《泛云安全解决方案ppt课件.pptx》由会员分享,可在线阅读,更多相关《泛云安全解决方案ppt课件.pptx(31页珍藏版)》请在三一办公上搜索。
1、泛云安全整体解决方案-技术培训,互联网接入分区,安全管理 Server,云管理 Server,整体组网(黄色为安全业务设备、绿色为Vxlan GateWay节点、灰色为普通节点),存储分区,服务器分区一(含虚拟化DB),存储阵列,业务ToR,DB Server,DB Server,服务器分区二(物理DB),S6800,DBA,存储阵列,存储阵列,存储ToR,管理&控制分区,VCFC Controller,CloudOS/3 rd云平台,NFV Manager,CAS/CVM/VMware,硬件堡垒机,天机系统,漏洞扫描,网页防篡改(管理端),云监测中心,广域网接入分区,Router,Core,
2、Core,DDoS检测,基础网络分区,Router,出口NGFW(云基础架构安全防护、租户安全防护),东西向安全能力中心(服务链),南北向安全能力中心(出口防护),硬件LB,业务ToR,业务ToR,或硬件NGFW,或硬件LB,DDoS(管理中心),DDoS清洗,管理ToR,管理NGFW,vSwitch,vSwitch,网页防篡改监控端,耦合度说明,VTEP,Hypervisor(CAS/KVM/VMWare),VTEP,Physical Security Node(Service Chain),Vxlan IP GateWay,SDN Controller,(CloudOS/3rd OpenS
3、tack云平台),NFV Security Node(Service Chain),Normal/3rd Security Node(Proxy Access),云安全体系架构,互联网接入分区,安全管理 Server,云管理 Server,云服务商流量模型及安全控制点,存储分区,服务器分区一(含虚拟化DB),存储阵列,业务ToR,DB Server,DB Server,服务器分区二(物理DB),S6800,DBA,存储阵列,存储阵列,存储ToR,管理&控制分区,VCFC Controller,CloudOS/3 rd云平台,NFV Manager,CAS/CVM/VMware,广域网接入分区,
4、Router,Core,Core,基础网络分区,Router,东西向安全能力中心(服务链),南北向安全能力中心,硬件LB,业务ToR,业务ToR,或硬件NGFW,或硬件LB,管理ToR,vSwitch,vSwitch,DDoS检测,出口NGFW(云基础架构安全防护),DDoS清洗,硬件堡垒机,天机系统,漏洞扫描,网页防篡改(管理端),云监测中心,DDoS(管理中心),管理NGFW,云服务商运维流量,云服务商广域网出口流量,云服务商互联网出口流量,互联网接入分区,安全管理 Server,云管理 Server,云租户流量模型及安全控制点,存储分区,服务器分区一(含虚拟化DB),存储阵列,业务ToR
5、,DB Server,DB Server,服务器分区二(物理DB),S6800,存储阵列,存储阵列,存储ToR,管理&控制分区,VCFC Controller,CloudOS/3 rd云平台,NFV Manager,CAS/CVM/VMware,硬件堡垒机,天机系统,广域网接入分区,Router,Core,Core,基础网络分区,Router,东西向安全能力中心(服务链),南北向安全能力中心,业务ToR,业务ToR,管理ToR,管理NGFW,vSwitch,vSwitch,DBA,或硬件NGFW,或硬件LB,出口NGFW(云租户安全防护),DDoS检测,DDoS清洗,漏洞扫描,云监测中心,网页
6、防篡改(管理端),DDoS(管理中心),硬件LB,云主机/租户东西向流量(APP访问DB),云租户业务流量(广域网出口+互联网出口)、运维流量,云租户监管流量,云主机/租户东西向流量(WEB访问APP),网页防篡改监控端,广域网接入分区,南北向安全防护-边界安全接入,互联网接入分区,出口VPN- NGFW SOP虚拟化,广域网专线接入:安全需求:针对云租户广域网接入分区连接外部单位(比如电子政务网接入)实现方式:通过出口路由器的MCE功能将不同租户的广域网流量分开,下行连接各自的虚拟防火墙实现租户接入部署位置:广域网接入分区运维主体:出口路由器由云服务商统一运维,虚拟防火墙由租户单独运维运维方
7、式:出口路由器为纯手工运维,虚拟防火墙可由SDN控制器管理产品选型:出口路由器(具备MPLS VPN MCE功能)、M9000/F5000,NGFW SOP虚拟化,互联网VPN接入:安全需求:针对云服务商、云租户用于互联网接入分区的VPN业务接入(IPSec VPN 、SSL VPN)实现方式:为租户和云服务商分配各自的虚拟防火墙,通过二合一VPN实现接入,做到安全隔离部署位置:互联网接入分区运维主体:云服务商和租户单独运维运维方式:云服务的虚拟防火墙手工运维,云租户的IPSec VPN策略由SDN统一管理,云租户的SSL VPN策略手工部署产品选型:M9000/F5000,SSL VPN 流
8、量IPsec VPN流量,MCE Router,Router,VPN1,VPN3,VPN2,PE Router,子接口,南北向安全防护-出口多业务防护,统一出口安全防护:安全需求:针对为云服务商、云租户提供访问控制、NAT、VPN、防攻击、防病毒等出口安全需求实现方式:为云服务商和租户分配单独的虚拟防火墙,加载不同的多业务License实现安全防护部署位置:旁挂/串接于互联网出口区和广域网出口区,部署一套或两套运维主体:云服务商、云租户单独运维运维方式:云服务商虚拟防火墙手工部署,云租户的虚拟防火墙由SDN控制器统一管理+策略路由引流产品选型:M9000/F5000,互联网接入分区,广域网接入
9、分区,Router,Router,出口NGFW(LLB、IPS、AV、VPN、NAT)-SOP虚拟化,南北向安全防护-互联网DDoS攻击防护,DDoS检测设备,DDoS清洗设备,Router,DDoS管理中心(管理&控制分区),云租户A,云租户B,云服务商,注:黄色为DDoS攻击流量、红色为正常流量,互联网接入分区,南北向安全防护-WEB Server负载均衡,Core,基础网络分区,南北向安全能力中心(出口防护),服务器分区一,业务ToR,业务ToR,广域网/互联网接入分区,硬件LB,WEB Server负载均衡:安全需求:针对云租户的多台WEB Server同时提供服务,需要前端负载均衡设
10、备进行服务器流量负载分担,实现服务器高可靠性实现方式:部署硬件LB设备,利用虚拟化技术为每个租户分配单独的LB设备部署位置:旁挂于核心交换机,部署在overlay网络外运维主体:云租户单独运维运维方式:SDN控制器统一管理+策略路由引流(旁路)产品选型:L5000/L1000,南北向安全防护-互联网WEB应用防护,Core,基础网络分区,南北向安全能力中心(出口防护),服务器分区一,业务ToR,业务ToR,管理&控制分区,管理ToR,管理FW,互联网接入分区,WEB防攻击:安全需求:针对云租户HTTP业务的SQL注入、跨站攻击的防护实现方式:通过S1020V或S6800以代理的方式将vWAF接
11、入Overlay网络中,vWAF本身以反向代理的方式接入到网络中,并实现WEB防攻击部署位置:南北向安全能力中心分区运维主体:由租户单独运维运维方式:通过CloudOS工单的方式申请,人工部署运维产品选型:vWAF(可方案引导、供货时间10月份),网页防篡改监控端,WEB防篡改:安全需求:防止云租户WEB网站的静态文件目录被恶意篡改实现方式:通过管理FW上NAT+VRF将管理端与多个租户的监控端网络连通部署位置:直接在WEB Server上部署网页防篡改-监控端,然后在管理&控制分区部署网页防篡改-管理端运维主体:由云服务商统一运维运维方式:通过CloudOS 工单的方式申请,人工部署运维产品
12、选型:网页防篡改(含监控端、管理端),NAT+VRF,出口NGFW,NAT映射,主机安全加固,服务器分区一(含虚拟化DB),业务ToR,安全需求:针对云服务商、云租户的主机自身的安全加固实现方式:安装主机版杀毒软件(趋势、360)主机操作系统进行安全加固,包括安全访问控制策略、认证策略、补丁策略、安全审计策略、安全准入策略等部署位置:部署于云主机服务器上,安全加固以人工服务的方式进行策略优化运维主体:云服务商、云租户单独运维运维方式:手工部署产品选型:主机杀毒软件、人工服务,东西向安全防护-主机访问控制和应用负载分担,服务器分区一(含虚拟化DB),业务ToR,东西向安全能力中心(服务链),业务
13、ToR,Core,Core,基础网络分区,服务链模式,安全需求:针对云租户服务器内部的访问控制及应用服务器/数据库服务器的负载分担实现方式:为云租户分配单独的虚拟防火墙和虚拟LB,并且虚拟防火墙和虚拟LB支持服务链功能部署位置:部署于东西向安全能力中心,通过服务链将流量牵引至安全设备进行防护运维主体:云租户单独运维运维方式:SDN控制器统一管理+服务链产品选型:NFV形态(vFW、vLB)、硬件形态(M9000/F5000、L5000/L1000),或硬件NGFW,或硬件LB,安全服务链编排逻辑,拓扑示例,VxLAN IP GateWay,VTEP-A,VTEP-B,VM-1,VM-2,FW,
14、防火墙需支持服务链及OpenFlow协议,控制层面过程,VxLAN IP GateWay,VTEP-A,VTEP-B,VM-1,VM-2,FW,SDN控制器作为整网的控制大脑,拥有完整的转发地址表项(Vxlan、vlan、MAC、Port对应关系)根据业务访问需要,通过openflow协议灵活下发流表到相应的转发节点上同时利用netconf接口将相应配置发下至转发节点,全局地址表,MAC,VTEP IP,Interface,vPort1,vPort1,虚机上线,发送ARP/RARP/DHCP,VTEP-A将其作为首包封装在Packin报文中,上送至SDN控制器,虚机上线,发送ARP/RARP/
15、DHCP,VTEP-B将其作为首包封装在Packin报文中,上送至SDN控制器,转发层面过程(同一网段),VxLAN IP GateWay,VTEP-A,VTEP-B,VM-1,VM-2,FW,VTEP Address : 1.1.1.1,VTEP Address : 1.1.1.2,IP: 10.1.1.2,IP: 10.1.1.1,VTEP Address : 1.1.1.3,正常报文封装,服务链报文封装,SDN Controller,SDN控制器计算得出转发表后下发流表和相应的配置,并进行ARP代答,VM-1封装报文发出,各节点根据流表转发,转发层面过程(不同网段),VxLAN IP G
16、ateWay,VTEP-A,VTEP-B,VM-1,VM-2,FW,VTEP Address : 1.1.1.1,VTEP Address : 1.1.1.2,IP: 20.1.1.1GW-2:20.1.1.2,IP: 10.1.1.1GW-1:10.1.1.2,VTEP Address : 1.1.1.3,SDN Controller,SDN控制器计算得出转发表后下发流表和相应的配置,VM-1封装报文发出,各节点根据流表转发,VTEP Address : 1.1.1.4,GW-1,GW-2,不同网段通信需要网关进行转发VM-1先发送给GW-1,GW-1处理,然后GW-2发给VM-2,转发层面
17、过程(不同网段),正常报文封装,服务链报文封装,云安全监管-数据库审计,DB Server,DB Server,服务器分区二(物理DB),S6800,硬件DBA,服务器分区一(虚拟DB),S6800,硬件DBA,针对数据库安装在物理服务器上的流量审计:安全需求:云服务商、云租户对其自身数据库的请求、响应及操作流量的审计实现方式:通过基于端口的流量镜像的方式将S6800交换机的下行端口的双向流量复制到另一接口(连接硬件数据库审计设备)部署位置:旁挂于物理数据库接入交换机运维主体:云服务商统一运维运维方式:CloudOS工单申请,人工部署运维产品选型:D2020/D2050,针对数据库安装在虚拟服
18、务器的流量审计:安全需求:云服务商、云租户对其安装在虚拟服务器上的数据库的请求、响应及操作流量的审计实现方式:通过基于QoS的流量镜像能力,将S6800下行端口的双向流量可按照指定ACL匹配流量,并复制到另一接口(连接硬件数据库审计)部署位置:硬件数据库审计旁挂于接入交换机运维主体:云服务商统一运维运维方式:CloudOS工单申请,人工部署运维产品选型:D2020/D2050,基于端口的流量镜像,基于QoS的流量镜像,云安全监管-漏洞探测,安全管理 Server,管理&控制分区,Sys漏洞扫描,基础网络分区,DB漏洞扫描,主机操作系统/WEB应用/数据库的漏洞探测:安全需求:针对云服务商、云租
19、户的主机、WEB、DB的漏洞探测与扫描实现方式:通过3款漏洞扫描工具来进行漏洞探测,通过在管理FW上配置NAT+VRF方式将漏扫与租户网络进行连通部署位置:管理&控制分区的安全运维服务器(或者单独部署于租户网络)运维主体:由云服务商统一运维,以报表的形式提供给租户运维方式:人工部署运维产品选型:SysScan、WebScan、DBScan,Core,管理ToR,管理NGFW,vSwitch,云租户A,云租户B,云服务商,WEB漏洞扫描,NAT+VRF,云安全监管-WEB网站安全监测,安全管理 Server,管理&控制分区,云安全监测中心-管理引擎,基础网络分区,云安全监测中心-探测引擎,Cor
20、e,管理ToR,管理NGFW,vSwitch,NAT+VRF,租户A服务器,业务ToR,租户B服务器,业务ToR,通过内网进行监测:安全需求:云服务商、租户网站的安全监测(可用性、篡改、漏洞等)实现方式:通过部署云安全监测中心来实现需求,通过对管理FW的NAT+VRF的策略配置,可将云安全监测中心连通至租户网络部署位置:管理&控制分区运维主体:由云服务商统一运维运维方式:通过CloudOS工单的方式申请,人工部署运维产品选型:云安全监测中心,云安全监测-云基础架构态势感知,安全管理 Server,管理&控制分区,SecCenter A2000,基础网络分区,Core,管理ToR,管理NGFW,
21、vSwitch,云服务商网络、业务系统、安全日志等,云基础架构的安全态势感知:安全需求:实现云基础架构网络安全管理可视化,包括安全风险态势分析与监控、安全事件收集、日志审计、资产管理、安全风险联动等功能实现方式:通过部署华三天机来实现安全态势感知部署位置:管理&控制分区运维主体:由云服务商运维运维方式:手工部署产品选型:SecCenter A2000,注:针对租户的态势感知还在规划中,云安全监管-运维审计,安全管理 Server,云管理 Server,管理&控制分区,VCFC Controller,CloudOS/3 rd云平台,NFV Manager,CAS/CVM/VMware,硬件堡垒机
22、,天机系统,漏洞扫描,网页防篡改(管理端),云监测中心,DDoS(管理中心),管理ToR,管理NGFW,vSwitch,vSwitch,互联网接入分区,广域网接入分区,Router,Router,Core,Core,基础网络分区,南北向安全能力中心,业务ToR,云服务商运维:安全需求:云服务商对基础架构、云租户的运维审计实现方式:将硬件堡垒机作为云服务商运维的统一入口部署位置:管理&控制分区,保证与运维资产IP可达运维主体:云服务商运维运维方式:手工部署产品选型:A2020、A2100,云租户运维:安全需求:云租户对自己的VPC网络的运维审计实现方式:为每个云租户分配单独的虚拟堡垒机,云租户运
23、维人员通过访问虚拟堡垒机来实现对自己资产的运维及审计(代理方式接入Overlay网络)部署位置:南北向安全能力中心运维主体:云租户单独运维运维方式:手工部署产品选型:v堡垒机,云服务商运维人员,云租户运维人员,云租户运维人员,安全隔离与数据交换网闸,网闸,Core,Core,安全隔离与数据交换:安全需求:互联网分区与内部核心网络分区的物理隔离与数据交换实现方式:通过部署跨网数据交换平台,内/外置服务器主要用于文件过滤、网闸主要用于数据摆渡部署位置:连接在两个物理隔离网络的核心交换机之间运维主体:云服务商统一运维运维方式:纯手工运维产品选型:GAP2000-B、GAP2000-S、GAP2000
24、-A(预计8月中过TR4A),网闸,注:政务云数据中心的“跨网数据交换平台”包含单向光闸、双向数据网闸、双向视频网闸,内/外交换服务器。我们可作为其中的一部分参与项目,安全资源服务目录,硬件堡垒机,漏洞扫描,NGFW(IPS/AV/VPN),硬件负载均衡,异常流量检测和清洗,网闸,云安全监测中心,天机系统,vFW或硬件FW,vLB或硬件LB,数据库审计,网页防篡改,vWAF,V堡垒机,主机防病毒,南北向(出口)安全,东西向(服务器区)安全,运维管理区 安全运维,DDoS管理中心,网页防篡改-管理端,管理防火墙,跨网数据交换平台,内置服务器,外置服务器,:表示由SDN自动化部署,:表示工单申请,
25、人工部署,未标星:表示纯人工部署,总结:泛云安全解决方案特点,案例分享:广东省政务云,28,二 安全需求:广东省电子政务云实验平台是由面向互联网的公众云平台和面向电子政务外网的专有云平台,两者之间通过数据交换平台互联,安全设计需要确保云平台的网络安全、云操作系统安全、云服务器安全、业务安全,同时需要保证各租户租户间的业务安全。租户可以根据自身需求,灵知定义安全服务防护策略。三 安全解决方案:H3C提供了网络、安全、云计算和大数据整体解决方案。云平台安全防护:H3C M9006、IPS、SSL VPN、运维审计产品保证云平台接入、审计和攻击防范的需要云租户安全防护:H3C 的WEB 防火墙、数据
26、库审计和漏洞扫描系统有效的保护各租户的应用层安全,同时H3C vFW构建软件安全资源池,实现对租户与租户之间的虚拟机以及租户内部的虚拟机之间的智能化安全控制。现时为各租户提供云防火墙、云入侵检测、云负载均衡和云WAF等的安全服务。应用层智能交付:在电子政务外网和互联网区使用H3C L5000负载均产品,实现应用层的智能交付。四 方案价值 H3C安全解决方案遵循中央网信办和公安部相关的云安全标准,充分考虑了云平台和云租户的安全防护和应用系统的智能交付,为广东省先探索和积累电子政务云建设经验奠定了安全基础。,一 项目简介:广东省信息中心将网上办事大厅、信息资源共享平台迁移到政务云实验平台,推进以云计算平台为基础进行系统整合,对网上办事大厅有关数据进行示范分析运用。,案例分享:大象融媒,河南广电整合旗下4家传统媒体单位和8个媒体公司组建成立的新型集团公司,拥有报纸、杂志、广播、电视、网站、网络电视台、IPTV、手机报、手机电台、手机电视、电话广播、手机客户端、移动电视、户外大屏等14类主流媒体业态和38个媒体传播平台。,案例分享:大象融媒,
