云服务商,资源同时,可根据安全需,求，调整安全策略。,系统从传统环境迁移至,云环境，安全属性并没,有发生变化，这需要云,服务商,提供满足合规要,求的完整的安全能力包,。,云租户租用云服务商虚,拟化资源，可以根据系,统的需求，,自定义安全,能力，对便捷性部署提,出要求。,等级保护,2.0,相关标准全景,第一部分：安全通用要求,基本要求,测评要求,设计要求,第二部分,云计算安全,基,本,要,求,测,评,要,求,设,计,要,求,第三部分,移动互联安全,基,本,要,求,测,评,要,求,设,计,要,求,第四部分,物联网安全,基,本,要,求,测,评,要,求,设,

9、计,要,求,第五部分,工业控制系统安全,基,本,要,求,测,评,要,求,设,计,要,求,云安全资源池,vNGFW,vIPS,vWAF,云堡垒机,云审计,vVPN,主机安全管理,日志审计,各,类,云,安,全,服,务,安全专家服务,等保测评服务,子公司,1,子公司,2,子公司,N,云安全服务平台,安全业务编排,安全自服务,服务状态管理,安全报告输出,安全资源池管理,安全订单管理,安全工单管理,提,供,服,务,提,供,服,务,提,供,服,务,云安全服务平台,1,门户网站,2,控制台,3,安全能力,云网安全运营平台,解决方案,云安全产品,安全服务,云安全响应,态势感知,云安全服务平台,链接,调度,支撑

10、,NGFW,WAF,IPS/IDS,VPN,主机,EDR,第三方安全合作伙伴能力,渗透,测试,代码,审计,安全,加固,自有安全服务能力,安全能力集,提供,云上租户,安全业务的集成,安全自服务核心业务流程,新增,租户,1,同步或手工创,建租户账号,填入合法的租,户虚拟机,IP,地,址范围（即,VPC,的,IP,地址,范围）,租户可自行完,善联系人、联,系方式、客户,经理等信息,创建,业务,系统,2,租户可在自有,VPC,内创建若,干业务系统，,如：网站、数,据库等,租户创建的业,务系统，可定,义等保定级。,根据定级和保,护对象属性，,系统将推荐保,护方案,订购,安全,服务,3,租户可通过多种,途

11、径获取安全服,务信息，选择安,全服务套餐。,支付,后交,付,4,支持线上、线下,的支付方式。（,具体方式由云服,务方定义）,可以依据等级保,护定级，业务属,性类别，标准行,业解决方案等维,度选择保护组合,保护措施提供多,种规格和时长，,供租户选择,一旦确认支付，,云服务方管理员,为对应租户开通,安全服务，服务,自动初始化至可,运行状态,租户,自服,务,5,服务开通后，将,提醒租户，租户,可登录管理地址,，配置安全服务,的具体策略,租户也可选择安,全代维服务，指,定运维工程师按,照租户要求配置,并维护安全策略,低耦合，依托引流、有代理方式提供安全能力，适应场景广泛,Core SW,Interne

12、t,Core SW,Access SW,Access SW,Access SW,租户,1 VPC,SEC SW,云安全服务区,云安全服务平台,控制台,租户,1,vNGFW,vWAF,vIDS,vVPN,租户,2,vNGFW,vWAF,vIDS,主机防护,租户,N,vNGFW,vWAF,主机防护,安全域,1,安全域,2,VM,VM,有代理主机安全防护系统,提供端点防护,+,微隔离,VM,VM,租户,2 VPC,安全域,1,安全域,2,VM,VM,有代理主机安全防护系统,提供端点防护,+,微隔离,VM,VM,租户,N VPC,安全域,1,安全域,2,VM,VM,有代理主机安全防护系统,提供端点防护

13、,+,微隔离,VM,VM,1.,租户,VPC,边界防护，依托引流方式，,由云安全资源池内的各类,NFV,化安全设,备提供防护、检测、审计能力。,2.,租户,VPC,内，由有代理方式的主机,EDR,（端点安全检测和响应）提供端点,防护和微隔离能力。,整套方案不与虚拟化平台、云计算平台,产生不必要的耦合，适应场景全面，能,够快速敏捷部署。,云安全服务平台安全资源池,安全服务目录,-1,类别,安全服务,服务描述,等级保护二级套餐,基础防护包,提供,2-7,层防火墙,+IPS,，为租户边界提供安全防护。,WEB,安全防护包,为网站提供,WAF,和网页防篡改功能。,入侵检测包,提供南北向网络流量中各类已

14、知安全威胁的检测发现。,数据库审计包,为数据库访问提供审计。,分支安全接入包,通过,vVPN,（,IPSEC VPN,方式）实现，提供远程安全接入方式。,移动安全接入包,通过,vVPN,（,SSL VPN,）方式实现，提供远程移动安全接入方式。,主机微隔离包,提供租户,VPC,内微隔离防火墙功能。,主机威胁防护包,有代理方式提供防病毒功能。,等级保护三级套餐,基础防护包,提供,2-7,层防火墙,+IPS,，为租户边界提供安全防护。,WEB,安全防护包,为网站提供,WAF,和网页防篡改功能。,入侵检测包,提供南北向网络流量中各类已知安全威胁的检测发现。,网络审计包,为南北向网络访问行为提供审计。

15、,数据库审计包,为数据库访问提供审计。,运维审计包,提供运维堡垒机功能，进行,VPC,内资源管理和运维审计,分支安全接入包,通过,vVPN,（,IPSEC VPN,方式）实现，提供远程安全接入方式。,移动安全接入包,通过,vVPN,（,SSL VPN,）方式实现，提供远程移动安全接入方式。,云强认证包,为接入用户提供,IDaaS,服务，提供双因素身份认证能力。,主机微隔离包,提供租户,VPC,内微隔离防火墙功能。,主机高级威胁防护包,有代理方式提供防病毒、,HIPS,、,APT,检测与防御功能。,安全服务目录,-2,类别,安全服务,服务描述,规格,增值安全服务,漏洞检测及管理,1.,网站漏洞云

16、漏扫,2.,资产指纹探测,3.,漏洞检测,4.,挂马检测,5.,网站健,康性监测,按服务频率分为,4,档,单次,/,月（,2,次）,/,季（,6,次）,/,年（,24,次）,移动应用安全检测服务,提供针对移动应用的全自动安全性，脆弱性及漏洞,检测分析，帮助,企业实现全自动的应用发布管理及安全性回归测试,1APP/,次,渗透测试服务,人工服务，为云上租户业务系统提供渗透测试服务。,一个系统,安全风险评估服务,人工服务，为云上租户业务系统提供安全风评服务。,一个系统,代码审计服务,人工服务，为云上租户业务系统提供代码审计服务。,行代码,安全咨询服务,人工服务，为租户提供安全咨询服务。,1,人,/,

17、天,等级保护测评服务（二级）,针对定级为二级的应用系统进行等保合规性测评工作。最终由具备,信息安全等级保护推荐证书的单位,一个系统,（虚机数：,0-5/5-10/10-20/,大于,20,）,等级保护测评服务（三级）,针对定级为三级的应用系统进行等保合规性测评工作。最终由具备,信息安全等级保护推荐证书的单位,一个系统,（虚机数：,0-5/5-10/10-20/,大于,20,）,推广目标公有云多租户,1,云上客户特点,?,客户群：,政务云、行业云等运营型云平台；,?,业务特点：,帮助云服务商构建具备竞争力的云平台，使安全运营化,；帮助上云租户系统安全合规；,?,安全需求：,等级保护合规刚性需求，

18、大客户需满足网信办关于关键,信息基础设施的保护要求。,2,我方优势,?,安全能力集成：,依托“云安全服务平台”，提供包括安,全产品、安全专家服务、威胁情报服务等多种多样的安,全能力；,?,开放优势：,“云安全服务平台”保持开放姿态，可根据,用户需求，开放吸纳其他厂商的安全能力；,3,案例,?,XX,云平台,私有云安全方案,私有云安全问题,1,云内边界模糊问题,原先大部分可以通过物理,方式界定的边界，在网络,虚拟化技术的普及后，边,界也只能在逻辑上进行界,定。虽然网络虚拟化技术,的实现也提供了网络隔离,的技术，但是隔离的细粒,度和安全需求之间的矛盾,也逐渐凸显。,2,虚拟化流量不可视问题,应用网

19、络虚拟化技术后，,导致占数据中心,70%,以上,的东西向流量无须经过物,理网关转发，由二层转发,即可完成三层路由的功能,，导致传统的物理安全审,计,/,检测设备在获取流量时,出现了盲区。,VM,VM,VM,VM,VM,VM,同一,VLAN,，,不同宿主机,同一,VLAN,，同一宿主,机,3,云内向云外的攻击问题,许多基础设施的建设先于,安全建设的步伐，云资源,被滥用呈现泛滥的趋势，,云主机被植入木马成为肉,鸡，对外发起,DDoS,攻击,，其攻击效用比也比传统,数据中心更高。,4,安全资源无法灵活调配问题,安全资源没有实现软件定,义化，安全设备依据安全,设计方案，固定在物理路,径中，当业务系统出

20、现变,更、扩容时，安全资源无,法灵活的按需添加、变更,、删除，成为了业务系统,的掣肘因素。,软件定义,?,定义安全管理,?,定义安全边界,?,定义安全服务,?,按需,?,按时间需求,?,按资源需求,?,按粒度需求,?,关注业务,?,业务定义安全域,?,业务可用监测,?,贯穿的服务链,?,可视化,?,资产可视,?,安全域可视,?,安全状态可视,?,可行性,?,安全解决方案可行：不破坏用户业务环境，如替换,VMM,内核,?,用户业务环境保障：安全产品不过多抢占用户业务资源,私有云安全解决方案整体思路,SDN,串行防护,ESX,i,虚拟交换机,OVS,ESX,i,虚拟交换机,OVS,ESX,i,虚拟

21、交换机,OVS,SDN,控制器,云管理平台,FusionManege/CSM/vCloud,虚拟化管理平台,FusionCompute/CAS/vCenter,安全资源管理平台,vFW,vIPS,vWAF,云安全管理平台,串行安全资源池,?,调用,SDN,控制器，以服务链的方式确,定安全路径，,?,路径上的,Openflow,设备以流表方式,完成转发，以完成,VM,流量的导流。,?,引流至串行防护安全资源池中，进行,访问控制和过滤后，再到达目的,VM,。,?,部署,NFV,安全设备组成串行安全资源,池，用于东西向流量的检测与防护。,?,能够支持第三方安全设备的部署。,云安全管理平台,串行防护资

22、源池,1.,下发安全服务链,2.,下发流表，确,定安全引流路径,3.,将需要进行安,全控制的流量引,流至串行安全资,源池，进行访问,控制和安全过滤，,之后发送至目的,VM,。,SDN,串行防护,旁路安全检测,云安全管理平台,下发流量导流策略到安全虚拟机,，完成旁路检测导流以及安全态势,信息（流量、连接数、协议、,IP,等,）的收集。,旁路安全资源池,可部署物理,/,虚拟化的安全检,测,/,审计设备，由安全虚拟机将,流量导流至资源池内进行检测与,审计。,安全虚拟机,宿主机中的安全虚拟机，与,vSwitch,对,接，将宿主机中其他虚拟机的流量镜像。,并完成流量的初步整形，吐出至旁路检测,资源池，以

23、及云安全服务平台。,ESX,i,虚拟交换机,OVS,ESX,i,虚拟交换机,OVS,ESX,i,虚拟交换机,OVS,云安全管理平台,IDS,审计设备,其他设备,根据具体的检测和审计设备，,导出相应的流量信息给各设,备（物理或,NFV,），进行安,全检测和审计。,vTMN,镜像宿主机内其他,VM,的流量，进行流量初步,整形，随后开始导出流量信,息,流量信息的全集发送至云安全,管理平台，进行进一步的归并、,分析和可视化态势展现,云安全管理平台下发流量镜,像和导流策略至镜像导流节,点（,vTMN,）。,同时提供对,vTMN,的管理。,旁路安全检测与审计资源池,旁路安全检测,网络拓扑可视化，安全域连接

24、关系、连接状态,虚拟化资产状态监控，集群到宿主机、宿主机到,VM,的从属关系展示,域内,VM,之间的连接关系和连接状态展示,域内各,VM,流量比例，协议流量柱状图，历史流量曲线,指定导出到,IDS,的流量选项,产品列表,设备,产品型号,云安全管理平台,云安全管理中心,CW-CSMC,虚拟化镜像流量管理节点,CW-VTMN,SDN,业务编排,APP,CW-SDNAPP,虚拟化安全资源,池系统,云安全资源池管理系统,CW-RPMS,虚拟化安全设备资源池,CW-VSRP,虚拟化安全产品,虚拟化防火墙,CW-6000-VFW,虚拟化入侵检测系统,CW-6100-VIDS,虚拟化,Web,应用防火墙,C

25、W-6200-VWAF,虚拟化负载均衡,CW-6300-VLBS,推广目标大客户私有云,1,云上客户特点,?,客户群：,部委、央企、金融、媒体等大客户；,?,业务特点：,核心业务系统云化，总部建设云平台；,?,安全需求：,帮助用户私有云系统满足等级保护合规，构建成体系的,安全技术保障体系。,2,我方优势,?,安全能力集成：,依托“云安全管理平台”，提供包括防,火墙、,Web,应用防火墙、入侵防御系统和入侵检测系,统等多种虚拟化安全能力；,?,开放优势：,“云安全管理平台”保持开放姿态，可根据,用户需求，开放吸纳其他厂商的安全能力；,3,案例,?,XX,媒体云安全项目,?,XX,有线云平台安全项目,汇报完毕,感谢聆听,