1、,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,深信服云安全资源池解决方案,深信服安全,BU,安全是云计算重要环节,安全是云计算发展最大担忧,云计算所面临的挑战中,安全问题排在,首位,75%,用户在安全性上犹豫不决,Source,:,IDC Enterprise Panel,(国际数据公司,IDC,),安全权责划分与合规的需求,2024/12/11 周三,云安全不再是平台技术提供方或是平台运营方的事情,A.,B.,C.,D.,E.,技术提供方,平台运营方,租户,监管机构,ISV,为租户提供可选择的安全方案。,运营安全生态,云平台技术对网络、数据等提供安
2、全保障,保证平台物理层安全,通过使用平台提供的安全服务,保证自身业务安全,为云环境下平台、租户安全提供指导,通过制度保证平台、租户安全,云平台技术对网络、数据等提供安全保障,保证平台物理层安全,减少租户上云顾虑、满足业务安全的需求,2024/12/11 周三,在以上流程中,亟需平台方去解决的是:,现有应用架构,特别是数据库能否正常运行,安全如何保障,,平台方能否提供与,线下原有数据中心,匹配,的,安全能力,上云前咨询,云上基础,架构规划,安全架构规划,迁云实施,租户上云流程,为租户提供安全可视、可自定义配置的需求,2024/12/11 周三,线下原有数据中心,租户云上数据中心,安全可配置,安全
3、可视,“黑盒”,平台层,打包,“安全服务”,租户只管上云。,所有安全服务打包在“,黑盒,”中,无法提供租户个性化配置,界面,?,?,安全不可视,流量路径不可视,持续增值和安全生态运营的需求,2024/12/11 周三,硬件设备提供的安全能力,如何以增值服务的方式提供给租户?,平台运营方如何快速掌握安全能力,并交付用户?,租户的安全需求是持续的、不断更新的,如何通过安全生态运营满足不断变化的安全需求,基本安全需求,安全增值服务,安全运营持续对抗新威胁,现有云安全方案实现,云安全建设现状,2024/12/11 周三,01,03,02,紧耦合方案:,平台自带安全组件,安全镜像方案,部分解耦合:,硬件
4、一虚多,完全解耦合:,DNS,引流方案,虚拟机引流方案,硬件一虚多方案,2024/12/11 周三,Cloud,硬件一虚,多设备,VM1,VM2,VM2,租户,A,购买的套餐需要提供防火墙、,IPS,和负载功能,保证处理能力的,10%,租户,B,购买的套餐需要,提供防火墙、,LB,功能,,保证处理能力,5%,其他租户,购买的套餐需要,提供防火墙功能,限制处理能力,5%,租户与,VLAN,关联,入站出站流量需经过该硬件进行清洗。,当前能够支持一虚多的硬件云安全解决方案,支持功能较少,大多数仅支持,IPS,、,FW,、,LB,功能。,vSwitch,VFW,Web,Server,App,Serve
5、r,DB,Server,vlan100,(租户,A,),Vlan200,(租户,B,),vlan500,(租户,C,),应用背景,实现过程,设备镜像化交付方案,2024/12/11 周三,互联网,省级管理平台,ECS,省安全组,B,业务,ECS,B,业务,RDS,A,业务,ECS,A,业务,RDS,C,业务安全组,B,业务安全组,XX,ECS,XX,RDS,XX,业务安全组,vSSL,VPN,镜像,vFW,镜像,堡垒机镜像,负载均衡镜像,政务外网,应用背景,云平台完成搭建,平台层面安全已经建设完成。,租户对业务层面安全提出要求,平台方运营方需要一种快速、对平台改动最小的方案。,安全厂商将原有硬
6、件设备以镜像化的方式部署,与云平台无法深度耦合,实现过程,安全产品提供方,需要根据不同云平台架构进行产品适配,云平台一般只能够提供标准操作系统镜像(如,windows,Server,、,Linux,各版本),但安全产品镜像是非标准的操作系统,所以需要平台方协调安装,交付后。需要在租户层面做路由、网关的更改,使流量经过安全镜像,SAAS,安全服务交付方案,2024/12/11 周三,应用背景,云平台租户有对外发布的,WEB,业务,比如网站业务。,由于网站业务的特性,租户需要对网站经常受到的篡改、,SQL,注入、跨站等攻击进行防范。,能够对,DDoS,、,CC,攻击具备一定的流量清洗能力。,实现过
7、程,针对租户网站业务,提供,SAAS,安全服务,即网站用户访问流量经过,SAAS,安全服务清洗后,返回到源站,IP,。,需要用户在,DNS,服务商处修改,CNAME,记录,,CNAME,指向指定的地址,从而完成流量牵引,通过以上,完成对外,WEB,业务常见安全风险的防范,互联网,互联网,SAAS,服务商,目标网站,目标网站,访问请求,访问请求,修改,DNS,记录,使用户的网站访问请求先经过,SAAS,服务商,经过清洗后,到达目标网站,直接访问网站流程,现有云架构下最优的方案,2024/12/11 周三,1.,完全解耦合,权责清晰,2.,全流量引流,3.,全威胁可视、防御,01,紧耦合方案:,平
8、台自带安全组件,安全镜像方案,02,部分解耦合:,硬件一虚多,完全解耦合:,DNS,引流方案,虚拟机引流方案,03,无法解决:,完全耦合,平台不同,安全厂商融合难度大,开发工作量大,平台自带安全组件功能少,仅能解决部分问题,无法解决:,虽然解耦,但是支持功能较少(,DNS,引流仅支持,web,流量),大多为服务交付,平台方不掌握运营能力,无法解决:,为了实现引流,需要复杂的路由、网络,配置。无法简化配置、快速交付,仅有平台视角,缺少租户视角,硬件一虚多设备支持功能较少(,IPS,、,FW,、,LB,),全流量引流、本地化交付,安全即服务、全威胁可视,完全解,耦合,、,安全责任清晰,平台可运营、
9、持续增值,2024/12/11 周三,深信服云安全资源池方案,深信服云安全资源,池功能概览,安全可运营,安全运营报告,安全加固咨询,人工应急响应,入侵防御,IPSEC,VPN,SSL VPN,堡垒机,数据库审计,云端检测,安全咨询,安全,状态监控,业务风险统一分析,原有数据中心业务接入,安全,接入,漏洞,攻击,渗透测试,网页篡改,W,eb,攻击,访问,控制,数据窃取,统一安全资源分配,流量,可视,安全日志统一运维,业务安全,业务接入,安全可视,威胁可视,流量可视,策略可视,安全网络可视,资产可视,业务负载,业务接入,Web,防护,数据防泄密,业务安全防护,L4-L7,应用控制,防病毒功能,网页
10、防篡改,安全接入服务包,基础防御服务包,高级防御服务包,失陷主机发现服务包,云安全资源池,用户业务安全运营,增值服务包,云平台,平台层安全运营,安全服务编排,2024/12/11 周三,整体拓扑架构示意图,核心交换,平台层物理安全,安全即服务,基于深信服公有云,XYclouds,DDoS,高防,漏洞扫描,资产暴,露面,安全应,急服务,渗透,/,等,保服务,业务可,用监测,安全情,报服务,清洁流量,清洁流量,漏洞扫描,云安全服务,云平台,租户,租户,租户,计算资源,存储资源,计算资源,存储资源,计算资源,存储资源,深信,服云安全资源池,SSL,VPN,安全,接入包,IPSEC,VPN,防病毒,应
11、用控制,IPS,防篡改,WAF,数据防泄密,Webshell,黑链检测,APT,深信服超融合平台,策略路由,安全接入包,基础防御包,高级防御包,基础防御包,高级防御包,安全监测包,安全接入包,高级防御包,业务增值包,租户,A,安,全服务,租户,B,安,全服务,租户,C,安,全服务,云安全资源池底层架构,软件定义的超融合平台,网络虚拟化,安全接入包,基础防御包,失陷主机发现包,基础防御包,安全接入包,基础防御包,高级防御包,高级防御包,超融合平台,安全实力,虚拟化实力,云安全资源池方案,高级防御包,失陷主机发现包,云安全资源池组件,2024/12/11 周三,提供黑链检测、,webshell,上
12、传点、,网页,木马检测、,恶意,软件发现安全,组件,提供,web,防护、网页防篡改,、敏感信息防,泄密安全,组件、,堡垒机、数据库审计,提供应用控制、防病毒网关、,IPS,功能,提供,IPSEC,VPN,、,SSL,VPN,、安卓,/IOS/windows,安全接入,SDK,等多种安全接入组件,安全接入包,提供业务可用性检测、资产暴露面、云端漏洞监测安全组件,提供安全运营报告、安全策略检测、加固咨询、威胁分析、渗透测试、远程应急响应、通报问题处理运营服务,基础防御包,高级防御包,失陷主机包,云端检测包,安全运营包,深信服云安全,服务,依托于深信服企业级公有云平台(,xyclouds,)提供安全
13、增值服务,服务交付方式为轻量级交付,具体为:,修改,DNS,CNAME,记录,使用户流量经过云平台清洗后返回源站,。,提供如下功能:,资产,发现:,自动识别域名、,IP,、服务、网站、应用资产;,风险感知:,发现漏洞风险、配置风险、内容风险、数据风险、资产风险、应用风险;,风险预警:,企业应用漏洞预警、全球安全事件预警、高危风险预警;,专家咨询:,专家咨询、漏洞验证、人工渗透、应急响应,2024/12/11 周三,安全资源服务交付流程,平台方运营方界面,2024/12/11 周三,安全资源服务交付流程,发起请求,基础防御包,高级防御包,租户,计算资源,存储资源,应用,数据库,安全接入包,租户,
14、A,增值业务包,基础防御包,云端监测包,计算资源,存储资源,应用,数据库,租户,B,租户,A,的业务主要是面向系统内部员工开放的,为了保证内部系统数据传输安全,需要使用,IPSEC,VPN,互联,需要对内部系统开启,IPS,WAF,网页防篡改等功能,所以,建议租户选择,“,安全接入包,”“,基础防御包,”“,高级防御包,”,租户,B,的业务是面向公众的,系统架构为,B/S,架构,公众通过域名访问。为了避免系统被恶意扫描、入侵、篡改,系统出现问题,可以及时发现,所以建议用户使用使用,“,基础防御包,”“,高级防御包,”“,云端检测包,”,。,另外,为了保证系统的可用性,提升服务器、业务系统的使用
15、效率,可以建议用户选择增值服务包中的,“,负载均衡,”,高级防御包,2024/12/11 周三,安全资源服务交付流程,定义安全服务,安全服务定义,场景定义,交付功能定义,安全,资源服务交付,流程,分配安全服务,2024/12/11 周三,安全,资源服务交付,流程,安全服务编排,2024/12/11 周三,租户,A,安全服务,租户,B,安全服务,基础防御包,高级防御包,云端监测包,云端监测包,安全接入包,高级防御包,授权资源池,安全服务编排,释放租户需要的安全服务,自动化网络基础信息配置(,IP,、路由等),云安全资源池,安全资源服务运营,-,安全资源管理员,资源,管理员:,根据租户选择的服务包
16、类型,分配服务包到租户账户下,安全资源管理员拥有安全服务编排权限,安全资源,运行报告与日志:,根据安全资源池租户使用情况,按照月、季度、年生成资源运行报告,针对资源使用,/,分配情况占比,资源利用率等维度,为租户、平台运维方提供有效资源配置建议,2024/12/11 周三,安全资源服务日常运营流程,面向租户运营界面,云安全服务,中心,租户,安全服务,可视、可配置,流量可视模块:,由于云上流量的不可视,导致用户对自己虚拟网络架构内部应用流量交互不清晰,流量可视模块,为用户展现网络流量组成(哪些具体应用,流量大小等),让用户随时了解业务流量组成,安全可视模块:,安全资源池内各组件(,IPS,组件、
17、,WEB,防火墙组件、失陷,主机组件,等)的日志,通过安全可视模块进行收集,统一汇总,对用户汇总展现当前,业务系统,面临的风险。,租户自管理界面:,未租户提供安全服务包管理界面,每个租户可以对自己的个性化,WAF,、访问控制、,IPS,等安全策略进行配置,支持租户定义不同等级的管理员。,2024/12/11 周三,云安全资源池价值展现,面向租户界面,2024/12/11 周三,01,04,02,03,权责,清晰、安全,合规,安全可视、持续检测,能力运营、业务增值,交付,便捷、运维,简化,05,生态开放、快速上云,深信服云安全资源服务的,价值,2024/12/11 周三,权责清晰、安全合规,平台
18、权责,租户权责,合理利用平台提供的相关安全技术,维护业务安全,满足相关部门合规性要求,对自身业务安全策略进行维护,保证平台安全,避免平台层漏洞成为攻击跳板,平台层合规性,提供流程化的用户需求实现方案,满足用户多样化安全需求,2024/12/11 周三,能力运营、业务增值,传统硬件方案仅能够满足云平台初期建设基本需求,如何将硬件设备提供的安全服务运营起来?打造,“,云化,”,安全,基础计算资源已经没有增值空间了,如何在租户安全上实现增值,现在的解耦合方案(如云,WAF,)要么功能较少,要么对云平台要求比较高,难以交付,平台运营方不掌握安全能力,无法运营,将安全服务能力交付给平台运营方,平台运营方
19、具备根据用户场景打包安全服务能力,平台运营方可以将安全服务与基础计算资源打包实现业务增值,基础防御包,高级防御包,基础防御包,2024/12/11 周三,安全可视、持续检测,完整的攻击链条,探测,边界,突破,持续,渗透,安装,工具,横向,移动,窃取,/,破坏,基础防御包,失陷主机发现包,失陷主机发现包,攻击路径可视,2024/12/11 周三,交付便捷、运维简化,服务化交付,仅需要配置用户安全服务,IP,,每个租户安全服务完全隔离,平台层交付安全服务,保障安全服务可用,租户配置个性化安全策略,简化运维数据流,VLAN,分配,路由策略,IPS,策略,WAF,策略,自动化业务流,租户隔离,服务化交
20、付,其他安全策略,平台方交负责平台安全运维,复杂的安全交付,日常运维,变得简单,过去的云安全交付、运维,现在,的云安全交付、运维,用户自行寻找安全软件,地址分配,策略调整,缺少用户界面,用户负责自身业务安全运维,用户安全运维服务托管,2024/12/11 周三,生态开放、快速上云,开放生态,云安全资源池提供开放的生态,第三方安全厂商,提供标准的安装文件,即可完成产品,导入,对云管平台提供接口,允许云管平台通过接口调用的方式整合计算,+,安全,资源,简化流程,告别了复杂的上云前防火墙、,waf,、交换机等配置策略,同时提供多样化的安全套餐供用户选择,缩短用户上云,流程,通过标准化产品交付,减少与
21、用户反复沟通的时间,技术特色,安全资源池,平台稳定性,2024/12/11 周三,实现云安全资源池安全服务高,可用,无需使用昂贵、复杂的,传统安全硬件设备集群解决方案,最大限度地减少硬件、软件故障造成,的安全服务中断,时间,提高整个基础架构范围内的保护力度,基础防御包,云端监测包,安全接入包,高级防御包,租户,A,安全服务,租户,B,安全服务,安全资源池,平台性能线性扩充,基础防御包(,10M,授权),高级防御包,(,10M,授权),云端监测包,(,5M,授权),安全接入,包,(,5M,授权),高级防御包,(,5M,授权),平台线性扩容,平台性能不足时,可以通过扩充标准服务器加入到集群中,保障
22、平台性能,当用户分配安全服务性能不足时,亦可线性扩充性能,租户,A,安全服务,租户,B,安全服务,基础防御包(,5M,授权),租户安全服务包性能不足,基础防御包(,5,0M,授权),高级防御包,(,5,0M,授权),深信服安全能力,2024/12/11 周三,网络安全市场销售额排名第一,66.9,70.98,72.2,81.9,FW,IPS,行为管理,UTM,安全市场,LS,TS,HW,VPN,IDS,No.1,深信服,深信服安全能力,2024/12/11 周三,最早适配阿里云、亚马逊云、腾讯云的安全厂商,从,2013,年末阿里云推出第三方安全镜像合作开始,深信服就提供了,SSL,VPN,与第二代防火墙产品适配阿里云平台,至今已经成交超过千,笔,深信服技术能力表现,2024/12/11 周三,安全市场,虚拟化市场,THANKS!,