CP云安全解决方案.docx

Check Point 云安全解决方案 客户名称： 文档信息与变更记录 文档名称 Check Point 云安全解决方案 作者 Ares 邮箱 yabinz@ 版本 V0.1 变更记录 文档描述 本文档是 Check Point 云安全解决方案建议书，对应于check point vSEC 1. 前言 随着云计算技术的不断完善和发展，云计算已经得到了广泛的认可和接收，许多组织已经或即将进行云计算系统建设。同时，以信息/服务为中心的模式深入人心，大量的应用正如雨后春笋般出现，组织也开始将传统的应用向云中迁移。同时，云计算技术仍处于不断发展和演进，系统更加开放和易用，功能更加强大和丰富，接口更加规范和开放。例如软件定义网络（简称SDN）技术、NFV（网络功能虚拟化）等新技术。这必将推动云计算技术的更加普及和完善。 云计算技术给传统的IT基础设施、应用、数据以及IT运营管理都带来了革命性改变，对于安全管理来说，既是挑战，也是机遇。首先，作为新技术，云计算引入了新的威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系，如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等方面；其次，云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护，同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战，也推进了安全服务内容、实现机制和交付方式的创新和发展。 根据调研数据，信息安全风险是客户采用云计算所考虑重大问题之一，且国家和行业安全监管愈加严格，安全已经成为组织规划、设计、建设和使用云计算系统而急需解决的重大问题之一，尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云计算系统安全保障问题。 本方案基于中国《GBT 31167-2014 信息安全技术 云计算服务安全指南》、《GBT 31168-2014 信息安全技术 云计算服务安全能力要求》模型，参考了CSA《云计算关键领域安全指南_V3.0》，借鉴行业最佳实践，结合checkpoint 10多年安全建设经验，提出了云计算安全保障框架和方法。 2. 云计算体系结构 2.1 概述 云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问， 进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。 NIST给云计算定义了五个关键特征、三个服务模型、四个部署模型。如下图所示： 云计算通过网络将IT以抽象化的方式交付给客户的方式，为基于IT的服务交付模式带来了巨大变革。用户可以通过使用云计算体系架构获得更好的客户体验，同时能更便捷的运行自己的数据中心。这些体验包括： 减少开销和能耗：采用云计算服务可以将硬件和基础设施建设资金投入转变为按需支付服务费用，客户无需承担建设和维护基础设施的费用，只对使用的资源付费，避免了客户自建数据中心的资金投入。云服务商使用多种技术提升资源利用效率，如云基础设施使用虚拟化、动态迁移和工作负载整合等技术，关闭空闲资源组件，使运行资源利用效率提高并降低能耗；多租户共享机制、资源的集中共享可以满足多个客户不同时间段对资源的峰值要求，避免按峰值需求设计容量和性能而造成的资源浪费。资源利用效率的提高有效降低云计算服务的运营成本，减少能耗，实现绿色IT。 增加业务的灵活性：客户采用云计算服务不需要建设专门的信息系统，缩短业务系统建设周期，使客户能专注于业务的功能和创新，提升业务响应速度和服务质量，实现业务系统的快速部署。 提高业务系统的可用性：云计算的资源池化和可伸缩性特点，使部署在云计算平台上的客户业务系统可动态扩展，满足业务需求资源的迅速扩充与是否，能避免因需求突增导致客户业务系统的异常或中断。云计算的备份和多副本机制可提高业务系统的健壮性，避免数据丢失和业务失效，提高业务系统可用性。 提升专业性：云服务商具有专业技术团队，能够及时更新或采用先进技术和设备，可以提供更加专业的技术、管理和人员支撑，使客户能获得更加专业和先进的技术服务。 2.2 云计算服务模型 想要更好的理解云计算的架构，就一定要理解云计算的服务模型，因为这些服务模型决定了客户最终云计算数据中心的应用场景。 云计算的服务模型可以分为三种模式以及不同的衍生组合。这三种基本类型经常被称为“SPI”模型，其中SPI分别代表软件、平台和基础设施（作为服务），。它们的定义如下： l 软件即服务 (SaaS). 提供给用户的能力是使用服务商运行在云基础设施之上的应用。用户使用各种客户端设备通过“瘦”客户界面（例如浏览器）等来访问应用（例如基于浏览器的邮件）。用户并不管理或控制底层的云基础设施，例如网络、服务器、操作系统、存储、甚至其中单个的应用能力，除非是某些有限用户的特殊应用配置项。 l 平台即服务 (PaaS). 提供给用户的能力是在云基础设施之上部署用户创建或采购的应用，这些应用使用服务商支持的编程语言或工具开发，用户并不管理或控制底层的云基础设施，包括网络、服务器、操作系统、或存储等，但是可以控制部署的应用，以及应用主机的某个环境配置。 l 基础设施即服务 (IaaS). 提供给用户的能力是云供应了处理、存储、网络，以及其它基础性的计算资源，以供用户部署或运行自己任意的软件，包括操作系统或应用。用户并不管理或控制底层的云基础设施，但是拥有对操作系统、存储和部署的应用的控制，以及一些网络组件的有限控制（例如主机防火墙等）。 2.3 云计算部署模型 从上文来看，服务模型更多的是针对与用户不同需求提出的相关的服务场景的归纳，但落到云数据中心实现，就要熟悉以下的四个部署模型，同样在之后章节的云安全的实施方案也需要从以下几个模型上进行分析。 　　1、公有云：在此种模式下，应用程序、资源、存储和其他服务，都由云服务供应商来提供给用户，这些服务多半都是免费的，也有部分按需按使用量来付费，这种模式只能使用互联网来访问和使用。同时，这种模式在私人信息和数据保护方面也比较有保证。这种部署模型通常都可以提供可扩展的云服务并能高效设置。 　　2、私有云：这种云基础设施专门为某一个企业服务，不管是自己管理还是第三方管理，自己负责还是第三方托管，都没有关系。只要使用的方式没有问题，就能为企业带来很显著的帮助。不过这种模式所要面临的是，纠正、检查等安全问题则需企业自己负责，否则除了问题也只能自己承担后果，此外，整套系统也需要自己出钱购买、建设和管理。这种云计算模式可非常广泛的产生正面效益，从模式的名称也可看出，它可以为所有者提供具备充分优势和功能的服务。 　　3、社区云：这种模式是建立在一个特定的小组里多个目标相似的公司之间的，他们共享一套基础设施，企业也像是共同前进。所产生的成本由他们共同承担，因此，所能实现的成本节约效果也并不很大。社区云的成员都可以登入云中获取信息和使用应用程序。 　　4、混合云：混合云是两种或两种以上的云计算模式的混合体，如公有云和私有云混合。他们相互独立，但在云的内部又相互结合，可以发挥出所混合的多种云计算模型各自的优势。 3. 云安全概述 “云安全”是继“云计算”“云存储”之后出现的“云”技术的重要应用，是传统IT领域安全概念在云计算时代的延伸，已经在反病毒软件中取得了广泛的应用，发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。 由于最早提出 “云安全”这一概念的趋势科技是专注于终端反病毒的厂商，所以 “云安全”的概念在早期曾经引起过不小争议，各个厂商都在对云安全的概念进行自己的解读，一时之间各个厂商的 云安全标准在业界甚嚣尘上，但随着整个云计算技术的普及，大家开始理性的思考这个概念，所以以下的概念得到了大多数用户和厂商的认可。 云安全（Cloud security ）---------云计算领域的安全，是指基于云计算商业模式应用的安全软件，硬件，用户，机构，安全云平台的总称。 3.1 云计算的安全风险 云计算作为一种新兴的计算资源利用方式，还在不断发展之中，传统信息系统的安全问题在云计算环境中大多依然存在，与此同时还出现了一些新的信息安全问题和风险，这些领域也是云安全和传统安全领域最大的区别。。 3.1.1 客户对数据和业务系统的控制能力减弱 传统模式下，客户的数据和业务系统都位于客户的数据中心，在客户的直接管理和控制下。在云计算环境里，客户将自己的数据和业务系统迁移到云服务商的云计算平台上，失去了对这些数据和业务系统的直接控制能力。 数据和业务迁移到云计算环境后，安全性主要依赖于云服务商及其所采取的安全措施。云服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密，客户难以了解和掌握云服务商安全措施的实施情况和运行状态，难以对这些安全措施进行有效监督和管理，不能有效监管云服务商的内部人员对客户数据的非授权访问和使用，增加了客户数据和业务的风险。 3.1.2 客户与云服务商之间的责任难以界定 传统模式下，按照谁主管谁负责、谁运行谁负责的原则，信息安全责任相对清楚。在云计算模式下，云计算平台的管理和运行主体与数据安全的责任主体不同，相互之间的责任如何界定，缺乏明确的规定。 不同的服务模式和部署模式、云计算环境的复杂性也增加了划分云服务商与客户之间责任的难度。 云服务商可能还会采购、使用其他云服务商的服务，如提供SaaS服务的云服务商可能将其服务建立在其他云服务商的PaaS或IaaS 之上，这种情况导致了责任更加难以界定。 3.1.3 可能产生司法管辖问题 在云计算环境里，数据的实际存储位置往往不受客户控制，客户的数据可能存储在境外数据中心。一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径，甚至要求云服务商提供位于他国数据中心的数据，改变了数据和业务的司法管辖关系。 3.1.4 客户数据的所有权面临挑战 迁移到云计算环境的客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下，云服务商具有访问、利用或操控客户数据的能力。相反，客户对自己数据的访问、利用、管理可能还需要得到云服务商的授权。如果缺乏明确的管理要求，客户对自己数据的所有权和支配权很难得到保证。云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计，可以获取客户的大量相关信息，对这些信息的归属往往没有明确规定，容易引起纠纷。在服务终止或发生纠纷时，云服务商还可能以删除或不归还客户数据为要挟，损害客户对数据的所有权和支配权。 3.1.5 数据保护更加困难 云计算平台采用虚拟化等技术实现多客户共享计算资源，虚拟机之间的隔离和防护容易受到攻击，跨虚拟机的非授权数据访问风险突出。云服务商可能会使用其他云服务商的服务，使用第三方的功能、性能组件，使云计算平台复杂且动态变化。随着复杂性的增加，云计算平台实施有效的数据保护措施更加困难，客户数据被未授权访问、篡改、泄露和丢失的风险增大。 3.1.6 数据残留 存储客户数据的存储介质由云服务商拥有，客户不能直接管理和控制存储介质。当客户退出云计算服务时，云服务商应该完全删除客户的数据，包括完全删除备份数据。目前，还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作，客户退出云计算服务后其数据仍然可能完整保存或残留在云计算平台上。 3.1.7 容易产生对云服务商的过度依赖 由于缺乏统一的标准和接口，不同云计算平台上的客户数据和业务难以相互迁移，同样也难以从云计算平台迁移回客户的数据中心。另外云服务商出于自身利益考虑，往往不愿意为客户的数据和业务提供可移植能力。这种对特定云服务商的潜在依赖可能导致客户的业务随云服务商的干扰或停止服务而停止运转，也可能导致数据和业务迁移到其他云服务商的代价过高。由于云计算服务市场还未成熟，供客户选择的候选云服务商有限，也可能导致客户对云服务商的过度依赖。 3.2 云安全参考模型 当我们了解到了云计算的相关风险后就需要对应这样的安全风险进行相应的风险规避和安全管控，这时理解云计算模型之间的关系和依赖性对于理解云计算的安全风险非常关键。 IaaS 是所有云服务的基础，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上，它们之间的关系可参考下面图示。沿着这个思路，如同云服务能力是继承的那样，信息安全风险和问题也是继承的。值得重点注意的是，商用云提供商可能并没有与这个模型的层次准确对应。然而，云参考模型对于将真实服务和某个架构框架联系在一起，进而理解需进行安全分析的资源和服务是非常重要的。 因此，在三个模型中，在集成的功能特征、复杂性与开放性（可扩展性）和安全性等方面会有一些明显的权衡。一般来说，SaaS会在产品中提供最为集成化的功能，最小的用户可扩展性以及相对来说较高的集成化的安全（至少提供商承担安全的职责）。 PaaS提供的是开发者在平台之上开发自己应用的能力。因此，它倾向于提供比SaaS更多的可扩展性，其代价是没有了SaaS那些用户即买即用的功能。这种权衡也会延伸到安全特色和能力上，虽然内置安全能力变得不够完备，但是用户却拥有更多的灵活性去实现自己的强化安全。 IaaS几乎不提供那些和应用类似的特色功能，但却有极大的“可扩展性”。这一般是指IaaS在除了基础设施自身的保护之外，提供更少的集成安全保护能力和功能。IaaS模型要求云用户自己管理和保护操作系统、应用和内容。 云安全架构的一个关键特点是云服务提供商所在的等级越低，云服务用户自己所要承担的安全能力和管理职责就越多。 3.3 云安全控制范围 云计算环境的安全性由云服务商和客户共同保障。不同服务模式下云服务商和客户对计算资源的控制范围不同，控制范围决定了安全风险的边界。 上图所示图中两侧的箭头示意了云服务商和客户的云安全风险范围。具体为： Ø 在SaaS模式下，客户仅需要负责自身数据安全、客户端安全等相关风险；云安全厂商承担其他安全风险。 Ø 在PaaS模式下。软件平台的安全风险由客户和云服务商分担。客户负责自己开发和部署的应用及其运行环境的安全，其他安全由云服务商负责。 Ø 在IaaS模式下虚拟化计算资源层的安全风险由客户和云服务商分担。客户负责自己部署的操作系统、运行环境和应用的安全，对这些资源的操作、更新、配置的安全和可靠负责。云服务商负责虚拟机监视器及底层的安全。 4. 云安全总体架构设计 云安全设计应充分考虑云计算的特点和要求，基于对安全威胁的分析，明确来各方面的安全需求，充分利用现有的、成熟的安全控制措施，结合云计算的特点和最新技术进行综合考虑和设计，以满足风险管理要求、合规性的要求，保障和促进云计算业务的发展和运行。 4.1 设计思路 在进行方案设计时，将遵循以下思路： 保障云平台及其配套设施：云计算除了提供IaaS、PaaS、SaaS服务的基础平台外，还有配套的云管理平台、运维管理平台等。要保障云的安全，必须从整体出发，保障云承载的各种业务、服务的安全。 基纵深防护体系设计：对于云计算系统，仍可以根据威胁、安全需求和策略的不同，划分为不同的安全域，并基于安全域设计相应的边界防护策略、内部防护策略，部署相应的防护措施，从而构造起纵深的防护体系。当然，在云平台中，安全域的边界可能是动态变化的，但通过相应的技术手段，可以做到动态边界的安全策略跟随，持续有效的保证系统的安全。 以安全服务为导向，并符合云计算的特点：云计算的特点是按需分配、资源弹性、自动化、重复模式，并以服务为中心的。因此，对于安全控制措施选择、部署、使用来讲必须满足上述特点，即提供资源弹性、按需分配、自动化的安全服务，满足云计算平台的安全保障要求。 充分利用现有安全控制措施及最新技术：在云计算环境中，还存在的传统的网络、主机等，同时，虚拟化主机中也有相应的操作系统、应用和数据，传统的安全控制措施仍旧可以部署、应用和配置，充分发挥防护作用。另外，部分安全控制措施已经具有了虚拟化版本，也可以部署在虚拟化平台上，进行虚拟化平台中的东西向流量进行检测、防护。 充分利用云计算等最新技术：信息安全措施/服务要保持安全资源弹性、按需分配的特点，也必须运用云计算的最新技术，如SDN、NFV等，从而实现按需、简洁的安全防护方案。 安全运营：随着云平台的运营，会出现大量虚拟化安全实例的增加和消失，需要对相关的网络流量进行调度和监测，对风险进行快速的监测、发现、分析及相应管理，并不断完善安全防护措施，提升安全防护能力。 4.2 设计关键原则 为了优化私有云的好处,安全需求必须以一种新的方式来解决。随着企业私有云的网络基础设施,它是必不可少的安全来克服上述挑战和与SDN集成架构,网络虚拟化和编制平台。解决方案必须建立在五个关键原则: 1。自动插入到网络安全服务。安全service-chaining使安全的所有流量自动数据中心。现在我们可以创建安全策略,含蓄地在后台配置网络。 2。政策和环境敏感。理解应用程序的状态和上下文通过融入云编排和工具,如票务系统,用户目录,SDN控制器。学习和应用最好的策略基于状态和上下文。这也使安全、可扩展的部署,并允许您的应用程序数量增长数据安全中心。 3值得信赖的自动化和编制。有效地实现自动化,它需要被信任。以信任为基础的api实现自助服务与第三方系统集成和自动化政策变化范围内的特权。这意味着管理员可以在政策允许改变特定的规则。 4遵从性和可见性的威胁。如果检测到妥协的虚拟机,它必须被隔离和修复的选项。报告和分析是必要的发现和理解交通趋势。 5。集中管理。安全管理是简化和统一管理和监控的物理和虚拟安全网关和公共IAAS如AWS,Azure,Rackspace和VMware CloudAir 4.3 保护范围 物理环境安全：在物理层面，通过门禁系统、视频监控、环境监控、物理访问控制等措施实现云运行的物理环境、环境设施等层面的安全； 虚拟化安全：在虚拟化层面，通过虚拟层加固、虚拟机映像加固、不同虚拟机的内存/存储隔离、虚拟机安全检测、虚拟化管理安全等措施实现虚拟化层的安全； 网络安全：在网络层，基于完全域划分，通过防火墙、IPS、VLAN ACL手段进行边界隔离和访问控制，通过VPN技术保障网络通信完全和用户的认证接入，在网络的重要区域部署入侵监测系统（IDS）以实现对网络攻击的实时监测和告警，部署流量监测和清洗设备以抵御DDoS攻击，部署恶意代码监测和防护系统以实现对恶意代码的防范。需要说明的是这里的网络包括了实体网络和虚拟网络，通过整体防御保障网络通信的安全； 主机安全：通过对服务主机/设备进行安全配置和加固，部属主机防火墙、主机IDS，以及恶意代码的防护、访问控制等技术手段对虚拟主机进行保护，确保主机能够持续的提供稳定的服务； 应用安全：通过PKI基础设施对用户身份进行标识和鉴别，部署严格的访问控制策略，关键操作的多重授权等措施保证应用层安全，同时采用电子邮件防护、Web应用防火墙、Web网页防篡改、网站安全监控等应用安全防护措施保证特定应用的安全； 数据保护：从数据隔离、数据加密、数据防泄露、剩余数据防护、文档权限管理、数据库防火墙、数据审计方面加强数据保护，以及离线、备份数据的安全； 安全管理：根据ISO27001、COBIT、ITIL等标准及相关要求，制定覆盖安全设计与获取、安全开发和集成、安全风险管理、安全运维管理、安全事件管理、业务连续性管理等方面安全管理制度、规范和流程，并配置相应的安全管理组织和人员，并建议相应的技术支撑平台，保证系统得到有效的管理。 上述安全保障内容和目标的实现，需要基于PKI、身份管理等安全基础支撑设施，综合利用安全成熟的安全控制措施，并构建良好的安全实现机制，保障系统的良好运转，以提供满足各层面需求的安全能力。 由于云计算具有资源弹性、按需分配、自动化管理等特点，为了保障其安全性，就要求安全防护措施/能力也具有同样的特点，满足云计算安全防护的要求，这就需要进行良好的安全框架设计。 5. 云安全解决方案 现代数据中心正经历着急速的变化。虚拟化为私有云铺平了道路,使得应用程序能够以较少的时间和成本交付给用户。虚拟化将工作负载从硬件资源池中按需动态分配的，资源池成为了虚拟化数据中心和私有云重要的基础。 已经部署了虚拟化的用户开始尝试采用SDN、NFV等新型技术，旨在通过软件控制方式解决现有环境中遇到的存储、网络不能自动部署和分权分域管理问题。 这种持续的进化就是软件定义的数据中心(SDDC),所有的基础设施元素——网络、存储、计算和安全都将作为服务交付给用户。整个基础设施是由软件驱动的,对应到安全领域就是软件定义的安全。 5.1 云安全挑战 新兴技术的发展,提高了IT的敏捷性,灵活性和效率,也生出了新的挑战: 静态安全政策:云是一个动态的环境。快速部署的新应用程序、基础环境不停的变化、虚拟服务器在整个数据中心移动，都要求安全服务必须跟上变化，同时也要考虑弹性伸缩。这需要自动化，否则安全要么被忽视,要么成为提供的应用程序过程中的瓶颈。 内部通讯的可见性:云数据流量和移动办公意味着虚拟化数据中心不停的在变化。除了保护数据中心南北向的安全,虚拟网络安全防护还必须提供数据中心内部的东西向的威胁抵御。 传统网络划分不在适合云环境:传统网络层面，安全部分是紧密耦合网络拓扑结构的，但一旦网络环境变化，就需要手动更网络配置部署。而虚拟化环境中的网络拓扑，经常性的会发生，网络变化也意味着安全的变化,再使用传统的网络划分的模式管理安全，将导致很高的操作开销和影响业务敏捷性。 更隐蔽的威胁:复杂的攻击可以轻易攻陷云平台中最脆弱的VM系统;一旦获得控制，受感染的VM将会成为跳板,从虚拟机层面横向移动(VM-to-VM)，窃取有价值的数据而不被传统的防护手段所发现。 5.2 方案设计 5.2.1 设计综述 如前所述，云安全架构设计中，我们需要解决几个方面的问题： l 应用程序安全保护 l 虚拟化系统安全 n 虚拟计算环境的安全域的规划和保护(内部虚拟机之间的防护) l 主机安全整合 n 使用虚拟化技术提供虚拟安全网关 l 物理环境安全防护 n 虚拟系统内部的审计和合规性； l 集中管理 作为业界领先的安全厂商，Check Point为全球广泛用户提供了端到端的安全解决方案，全球100强用户100%使用了Check Point的安全解决方案。 随着虚拟计算的发展，Check Point利用其先进的安全技术，为云计算数据中心提供了最为全面的安全解决方案 1> 通过VE虚拟安全设备保障虚拟计算环境的安全域的规划和保护(内部虚拟机之间的防护) l VE是业界第一个获得VMware 认证的虚拟网络安全设备提供商。作为运行在VMware平台上的虚拟安全网关，为虚拟计算环境提供了全面的安全保护。为为虚拟计算环境的安全域划分提供了强大的控制手段。与采用硬件安全设备不同，可以根据用户对虚拟主机的信任关系级别，在ESX Server上，把虚拟主机划分为不同的安全域，并进行精细粒度的访问控制。 l 为虚拟计算环境的安全域划分和安全控制提供了强大的技术保障。利用，可以有效的隔离虚拟主机，并提供了从网络层到应用层的安全面安全保护。采用了和Check Point 实体防火墙相同的防火墙和IPS引擎，能够帮助用户抵御来自于虚拟环境内部以及虚拟环境外部的安全威胁。 l 为虚拟网络环境提供了深度的监控和审计能力，为虚拟环境的合规性需求提供了强大的保证。能够监控虚拟主机之间的数据通信，并提供详细的日志记录。此外，利用Check Point 的SmartEvent 模块，可以对虚拟环境的安全状态进行实时的监控，并提供详细的报表，以备审核分析； l 部署简单。由于 将流量保持在虚拟装置服务器内，因此不需要复杂地增加安全设备与交换机来确保虚拟环境的安全。 会按照预设的内存分配与内核分配等选项进行安装，让您可以尽快确保系统的安全。您也可以自定义所有的设置— 包括网络接口与其它方面 — 来保护您的特定环境。 2> 通过虚拟安全网关安全网关整合(使用虚拟化技术提供安全网关整合) l VSX安全操作平台是一个虚拟化的安全网关，能够将10到250个安全系统集成在一个单一的硬件平台，大大节省成本。在VPN-1 Power提供的成熟安全技术基础上，VSX为多个网络系统提供同类最佳的防火墙、VPN（虚拟专用网络）、URL过滤和入侵防御技术，使它们彼此安全地连接和共享资源，如互联网和DMZs区。所有安全系统，无论是虚拟还是实体，都通过Check Point SmartCenter或者MDM多域集中管理服务器管理控制台进行集中管理。功能强大的设备可以进一步降低部署成本，同时提供电信运营商级的可靠性和可扩展性。 l VSX通过运行一个由数百个路由器、开关和VPN-1网关组成的虚拟网络来优化空间和成本。对于MSPs，VSX是一个理想平台，可以通过简单高效地提供新的安全服务提供增加收入的机会。这些包括增值虚拟内容过滤、VPN、网络划分和防火墙服务，利用VSX的虚拟系统向导（Virtual System Wizard）以尽可能低的成本即刻提供这些服务。 3>通过Check Point MDM集中多域管理服务器实现集中管理以及分级分域管理,并保障虚拟系统内部的审计和合规性 l Check Point 安全管理架构是安全行业最优秀的管理架构之一。,可以和Check Point的安全管理架构无缝融合，也就是说，Check Point 安全解决方案可以实现虚拟安全和实体安全的无缝的统一管理和运行。以IPS升级为例，管理员只需要单击一次鼠标，就可以实现所有企业虚拟环境和实体环境的IPS模块的统一升级；以日志管理为例，Check Point 可以在单一界面中，呈现虚拟主机在虚拟网络和实体网络中的所有网络访问日志记录和安全事件，为安全审计、合规性分析提供了全面的数据； l Check Point MDM多域集中管理服务器是一个具有特色的安全管理解决方案，用来满足具有复杂安全策略需求企业的可扩展性要求。在支持集中管理多个安全管理域的同时，Check Point MDM大大提高了管理这些复杂安全部署的操作效率.可以为云计算数据中心每个区域划分独有的管理域. l 基于角色的灵活管理,Check Point MDM多域集中管理服务器环境，管理模型的设计使网络安全经理能够集中管理许 多分布式系统。有了这样的设计模型，企业能够指定可信赖的管理员，赋予他们不同的访问 权限，包括从管理整个Check Point MDM多域集中管理服务器系统，到只管理客户网络的某些方面。另外，对不同的客户管理域，可以赋予同一个管理员不同的权限。 5.2.2 整体方案设计拓扑 整体方案包含如下方面: l ESX服务器内部部署VE从而保障虚拟计算环境的安全域的规划和保护(Vmware 内部虚拟机之间的防护) l 数据中心内部区域之间部署从而实现安全网关整合(使用虚拟化技术提供安全网关整合),为不同客户提供独立的安全网关防护. l 最后在数据中心部署管理控制台实现集中管理以及分级分域管理以及虚拟系统内部的审计和合规性； 5.3 云平台安全域划分和防护设计 安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域，在同一安全域中的系统共享相同的安全策略，通过安全域的划分把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全保护的有效方法。安全域划分是按照安全域的思想，以保障云计算业务安全为出发点和立足点，把网络系统划分为不同安全区域，并进行纵深防护。 对于云计算平台的安全防护，需要根据云平台安全防护技术实现架构，选择和部署合理的安全防护措施，并配置恰当的策略，从而实现多层、纵深防御，才能有效的保证云平台资源及服务的安全。 5.3.1 安全域划分 5.3.1.1 安全域划分的原则 业务保障原则：安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率； 结构简化原则：安全域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难； 等级保护原则：安全域划分和边界整合遵循业务系统等级防护要求，使具有相同等级保护要求的数据业务系统共享防护手段； 生命周期原则：对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑云平台扩容及因业务运营而带来的变化，以及开发、测试及后期运维管理要求 5.3.1.2 安全域的逻辑划分：例子 按照纵深防护、分等级保护的理念，基于云平台的系统结构，其安全域的逻辑划分如下图所示： 云平台安全域逻辑划分 按照防护的层次，从外向内可分为外部接口层、核心交换层、计算服务层、资源层。根据安全要求和策略的不同，每一层再分为不同的区域。对于不同的区域，可以根据实际情况再细分为不同的区域。例如，根据安全等级保护的要求，对于生产区可以在细分为一级保护生产区、二级保护生产区、三级保护生产区、四级保护生产区，或者根据管理主体的不同，也可细分为集团业务生产区、分支业务生产区。 对于实际的云计算系统，在进行安全域划分时，需要根据系统的架构、承载的业务和数据流、安全需求等情况，按照层次化、纵深防御的安全域划分思想，进行科学、严谨的划分，不可死搬硬套，下面给出一个安全域划分的示例，可参考。 5.3.1.3 网络隔离 为了保障云平台及其承载的业务安全，需要根据网络所承载的数据种类及功能，进行单独组网。 管理网络 物理设备是承载虚拟机的基础资源，其管理必须得到严格控制，所以应采用独立的带外管理网络来保障物理设备管理的安全性。同时各种虚拟资源的准备、分配、安全管理等也需要独立的网络，以避免与正常业务数据通信的相互影响，因此设立独立的管理网络来承载物理、虚拟资源的管理流量； 存储网络 对于数据存储，往往采用SAN、NAS等区域数据网络来进行数据的传输，因此也将存储网络独立出来，并于其他网络进行隔离； 迁移网络 虚拟机可以在不同的云计算节点或主机间进行迁移，为了保障迁移的可靠性，需要将迁移网络独立出来； 控制网络 随着SDN技术的出现，数据平面和数据平面数据出现了分离。控制平面非常重要，关于真个云平台网络服务的提供，因此建议组建独立的控制网络，保障网络服务的可用性、可靠性和安全性 上面适用于一般情况。针对具体的应用场景，也可以根据需要划分其他独立的网络， 5.4 vSEC产品功能介绍 5.4.1 虚拟机之间的数据流量检查 利用细粒度的防火墙策略和一流的集成入侵防御功能，对所有虚拟机之间的数据流量进行检查，从而确保虚拟机的安全性。 Checkpoint vSEC支持您分离虚拟应用，从而避免相互感染以及外部威胁。集成的IPS利用基于签名和协议异常的入侵防御功能，来保护FTP、HTTP和VoIP等关键业务服务免遭已知和未知攻击。Check Point的更新服务提供实时更新，以便实施最新的防护措施。 5.4.2 增强动态虚拟化环境的安全性 当虚拟机从一个主机向另一个主机进行实时迁移或者新增虚拟机时，对虚拟机的保护是持续不断的。完全支持Vmotion和动态迁移，使安全策略能够在保持开放连接的情况下实施。当虚拟机在主机之间移动时，它还能够确保零宕机时间，以便进行维护和动态资源分配。 创建虚拟机非常容易，以至于有时会导致虚拟机蔓延。Checkpoint vSEC通过确保新增虚拟机与现有虚拟机相分离并且自动实施安全策略，从而减轻了对此问题的顾虑。 5.4.3 完全虚拟化的安全网关 Checkpoint vSEC在软件刀片架构的基础上提供全面的安全性，同时保护虚拟机之间的数据流量以及外部网络和资产。除了不可见的管理程序层安全性之外，VSEC还提供了被部署为第2层或第3层默认网关的灵活性。 Checkpoint vSEC通过在单一解决方案中整合可靠的安全功能，简化了安全部署和管理。利用一流的集成防火墙、IPS、VPN、防病毒、防垃圾邮件、URL过滤和Web安全等功能，保护虚拟机免遭外部威胁以及互相感染。如果服务器与数据相分离是合规性的要求，那么VSEC则会对相互分离的应用与信息进行保护，而无需物理的安全设备。 5.4.4 对虚拟机提供即插即用的安全保护 Checkpoint vSEC能够对虚拟机自动应用安全措施，而无需为VM、VLAN或vSwitches改变网路拓扑，从而减少了管理费用。 5.4.5 实现虚拟化 虚拟化的推行需要进行巩固、优化以及投资回报最大化，依赖传统物理安全设备对虚拟机间流量进行检测会影响性能同时也加剧拓扑结构复杂性。通过部署CheckPoint 虚拟版安全网关（VSEC），可以避免复杂的拓扑结构，通过在虚拟系统中检测虚拟机间流量能够提升性能。 5.4.6 对物理和虚拟化环境进行单一管理 对物理和虚拟化环境的统一管理简化了安全管理，其中包括虚拟化与安全管理之间管理职能的明确分工。 Checkpoint vSEC通过安全管理或多域管理(MDM)进行管理，与所有其它Check Point物理安全网关和设备相同。 这样就能够支持您在所有的网关确保一致的安全性，并且最大限度地减少了单独管理控制台的费用。 5.5 VSX产品功能介绍 VSX安全操作平台是一个虚拟化的安全网关，能够将5到数百个安全系统集成在一个单一的硬件平台，大大节省成本。在VE提供的成熟安全技术基础上，VSX为多个网络系统提供同类最佳的防火墙、VPN（虚拟专用网络）、URL过滤和入侵防御技术，使它们彼此安全地连接和共享资源，如互联网和DMZs区。所有安全系统，无论是虚拟还是实体，都通过Check Point SmartCenter或者管理控制台进行集中管理。功能强大的设备可以进一步降低部署成本，同时提供电信运营商级的可靠性和可扩展性。 VSX通过运行一个由数百个路由器、开关和VPN-1网关组成的虚拟网络来优化空间和成本。对于MSPs，VSX是一个理想平台，可以通过简单高效地提供新的安全服务提供增加收入的机会。这些包括增值虚拟内容过滤、VPN、网络划分和防火墙服务，利用VSX的虚拟系统向导（Virtual System Wizard）以尽可能低的成本即刻提供这些服务。 灵活的部署方案 • 设备 – 包含广泛内容、功能强大和高可扩展性的设备能够符合任何网络安全要求。 • 软件 – VPN-Power VSX软件可以安装到经过Check Point认证的多种开放服务平台上，运行。 产品特点 • 可扩展的虚拟环境 • 灵活的虚拟连接 • 高性能安全 • 全面的安全服务 • 成熟、可靠的安全管理架构 • 方便服务提供商 可扩展的虚拟环境 随着VSX作为软件或者设备的部署，网络管理员可以对传统的物理布局和设计进行虚拟化实施，包括中央和远程DMZs。VSX平台可以在一个单一或集群的硬件平台创建和管理最多250个完全独立的安全系统。这在具有可扩展性的同时，大大减少了硬件投资、空间要求和维护成本。 灵活的虚拟连接 虚拟路由器和交换机可以用来在虚拟系统背后的网络之间进行通讯传输，跟在实体网络完全一样。VSX支持多种路由方案，可以进行灵活的网络连接。 • 桥接模式中的虚拟系统 VSX有能力接纳以路由器或者桥接模式运行的虚拟系统。在桥接模式下部署虚拟系统的能力使管理员能够实施本地2层桥接，而不是通过IP路由，从而无需对网络设置和布局进行重新配置即